Cet été, Gartner a lancé la gestion continue de l’exposition aux menaces (CTEM). Il s’agit d’un ensemble de processus et de capacités qui permettent aux organisations de créer un système d’examen des expositions plus rapide que l’approche périodique basée sur des projets.
Avec des menaces et des vulnérabilités sans fin qui frappent les organisations d’aujourd’hui, une gestion des expositions qui évalue l’accessibilité, l’exposition et l’exploitabilité de tous les actifs numériques et physiques sont nécessaires pour gouverner et prioriser la réduction des risques pour les entreprises.
Nous avons parlé avec Haggai Polak, CPO de Skybox Security, pour en savoir plus sur ce que ce nouveau terme signifie pour la sécurité des entreprises, en particulier alors que les entreprises se préparent à faire face à de nouvelles menaces en 2023.
BN : Pouvez-vous Pouvez-vous nous en dire plus sur CTEM et en quoi il diffère de la gestion traditionnelle des vulnérabilités ?
HP: Le nom lui-même en dit long. L’objectif de CTEM est de créer un plan de correction de la posture de sécurité exploitable que les organisations peuvent comprendre et que les équipes de sécurité peuvent mettre en œuvre. L’objectif du processus est d’identifier et de traiter en permanence les menaces les plus susceptibles d’être exploitées plutôt que de tenter de remédier à chaque menace identifiée.
CTEM est une amélioration par rapport aux programmes de gestion des vulnérabilités qui ont été utilisés dans le passé, principalement dans l’aspect continu. Les organisations doivent reconnaître qu’il ne suffit pas d’effectuer une analyse ou de faire appel à une agence pour effectuer des tests deux fois par an. Étant donné que de nouvelles vulnérabilités sont introduites en permanence, nous savons que les bases de données de vulnérabilités courantes augmentent au rythme de dizaines de milliers par an, alors que l’infrastructure d’une organisation est en constante évolution. Les organisations d’aujourd’hui doivent être en mesure d’évaluer les menaces et de gérer l’exposition de manière continue. Nous recommandons généralement aux clients d’effectuer des analyses quotidiennes pour voir ce qui a changé, à la fois en termes d’infrastructure et de configuration, ainsi que les nouvelles menaces ou exploits qui sont devenus disponibles pour les acteurs malveillants.
Un autre changement que j’aimerais souligner est que nous utilisons maintenant le terme exposition au lieu de simplement vulnérabilités. Il s’agit également d’une extension de la portée des programmes originaux de gestion des vulnérabilités qui se concentraient uniquement sur les vulnérabilités, quelque chose qui est potentiellement compromis sur un logiciel ou un matériel spécifique que quelqu’un pourrait aller exploiter. L’exposition est beaucoup plus large que cela. Une mauvaise configuration pourrait être une exposition, ainsi qu’un écart de contrôle manquant, par exemple. Donc, ce n’est pas nécessairement qu’il y a un bogue logiciel ou que quelque chose est cassé. Cela peut être aussi simple qu’une erreur humaine qui permet d’accéder à une zone du réseau qui doit être protégée. C’est pourquoi le CTEM est considéré comme un moyen plus mature de gérer les cyber-risques dans l’entreprise.
BN : Pouvez-vous nous expliquer à quoi ressemble un programme CTEM ?
HP : Lorsque nous examinons la définition des programmes de gestion de l’exposition, il existe quelques étapes très distinctes. Le premier est la découverte. La gestion de l’exposition commence par comprendre en détail les actifs d’une organisation, qui est le propriétaire des actifs, quelle est leur importance et plus encore. La partie suivante consiste à détecter les expositions, et c’est là qu’il est essentiel d’intégrer divers scanners à la fois dans le monde informatique et OT pour commencer à cartographier les diverses expositions qui existent sur différents actifs.
Une fois que nous en avons fini avec cette deuxième étape, il existe généralement une liste de dizaines de milliers d’expositions potentielles dans l’infrastructure qui doivent être triées. Les entreprises qui s’appuient sur des scores de vulnérabilité traditionnels rencontrent généralement le problème d’avoir trop de vulnérabilités critiques et une bande passante de correction limitée, ce qui les amène souvent à se concentrer sur les mauvaises choses. C’est là que les technologies de hiérarchisation basées sur les risques peuvent aider à décider ce qui est le plus critique, par exemple en déterminant lesquelles de ces vulnérabilités sont exploitées à l’état sauvage ou quels actifs sont exposés.
Ensuite, nous atteignons la quatrième étape , c’est-à-dire la correction et la vérification. C’est là que les équipes de sécurité lancent la correction des expositions, manuellement ou automatiquement. C’est également là qu’ils vérifient que la correction a bien été efficace et mesurent diverses mesures autour du programme, comme la capacité à respecter les SLA de correction.
BN : Quelles tendances voyez-vous dans l’espace de gestion des vulnérabilités ?
HP : Il y a quelques tendances que je voudrais signaler. La quantification des cyberrisques est importante. Nous constatons que les équipes de sécurité demandent de plus en plus notre aide pour traduire le cyber-risque dans un langage que l’ensemble de l’entreprise peut comprendre. Par exemple, s’il existe un risque important sur un petit nombre de serveurs, mais que ces serveurs sont extrêmement critiques pour l’organisation, tout temps d’arrêt sur ces serveurs se traduit par des pertes financières substantielles. C’est quelque chose que nos clients ont besoin d’aide pour calculer et présenter afin qu’ils puissent montrer pourquoi ils accordent la priorité à la correction et aux dépenses de sécurité supplémentaires sur ce petit groupe d’actifs.
Le second concerne l’automatisation. Nous connaissons tous les pénuries de personnel en cybersécurité. C’est pourquoi de nombreuses organisations de tous les secteurs cherchent à automatiser leur gestion des vulnérabilités et de la configuration. À certains égards, les solutions d’automatisation plus traditionnelles ont laissé tomber les clients car elles n’étaient pas assez intelligentes pour effectuer l’automatisation en toute sécurité avec beaucoup de contexte. Les clients de la sécurité n’abandonnent pas et ils recherchent toujours des moyens de remédier plus rapidement avec moins d’intervention humaine, moins d’erreurs humaines et de répondre rapidement aux menaces de haute gravité dans l’environnement.
Le dernier est le de l’application de la gestion des vulnérabilités sur l’informatique héritée traditionnelle à la gestion de l’exposition et des menaces sur des parties quelque peu négligées de votre infrastructure, comme l’équipement de technologie opérationnelle (OT). C’est là que nous voyons des équipes de sécurité demander l’application de la gestion des vulnérabilités et des menaces sur leurs charges de travail OT, cloud et, dans certains cas, pour les travailleurs distants. Il ne suffit plus de gérer les vulnérabilités sur les serveurs d’un centre de données ou sur les appareils du bâtiment.
Crédit image : alexskopje/depositphotos.com