Blog

CTEM – La gestion continue de l’exposition aux menaces désormais essentielle

September 16th, 2024  by Bruno van Marsenille

Le Continuous Thread Exposure Management (CTEM) est une approche pragmatique et systémique qui permet aux organisations d’évaluer en permanence l’accessibilité, l’exposition et l’exploitabilité de leurs actifs numériques et physiques. Contrairement aux approches traditionnelles qui se concentrent sur des composants spécifiques de l’infrastructure, le CTEM adapte les évaluations et les mesures correctives en fonction des menaces et des objectifs du métier.

All articles

La gestion continue de l’exposition aux menaces (CTEM) est une approche proactive et systématique de la cybersécurité qui met l’accent sur la surveillance, l’identification, l’évaluation et la gestion continues des cybermenaces et des vulnérabilités . La solution se concentre donc sur la compréhension et la réduction de l’exposition d’une organisation aux cybermenaces en analysant constamment le paysage des menaces et en donnant la priorité à la correction des vulnérabilités identifiées.

Dès lors, la CTEM ne remplace pas la CTI (cyber thread intelligence ou renseignement sur les cybermenaces), ni l’EASM (external attack surface management ou gestion des surfaces d’attaque externes) ou encore la DRP (digital risk protection ou protection contre les risques numériques). En fait, elle intègre et améliore ces disciplines dans le but de fournir un aperçu continu et complet du paysage des menaces d’une organisation pour permettre une gestion proactive des risques. En d’autres termes, la CTEM joue un rôle essentiel dans l’identification des vulnérabilités, l’évaluation de leur impact potentiel et la priorisation des efforts de remédiation afin de minimiser la probabilité et l’impact d’une cyberattaque.

Étapes

Selon le cabinet Gartner, la mise en place d’un programme de CTEM nécessiterait une approche en cinq étapes.

  1. Évaluation du périmètre d’exposition aux attaques (actifs et points d’entrée vulnérables) en fonction des indicateurs clés de performance (KPI) et des bénéfices business afin de mettre en place et de s’accorder sur un plan d’action. En l’occurrence, deux domaines d’action doivent être considérés : la surface d’attaque externe (qui combine un périmètre relativement étroit à un écosystème d’outils évolutif), et la posture de sécurité SaaS.
  2. Développement d’un processus de découverte des actifs et leurs profils de risque. Le but est d’identifier les actifs visibles et invisibles, les vulnérabilités, les configurations erronées et tout autre risque. Gartner précise que faire la confusion entre évaluation du périmètre et découverte est souvent une première erreur dans un processus CTEM dans la mesure où il importe surtout de définir avec précision le périmètre sur la base des risques métier et de l’impact potentiel.
  3. Priorisation des menaces les plus susceptibles d’être exploitées en prenant en compte les facteurs suivants : urgence, sécurité, disponibilité de contrôles de compensation, tolérance vis-à-vis de la surface d’attaque résiduelle et niveau de risque posé à l’organisation.
  4. Validation du mode de fonctionnement potentiel des attaques et de réaction éventuelle des systèmes. Il s’agira de confirmer que des assaillants pourraient effectivement exploiter une vulnérabilité, d’analyser tous les chemins d’attaque potentiels et identifier si le plan de réponse mis en place est suffisamment rapide et efficace pour protéger le business. Autre point important : convaincre le métier de s’accorder sur les déclencheurs qui entraînent une remédiation.
  5. Mobilisation des équipes et des processus. Plutôt que de faire confiance à une remédiation automatisée, il conviendra de communiquer le plan à l’équipe de sécurité et aux parties prenantes du métier afin de boucler la boucle (et éventuellement d’en revenir à la première étape du plan).

Bénéfices

Contrôler, découvrir et corriger des cyberattaques présente évidemment de bénéfices tangibles pour l’organisation. Ainsi, l’impact d’une attaque peut être sensiblement réduite quand bien même un assaillant aurait réussi à pénétrer votre infrastructure. De même, l’entreprise dispose désormais d’une surface d’attaque moins poreuse et se protège pour acquérir une position de force et de résilience.

Bien sûr, les coûts et les temps de réponse consécutifs à une attaque sont désormais réduits, que ce soit au niveau du versement d’une éventuelle rançon en cas d’attaque par rançongiciel, perte de clients à la suite d’une atteinte à la réputation, mise en service des sauvegardes, etc. En outre, la priorisation des efforts de remédiation permet une amélioration de l’affectation des ressources qui seront concentrées sur les vulnérabilités les plus critiques. Enfin, la surveillance et la gestion continues des cybermenaces contribuent à maintenir, voire garantir, la conformité aux normes réglementaires.

Afin d'aider le département informatique interne dans le déploiement de ses plateformes IT, Aprico s'appuie sur des méthodologies éprouvées, de même que des outils et référentiels technologiques. De même, nos spécialistes s'efforceront de faciliter le dialogue entre le département IT et les entités métier afin de mettre en place les solutions les mieux adaptées aux besoins du métier.

Careers opportunities

We’re always looking for talented people.
Are you one of those?