Comment le CTEM complète les tests de sécurité pour obtenir une réduction mesurable des risques

Vos enjeux en matière de sécurisation d'environnements en constante évolution

Les responsables de la sécurité sont confrontés à un défi permanent : les vulnérabilités découvertes aujourd'hui peuvent refaire surface demain. Des erreurs de configuration apparaissent. De nouvelles menaces apparaissent. Des actifs sont déployés à l'insu des services informatiques. Les équipes de développement évoluent plus rapidement que la sécurité ne peut le faire. Les programmes de sécurité traditionnels, même ceux qui prévoient des tests de pénétration réguliers, peinent à suivre le rythme de cette évolution permanente.

C'est là que la gestion continue de l'exposition aux menaces (CTEM) transforme votre stratégie de sécurité. La gestion continue de l'exposition aux menaces ne consiste pas à remplacer les tests de security testing existants. Il s'agit de mettre en place un programme complet et reproductible qui identifie, hiérarchise et corrige en permanence les vulnérabilités, garantissant ainsi l'amélioration de votre posture de sécurité au fil du temps.

Comprendre la gestion continue de l'exposition aux menaces

Gartner définit la CTEM comme une approche systémique permettant d'affiner en permanence les priorités d'optimisation de la cybersécurité. Plutôt que de procéder à des évaluations périodiques, la CTEM établit un cycle reproductible de découverte, de hiérarchisation, de validation et de remédiation qui évolue avec le paysage des menaces de votre organisation.

Les cinq phases du CTEM :

1. Définition de la portée

Définissez les actifs et les vecteurs de menace les plus importants pour votre organisation. Plutôt que de tout tester, le CTEM aligne la portée de l'évaluation sur des projets d'entreprise spécifiques, des infrastructures critiques et des vecteurs de menace émergents. Cela garantit que vos efforts en matière de sécurité se concentrent sur ce qui a un impact réel sur votre entreprise.

2. Découverte

Identifiez en permanence les actifs, les mauvaises configurations et les risques liés à Internet. Cela comprend à la fois les vulnérabilités traditionnelles et les risques non corrigibles (mauvaises configurations SaaS, erreurs du groupe de sécurité cloud, faiblesses architecturales, etc.) La découverte a lieu tous les mois, toutes les semaines, voire tous les jours, de sorte que de nouveaux actifs sont identifiés au fur et à mesure de l'évolution de votre environnement.

3. Établissement de priorités

Tout ne peut pas être corrigé immédiatement. Le CTEM hiérarchise les risques en fonction de l'exploitabilité, de l'impact sur l'activité et des renseignements sur les menaces. Qu'est-ce qu'un attaquant peut exploiter de manière réaliste ? Quel en serait l'impact ? Cette hiérarchisation intelligente garantit que votre équipe se concentre sur les expositions qui présentent un risque réel.

4. La validation

C'est ici que les tests deviennent essentiels. Les tests de pénétration manuels permettent de valider que les expositions priorisées sont réellement exploitables et d'évaluer l'efficacité des contrôles de sécurité existants. L'analyse automatisée identifie les problèmes potentiels. L'expertise humaine confirme leur impact dans le monde réel.

5. Mobilisation

Les résultats sont mobilisés au sein des équipes. Les opérations de sécurité, les équipes d'infrastructure et les équipes de développement s'alignent sur les priorités et les calendriers de remédiation. Plutôt qu'un rapport ponctuel, le CTEM crée une collaboration et une responsabilisation permanentes entre les équipes.

L'impact sur l'entreprise : Une réduction de deux tiers des violations

L'hypothèse de planification stratégique de Gartner est frappante :D'ici 2026, les organisations qui priorisent leurs investissements en matière de sécurité sur la base d'un programme CTEM seront trois fois moins susceptibles de subir une violation.

Il ne s'agit pas d'une amélioration marginale, mais d'une réduction transformationnelle des risques. Pourquoi ? Parce que le CTEM s'attaque au problème fondamental des programmes de sécurité traditionnels :le fossé entre la découverte et la remédiation.

Dans un modèle traditionnel, vous découvrez une vulnérabilité au troisième trimestre, mais les mesures correctives ne commencent qu'au quatrième trimestre. Lorsque le correctif est déployé, des mois se sont écoulés. De nouvelles vulnérabilités ont été découvertes. Votre posture de sécurité a dérivé. Avec le CTEM, les vulnérabilités sont découvertes, classées par ordre de priorité et corrigées dans un cycle continu. La fenêtre d'exposition se réduit considérablement.

Le CTEM en pratique : Un exemple concret

Voici comment fonctionne le CTEM au sein d'une organisation :

Mois 1 (délimitation du champ d'application et découverte)

• Les analyses de gestion de la surface d'attaque identifient tous les actifs connectés à Internet.
• Les renseignements sur les menaces signalent les vulnérabilités émergentes pertinentes pour votre environnement.
• Le champ d'application est défini : "Nous nous concentrerons sur l'infrastructure en nuage critique et les applications en contact avec les clients.

Mois 1-2 (hiérarchisation et validation)

• L'analyse automatisée identifie les vulnérabilités potentielles sur l'ensemble des actifs découverts.
• Les tests de pénétration manuels valident les expositions les plus critiques.
• L'impact commercial est évalué : "Cette mauvaise configuration expose les données des clients" vs "Il s'agit d'une divulgation d'informations à faible impact".

Mois 2-3 (mobilisation et remédiation)

• L'équipe chargée de l'infrastructure corrige les erreurs de configuration du groupe de sécurité de l'informatique en nuage.
• L'équipe de développement corrige les vulnérabilités des applications, qui sont communiquées via les intégrations CI/CD.
• Les opérations de sécurité surveillent la progression des mesures correctives au moyen de tableaux de bord personnalisés et valident les correctifs.

Mois 3 (répétition)

• Analyse de la surface d'attaque pour vérifier les correctifs et découvrir de nouveaux actifs.
• Les nouveaux risques sont classés par ordre de priorité en fonction des informations actualisées sur les menaces.
• Le cycle se répète avec une compréhension plus fine de votre environnement.
• Les développeurs obtiennent un retour d'information précoce sur les vulnérabilités qu'ils ont introduites, ce qui permet de réduire ce type d'erreurs dans les prochaines versions.

Pourquoi les tests manuels restent-ils essentiels au CTEM ?

L'analyse automatisée permet d'identifier les vulnérabilités à grande échelle. Mais le CTEM nécessite une validation pour confirmer que les vulnérabilités sont réellement exploitables et évaluer leur impact dans le monde réel. C'est là que les tests d'intrusion manuels deviennent indispensables.

Les testeurs manuels peuvent

• Exploiter des chaînes d'attaques complexes : Enchaîner plusieurs vulnérabilités pour démontrer l'impact sur l'entreprise.
• Identifier les failles de la logique d'entreprise : Les vulnérabilités que les outils automatisés ne peuvent pas détecter.
• Évaluer l'efficacité des contrôles : Tests de sécurité visant à déterminer si les contrôles de sécurité empêchent réellement l'exploitation des failles.
• Fournir des guides de correction : Offrir des conseils pratiques sur la manière de résoudre les problèmes, et pas seulement sur ce qui est cassé.
• Valider les correctifs : Confirmer que les mesures correctives fonctionnent réellement avant de passer à la production.

Les outils automatisés permettent d'élargir le champ d'action ; les tests manuels permettent de l'approfondir. Ensemble, ils créent un programme de sécurité complet.

Le CTEM s'attaque aux risques qui peuvent être corrigés et à ceux qui ne peuvent pas l'être.

L'étude de Gartner a mis en évidence un point essentiel :Les organisations ne peuvent pas corriger tous les risques.De nombreusesexpositions ne peuvent pas être corrigées. Elles nécessitent des changements architecturaux, des mises à jour de configuration ou des décisions de conception plutôt que des correctifs logiciels.

Le CTEM s'attaque à ces deux types de risques :

• Les vulnérabilités pouvant être corrigées : Les vulnérabilités traditionnelles des logiciels qui peuvent être corrigées par des correctifs.
• Les vulnérabilités non corrigibles : Les mauvaises configurations, les faiblesses architecturales, les failles de conception et les problèmes spécifiques au SaaS qui nécessitent des approches de remédiation au-delà des correctifs.

Cette approche globale signifie que votre programme de sécurité traite l'ensemble du spectre des risques, et pas seulement les vulnérabilités qui s'intègrent parfaitement dans votre processus de gestion des correctifs.

Construire votre programme CTEM : Points de départ

Les entreprises n'ont pas besoin de mettre en œuvre un programme CTEM complet du jour au lendemain.

Commencez par une surface d'attaque ou un vecteur de menace :

• Concentrez-vous sur l'infrastructure cloud critique
• Donnez la priorité aux applications en contact avec les clients
• S'attaquer à une menace émergente spécifique

Ajoutez une surveillance continue :

• Mettez en œuvre la découverte continue des actifs.
• Surveillez les erreurs de configuration au fur et à mesure qu'elles apparaissent.
• Suivre l'évolution des mesures correctives au fil du temps

Développez progressivement :

• Ajoutez de nouvelles surfaces d'attaque au fur et à mesure que vous gagnez en maturité
• Intégrer des sources de données supplémentaires (renseignements sur les menaces, outils de sécurité)
• Affinez l'ordre des priorités en fonction des enseignements tirés de l'expérience

Mesurez et améliorez :

• Suivez l'évolution de la réduction des brèches dans le temps
• Surveillez la rapidité des mesures correctives
• Aligner les investissements de sécurité sur l'impact commercial

L'approche CTEM de Bureau Veritas

Notre offre intégrée soutient les programmes CTEM par le biais de :

• Une découverte continue : La gestion de la surface d'attaque analyse votre environnement, identifiant les nouveaux actifs et les expositions au fur et à mesure de leur apparition.
• Une hiérarchisation intelligente : Les expositions sont classées en fonction de leur exploitabilité et de leur impact sur l'activité, ce qui permet à votre équipe de se concentrer sur l'essentiel.
• Validation régulière : Pour les clients abonnés, nous effectuons des analyses CTEM mensuelles au cours desquelles nos ingénieurs examinent les vulnérabilités critiques et fournissent des plans de remédiation.
• Surveillance continue en option: Les Actifs peuvent acheter des analyses plus fréquentes (quotidiennes, hebdomadaires, bimensuelles) en fonction du volume de leurs actifs et de leur profil de risque.
• Conseils d'experts : Notre équipe de tests de pénétration valide les expositions critiques et fournit des recommandations de remédiation exploitables.
• Flux de travail intégrés : Les résultats s'intègrent directement dans vos outils et processus existants, ce qui permet une remédiation rapide et une collaboration entre les équipes.

Le passage du statique au continu

La différence entre les tests de sécurité traditionnels et le CTEM est profonde :

• Lestests traditionnelsposent la question suivante : "Les tests traditionnels posent la question suivante : "Sommes-nous en sécurité à l'heure actuelle ?
• Le CTEMpose la question suivante : "Comment réduire continuellement notre exposition au fil du temps ?

Les tests traditionnels sont un point de contrôle. Le CTEM est un voyage. Les organisations qui mettent en œuvre des programmes CTEM ne se contentent pas de trouver d'autres vulnérabilités, elles réduisent leur risque réel de violation en s'attaquant systématiquement aux expositions les plus importantes, de manière continue et avec la responsabilité de l'ensemble des équipes.

Le bilan

Les tests de pénétration restent un élément essentiel de votre programme de security testing. Mais les tests d'intrusion seuls ont une limite inhérente :ils sont généralement périodiques et non continus.

Le CTEM s'appuie sur vos investissements existants en matière de sécurité, y compris les tests de pénétration, pour créer un programme complet et continu qui :

• Découvre en permanence denouveaux actifs et expositions au fur et à mesure qu'ils apparaissent.
• Établit intelligemment des prioritésen fonction de l'impact sur l'entreprise et de l'exploitabilité.
• Valide régulièrementque les risques critiques sont réellement exploitables.
• mobilise les équipes devotre organisation pour remédier systématiquement à la situation
• Mesure les progrès réalisésau fil du temps, ce qui permet de réduire de façon mesurable le nombre de brèches.

Le CTEM ne remplace pas les tests de pénétration. C'est le cadre qui rend les tests de pénétration, et tous vos autres investissements en matière de sécurité, beaucoup plus efficaces.

Prêt à mettre en place un programme de gestion continue de l'exposition aux menaces ?Voyons ensemble comment Bureau Veritas peut vous aider à mettre en place des Processus CTEM qui conduisent à une réduction mesurable des risques tout en complétant vos tests de sécurité et vos outils existants.