La surface d’attaque des organisations ne cesse de s’étendre, en particulier avec l’essor du cloud computing. La réduction de la surface d’attaque devient donc l’une des préoccupations majeures en matière de sécurité informatique. La surveillance des actifs, l’identification et la correction des vulnérabilités ou encore la détection des fuites de données font pleinement partie de cette stratégie. Différents concepts, outils et technologies permettent aux organisations de maintenir leur posture de sécurité, mais encore faut-il parvenir à différencier les différentes approches.
CAASM, EASM et DRPS constituent trois grandes approches en matière de gestion de la surface d’attaque et des risques numériques. Voyons les spécificités de chacune de ces approches, leurs points communs et leurs principales différences.
Qu’est-ce que le CAASM ?
CAASM : définition
Le CAASM (ou Cyber Asset Attack Surface Management) correspond à la « gestion de la surface d’attaque des actifs numériques ». La « surface d’attaque » désigne tous les points d’entrée par lesquels un attaquant pourrait tenter d’accéder à un système ou à des données et toutes les vulnérabilités qui pourraient être exploitées (vulnérabilités non corrigées sur des logiciels et matériels, défauts de configuration, etc.).
Le CAASM est une approche assez large, prenant à la fois en compte les actifs internes et externes, incluant les terminaux, serveurs, bases de données, applications, etc.
Rôle et fonctionnalités du CAASM
Les solutions CAASM permettent de cartographier les actifs afin d’obtenir une vue unifiée de la surface d’attaque (types d’actifs, emplacements, interconnexions entre les différents actifs, etc.). La corrélation avec d’autres informations (scanner de vulnérabilités, inventaire réseau, SIEM, EDR, CMDB, etc.) permet d’évaluer le niveau de criticité et les risques associés aux actifs.
Une fois ce travail réalisé, les organisations peuvent ensuite mettre en œuvre des mesures de sécurité destinées à réduire les risques. Parce qu’il s’attaque à la fois aux vulnérabilités internes et externes, le CAASM renforce la posture de sécurité des organisations.
L’importance du CAASM dans la sécurisation des environnements cloud
Le recours massif au cloud computing a pour effet non seulement d’étendre la surface d’attaque des organisations, mais aussi d’en complexifier la visibilité et la maîtrise. Les utilisateurs ont désormais besoin d’accéder de partout et depuis n’importe quel terminal aux ressources, aux applications et aux données, souvent via des portails en ligne.
La découverte et la sécurisation des actifs numériques – en particulier via des solutions CAASM – prennent dans ce contexte une importance stratégique. La configuration des ressources cloud, la gestion des identités et des accès ou encore la sécurisation des API sont autant de points essentiels à traiter pour sécuriser des environnements cloud.
Qu’est-ce que l’EASM ?
EASM : définition
L’EASM (pour « External Attack Surface Management ») correspond à la « gestion de la surface d’attaque externe » et se concentre sur les points d’entrée accessibles via Internet : sites web, applications web, API, VPN, services cloud, etc.
La gestion de la surface d’attaque externe comprend la détection des actifs exposés sur Internet, l’identification et la hiérarchisation des risques associés à chaque actif, puis la priorisation et la correction des vulnérabilités identifiées (exemples : ports ouverts, services mal configurés, failles logicielles connues et non corrigées, mots de passe par défaut, API non sécurisées, etc.). L’objectif final est bien de réduire la surface d’attaque globale.
Caractéristiques de l’EASM
S’il existe des outils et logiciels dédiés à l’EASM, il est aussi important de rappeler qu’il s’agit avant tout d’une stratégie globale de sécurité qui amène une meilleure visibilité sur la surface d’attaque et une rationalisation des opérations de sécurité. L’analyse continue et la gestion proactive des vulnérabilités sont ses principales forces.
Quelles sont les différences de l’EASM vis-à-vis d’autres solutions de sécurité ?
À quoi correspondent les services de protection contre les risques numériques (DRPS) ?
DRPS : définition et objectifs
DRPS correspond à « Digital Risk Protection Service » ou « service de protection contre les risques numériques ». Ces solutions visent à protéger les organisations, les marques et les réputations contre d’éventuelles usurpations d’identité (sites de phishing, par exemple) et fuites d’informations sensibles. Les services de protection des risques numériques n’ont pas pour objectif la recherche de vulnérabilités et la réduction de la surface d’attaque. Ils se concentrent sur l’empreinte numérique, la présence en ligne et la surveillance des menaces.
Ces services reposent généralement sur des outils automatisés permettant de détecter et d’atténuer de manière proactive divers risques numériques. Ils identifient les risques numériques sur les différentes parties du web (clearweb, deepweb, darkweb), les réseaux sociaux et les différents canaux numériques.
Quels sont les liens entre DRPS et conformité aux réglementations ?
Les services de protection contre les risques numériques aident les organisations à mieux aborder la question de leur conformité. Ces solutions permettent par exemple de mieux analyser, évaluer et répondre aux risques numériques pouvant entraîner des violations des réglementations (RGPD ou réglementations sectorielles, notamment).
Comparaison entre les approches CAASM, EASM et DRPS
Un même objectif, des approches différentes
Ces trois approches représentent trois domaines différents dans la gestion de la surface d’attaque (Attack Surface Management), mais poursuivent le même objectif : identifier précisément les lacunes en matière de sécurité informatique d’une organisation afin de hiérarchiser ces lacunes et d’y remédier. Elles sont donc toutes les trois tournées vers l’amélioration de la sécurité informatique.
Si ces trois types d’approches portent sur la gestion de la surface d’attaque, elles ne travaillent pas sur le même périmètre.
• L’EASM se concentre sur les risques de sécurité liés aux actifs externes.
• Le CAASM, lui, porte à la fois sur les actifs externes et internes, et permet donc aux organisations de visualiser leur surface d’attaque de manière plus complète.
• Quant aux solutions de type DRPS, elles ne portent pas sur la gestion des actifs propres à chaque organisation, mais vont bien au-delà de ce périmètre. Elles surveillent l’exposition des informations sensibles d’une organisation sur les différentes couches du web et sur l’ensemble des canaux numériques (surveillance de l’empreinte numérique et notamment des risques liés aux fuites de données).
CAASM, EASM, DRPS : les défis de chaque approche
Ces trois approches ont toutes un intérêt en matière de sécurité informatique (à condition de les combiner avec les mesures de sécurité élémentaires), mais elles sont encore relativement peu connues. Pour être pleinement utiles, les solutions CAASM doivent être utilisées en lien avec des outils de détection et de réponse, de gestion des vulnérabilités, etc. Se concentrant à la fois sur les actifs internes et externes, elles offrent une vue plus holistique que les outils EASM de la posture de sécurité d’une organisation.
Les services de protection contre les risques numériques portent sur la surveillance de la présence en ligne, de la réputation et de l’exposition des données sensibles. Autant d’éléments que ne traitent pas les solutions CAASM et EASM.
CAASM, EASM, DRPS : comment choisir la bonne approche ?
Le choix de l’une ou l’autre approche dépend des besoins propres à chaque organisation et des risques auxquels elle est exposée. Les organisations qui présentent une surface d’attaque externe particulièrement importante ont tout intérêt à se tourner vers l’EASM, alors que celles qui hébergent des actifs internes critiques peuvent choisir le CAASM. Des éléments tels que la nature des actifs, leur exposition ou non sur Internet et leur niveau de criticité doivent être utilisés comme critères de choix.
Quant aux solutions de type DRPS, il est aujourd’hui difficile d’identifier quel type d’organisation pourrait faire l’économie d’une surveillance de son empreinte numérique. Toutes les organisations ont intérêt à regarder au-delà de leur périmètre pour identifier les menaces qui les concernent au sein des différents canaux numériques.
Quelles sont les synergies possibles entre ces trois approches ?
En combinant ces différentes approches et solutions, les équipes de sécurité peuvent élaborer une compréhension globale de leurs risques de sécurité et prendre les mesures les plus adaptées pour réduire ces cyber risques. Il est de plus en plus question de « gestion de l’exposition » (Exposure Management) pour qualifier cette démarche qui consiste à identifier en continu et hiérarchiser les cybermenaces afin de les traiter efficacement.
Les différences entre CAASM, EASM et DRPS : les éléments à retenir
· CAASM, EASM et DRPS sont trois types d’approches et de solutions relatives à la gestion de la surface d’attaque et à la gestion de l’exposition.
· Elles portent toutes les trois sur l’évaluation et l’atténuation des risques cyber, mais leur manière d’y parvenir et leur champ d’application diffèrent : actifs externes et internes pour le CAASM, actifs externes pour l’EASM, surveillance des canaux numériques pour les services de protection contre les risques numériques (DRPS).
· L’intégration combinée de ces différentes approches au sein d’une stratégie globale de sécurité informatique permet aux organisations de protéger à la fois leurs actifs, leurs données et leur réputation.
OverSOC peut vous aider à mieux protéger votre surface d’attaque. Contactez-nous.