Blog of cyber
Face aux risques cyber grandissants, les RSSI cherchent à améliorer la détection des menaces qui pèsent sur leur système d’information. L’analyse de la surface d’attaque externe (EASM) et la mise en place de pentests permettent de détecter les failles, de tester la vulnérabilité et de mesurer leurs impacts et leurs gravités. La finalité est d’engager les équipes vers une meilleure maîtrise des applicatifs utilisés.
Pentest et EASM sont souvent deux approches complémentaires même si chacune dispose de son champ d’application.
Le premier fournit une photo instantanée et très approfondie des risques sur un périmètre défini, à un moment donné. Le second agit comme un monitoring continu pour identifier les actifs exposés sur Internet.
Pour obtenir une vision précise des risques cyber, la mise en œuvre de tests d’intrusion s’avère insuffisante sans une démarche EASM et réciproquement.
Un pentest (test d’intrusion) consiste à simuler une attaque réelle sur le système d’information d’une organisation. Son objectif est d’identifier et d’exploiter des failles et de mesurer l’impact d’une attaque sur l’ensemble de la chaîne de production.
Il existe différents types de tests de pénétration :
Par définition, un test d’intrusion se cantonne à un périmètre déterminé et une temporalité définie.
Un pentest se déroule en plusieurs étapes.
Les tests d’intrusion sont utiles dans 3 cas principaux.
En résumé, le test de pénétration est un outil ponctuel et ciblé, utile pour démontrer le niveau de sécurité à l’instant T . Très efficace, son champ d’application est cependant limité. Face à l’évolution permanente de la surface d’attaque externe, le pentest s’avère nécessaire mais insuffisant. En effet, il permet de déterminer le niveau de sécurité mais doit s’inscrire dans une stratégie cyber plus globale. Un actif exposé mais inconnu du RSSI ne pourra jamais être testé, d’où l’intérêt de compléter l’outillage avec de l’EASM.
Enfin, le test d’intrusion met en exergue une réalité à un instant T qui ne sera peut-être plus valable dans une semaine en cas de changements ou d’intrusions externes.
L’*External Attack Surface Management (EASM) *consiste à identifier, évaluer et prioriser les corrections des failles liées aux actifs numériques exposés sur Internet. Concrètement, il s’agit de recenser les ressources web - domaines, sous-domaines, adresses IP, APIs, environnements Cloud, services tiers - et d’estimer leur niveau de risque cyber.
Il ne s’agit pas seulement d’un inventaire. Il juge aussi de la criticité de l’actif numérique selon sa vulnérabilité et de son impact sur l’activité. Cette approche permet de révéler des zones d’exposition souvent invisibles, comme le Shadow IT ou des services oubliés ou mal paramétrés.
La réalisation de pentests n’a de sens que sur un périmètre sur un lequel l’entreprise à un réel enjeu (site e-commerce, site d’une administration publique…) ou qu’un doute existe. Raison pour laquelle l’EASM est le point départ.
La détection des vulnérabilités de sa surface d’exposition cyber permet d’orienter les actions de remédiation. L’EASM fournit une vision continue et actualisée des actifs à risque. L’objectif est de prioriser les tests de pénétration selon le niveau de vulnérabilité de la ressource.
Le pentest tire son efficacité du périmètre qu’il couvre et de la profondeur de la recherche. Et parce que son coût peut s’avérer élevé, les tests d’intrusion doivent donc être exécutés en priorité sur les services web et applicatifs les plus à risque ou ceux avec les enjeux métiers les plus importants.
En d’autres termes, l’EASM structure la connaissance du risque alors que ****le pentest le mesure. Dans la pratique, l’EASM est la première étape pour analyser en continue l’exposition au menaces (CTEM) et orienter les priorités d’actions.
L’usage de tests de pénétration reste un outil efficace mais loin d’être suffisant pour maîtriser le risque cyber d’une organisation. Dans une démarche proactive, les solutions de notation de la performance cyber offrent une vision complète et continue des problèmes et zones de progrès.
Face aux limites du pentest, les solutions de notation de la performance cyber apportent une réponse pragmatique et continue. Elles analysent les données publiques et collectent les data depuis les infrastructures de cybersurveillance (ports ouverts, certificats expirés…). Elles produisent une note jugeant de la performance globale en matière de cybersécurité. Cette notation évolue au gré des risques découverts et des corrections effectuées. Elle peut aussi intégrer les risques cyber liés aux tiers (TPCRM).
Les solutions de notation cyber comme Security Rating® offre un monitoring en temps réel des risques cyber.
En moins de 20 minutes, une première évaluation est disponible. Contrairement au pentest, il n’y a aucun impact sur la production ni intrusion dans les systèmes.
Domaines, sous-domaines, messagerie, configuration TLS/SSL, DNS, exposition Cloud : la notation cyber couvre l’ensemble de la surface d’exposition externe, idéale dans une démarche EASM. Au-delà de la détection, ces solutions de notation cyber facilitent la construction d’un plan de remédiation clair. Les tableaux de bord remontent les failles par criticité et priorisent les actions de correction. Les rapports détaillés permettent de rendre compte aux équipes techniques mais aussi à la direction.
La notation cyber ne s’arrête pas à l’organisation principale ou à la maison-mère. Elle couvre les risques liés aux Business Unit, filiales et agences locales, ainsi que ceux liés aux fournisseurs et partenaires. Au global, les solutions de notation cyber renforcent la cartographie des risques cybersécurité dans le cadre du Third-Party Risk Management (TPRM).
Contrairement aux tests d’intrusion, l’analyse automatisée des actifs de l’organisation permet de suivre en continu les risques et de détecter efficacement les vulnérabilités, une mauvaise hygiène DNS/TLS, une absence de DMARC/SPF ou une vulnérabilité connue. Le monitoring en continue favorise la compréhension des sources de risques et encourage une culture proactive de cybersécurité.
Le coût d’un test d’intrusion varie fortement selon la taille du périmètre et la complexité des systèmes (entre 3 000 € et 15 000 €). À l’inverse, une solution de notation cyber repose sur une analyse automatisée et continue, beaucoup plus accessible financièrement (environ 2000 € / an).
La notation du risque cyber est une solution efficace pour améliorer la connaissance de surface d’attaque. Elle oriente les priorités et permet de concentrer les pentests sur les ressources à forte criticité.
Board of Cyber a conçu Security Rating®, une solution pensée pour évaluer, piloter et améliorer la performance cyber des organisations.
Basée sur une analyse automatisée et non intrusive des actifs exposés, Security Rating® permet de cartographier les vulnérabilités sans impacter la production. La solution s’appuie sur :
Chaque organisation reçoit une notation globale de 0 à 1000, ainsi qu’une évaluation allant de A à E sur six domaines clés.
Les tableaux de bord permettent de se comparer à son secteur d’activité et de communiquer des indicateurs clairs à la direction générale. Grâce aux rapports détaillés, les équipes techniques et opérationnelles peuvent définir un plan de remédiation clair et pertinent pour améliorer et renforcer la posture de cybersécurité de l’entreprise. Ces tableaux de bord favorisent la remontée d’informations à la direction générale et peuvent faciliter la validation d’engagements budgétaires.
En combinant notation continue et analyses contextuelles, Board of Cyber donne une première évaluation de la performance cyber des entreprises et administrations. Grâce à notre approche en continue, les RSSI peuvent également compléter l’analyse déjà réalisée via des pentests. Ainsi, ils perçoivent mieux leurs risques et peuvent s’inscrire dans une démarche de gestion stratégique de l’exposition aux menaces (CTEM).
