La gestion continue de l’exposition aux menaces (CTEM) est un cadre stratégique qui aide les organisations à évaluer et à gérer en permanence les cyber-risques. Il décompose la tâche complexe de gestion des menaces de sécurité en cinq étapes distinctes : cadrage, découverte, priorisation, validation et mobilisation. Chacune de ces étapes joue un rôle crucial dans l’identification, la résolution et l’atténuation des vulnérabilités, avant qu’elles ne puissent être exploitées par des attaquants.
Sur le papier, CTEM sonne bien. Mais là où le caoutchouc rencontre la route – en particulier pour les néophytes du CTEM – la mise en œuvre du CTEM peut sembler écrasante. Le processus de mise en pratique des principes CTEM peut sembler d’une complexité prohibitive au premier abord. Cependant, avec les bons outils et une compréhension claire de chaque étape, le CTEM peut être une méthode efficace pour renforcer la posture de sécurité de votre organisation.
C’est pourquoi j’ai élaboré un guide étape par étape sur les outils à utiliser pour quelle étape. Vous voulez en savoir plus ? Continuez à lire…
Étape 1 : cadrage
Lorsque vous définissez les actifs critiques lors de la définition du périmètre, vous franchissez la première étape essentielle vers la compréhension des processus et des ressources les plus précieux de votre organisation. Votre objectif ici est d’identifier les actifs qui sont essentiels à vos opérations, et cela implique souvent la contribution de diverses parties prenantes, et pas seulement de votre équipe des opérations de sécurité (SecOps). Le cadrage n’est pas seulement une tâche technique, c’est un personnes tâche – il s’agit de véritablement comprendre le contexte et les processus de votre entreprise.
Un moyen utile d’aborder ce problème consiste à organiser des ateliers sur les actifs critiques pour l’entreprise. Ces sessions rassemblent des décideurs, y compris des hauts dirigeants, pour aligner vos processus métier sur la technologie qui les prend en charge. Ensuite, pour soutenir vos efforts de cadrage, vous pouvez utiliser des outils tels que de bonnes vieilles feuilles de calcul, des systèmes plus avancés comme les bases de données de gestion de configuration (CMDB) ou des solutions spécialisées telles que la gestion des actifs logiciels (SAM) et la gestion des actifs matériels (HAM). De plus, les outils DSPM (Data Security Posture Management) fournissent des informations précieuses en analysant les actifs et en priorisant ceux qui nécessitent le plus de protection. (En savoir plus sur la portée ici.)
Étape 2 : Découverte
Discovery se concentre sur l’identification des actifs et des vulnérabilités dans l’écosystème de votre organisation, en utilisant divers outils et méthodes pour compiler une vue complète de votre paysage technologique et permettre à vos équipes de sécurité d’évaluer les risques potentiels.
Les outils d’analyse des vulnérabilités sont couramment utilisés pour découvrir les actifs et identifier les faiblesses potentielles. Ces outils recherchent les vulnérabilités connues (CVE) au sein de vos systèmes et réseaux, puis fournissent des rapports détaillés sur les domaines nécessitant une attention particulière. De plus, Active Directory (AD) joue un rôle crucial dans la découverte, en particulier dans les environnements où les problèmes d’identité sont répandus.
Pour les environnements cloud, les outils Cloud Security Posture Management (CSPM) sont utilisés pour identifier les erreurs de configuration et les vulnérabilités des plates-formes telles qu’AWS, Azure et GCP. Ces outils gèrent également les problématiques de gestion des identités spécifiques aux environnements cloud. (En savoir plus sur Discovery ici.)
Étape 3 : Priorisation
Une hiérarchisation efficace est cruciale car elle garantit que vos équipes de sécurité se concentrent sur les menaces les plus impactantes, réduisant ainsi le risque global pour votre organisation.
Vous utilisez peut-être déjà des solutions traditionnelles de gestion des vulnérabilités qui établissent des priorités basées sur les scores CVSS (Common Vulnerability Scoring System). Cependant, gardez à l’esprit que ces scores ne parviennent souvent pas à intégrer le contexte commercial, ce qui rend difficile pour les parties prenantes techniques et non techniques de saisir l’urgence de menaces spécifiques. En revanche, établir des priorités dans le contexte de vos actifs critiques rend le processus plus compréhensible pour les dirigeants d’entreprise. Cet alignement permet à vos équipes de sécurité de communiquer plus efficacement sur l’impact potentiel des vulnérabilités au sein de l’organisation.
La cartographie et la gestion des chemins d’attaque sont de plus en plus reconnues comme des éléments essentiels de la priorisation. Ces outils analysent la manière dont les attaquants peuvent se déplacer latéralement au sein de votre réseau, vous aidant ainsi à identifier les points d’étranglement où une attaque pourrait infliger le plus de dégâts. Les solutions qui intègrent la cartographie des chemins d’attaque vous fournissent une image plus complète des risques d’exposition, permettant une approche plus stratégique de la priorisation.
Enfin, les plateformes externes de renseignement sur les menaces sont essentielles à cette étape. Ces outils vous fournissent des données en temps réel sur les vulnérabilités activement exploitées, ajoutant un contexte critique au-delà des scores CVSS. De plus, les technologies basées sur l’IA peuvent étendre la détection des menaces et rationaliser la priorisation, mais il est important de les mettre en œuvre avec soin pour éviter d’introduire des erreurs dans votre processus. (En savoir plus sur la priorisation ici.)
Étape 4 : Validation
L’étape de validation du CTEM vérifie que les vulnérabilités identifiées peuvent effectivement être exploitées, en évaluant leur impact potentiel dans le monde réel. Cette étape garantit que vous ne vous contentez pas de traiter les risques théoriques, mais que vous donnez la priorité aux menaces réelles qui pourraient conduire à des violations importantes si elles ne sont pas traitées.
L’une des méthodes de validation les plus efficaces est le test d’intrusion. Les stylos testeurs simulent des attaques du monde réel, tentent d’exploiter les vulnérabilités et testent jusqu’où elles peuvent se déplacer sur votre réseau. Cela valide directement si les contrôles de sécurité que vous avez mis en place sont efficaces ou si certaines vulnérabilités peuvent être militarisées. Il offre une perspective pratique – au-delà des scores de risque théoriques.
Outre les tests d’intrusion manuels, les outils de validation des contrôles de sécurité tels que Breach and Attack Simulation (BAS) jouent un rôle crucial. Ces outils simulent des attaques dans un environnement contrôlé, vous permettant de vérifier si des vulnérabilités spécifiques pourraient contourner vos défenses existantes. Les outils utilisant un modèle de jumeau numérique vous permettent de valider les chemins d’attaque sans impacter les systèmes de production : un avantage majeur par rapport aux méthodes de test traditionnelles qui peuvent perturber les opérations. (En savoir plus sur la validation ici.)
Étape 5 : Mobilisation
L’étape de mobilisation exploite divers outils et processus qui améliorent la collaboration entre vos équipes de sécurité et d’exploitation informatique. Permettre aux SecOps de communiquer les vulnérabilités et les expositions spécifiques qui nécessitent une attention comble le manque de connaissances, aidant les opérations informatiques à comprendre exactement ce qui doit être corrigé et comment le faire.
De plus, l’intégration de systèmes de billetterie tels que Jira ou Freshworks peut rationaliser le processus de remédiation. Ces outils vous permettent de suivre les vulnérabilités et d’attribuer des tâches, garantissant ainsi que les problèmes sont priorisés en fonction de leur impact potentiel sur les actifs critiques.
Les notifications par e-mail peuvent également être utiles pour communiquer des problèmes urgents et des mises à jour aux parties prenantes, tandis que les solutions de gestion des informations et des événements de sécurité (SIEM) peuvent centraliser les données provenant de diverses sources, aidant ainsi vos équipes à identifier et à répondre rapidement aux menaces.
Enfin, il est important de créer des playbooks clairs décrivant les étapes de correction des vulnérabilités courantes. (En savoir plus sur la mobilisation ici.)
Rendre le CTEM réalisable avec XM Cyber
Maintenant que vous avez lu la liste exhaustive des outils dont vous aurez besoin pour faire du CTEM une réalité, vous sentez-vous plus prêt à commencer ?
Aussi transformationnel que soit le CTEM, de nombreuses équipes voient la liste ci-dessus et reculent naturellement, estimant qu’il s’agit d’une entreprise trop complexe et nuancée. Depuis la création du CTEM, certaines équipes ont choisi de renoncer aux avantages, car même avec une feuille de route, cela leur semble tout simplement trop lourd.
Le moyen le plus productif de faire du CTEM une réalité très réalisable consiste à adopter une approche unifiée du CTEM qui simplifie la mise en œuvre en intégrant toutes les multiples étapes du CTEM dans une seule plate-forme cohérente. Cela minimise la complexité souvent associée au déploiement d’outils et de processus disparates. Avec XM Cyber, vous pouvez :
- Mappez les processus métier critiques aux actifs informatiques sous-jacents pour hiérarchiser les expositions en fonction des risques pour l’entreprise.
- Découvrez tous les CVE et non-CVE (mauvaises configurations, risques d’identité, autorisations excessives) dans les environnements sur site et cloud et sur les surfaces d’attaque internes et externes.
- Obtenez une priorisation plus rapide et précise basée sur l’Attack Graph Analysis™ exclusif qui exploite les renseignements sur les menaces, la complexité du chemin d’attaque, le nombre d’actifs critiques qui sont compromis et s’il s’agit de points d’étranglement ou de plusieurs chemins d’attaque.
- Vérifiez si les problèmes sont exploitables dans un environnement spécifique et si les contrôles de sécurité sont configurés pour les bloquer.
- Améliorer la remédiation, en mettant l’accent sur les preuves contextuelles, les orientations et les alternatives en matière de remédiation. Il s’intègre également aux outils de billetterie, SIEM et SOAR pour suivre la progression des mesures correctives.
CTEM – C’est la voie
L’approche unifiée de XM Cyber en matière de CTEM simplifie la mise en œuvre en intégrant plusieurs étapes dans une seule plateforme cohérente. Cela minimise la complexité associée au déploiement d’outils et de processus disparates. Avec XM Cyber, vous bénéficiez d’une visibilité en temps réel sur vos expositions, vous permettant de prioriser les efforts de remédiation en fonction des risques réels plutôt que des évaluations théoriques.
La plateforme facilite une communication transparente entre SecOps et IT Ops, garantissant que tout le monde est sur la même longueur d’onde concernant les vulnérabilités et les mesures correctives. Cette collaboration favorise une posture de sécurité plus efficace et plus réactive, permettant à votre organisation de répondre aux menaces potentielles rapidement et efficacement. (Pour en savoir plus sur les raisons pour lesquelles XM Cyber est la réponse la plus complète au CTEM, procurez-vous une copie de notre guide d’achat CTEM ici.)
En fin de compte, XM Cyber améliore non seulement la capacité de votre équipe à gérer les expositions, mais vous permet également de vous adapter en permanence à un paysage de menaces en évolution.
Note: Cet article a été rédigé et rédigé de manière experte par Karsten Chearis, chef d’équipe de l’ingénierie des ventes de sécurité aux États-Unis chez XM Cyber.