Le concept de « surface d’attaque » est né d’un constat simple : pour protéger efficacement son système d’information, il est indispensable de disposer d’une vue complète de l’ensemble de ses actifs et de leurs vulnérabilités. L’évaluation de la surface d’attaque est donc une étape incontournable de toute démarche de réduction des risques informatiques.
Comment évaluer sa surface d’attaque ? Comment la réduire et la surveiller pour renforcer sa cybersécurité ? Parcourons le sujet avec François Devienne, Responsable de la Sécurité Opérationnelle (RSO) chez OverSOC.
Qu’est-ce que la « surface d’attaque » en cybersécurité ?
Surface d’attaque : définition
L’expression « surface d’attaque » aussi appelée « Attack Surface Management (ASM) » est utilisée dans le domaine de la cybersécurité. Elle correspond à l’ensemble des points d’entrée d’un système d’information, un ensemble de portes mal sécurisées qu’un utilisateur non autorisé pourrait utiliser pour tenter de s’introduire dans un SI.
Les différents composants de la surface d’attaque
« La notion de surface d’attaque est très large. Elle regroupe tout ce qui permet de se connecter ou d’atteindre des services ou ressources sur un système d’information », explique François Devienne.
En résumé, la surface d’attaque regroupe l’ensemble des composants du SI (systèmes, équipements physiques, applications, réseaux, etc.) et leurs points d’entrée qui seraient mal configurés.
L’évolution de la surface d’attaque avec la transformation numérique
Les systèmes d’information se sont grandement complexifiés ces dernières années avec l’accélération de la transformation numérique des organisations. Cette utilisation accrue du numérique a pour effet d’augmenter les points d’accès et d’étendre la surface d’attaque des organisations, puisque les SI comportent de plus en plus de couches et de sur-couches.
Les actifs numériques - véritables points d’entrée des cyber-menaces - sont également de plus en plus interconnectés entre eux et exposés sur Internet. Cette exposition renforce leur vulnérabilité. Visualiser et maîtriser sa surface d’attaque devient une nécessité pour prendre la mesure des risques cyber et s’en protéger efficacement.
Pourquoi évaluer sa surface d’attaque ?
Les risques liés à une surface d’attaque non évaluée
Évaluer sa surface d’attaque est un préalable à toute bonne politique de sécurité du système d’information. Sans évaluation de sa surface d’attaque, il n’est pas possible de prendre conscience des failles de son SI (routeur mal configuré, réseau WiFi non sécurisé, etc.) et de les corriger.
Dit autrement, ne pas évaluer sa surface d’attaque revient à laisser le champ libre aux acteurs malveillants, qui ne demandent qu’à repérer les vulnérabilités de votre SI et à les exploiter pour accéder à vos services et à vos ressources.
L’élargissement de la surface d’attaque des organisations va de pair avec la prolifération des cyber risques. Accès non autorisé et exploitation de ressources, élévation de privilèges, prise de contrôle à distance du système informatique… autant de menaces auxquelles sont exposées les organisations qui ne maîtrisent pas leur surface d’attaque.
Préconisations et bonnes pratiques
« Évaluer sa surface d’attaque n’est pas une obligation, mais cela fait partie des préconisations de l’ANSSI en matière d’hygiène cyber », explique François Devienne.
Les bonnes pratiques d’hygiène cyber pour réduire sa surface d’attaque portent en premier lieu sur l’architecture, la manière dont on configure et dont on filtre son réseau, ainsi que sur les processus déployés pour réduire les risques : patch management, scan de vulnérabilités, cycle de vie des applicatifs, gestion des identités, etc.
Étape 1 : Identifier les actifs et les vulnérabilités
Utilisation d’outils d’inventaire et de balayage
Il existe une multitude d’outils d’inventaire et de balayage. Nmap constitue la version la plus « basique » de ces outils, mais cet outil permet malgré tout de faire une ébauche de cartographie de son SI, en incluant à la fois les actifs et leurs vulnérabilités.
Comment aller encore plus loin ? En agrégeant et en corrélant diverses sources de données : EDR, antivirus, CMDB, résultats des scans de vulnérabilités, etc.
« Le fait de croiser toutes ces données permet de faire ressortir les deltas et les manques (le Shadow IT, par exemple) et de mettre toutes les bases à jour. On peut ainsi chercher des actifs qui n’auraient pas été inventoriés et qui ne seraient pas couverts par un EDR ou pas inclus dans la politique de patch management, par exemple », détaille François Devienne.
Objectif : corréler diverses sources de données pour être certain d’avoir un état exhaustif et à jour de son parc informatique, de disposer d’une vue complète sur les différents actifs pour mieux les surveiller.
Surveillance des vulnérabilités courantes : quelques exemples
« Laisser un serveur exposé sur Internet avec des configurations par défaut fait partie des vulnérabilités courantes », explique François Devienne. Le problème ? Cette configuration par défaut va permettre à un attaquant de rentrer dans le SI, d’effectuer des actions et d’exploiter des ressources, jusqu’à réussir son élévation de privilèges et devenir administrateur du domaine.
« Des vulnérabilités peuvent également se glisser dans l’utilisation de protocoles qui n’ont pas été correctement chiffrés ou derrière des mises à jour de sécurité qui n’ont pas été réalisées ».
Étape 2 : Évaluer la criticité des actifs et les risques associés
Évaluation de la criticité des actifs
« Le niveau de criticité des actifs est propre à chaque entreprise. Pour un retailer, toute la supply chain s’avère critique, puisque l’approvisionnement des magasins repose sur elle », note François Devienne.
Le fait de pouvoir déterminer le niveau de criticité des actifs dépend justement de la capacité de l’entreprise à réaliser une cartographie exhaustive de son système d’information. Cette cartographie permet de définir la place de chaque actif au sein du SI, son rôle et ses liens avec les autres assets. Il est également possible d’associer un niveau de criticité à certains utilisateurs, en fonction des services et des ressources qu’ils utilisent.
Scénarios de menaces et impacts potentiels
Les scénarios de menaces sont nombreux : compte de messagerie professionnelle piraté, Cheval de Troie ou rootkit déclenché à partir de l’ouverture d’une pièce jointe, réseau Wi-Fi filaire mal sécurisé, serveur exposé et vulnérable, etc. Passée cette première étape, l’attaquant peut ensuite rebondir sur le réseau et procéder à l’élévation de privilèges. Il aura ensuite les mains libres pour réaliser une extorsion de données, diffuser un ransomware, etc. Autant de scénarios qui peuvent porter atteinte à la sécurité des données, paralyser ou ralentir fortement l’activité de l’entreprise, et causer des préjudices financiers.
Méthodes d’analyse et de gestion des risques
Les méthodes d’analyse des risques prennent appui sur la cartographie du SI et relèvent de la gouvernance. « Il s’agit avant tout, pour l’entreprise, de voir quels sont les risques acceptables et ceux qui ne le sont pas. Une fois ce tri effectué, on peut alors prendre des mesures pour minimiser les risques que l’entreprise ne peut pas se permettre d’accepter. Le fait de pouvoir chiffrer en euros le coût des interruptions de service rend l’impact sur le business très concret », note François Devienne.
Au-delà des normes ISO et des bonnes pratiques en matière d’analyse des risques, la méthode EBIOSRisk Manager est recommandée pour évaluer les risques cyber et déterminer les mesures de sécurité à déployer pour mieux maîtriser ces risques.
Étape 3 : Réduire la surface d’attaque
Stratégies pour réduire la surface d’attaque
Après avoir pris conscience de sa surface d’attaque et évalué les risques associés vient une autre étape clé : déterminer les stratégies permettant de réduire sa surface d’attaque et mettre en place des protections adaptées. Différents process en matière d’architecture, de patch management, d’hardening (processus destiné à sécuriser un système) et de monitoring permettent de protéger sa surface d’attaque.
Segmentation du réseau et isolation des actifs critiques
Associée à du filtrage firewall, la segmentation du réseau permet d’isoler et de dissocier les utilisateurs et les ressources internes, et de permettre aux utilisateurs d’accéder uniquement aux ressources qui leur sont utiles (en fonction de leur rôle ou de leur IP).
« L’une des bonnes pratiques en matière d’architecture réseau consiste à segmenter la partie interne et la partie externe, pour ne pas regrouper dans la même zone les serveurs exposés à Internet et ceux qui ne le sont pas », ajoute François Devienne. La mise en place d’un accès « ZeroTrust » va même encore plus loin que la protection réseau.
Mises à jour de sécurité et gestion des correctifs
La gestion des mises à jour et la mise en place d’une politique de patch management pour corriger les vulnérabilités participent également à la réduction de la surface d’attaque (réaliser les mises à jour disponibles, vérifier les bulletins de sécurité, etc.). L’utilisation de protocoles chiffrés (TLS 1.2 minimum) est un autre point important.
Étape 4 : Surveiller et maintenir
Surveillance continue de la surface d’attaque
L’évaluation de la surface d’attaque est une démarche au long cours. La surface d’attaque doit faire l’objet d’une surveillance constante et d’une mise à jour continue. L’utilisation régulière d’outils d’inventaire et de balayage (scan de vulnérabilités en tête) permet de garder la main sur sa surface d’attaque et de s’assurer de l’efficacité des processus mis en place.
Différentes actions permettent de protéger en continu sa surface d’attaque : suivre les évolutions de l’infrastructure réseau, surveiller les vulnérabilités et les bulletins de sécurité, mettre en place une politique de gestion des accès et des autorisations, piloter la gestion des configurations de sécurité, etc.
Tests de pénétration et évaluation périodique
Les tests de pénétration peuvent faire partie d’une démarche de gestion de sa surface d’attaque. Dans le cas d’un test portant sur l’ensemble d’un système d’information, le pentester démarre généralement avec une connexion et un compte d’utilisateur. Sa mission : tester l’ensemble des points d’entrée pour tenter de s’introduire dans le système d’information et repérer des vulnérabilités qui pourraient être utilisées dans le cadre d’attaques informatiques.
Les pentests peuvent également porter sur certains services. « La fréquence des pentests est liée à la criticité des services que l’on souhaite tester. Pour les services exposés, nous préconisons 1 à 2 pentests par an. On peut par exemple prévoir deux phases : l’une en black box, et la seconde avec un peu plus de données (un compte utilisateur pour se connecter, par exemple) », conseille François Devienne.
La maîtrise de la surface d’attaque s’inscrit dans une démarche de protection informatique et de réduction des risques. Effectuée de manière méthodique (identification des actifs et des vulnérabilités, évaluation de la criticité des actifs et des risques, réduction de la surface d’attaque, surveillance continue), l’évaluation de la surface d’attaque participe au développement d’une posture de cybersécurité proactive.