Comprendre la gestion continue de l’exposition aux menaces (CTEM) - Un cadre pour une sécurité proactive

En 2022, face à la multiplication des violations ciblant des vulnérabilités connues, Gartner a introduit le concept de gestion continue de l’exposition aux menaces (« Continuous Threat Exposure Management » ou CTEM) (source : Gartner, Implement a Continuous Threat Exposure Management (CTEM) Program, octobre 2023).Les cinq étapes de la CTEM peuvent aider les organisations à adopter une approche structurée et itérative pour réduire leurs expositions et améliorer leur posture de sécurité. 

Depuis lors, les responsables de la sécurité du monde entier ont lancé des projets visant à adopter la CTEM. Ces entreprises passent résolument d’un programme de gestion des vulnérabilités à un programme de gestion de l’exposition. En conséquence, l’accent n’est plus simplement mis sur l’identification des vulnérabilités et expositions communes (« Common Vulnerabilities and Exposures » ou CVE), mais sur une compréhension plus large des risques commerciaux, privilégiant une approche plus globale de la gestion des vulnérabilités.

Parallèlement à ce blog, nous vous encourageons à rejoindre notre prochain événement de lancement de la solution CTEM, et à télécharger et partager notre e-book sur la CTEM pour aider votre entreprise à améliorer sa posture de risque.

Pourquoi les programmes de gestion des vulnérabilités échouent-ils ?

Les programmes traditionnels de gestion des vulnérabilités ne parviennent pas à répondre de manière adéquate au paysage dynamique et complexe des menaces actuelles. La plupart d’entre eux n’intègrent pas d’exigences commerciales spécifiques ni ne prévoient de contrôles d’atténuation. La hiérarchisation des risques manque également d’efficacité, faute de calculs de risques transparents ou personnalisables.

Plusieurs facteurs contribuent à l’inadéquation des approches traditionnelles, notamment :

1. Prolifération des technologies : les solutions SaaS, les services tiers et diverses infrastructures cloud ont allongé la liste des correctifs recommandés, compliquant d’autant les efforts de gestion des vulnérabilités.

2. Étroitesse des définitions : élargir la définition des vulnérabilités pour inclure les erreurs de configuration et les défauts de code est essentiel pour une approche plus complète.

3. Ensembles d’outils cloisonnés : les entreprises s’appuient sur des données relatives aux ressources, aux utilisateurs, aux comportements et à divers systèmes pour comprendre les risques, mais ces ensembles de données se trouvent dans des outils disparates et déconnectés les uns des autres.

Fondements de la CTEM

La CTEM fournit une approche qui permet de faire évoluer les programmes de gestion des vulnérabilités. Selon Gartner, « d’ici 2026, les entreprises qui définissent la priorité de leurs investissements en sécurité sur la base d’un programme de CTEM seront trois fois moins exposés à des risques de violation. » (Gartner, Ibid)

Processus CTEM

La CTEM est un processus cyclique comprenant cinq étapes : définition du champ d’application, découverte, hiérarchisation, validation et mobilisation. Ce cycle reproductible s’adapte à l’évolution de l’environnement de l’entreprise ou du paysage des menaces et aboutit à des conclusions exploitables qui permettent aux équipes chargées de la sécurité et de l’infrastructure d’atténuer les risques de manière efficace.

1. La définition du champ d’application implique la prise d’une décision stratégique concernant les ressources qui seront couvertes par le programme de CTEM. Dans les grandes entreprises, la surface d’attaque est souvent beaucoup plus grande que ce que les programmes traditionnels de gestion des vulnérabilités couvrent. Le choix des éléments à inclure dans le champ d’application exige un examen attentif des incidences commerciales potentielles, notamment les dommages financiers, les efforts de correction, la perte de confiance des consommateurs et les préjudices subis par les partenaires commerciaux.

2. La découverte va au-delà des CVE pour inclure les erreurs de configuration des ressources et des contrôles de sécurité, et d’autres faiblesses, telles que les ressources contrefaites. Le comportement des utilisateurs est un autre exemple : il est essentiel de comprendre quelles personnes sont vulnérables aux attaques de phishing. Une évaluation précise basée sur le risque commercial et l’impact potentiel est plus utile que la simple découverte de nouveaux actifs et vulnérabilités.

3. La hiérarchisation est l’aspect le plus critique d’un programme de CTEM efficace, puisqu’il s’agit de comprendre quelles vulnérabilités présentent le plus grand risque pour l’entreprise. Le système CVSS (Common Vulnerability Scoring System) a été une première tentative de classement des vulnérabilités en fonction du risque, mais il a ses limites. Une hiérarchisation efficace exige de synthétiser des données provenant de diverses sources et de prendre en compte les facteurs de risque et les contrôles d’atténuation propres à l’entreprise.

4. La validation consiste à simuler ou à émuler des techniques d’attaque pour comprendre comment les hackers pourraient exploiter les vulnérabilités exposées. Cette étape évalue la probabilité de réussite d’une attaque réelle, estime les dommages potentiels et évalue l’efficacité des processus de réponse et de correction en place.

5. La mobilisation consiste à réagir aux conclusions des étapes précédentes, en privilégiant les mesures correctives et la création de rapports. L’automatisation peut accroître l’efficacité, mais une intervention humaine est souvent nécessaire pour une correction efficace. Il est essentiel de réduire les frictions dans les processus d’atténuation des risques en combinant la communication humaine et les outils.

Notre e-book sur la CTEM comprend plus de détails concernant les défis et les pièges de chacune de ces cinq étapes. 

Élaborer un programme de CTEM efficace avec Zscaler

Une évaluation complète de votre paysage de risques est réalisable si elle s’appuie sur des dizaines de sources de données corrélées, mais il n’existe pas suffisamment de feuilles de calcul dans le monde pour permettre une analyse humaine à cette échelle.

Pour relever ce défi, Zscaler a été le premier fournisseur à appliquer une structure de données (ou « data fabric ») pour assurer une CTEM performante. Le composant Zscaler Data Fabric for Security permet aux entreprises d’agréger et de corréler les résultats de plus de 150 outils de sécurité et systèmes d’entreprise afin de mieux comprendre et gérer les risques. Le composant Data Fabric harmonise, déduplique, corrèle et enrichit des millions de points de données couvrant les résultats de sécurité et le contexte de l’entreprise, et est utilisé dans de nombreuses solutions Zscaler.

La solution de gestion de l’exposition des ressources, Asset Exposure Management, lancée le mois prochain, et la solution de gestion unifiée des vulnérabilités, Unified Vulnerability Management ou UVM, évaluent et hiérarchisent les risques liés aux ressources et à l’exposition.

Avec notre nouvelle solution de gestion de l’exposition des ressources, Asset Exposure Management, vous pouvez :

• Créer un inventaire complet et précis des ressources : facilitez la résolution des ressources à travers des douzaines de systèmes sources pour créer un inventaire global et précis.
• Identifier et combler les lacunes de couverture : corrélez les détails des ressources pour identifier les erreurs de configuration et les contrôles manquants afin de garantir la conformité.
• Atténuer les risques  : activez des politiques d’atténuation des risques, assignez et suivez les flux de travail, et mettez automatiquement à jour votre CMDB. 

Avec notre solution de gestion unifiée des vulnérabilités, Unified Vulnerability Management, vous pouvez :

• Hiérarchiser les expositions : identifiez les expositions les plus risquées pour votre entreprise dans le contexte de votre environnement unique, notamment les contrôles d’atténuation en place et les renseignements sur les menaces actuelles. 
• Créer des rapports dynamiques et personnalisés : des tableaux de bord et des rapports dynamiques permettent d’évaluer la posture de risque. Vous pouvez en outre créer rapidement les vôtres à l’aide d’un assistant intuitif basé sur des widgets, afin d’illustrer n’importe quel point de données. Les rapports sont toujours fidèles dans la mesure où les données sont toujours à jour.
• Automatiser les flux de travail : rationalisez la correction grâce à l’attribution et au suivi automatisés des demandes d’assistance, personnalisables en fonction des méthodes de travail de vos équipes. Regroupez les éléments de travail selon une logique de regroupement facilement ajustable, et fermez et rouvrez automatiquement les demandes d’assistance si nécessaire pour conserver une vue précise de l’état de la correction.

 Améliorer la CTEM avec Zero Trust Exchange

Pour les clients de Zscaler, les solutions de CTEM étendent les capacités en s’appuyant sur les renseignements de Zscaler Zero Trust Exchange, le plus grand cloud de sécurité inline optimisé par l’IA au monde. Cette intégration améliore la hiérarchisation des risques et éclaire les recommandations de politique, créant ainsi une boucle de rétroaction intelligente qui permet aux entreprises de réduire continuellement les risques.

Conclusion

La CTEM constitue une avancée considérable dans le domaine de la gestion des vulnérabilités, concentrant les efforts non plus sur des vulnérabilités isolées, mais sur une gestion globale des risques. En capitalisant sur les solutions de CTEM de Zscaler et sur le Zero Trust Exchange, les entreprises peuvent élaborer un programme de CTEM robuste qui s’adapte à l’évolution des menaces et aux changements commerciaux pour, à terme, sécuriser l’avenir de leur activité.

Pour en savoir plus sur notre solution de gestion de l’exposition des ressources, Asset Exposure Management, assistez à notre événement de lancement virtuel. Vous pouvez voir notre solution de gestion unifiée des vulnérabilités (Unified Vulnerability Management ou UVM) en action dans notre vidéo Lightboard ou dans le cadre d’une démonstration personnalisée. Pour une compréhension plus détaillée de la CTEM et de la manière dont Zscaler peut vous aider, consultez notre e-book sur la CTEM.