Qu'est-ce que la Gestion Continue de l'Exposition aux Menaces (CTEM)?
La Gestion Continue de l’Exposition aux Menaces (CTEM) est un programme ou cadre méthodologique proactif et continu en cinq étapes, qui vise à réduire l’exposition aux cyberattaques. Il aide les organisations à identifier les vulnérabilités et expositions, à les corréler avec des chemins d’attaque potentiels, à les prioriser en fonction de leur risque pour les actifs critiques, et à suivre les progrès lors de la mise en œuvre des activités de remédiation. Les organisations du monde entier exploitent le CTEM pour traiter efficacement les expositions et améliorer leur posture de sécurité.
Le CTEM évalue continuellement l’ensemble de l’écosystème d’une organisation – y compris les réseaux, systèmes, actifs, et plus encore – pour identifier les expositions et faiblesses dans le but de réduire la probabilité que ces vulnérabilités soient exploitées. Disposer d’un programme CTEM peut permettre une amélioration continue de la posture de sécurité en identifiant et en corrigeant les zones potentiellement problématiques avant que les attaquants ne puissent les exploiter.
L’élément « continu » du CTEM fait référence à une relation d’échange entre le programme CTEM et les efforts de remédiation des risques associés, où les données provenant des deux aspects alimentent les processus pour prendre des décisions toujours plus optimales sur la façon de gérer le risque d’exposition. Selon Gartner® dans leur rapport « Implement a Continuous Threat Exposure Management (CTEM) Program », publié le 21 juillet 2022, « L’objectif du CTEM est d’obtenir un plan de remédiation et d’amélioration de la posture de sécurité cohérent et exploitable que les dirigeants d’entreprise peuvent comprendre et sur lequel les équipes d’architecture peuvent agir. » L’objectif fondamental du CTEM est de réduire la probabilité que les faiblesses soient exploitées.
Quelles sont les 5 étapes du CTEM ?
Le CTEM est un programme cadre qui met en œuvre une approche de réduction de l’exposition. En conséquence, ce n’est pas un produit ou un service, mais le(s) bon(s) produit(s) peuvent aider à le mettre en œuvre dans votre organisation. Les cinq étapes du CTEM sont décrites ci-dessous.
Étape 1 – Cadrage
Cette première étape consiste à comprendre vos surfaces d’attaque et l’importance de chaque actif pour votre entreprise, deux éléments qui évolueront dans le temps. Elle inclut l’identification des surfaces d’attaque clés et nécessite la contribution de divers décideurs, tels que les responsables des équipes IT, Juridique, GRC, Développement, R&D, Produit et Opérations métier.
Étape 2 – Découverte
L’étape de découverte consiste à évaluer chaque actif pour identifier les expositions potentielles et analyser comment ces expositions sont corrélées à des risques particuliers. Cela va au-delà des simples vulnérabilités isolées en incluant d’autres types d’expositions – telles que les risques liés à Active Directory, aux identités et aux configurations – ainsi que la façon dont les expositions peuvent être enchaînées pour créer des chemins d’attaque vers les actifs.
Étape 3 – Priorisation
Dans l’étape de priorisation, les expositions sont analysées pour évaluer le niveau de menace connue qu’elles ont représenté « dans la nature » et l’importance des actifs directement impactés.
Cette étape est cruciale, car les grandes organisations constatent uniformément qu’il y a bien plus d’expositions qu’elles ne pourront jamais corriger. Pourquoi ? En partie à cause du volume considérable, et en partie parce que leurs environnements évoluent constamment – nouveaux actifs, utilisateurs, logiciels, paramètres de configuration, etc.
La priorisation s’est traditionnellement limitée aux vulnérabilités, excluant d’autres types d’expositions, telles que les identités et les mauvaises configurations. Et elle n’a pas pris en compte la façon dont les expositions se rapportent aux chemins d’attaque potentiels vers les actifs critiques. Avec le CTEM, la priorisation clarifie quelles remédiations sont les plus bénéfiques pour réduire le plus grand nombre de risques pour les actifs critiques.
Étape 4 – Validation
L’étape de validation examine comment les attaques peuvent se produire et la probabilité de leur occurrence. Cette étape peut exploiter une variété d’outils pour différents usages. Dans certains cas, la validation est effectuée pour permettre la priorisation, comme dans l’étape 3 ci-dessus. Dans d’autres cas, la validation peut être précieuse pour tester continuellement les contrôles de sécurité ou pour automatiser les tests de pénétration périodiques.
Étape 5 – Mobilisation
Cette étape, qui sert en quelque sorte de facteur facilitateur pour l’ensemble du cadre, est celle où vous vous assurez que tout le monde est sur la même longueur d’onde et comprend son rôle et ses responsabilités dans le contexte du programme. La mobilisation est optimisée lorsque l’équipe de sécurité et les équipes IT impliquées dans la remédiation ont une vision claire de la valeur de réduction des risques de tout effort de remédiation, ainsi que des rapports montrant la tendance générale des améliorations apportées à la posture de sécurité dans le temps.
Quel problème le CTEM résout-il, et pourquoi maintenant ?
Les organisations mettent en œuvre le CTEM car, autrement, elles sont confrontées à la situation frustrante suivante :
- Lorsqu’elles exécutent une découverte complète, elles trouvent un volume écrasant d’expositions – bien plus qu’elles ne peuvent réellement corriger, et certaines qu’elles ne peuvent tout simplement pas corriger.
- Les expositions sont généralement séparées en différentes listes basées sur les outils disponibles pour différents types d’exposition et pour différents environnements – on-premise, cloud, conteneur, vulnérabilité traditionnelle, problème de configuration, exposition d’identité, problème Active Directory, et plus encore.
- Les organisations n’ont aucun moyen d’agréger les expositions, de les placer dans un contexte selon le risque réel (basé sur la façon dont un attaquant peut exploiter la configuration actuelle de leur environnement), et de prioriser les activités de remédiation. Ainsi, elles perdent du temps à corriger des expositions qui n’ont pas d’importance, ou elles abandonnent essentiellement.
- De plus, là où elles progressent, elles n’ont aucun moyen de corréler cela au risque organisationnel global, ou d’illustrer comment leurs efforts font une différence.
Tout cela malgré des décennies d’utilisation d’outils traditionnels de gestion des vulnérabilités, et plus récemment d’outils de simulation de brèche (BAS). L’incapacité de ces outils à se préparer et se protéger contre les attaques est l’une des principales raisons pour lesquelles le CTEM est aujourd’hui une priorité absolue.
Pourquoi le CTEM est-il la bonne solution ?
Selon Gartner, « Les programmes CTEM élargissent l’évaluation traditionnelle de la cybersécurité. » De plus, le rapport note également que les programmes CTEM utilisent la technologie de cybersécurité pour :
« Aligner les périmètres des cycles d’évaluation de l’exposition sur des projets métiers spécifiques et des vecteurs de menace critiques. »
« Valider l’exposition de l’entreprise et les priorités de remédiation en incluant la perspective de l’attaquant, et tester l’efficacité des contrôles de sécurité et des processus de réponse aux incidents. »
Cela garantit que les efforts de sécurité sont précisément adaptés aux domaines les plus importants pour une organisation, améliorant ainsi l’efficacité et l’efficience des mesures de sécurité. Le CTEM fournit en outre une vision holistique du risque – une vision qui peut être suivie dans le temps pour corréler l’activité de remédiation avec l’amélioration de la posture de sécurité.
Quelle est la valeur du CTEM ?
La valeur du CTEM est proportionnelle à l’ampleur du problème et aux améliorations constatées par les organisations lorsqu’elles l’adoptent.
Dans le propre rapport de recherches de XM Cyber, Navigating the Paths of Risk: The State of Exposure Management in 2024, nous constatons que :
Les grandes entreprises peuvent avoir plus de 250 000 vulnérabilités ouvertes.
Pourtant, les recherches montrent que les entreprises ne corrigent qu’environ 10 % de ces vulnérabilités, laissant le reste en place.
Cependant, 75 % des expositions n’aboutissent pas à un autre actif – ce sont des « impasses » pour les attaquants. En outre, seulement 2 % mènent à des actifs critiques.
L’étude Total Economic Impact de Forrester (2022) révèle une réduction de 90 % de la probabilité d’une violation grave pour les organisations disposant d’une solution adéquate, ainsi qu’un ROI pouvant atteindre 400 %.
Quelle est la popularité du CTEM ?
Un rapport de Gartner note également que, « Une enquête menée par Gartner Peer Connect a révélé que 71 % des organisations pourraient bénéficier d’une approche CTEM, 60 % des répondants poursuivant déjà un programme CTEM ou envisageant de le faire. »
Que dit Gartner à propos du CTEM ?
« D’ici 2026, les organisations qui priorisent leurs investissements en matière de sécurité sur la base d’un programme de gestion continue de l’exposition aux menaces constateront une réduction des violations de deux tiers. » — Gartner, Top Strategic Technology Trends for 2024: Continuous Threat Exposure Management, publié le 16 octobre 2023
En déconstruisant l’approche classique basée sur la détection, le CTEM montre que de se concentrer sur les événements plutôt que sur la posture est une stratégie perdante à long terme. Les attaquants l’ont démontré, et cela a maintes reprises. Seule une approche continue, priorisée et axée sur les menaces sera efficace sur le long terme. En d’autres termes : implémentez le CTEM dès à présent.
De plus, comme mentionné ci-dessus, Gartner décrit un processus en cinq étapes que les organisations peuvent suivre pour gérer correctement leurs expositions. Selon nous, les étapes essentielles sont les suivantes :
Aller au-delà de la gestion des vulnérabilités pour comprendre les actifs critiques et la manière dont ils peuvent être compromis.
Développer un processus d’évaluation du risque continu et permanent
Prioriser les résultats en fonction du risque réel et de l’impact sur l’environnement et le métier, et ce du point de vue de l’attaquant
Exécuter et valider sur la base de ce qui précède
En quoi le CTEM est-il différent du RBVM ?
La gestion des vulnérabilités basée sur le risque (RBVM, Risk-Based Vulnerability Management) est une stratégie de cybersécurité conçue pour aider les organisations à limiter les risques grâce à la priorisation stratégique de la remédiation des vulnérabilités. Pour ce faire, les organisations utilisent des outils afin d’évaluer les vulnérabilités de cybersécurité existantes et de déterminer le niveau de risque que chacune représente pour les actifs critiques de l’entreprise, sur la base de l’exploitation connue des vulnérabilités « dans la nature ».
L’automatisation de ce processus est évidemment essentielle, compte tenu de l’ampleur du problème, ce qui explique pourquoi ces outils existent depuis des décennies. En 2020, 17 000 nouvelles vulnérabilités ont été signalées – soit une nouvelle vulnérabilité toutes les six minutes. Les attaquants ne perdent pas de temps à développer des exploits, ce qui signifie que les défenseurs doivent être tout aussi rapides et agiles dans leur réponse.
Cependant, les défenseurs utilisant ces outils sont submergés par la tâche de gestion des vulnérabilités cyber. Même les grandes organisations bien financées ne peuvent pas corriger toutes les vulnérabilités qu’elles découvrent. Il y en a simplement trop, et certains systèmes ne peuvent pas être corrigés, sans compter les dépendances de la chaîne d’approvisionnement.
De manière critique, le RBVM se limite à la priorisation des seules vulnérabilités (CVE) et ne traite pas les problèmes d’identité ni les erreurs de configuration que les attaquants exploitent régulièrement.
Le CTEM, en revanche, réduit considérablement les efforts de remédiation en priorisant l’ensemble des types d’expositions, et pas seulement les CVE, sur la base de l’impact réel du risque sur les actifs critiques. Il fournit également un processus holistique de gestion de ce risque dans le temps. Ainsi, le CTEM dépasse le RBVM, en l’enrichissant avec une couverture plus large des expositions, des informations sur les attaquants en conditions réelles et des recommandations de remédiation.
Comment le CTEM se distingue-t-il des tests d’intrusion ?
Les tests d’intrusion ressemblent aux exercices de Red Team dans la mesure où les deux utilisent une méthodologie de test pour évaluer les défenses cyber d’une organisation. Cependant, les tests d’intrusion sont généralement réalisés à des périodes bien définies, et se concentrent principalement sur la recherche de vulnérabilités connues. Ils évaluent si des applications, des réseaux, des plateformes ou des systèmes peuvent être compromis, et servent à identifier les problèmes nécessitant une correction.
Comme les exercices de Red Team, les tests d’intrusion souffrent d’une incapacité à évaluer l’environnement dans son ensemble et ne fournissent qu’une évaluation ponctuelle – sans hiérarchisation, et rapidement obsolète. Les résultats sont fiables pour un périmètre limité, mais obtenus grâce à un effort très manuel.
Le CTEM fournit une analyse continue et holistique des défenses ; il priorise les efforts de remédiation ; et il suit les améliorations dans le temps. En fait, selon l’étude Forrester Total Economic Impact, 2022, les organisations qui utilisent une solution CTEM orientée « chemins d’attaque » peuvent réduire leurs coûts de tests d’intrusion jusqu’à 1,4 million de dollars sur trois ans.
Comment le CTEM se distingue-t-il de la simulation de brèche et d’attaque (BAS) ?
Les solutions BAS offrent une approche différente de test de sécurité automatisé. Certains outils BAS testent l’infrastructure de sécurité existante, tandis que d’autres vérifient le bon fonctionnement des contrôles en place.
La simulation de brèche et d’attaque, les tests d’intrusion et le Red Teaming simulent tous des attaques pour anticiper les résultats de scénarios réels. Ils servent à évaluer et identifier des problèmes à corriger. Cependant, leur utilisation est limitée par le risque opérationnel qu’ils génèrent : exécuter ces tests en direct peut provoquer des problèmes de performance – voire des interruptions – sur des systèmes en production. Ces outils ne couvrent qu’une fraction de l’environnement, de manière périodique, et avec un ensemble restreint de techniques d’attaque. Bien qu’utiles, ils restent incomplets.
Une solution CTEM analyse l’ensemble de l’environnement et couvre un éventail plus large d’expositions. Elle fournit une analyse continue et holistique des défenses ; elle priorise les efforts de remédiation ; et elle suit les améliorations dans le temps.
Comment le CTEM se distingue-t-il des solutions IAM et ITDR ?
Les solutions de gestion des identités et des accès (IAM) et de détection et réponse aux menaces liées aux identités (ITDR) se concentrent exclusivement sur les identités. Celles-ci sont essentielles à la posture de sécurité d’une organisation, puisque la plupart des attaques exploitent une vulnérabilité liée à une identité quelque part dans le chemin d’attaque. Cependant, elles n’évaluent pas les expositions non liées aux identités, ni la capacité des attaquants à exploiter ces expositions pour atteindre des actifs critiques. Leur vision reste donc limitée.
Une solution CTEM analyse l’ensemble de l’environnement et couvre une gamme plus large d’expositions. Elle fournit une analyse continue et holistique des défenses ; elle priorise les efforts de remédiation ; et elle suit les améliorations dans le temps.
Comment le CTEM se distingue-t-il de la gestion de la surface d’attaque externe (EASM) ?
La gestion de la surface d’attaque externe (EASM) consiste à découvrir et inventorier en continu les risques liés aux actifs externes susceptibles de mener à une brèche. Elle se concentre entièrement sur les points d’entrée externes d’une attaque – la « surface externe » de votre environnement IT. Réalisée depuis l’extérieur, elle n’apporte aucun aperçu sur les étapes ultérieures qu’un attaquant pourrait suivre après une brèche initiale.
Le CTEM va au-delà de la surface pour comprendre l’ensemble des expositions présentes dans votre environnement, ainsi que la manière dont un attaquant pourrait enchaîner ces expositions pour atteindre des actifs critiques. Le CTEM fournit une liste d’expositions bien plus complète que l’ASM, et offre une évaluation bien plus pertinente du risque cyber. De plus, il contextualise les expositions afin de les hiérarchiser pour vous, ce qui permet une remédiation plus efficace et ciblée.
Comment le CTEM se distingue-t-il de la gestion de posture de sécurité cloud (CSPM) ?
Les solutions de gestion de posture de sécurité cloud (CSPM) identifient les problèmes de configuration et les risques de conformité dans le cloud. Elles aident à surveiller l’infrastructure cloud pour détecter les expositions et lacunes dans l’application des politiques de sécurité. Compte tenu de la croissance des marchés IaaS, PaaS et SaaS (plus de 17 % par an d’ici 2027), c’est un domaine crucial. D’ailleurs, les experts estiment que 99 % des données compromises dans le cloud seront dues à des erreurs de configuration ou des comptes compromis.
Cependant, la plupart des organisations, en particulier les grandes, disposent d’environnements hybrides mêlant collaborateurs à distance, actifs sur site et multiples fournisseurs cloud. Une solution CSPM reste donc partielle. Elle ne fournit pas une vue holistique de la posture de sécurité globale et ne peut pas hiérarchiser les efforts de remédiation à l’échelle de l’organisation. Or, de nombreuses attaques impliquent une combinaison d’actifs distants, sur site et cloud.
Une solution CTEM prend tout cela en compte, en intégrant les actifs cloud dans une vision globale de l’environnement. L’analyse des chemins d’attaque et de la posture couvre tous les types d’actifs, et les recommandations de remédiation sont hiérarchisées en conséquence. La sécurité globale de l’organisation relève du CTEM.
Comment choisir un fournisseur CTEM ?
Bien que le CTEM soit une stratégie plutôt qu’une catégorie de produits, certains aspects clés doivent être évalués lorsque vous choisissez une solution liée au CTEM :
Ampleur de la détection des expositions – Quels types d’expositions couvre-t-elle (vulnérabilités classiques, erreurs de configuration, problèmes d’identité, etc.) ?
Couverture environnementale complète – Couvre-t-elle postes de travail, machines virtuelles, conteneurs, utilisateurs, ressources cloud et configurations pour identifier tous les chemins de risque possibles ?
Contextualisation du risque – Comment la solution combine-t-elle connaissances des expositions, chemins réseau et actifs critiques pour représenter des chemins d’attaque potentiels ? Est-ce que l’affichage est clair pour les équipes IT et sécurité ?
Priorisation de la remédiation – Les chemins d’attaque sont-ils hiérarchisés selon l’impact sur les actifs critiques ? Les « impasses » sont-elles détectées pour éviter des corrections inutiles à court terme ?
Assistance à la remédiation – La solution fournit-elle des recommandations précises pour accélérer et standardiser les corrections ?
Évaluation continue – L’outil détecte-t-il en permanence de nouvelles expositions et met-il à jour les techniques d’attaque ? Suit-il l’évolution de la posture dans le temps ?
Rapports exécutifs – Peut-il fournir des évaluations globales et des tendances à destination de la direction (ex. « Où sommes-nous les plus vulnérables ? », « Comment notre posture s’améliore-t-elle ? ») ?
Sécurité opérationnelle et impact – Quelle est la simplicité de déploiement et quels risques le déploiement comporte-t-il pour les environnements de production ?
Autre approche : poser ces questions aux fournisseurs et comparer leurs réponses :
- Quels sont mes actifs critiques à risque aujourd’hui ?
- Quels chemins permettraient à un attaquant d’y accéder ?
- Où se trouvent toutes les expositions dans mon environnement ?
- Lesquelles sont les plus importantes à corriger en priorité (goulots d’étranglement) ? Lesquelles sont secondaires (impasses) ?Pouvez-vous me donner un score global de ma posture de sécurité ? Pouvez-vous démontrer l’amélioration dans le temps ?
Le CTEM couvre-t-il à la fois les environnements On-premise et Cloud ?
Oui. Le CTEM repose fondamentalement sur une analyse complète des expositions et de leur impact sur le risque pesant sur les actifs critiques. Dans presque toutes les organisations, ces expositions concernent à la fois les collaborateurs à distance, les équipements sur site et les ressources cloud. Bien qu’ils paraissent distincts, ces environnements sont en réalité fortement intégrés. De plus, les actifs proviennent souvent de plusieurs fournisseurs différents, avec des systèmes de gestion variés.
Pour comprendre les surfaces d’attaque, les chemins d’attaque vers les actifs critiques et le risque global, tous ces environnements doivent être considérés de manière holistique – c’est-à-dire telle qu’un attaquant les percevrait.
Pour en savoir plus sur la façon dont XM Cyber intègre votre environnement cloud dans une solution CTEM, consultez La puissance des chemins d’attaque dans le cloud.
Qui bénéficie actuellement du CTEM ?
Toute organisation disposant d’un programme formel de cybersécurité peut tirer parti du CTEM, et son adoption devient de plus en plus courante. Ainsi, une étude récente de Gartner portant sur 247 organisations a révélé que 29 % avaient déjà mis en place un programme CTEM, et que 46 % supplémentaires étaient en cours de développement – soit un taux de pénétration de 75 % du CTEM dans ces organisations.
De la même manière, XM Cyber constate que de nombreux types d’organisations utilisent notre solution pour soutenir leur programme CTEM, parmi lesquelles :
- Une grande compagnie d’assurance américaine, franchissant une étape supplémentaire au-delà des scanners de vulnérabilités et des antivirus.
- Une importante autorité portuaire internationale, cherchant à mieux comprendre et contrôler sa posture de sécurité, potentiellement impactée par plus de 100 administrateurs locaux.
L’un des plus grands distributeurs au monde, avec plus de 500 000 employés, qui améliore l’efficacité de la remédiation et renforce la coordination entre les équipes de sécurité et les équipes IT.
Pourquoi choisir XM Cyber pour le CTEM ?
XM Cyber propose l’approche la plus complète de la gestion continue des expositions (CTEM). En tant que seule solution couvrant les 5 étapes du CTEM, elle aide les organisations à mettre en place une approche proactive, fondée sur le risque et adaptée, alignant la sécurité sur les objectifs métier. Voici comment :
Scoping (Définition du périmètre) – XM Cyber cartographie les processus métier critiques avec les actifs IT sous-jacents pour prioriser les expositions selon leur risque pour l’entreprise.
Discovery (Découverte) – Identification de toutes les vulnérabilités CVE et non-CVE (mauvaises configurations, risques liés aux identités, sur-autorisations), dans les environnements on-premise et cloud, et sur les surfaces d’attaque internes et externes.
Prioritization (Priorisation) – Priorisation plus rapide et plus précise, basée sur l’Attack Graph Analysis™ propriétaire qui exploite l’intelligence sur les menaces, la complexité des chemins d’attaque, le nombre d’actifs critiques compromis, et l’identification des points de concentration ( Choke Points ) menant à plusieurs chemins d’attaque.
Validation – Vérification de l’exploitabilité des vulnérabilités dans un environnement donné et du bon paramétrage des contrôles de sécurité pour les bloquer.
Mobilization (Mise en œuvre) – Amélioration de la remédiation grâce à un focus sur les Choke Points , des preuves contextuelles, des recommandations de correction et des alternatives. La plateforme est également intégrée aux outils de ticketing, SIEM et SOAR, afin de suivre l’avancement de la remédiation.
Comment le CTEM se distingue-t-il des exercices de Red Team ?
Les exercices de Red Team sont réalisés afin d’atteindre des objectifs spécifiques, comme évaluer la capacité d’attaquants à accéder à des applications critiques pour l’entreprise. Selon IBM, le Red Teaming « se concentre fortement sur l’émulation d’un acteur de menace avancé en utilisant la furtivité, en contournant les contrôles défensifs établis et en identifiant les lacunes dans la stratégie défensive de l’organisation. La valeur de ce type d’engagement provient d’une meilleure compréhension de la façon dont une organisation détecte et répond aux attaques réelles. »
Les exercices de Red Team sont utiles pour (a) identifier et découvrir un ou plusieurs chemins d’attaque particuliers vers les actifs critiques et (b) tester la capacité des défenseurs à détecter les attaquants. Cependant, il s’agit d’exercices manuels, coûteux et menés seulement de façon périodique. Ils ne révèlent pas non plus tous les chemins d’attaque possibles, ni ne priorisent les correctifs nécessaires pour les prévenir. En d’autres termes, ils sont adaptés pour tester les défenses existantes, mais peu efficaces pour fournir des recommandations régulières et complètes en matière de posture de sécurité.
Contrairement aux exercices ponctuels de Red Team, le CTEM offre une analyse continue et holistique des défenses, il priorise les efforts de remédiation pour les renforcer et il suit les améliorations dans le temps.