L’EASM, External Attack Surface Management est une méthode émergente de la cybersécurité qui consiste en l’identification et la gestion des risques présentés par les assets et les systèmes exposés sur internet. Le terme EASM désigne à la fois les processus et les technologies nécessaires pour découvrir ces assets et gérer efficacement leurs vulnérabilités.
Dans une entreprise, ces assets sont le plus souvent les composants d’infrastructure (VPN, routeur, Pare-feu, …) et les applications web.
Leur surveillance constante peut demander beaucoup de ressources, c’est cependant une nécessité pour maîtriser son système d’information. Les conséquences d’une surface d’attaque mal gérée sont en effet multiples, pouvant mener à la paralysie totale de l’entreprise et au vol de toutes ses données.
Pour mieux se rendre compte de la facilité déconcertante avec laquelle un attaquant peut trouver une cible, n’importe qui peut utiliser le service en ligne Shodan.io et trouver la localisation d’objets connectés.
Qu’est-ce que je risque lorsque mon EAS est mal gérée ?
Si vous ne disposez pas d’une liste constamment mise à jour de vos assets exposés sur internet, vous ne pouvez pas savoir à temps s’ils comportent des vulnérabilités. Plusieurs méthodes sont alors à la portée des cybercriminels pour exploiter ces failles.
• La redirection DNS : lors de la configuration de nouveaux sites internet, un des risques est de laisser vacantes des adresses qu’un attaquant peut racheter et utiliser pour héberger un faux site dans l’objectif par exemple de faire du phishing.
• Le déni de service : c’est une attaque qui consiste à rendre indisponible de façon temporaire ou indéfiniment une machine ou un réseau par diverses méthodes. Toute machine connectée à internet est susceptible de subir cette attaque.
• L’ingénierie sociale : il s’agit de l’ensemble des méthodes qui ciblent des individus par la manipulation psychologique. L’exposition des données personnelles des salariés sur internet rend plus fréquente ce genre d’attaque en facilitant la prise de contact des cybercriminels avec les employés. Le phishing figure dans cette catégorie.
Cette liste non exhaustive présente une partie des nombreux risques encourus lorsque la surface d’attaque externe de son entreprise est mal gérée. C’est ce problème que résolvent les méthodes EASM.
Comment définir et protéger sa surface d’attaque externe ?
La définition et la protection de sa surface d’attaque externe repose sur plusieurs étapes.
Découverte des assets : Qu’est-ce que je possède ?
Durant cette étape, l’objectif est de cartographier l’ensemble de ses actifs accessibles sur internet. Il faut prendre le point de vue d’un cybercriminel afin d’identifier tout ce qui serait accessible au public de manière intentionnelle ou non.
Analyse : Mes assets sont-ils à risque ?
Une fois dressée la liste de ses possessions exposées l’étape suivante, cruciale, consiste à évaluer si ces assets présentent des vulnérabilités. Cela peut demander de très nombreux test selon le type d’asset et devenir rapidement complexe. Employer l’expertise de pentesters, des acteurs cyber dont l’objectif est de tester les défenses des systèmes d’information, permet par exemple d’assurer l’efficacité de cette étape.
Priorisation : Où dois-je concentrer mes efforts en priorité ?
Ensuite, il faut déterminer quelles vulnérabilités doivent être corrigées en priorité. Toutes les vulnérabilités ne sont pas critiques, et une bonne pratique afin de réduire la pression sur ses équipes cyber est de leur attribuer un score selon divers facteurs afin de pouvoir les hiérarchiser. Ces facteurs peuvent être la gravité de la vuln, la partie du système où elle se trouve ou encore le nombre d’appareils vulnérables.
De la même façon, toutes les machines constituant un SI ne sont pas équivalente. Une vulnérabilité critique sur une machine de test ne sera pas priorisée de la même façon que sur un serveur ayant un fort impact business.
Correction : Comment corriger mes vulnérabilités ?
Enfin, une fois toutes ces étapes achevées il est possible de procéder à la correction des risques et des vulnérabilités de son système. Cette étape comporte aussi la création de tickets afin de pouvoir traiter et tracer les actions des équipes de sécurité.
Pour qu’elles soient efficaces, ces étapes doivent être effectuées en continu. Elles prennent un temps et des ressources humaines considérables, ce qui se traduit par des budgets conséquents. L’intérêt des solutions logicielles EASM est d’automatiser toutes les étapes de protection de la surface d’attaque externe afin de réduire les coûts sans perdre en qualité opérationnelle.
Quelles solutions EASM sur le marché ?
La solution française Uncovery permet d’assurer la découverte et la surveillance continue de ses assets exposés à Internet. Elle permet de prendre le point de vue des cybercriminels sur son réseau, ce qui donne aux entreprises des opportunités nouvelles de sécuriser leurs appareils critiques.