Encore un acronyme dans le domaine de la cybersécurité ? Oui, mais celui-là pourrait bien changer votre manière d’aborder la sécurité de votre SI.
Dans le contexte actuel de digitalisation accélérée des activités, les systèmes d’information s’étendent et se complexifient (très) rapidement. Pour les RSSI et les équipes SecOps, il devient de plus en plus difficile de garder une vue exhaustive et en temps réel des différents actifs numériques dont ils ont la responsabilité. C’est justement là que les technologies CAASM entrent en jeu.
Qu’est-ce que le CAASM ? Quels sont ses avantages et ses grands cas d’usage ? Voici les principaux éléments à connaître sur cette technologie émergente dans le domaine de la cybersécurité.
CAASM : définition
CAASM (à prononcer [kazœm]) est l’acronyme de « Cyber Asset Attack Surface Management » ou « Gestion de la surface d’attaque des actifs numériques » en français. L’approche CAASM englobe et dépasse la démarche de cartographie du SI.
Le CAASM est une discipline ou technologie émergente dans le domaine de la cybersécurité. Son objectif est de fournir aux équipes sécurité (Sec), aux équipes IT (Ops) et à leurs responsables (RSO, RSSI) une liste exhaustive et contextualisée des différents assets cyber qui composent le système d’information : quel est le nombre d’actifs, quels sont les actifs les plus critiques, quels sont les points d’entrée potentiels dans le SI, etc.
À quoi servent les solutions CAASM ?
Le CAASM permet d’avoir une vue complète sur sa surface d’attaque, de comprendre les connexions entre les différents actifs, de repérer les vulnérabilités et de déterminer l’impact potentiel d’une cyberattaque. L’enjeu ultime ? Mieux protéger et défendre son SI. Le recours à des outils CAASM participe à la politique de sécurité des organisations.
Les solutions CAASM aident les équipes IT à regagner la maîtrise sur leur SI, à mieux le connaître pour mieux le défendre. Voici les principaux bénéfices à utiliser des solutions CAASM :
- Répertorier de manière exhaustive les différents actifs numériques (internes, externes, dans le cloud) et leurs interconnexions.
- Identifier les actifs les plus critiques et essentiels au maintien de l’activité.
- Visualiser des données à jour et en temps réel, à travers une vue unique.
- Identifier les vulnérabilités et prioriser les gestes de remédiation à y apporter.
- Sécuriser les différents points d’entrée du SI.
- Améliorer la gouvernance des identités et des accès.
- Prendre conscience des scénarios d’attaque possibles dans le SI.
- Améliorer les phases de réponse à incident en gagnant en rapidité et en efficacité.
- Fluidifier la collaboration et la productivité des équipes IT et sécurité en offrant à tous le même niveau d’information.
Visualisation des actifs numériques et de la surface d’attaque
Les systèmes d’information actuels sont devenus complexes, avec de plus en plus de couches et de surcouches différentes, de ramifications et d’interconnexions entre les différents éléments. L’essor de la transformation digitale des organisations, le recours massif au cloud ou aux API y sont pour beaucoup.
Résultat : il est difficile d’avoir une vue exhaustive et à jour des différents actifs de son SI. En fonction de la taille et des activités de l’entreprise, les « actifs numériques » ou « assets cyber » peuvent se compter en centaines, voire en milliers : équipements physiques, serveurs, réseaux, applications, utilisateurs et administrateurs avec leurs différents niveaux de privilèges, etc.
Ces données sont souvent disséminées entre plusieurs outils (scanners de vulnérabilités, puits de logs, EDR, etc.), mais rarement corrélées, et encore moins restituées sous une forme lisible. Cette situation crée même un paradoxe : comment protéger correctement un SI sans avoir en tête les différents actifs qui le composent et les connexions entre ces mêmes actifs ? Loin d’être un simple inventaire, le CAASM répond au besoin des équipes sécurité de mieux visualiser leur SI et ses points d’entrée potentiels, pour mieux maîtriser et protéger leur surface d’attaque.
L’intérêt du CAASM en matière de gouvernance du SI : contextualisation et partage des données
Accéder aux données du SI reste aujourd’hui un gros défi pour les équipes sécurité. Chaque métier dispose de sa propre perception du SI, mais aucun d’entre eux ne peut se targuer de disposer d’une vision globale qui s’appuie sur des données contextualisées. C’est justement ce que permettent les technologies CAASM : donner aux analystes des éléments de contexte pour mieux saisir les connexions entre les différents assets cyber, afin de prioriser les actions de sécurisation à entreprendre.
Les technologies CAASM permettent de repenser la gouvernance du SI en améliorant le partage d’information entre les différents métiers concernés. Les données relatives aux actifs numériques sont rarement centralisées et encore moins partagées par l’ensemble des acteurs impliqués dans la sécurisation du SI, depuis les équipes opérationnelles jusqu’au RSO et au RSSI.
Les solutions CAASM permettent d’agréger, de cartographier et d’analyser l’ensemble des relations entre les actifs cyber. La gouvernance de la sécurité du SI s’en trouve renforcée. Finis les silos de données, place à gestion d'une seule surface d’attaque des actifs numériques.
Une protection renforcée grâce au CAASM
Après la question de la visibilité sur son SI vient ensuite celle de la gestion des vulnérabilités : quelles sont les différentes vulnérabilités qui pèsent sur le SI et quels sont leurs potentiels impacts, comment prioriser la remédiation des différentes vulnérabilités par les équipes opérationnelles, etc. Autant de questions qui trouvent leur réponse via le CAASM.
Si cette technologie est très utile en amont d’une potentielle crise, elle l’est encore plus lorsque la crise survient, pour organiser la phase de réponse à incident : suivre le trajet emprunté par l’attaquant, couper des flux de données ou isoler des machines pour éviter la propagation de l’attaque, appliquer rapidement des mesures palliatives, etc. Dans ce genre de cas, la technologie CAASM joue en quelque sorte le rôle de centre de commandement, permettant à la fois de gagner en temps et en efficacité.
Gestion de la conformité et gestion des identités numériques : deux grands cas d’usage
Grâce à l’automatisation de la collecte et de l’analyse de données, les outils CAASM facilitent la vérification de la posture de conformité, qui peut entrer dans le quotidien des équipes SecOps. L'audit de conformité est une vérification laborieuse qui peut freiner une équipe SecOps. En utilisant une solution CAASM cette conformité est vérifiée au fur et à mesure tout au long des implémentations, ce qui évite d’avoir un point d’engorgement dans les opérations SecOps lors de la période d’audit. Il devient plus facile de repérer et de corriger d’éventuels écarts par rapport aux référentiels en vigueur.
La gouvernance des identités et des accès numériques est un autre enjeu crucial auquel les solutions CAASM peuvent répondre. Quel utilisateur a accès à quelles ressources ? Toutes les autorisations actuelles sont-elles justifiées ? Les utilisateurs externes sont-ils correctement répertoriés ? S’est-on bien assuré que les utilisateurs « offboardés » n’ont plus d’accès au système d’information de l’entreprise ? L’inventaire continu des identités des utilisateurs et des droits dont ils disposent permet de détecter d’éventuels problèmes d’autorisations.
Vous souhaitez mettre en place une gestion proactive de vos actifs numériques grâce à un outil CAASM comme OverSOC ? Contactez-nous.