À mesure que les systèmes d’information se complexifient, il devient de plus en plus difficile d’avoir une vue complète et détaillée de son SI. De ce fait, il est également de plus en plus complexe de le sécuriser efficacement.
Regagner de la visibilité sur son SI devient donc un prérequis pour mettre en place les mesures de sécurité qui s’imposent. Et c’est dans ce contexte que les outils CAASM (Cyber Asset Attack Surface Management) montrent tout leur intérêt. En donnant aux professionnels de la cybersécurité une liste exhaustive et contextualisée des différents actifs du système d’information, ils aident à mieux le protéger.
Quels sont les grands cas d’usage du CAASM ? Comment mettre en place une solution CAASM et l’intégrer à son environnement IT ? François Devienne, Responsable de la Sécurité Opérationnelle (RSO) chez OverSOC, détaille les grandes étapes nécessaires à la mise en place d’une solution CAASM.
Comprendre les avantages et identifier les grands cas d’usage du CAASM
Élaborer une cartographie du système d’information, évaluer le niveau de couverture et de protection de ses actifs, préparer la phase de réponse à incident : autant de grands besoins auxquels répondent les outils CAASM.
Cartographie du SI
Shadow IT, multiplication des couches et des surcouches, interconnexions entre les différents actifs du système d’information… Disposer d’un état exhaustif de son système d’information n’a peut-être jamais été aussi complexe. Et pourtant, mettre en place une cartographie exhaustive est une étape indispensable pour mieux comprendre son SI… et donc mieux le défendre.
Cette cartographie permet par exemple de gérer les vulnérabilités des assets en lien avec leur niveau de criticité.
Évaluation du niveau de couverture et de protection de ses actifs
« Les outils CAASM permettent de s’assurer du niveau de couverture antivirus et EDR, de savoir s’ils sont à jour et couvrent bien toutes les machines. En corrélant le scan de vulnérabilités, l’EDR et la CMDB, on peut avoir un état quasi exhaustif de toutes ses machines et prendre conscience du Shadow IT », explique François Devienne.
Et c’est là la grande force des outils CAASM : croiser la donnée et mettre en avant les incohérences, les écarts entre les différentes solutions et les corriger.
Réponse à incident
La réponse à incident constitue également un autre cas d’usage des outils CAASM, qui permettent de mieux identifier, comprendre et donc bloquer une attaque : prendre conscience des vulnérabilités exploitées par les cybercriminels, identifier leurs cibles, leurs intentions, les points d’entrée utilisés, etc.
Pouvoir s’appuyer sur un outil CAASM permet d’améliorer l’efficacité de la prise de décision en donnant à toutes les équipes mobilisées dans la réponse à incident le même niveau d’information. Les actions sont mieux priorisées et donc plus efficaces.
Évaluer ses cyber risques et son degré de vulnérabilité
« À ce stade, il faut forcément utiliser un scan de vulnérabilités pour alimenter le CAASM. Cela donne un score de cyber risque sur les zones et sur les assets », note François Devienne. « Et en couplant ces éléments à la criticité des assets et des zones, on peut impliquer les métiers et les responsabiliser. »
L’objectif de cette étape ? Permettre à chacun d’être bien conscient des risques associés au cyber score et envisager des actions. En mettant en exergue les points faibles du SI, on peut ensuite proposer un plan d’actions et des mesures destinées à augmenter le niveau de sécurité. « Cela donne une vision et facilite la prise de décision », ajoute le RSO.
Choisir une solution CAASM adaptée à ses besoins
Pour François Devienne, la meilleure des solutions CAASM est celle qui permettra le mieux de « jouer » avec la donnée, de « prendre la donnée dont l’entreprise a besoin ». Autrement dit, une bonne solution CAASM est celle qui permet de :
- Parler à tout type de personnes (DSI, RSO, équipes SecOps, etc.).
- Répondre aux besoins de chaque public (un RSSI qui souhaite avoir un état des lieux du déploiement de l’EDR, un RSO qui a besoin de voir les résultats des derniers scans de vulnérabilités, etc.).
- Mettre en place des filtres, les enregistrer et les partager (pour partager des résultats, prioriser des patchs de vulnérabilités, faire du reporting auprès du Codir avec des KPI pertinents, etc.).
La force d’une solution CAASM tient également beaucoup à la manière dont elle permet de visualiser les données. « C’est le fameux côté user friendly, très important pour faire adhérer les personnes et réussir le déploiement d’une solution CAASM », précise François Devienne.
Intégrer le CAASM à son environnement IT
« Déployer OverSOC dans son environnement IT est relativement simple, puisque notre outil est basé sur une solution cloud », explique François Devienne.
Pour les équipes IT, reste à alimenter l’outil à partir de plusieurs sources de données, notamment des fichiers .csv ou .xml, mais surtout des API de manière à pouvoir s’interconnecter avec les outils de sécurité existants. Dans le cas où l’agrégation de données et l’alimentation de l’outil s’effectuent via des API et des connecteurs, le déploiement peut se faire en seulement une demi-journée de travail. Les équipes peuvent ensuite avoir accès aux premiers indicateurs.
« Le gros du travail consiste à aller chercher des données utiles pour alimenter l’outil », précise notre RSO. La mise en place d’un outil CAASM peut s’effectuer dans un premier temps à partir de trois sources principales de données :
- Un scan de vulnérabilités
- Une CMDB
- Un antivirus ou EDR (en récupérant uniquement les champs pertinents pour alimenter l’outil)
Le CAASM sera évidemment de plus en plus puissant à mesure qu’on lui fournira des sources de données pertinentes.
Vous souhaitez être accompagné dans le déploiement d’un outil CAASM au service de vos équipes IT et cyber ? Contactez-nous.