.jpg)
Les équipes de sécurité ne manquent pas d'outils de gestion des risques. Il existe des inventaires d'actifs, des scanners de vulnérabilités, des solutions EDR, des plateformes cloud , des systèmes de gestion des identités, des plateformes de gestion de la surface d'attaque (ASM) et des systèmes SIEM. Chacun d'entre eux apporte un éclairage particulier sur l'environnement.
Et pourtant, nous ne cessons de nous poser la même question : où sommes-nous exactement exposés en ce moment ?
Alors, où est le problème ? Avec tous ces outils, ne devrions-nous pas être en mesure de voir ce qui doit être reconfiguré ou les accès qui doivent être supprimés ? La réponse n'est pas qu'il manque des données ; c'est plutôt que ces données manquent de clarté.
Le problème, ce n'est pas la visibilité ; c'est la fragmentation
La plupart des programmes de sécurité reposent sur des systèmes conçus pour fonctionner de manière indépendante. Chaque outil répond à un besoin différent. Un outil CAASM assure le suivi des actifs. Un scanner de vulnérabilités identifie les failles. Un autre enregistre l'activité. Un autre encore veille au respect des politiques. Tous sont utiles. Mais aucun d'entre eux ne reflète l'environnement tel qu'il fonctionne réellement et n'a d'impact direct sur le niveau de sécurité d'une organisation.
Lorsque l'on pose aux RSSI ou aux responsables de la sécurité des questions telles que :
- Sommes-nous exposés en ce moment ?
- Quel est le risque qui compte vraiment ?
- Quelles en seront les conséquences pour l'entreprise ?
Les réponses ne sont pas immédiatement disponibles. Elles doivent être rassemblées et sont souvent obtenues manuellement à travers plusieurs systèmes, dans l'urgence. Cela oblige les RSSI ou les dirigeants à prendre des décisions aux enjeux considérables sans disposer de données fiables.
Les environnements modernes ont bouleversé l'ancien modèle
Le problème ne réside pas dans les outils ; c'est l'environnement lui-même qui a changé.
Aujourd'hui, les entreprises sont dynamiques par nature. Les systèmes sont constamment mis en service ou arrêtés. Les accès sont accordés par programmation. Les données circulent entrecloud, les solutions SaaS et les systèmes d'identité sans frontières clairement définies. Parallèlement, les identités non humaines (NHI) se multiplient. Les comptes de service, les API, les charges de travail et les processus pilotés par l'IA opèrent désormais dans l'ensemble de l'environnement, dépassant souvent largement en nombre les utilisateurs humains.
Les pirates se sont adaptés à cette réalité. Ils ne se contentent plus d'exploiter une seule faille ou de franchir le périmètre de sécurité. Ils évoluent au sein de l'environnement et créent des voies d'attaque en utilisant des accès légitimes et en s'appropriant des privilèges, tout en se fondant dans le comportement normal et en exploitant les failles entre les systèmes.
En conséquence, l'exposition n'est plus statique. Elle se crée en permanence à travers le comportement et les interactions des systèmes.
Les approches traditionnelles de gestion des risques, telles que la sécurité des identités ou cloud , n'ont pas su s'adapter. Elles s'appuient sur une vision partielle de l'environnement, ce qui signifie que des angles morts persistent, notamment au niveau des actifs non gérés, des identités et cloud . Elles considèrent les risques comme une simple liste de problèmes plutôt que comme un élément qui s'inscrit dans un contexte. Et elles reflètent rarement la manière dont les attaques modernes se déroulent à travers les systèmes.
Ce qui doit changer
Nous devons passer d'une mesure statique à une compréhension continue. Et cela commence par envisager l'exposition sous un angle différent. Plutôt que de nous concentrer sur ce qui figure sur le papier, il faut examiner ce qui fonctionne réellement. Il ne s'agit pas seulement de savoir qui a accès, mais aussi comment cet accès est utilisé. Il ne s'agit pas seulement de repérer les vulnérabilités, mais aussi de déterminer si elles peuvent être exploitées dans le cadre d'une activité réelle. Et au-delà de cela, nous devons mettre en place une validation de l'exposition.
Il s'agit autant d'un changement de perspective que d'une évolution technologique.
Cela implique de déménager :
- Des inventaires d'actifs aux environnements actifs
- Des résultats isolés vers une approche globale des risques
- Des hypothèses aux preuves
Transformer les données d'exposition en réalité d'exposition
Pour faire face aux risques actuels, les équipes de sécurité doivent pouvoir fonder leur compréhension sur ce qui se passe réellement au niveau de l'exposition de la surface d'attaque. Cela nécessite une couche de données factuelles, c'est-à-dire un ensemble d'éléments reflétant les communications, les comportements et les interactions réels entre les systèmes.
Lorsque l'on examine l'exposition sous cet angle, la situation apparaît plus clairement. Les équipes peuvent ainsi identifier les éléments actifs, ceux qui ne sont pas gérés, les interconnexions entre les systèmes et les sources de risque, et ce, de manière pertinente. Au lieu de rassembler des informations disparates, nous disposons d'une vue d'ensemble continue de l'évolution de l'exposition.
Concrètement, comment cela se traduit-il ?
Lorsque la gestion de l'exposition reflète la réalité, les résultats s'en trouvent considérablement modifiés.
Les responsables de la sécurité peuvent répondre à des questions cruciales en toute confiance, sans se contenter d'approximations. Les équipes consacrent moins de temps à la mise en corrélation des données et davantage à agir sur ce qui compte vraiment. Et les organisations peuvent commencer à démontrer, preuves à l'appui, que les risques cybernétiques diminuent au fil du temps. Cela revêt une importance particulière compte tenu de la pression à laquelle sont soumis aujourd'hui les RSSI pour prouver l'efficacité des contrôles et l'amélioration continue de la posture de sécurité, même en dehors d'un audit.
En bref : changeons notre façon d'aborder l'exposition
La gestion des risques n'échoue pas parce que les équipes de sécurité manquent d'efforts ou d'investissements. Elle échoue parce que le modèle n'a pas su s'adapter à l'évolution des environnements modernes et des modes d'attaque.
Pour y remédier, nous devons dépasser une vision fragmentée et évoluer vers une compréhension unifiée et fondée sur des données factuelles de l'exposition.