TENABLE Surface d’attaque : mieux se connaître pour mieux se protéger

Trop d’entreprises ne maîtrisent pas le périmètre exact de leurs actifs numériques à protéger. En les appréhendant de l’extérieur, comme un pirate informatique, les solutions de gestion de surface d’attaque externe permettent d’y remédier. Une démarche qui doit être dynamique pour rester efficace. Analyse avec Bernard Montel, Security Strategist chez Tenable.

« On ne peut protéger que ce que l’on connaît », pointait justement Bernard Montel, directeur technique de la zone Moyen-Orient, Europe et Afrique et Security Strategist chez Tenable, lors d’un webinaire organisé fin octobre par inCyber sur le thème de la surface d’attaque externe.Simple bon sens ? Assurément. Et pourtant, de la théorie à la pratique, il y a souvent un gouffre.

Recenser l’ensemble de ses actifs, la moindre application Web, le service cloud utilisé occasionnellement par un consultant détaché au sein de l’entreprise, l’IoT obsolète, mais que personne n’a pensé à désactiver peut relever du cauchemar… Ou d’une gestion continue de surface d’attaque externe bien menée. Un concept auquel Gartner consacrait en juillet 2022 une note le définissant comme une stratégie visant à « obtenir un plan cohérent et réalisable de remédiation et d’amélioration de la posture de sécurité que les dirigeants d’entreprise peuvent comprendre et sur lequel les équipes d’architecture peuvent agir ».

Un processus dynamique, tant il est vrai que la surface d’attaque externe –l’ensemble des actifs informatiques connectés, accessibles de l’extérieur de l’entreprise– évolue constamment. « Ce sont des assets qui vivent. Cette surface d’attaque et cet inventaire d’assets connectés sur Internet, ce n’est pas juste un screenshot à un instant T, il peut y avoir des évolutions permanentes. […] Quand on utilise des services de cloud, des services tiers, eux-mêmes utilisent notre marque et sont liés à toute une série d’assets dont on n’a pas forcément connaissance », détaillait Bernard Montel.

Des actifs en croissance constante

Les moteurs de recherche spécialisés Onyphe et Shodan, qui scannent les adresses IP du monde entier à la recherche de services exposés, ne suffisent pas à acquérir un tableau complet, précise Gartner. Les services cloud, mais aussi les conteneurs ou les machines virtuelles, sont notamment à prendre en compte.

En effet, si les responsables de la sécurité informatique pensent traditionnellement à protéger réseaux et serveurs, la multiplication des services en ligne rend leur tâche de plus en plus complexe. La généralisation du télétravail a, de plus, étendu la surface d’attaque à de nouvelles cibles. En 2021, « le VPN a été la première solution d’accès à distance, il a donc été la première cible des cyberattaques. Cela est moins vrai en 2022, où l’on constate plus d’attaques sur les outils utilisés en télétravail : 95 % des applications passent par le navigateur, ce qui en fait une cible privilégiée », détaillait Bernard Montel, lors d’un entretien donné à inCyber où il présentait la rétrospective du paysage des menaces 2021 publiée par sa société.

Vulnérabilités oubliées

Dans ses Top tendance sur la cybersécurité 2022, Gartner étudie l’expansion de la surface d’attaque externe. Le télétravail, les plateformes cloud ou les services en ligne, notamment les SaaS, y figurent en bonne place. Il mentionne aussi les interactions toujours plus nombreuses sur les réseaux sociaux, pain béni pour les opérations de phishing.

Enfin, Gartner s’inquiète de la croissance du nombre d’applications de relation entre l’entreprise et ses utilisateurs externes, clients ou prestataires, qui multiplie les cibles potentielles. De plus, pour faire face à ces nouveaux besoins, développés à un rythme effréné, les équipes DevOps font de plus en plus appel à des bibliothèques tierces et autres applicatifs clés en main. Ceci explique en bonne partie le nombre croissant de problèmes de configuration et de failles logicielles.

Nombre de cyberdélinquants profitent en effet de vulnérabilités héritées, parfois oubliées au fond d’un applicatif développé avant qu’elles ne soient identifiées… Ou inconnu du RSSI. Bien que très médiatisés, SolarWind, Log4J ou Log4Shell –pour ne citer qu’elles– sont encore utilisés avec succès par les cybercriminels plusieurs années après leur découverte. « Il y a quelques années, la société Equifax avait repéré une vulnérabilité Apache et l’avait patchée sur ses assets, sauf évidemment ceux qu’ils ne connaissaient pas. Bien sûr, ils ont été attaqués via l’un de ces derniers », rappelait Bernard Montel.

Les entreprises auraient « 62 % de visibilité sur leur surface d’attaque totale »

Autant dire qu’il y a de nombreux « trous dans la raquette » de la plupart organisations. « 62% des entreprises admettent n’avoir qu’environ 62 % de visibilité sur leur surface d’attaque totale », peut-on lire dans une étude menée par Sapio Research pour Trend Micro en avril 2022. Autre indice : Bernard Montel a demandé aux participants du webinaire d’évaluer la visibilité qu’ils avaient sur leurs assets. Si la moitié d’entre eux estimaient avoir une visibilité « très élevée », l’autre moitié avouaient que celle-ci était « faible ».

Comment dès lors remédier à cette situation ? Cartographier ses actifs Internet et surtout tenir à jour son inventaire d’actifs numériques est un préalable indispensable. Plutôt que l’approche traditionnelle qui consiste à définir un périmètre à protéger, c’est-à-dire de partir de l’intérieur vers l’extérieur, explique Gartner, il faut penser sa surface d’attaque dans l’autre sens, telle que la voit un pirate informatique.

C’est là que des outils d’EASM (External Attack Surface Management) et de CAASM (Cyber Asset Attack Surface Management, plus détaillés) prennent toute leur pertinence, à l’exemple de celle de Tenable présentée par Bernard Montel. Apparue au portefeuille de sa société grâce au rachat de Bit Discovery début 2022, elle permet non seulement de « découvrir ce que l’on possède, mais aussi de comprendre ce que l’on possède, avant de scanner ses assets à la recherche de vulnérabilités », précise le Security Strategist.

Prévenir plutôt que guérir

Un inventaire complet : de la géolocalisation des actifs numériques au détail de leurs technologies sous-jacentes en passant par les certificats expirés, il comprend de nombreux éléments de contexte. Il permet ainsi de prendre des mesures de cyberdéfense et de mise en conformité avec les règlements locaux, comme le RGPD pour les actifs situés sur le territoire de l’UE, par exemple. Le tout avec une mise à jour en temps réel.

Connaître sa surface d’attaque, c’est privilégier la prévention à la répression, fermer les portes entrebâillées plutôt que d’essayer d’empêcher un malandrin de les emprunter. Une démarche que Tenable n’est pas le seul à avoir adoptée, le marché est même en pleine expansion. Chacune avec ses spécificités, ses forces et ses faiblesses, les solutions proposées par Rapid7, Patrowl, Uncovery, SecurityTrails (racheté par Recorded Future début 2022) et bien d’autres se positionnent sur le secteur de la gestion de surface d’attaque externe.

Quel que soit le prestataire choisi, l’important pour l’entreprise est en définitive d’adopter « une approche holistique de la sécurité », plaidait Bernard Montel lors de l’entretien accordé à inCyber. En clair, « avoir sous un seul radar l’ensemble de la surface d’attaque de l’entreprise, que ce soient des systèmes OT, de l’identité, de l’IT ou des applications dans le cloud ». Et une solution de gestion de surface d’attaque externe permet assurément de sortir d’une vision en silo de la cybersécurité.