Cybersécurité : qu’est-ce que la surface d’attaque exposée ?
Il s’agit de tous les actifs informationnels de l’organisation accessibles directement sur Internet et, dès lors, susceptibles de faire l’objet de tentatives de compromission par des entités malveillantes.
Beaucoup d’organisations n’ont pas conscience des services, systèmes et données qu’elles rendent accessibles sur Internet, délibérément ou pas. Et pour cause : il peut s’agir d’un modeste serveur de stockage en réseau (NAS) à quelques centaines d’euros qui aura été installé sans trop de précautions, voire du service RDP (remote desktop protocol) d’un poste de travail Windows qui aurait été activé par confort sans que personne ne s’en rende compte, ou encore d’un système cloud dont la configuration n’aura pas été durcie.
Dans une note d’information publiée en mars 2021, Gartner la gestion de la surface d’attaque externe comme un « concept émergent » qui recouvre beaucoup de choses : « les processus, technologies et services professionnels mis en œuvre pour découvrir les actifs et systèmes de l’entreprise exposés à l’extérieur qui pourraient présenter des vulnérabilités ».
Le terme de vulnérabilité est ici utilisé au sens large : il ne se limite pas aux récurrentes vulnérabilités logicielles nécessitant l’application de correctifs, mais recouvre également des défauts de configuration.
Là encore, le défaut de configuration s’entend au sens large : il peut s’agir d’un service qui aura été laissé dans sa configuration par défaut, comme d’un service directement exposé sur Internet alors que des niveaux additionnels de contrôle d’accès seraient appropriés, sinon nécessaires, pour disposer d’un niveau de sécurité satisfaisant. Par exemple, un service qui permet à un attaquant de tester des mots de passe possible en force brute, sans le ralentir graduellement pour l’empêcher de réussir, nécessite des couches de sécurité additionnelles et ne doit donc pas être exposé directement sur Internet sans elles.
Pour Gartner, l’intérêt principal de la gestion de la surface d’attaque externe (External Attack Surface Management, EASM) présente l’intérêt majeur d’offrir une visibilité sur l’organisation depuis l’extérieur. Et il ne s’agit pas de mettre à l’épreuve ses défenses comme avec un test d’intrusion, ou pentest, mais d’acquérir et maintenir une vision externe des portes existantes et celles qui, laissées involontairement et inconsciemment entrebâillées, pourraient attirer l’attention d’attaquants.
Connaître ce que l’on expose on-prem
Ceux qui connaissent les moteurs de recherche spécialisés Onyphe et Shodan n’auront aucune difficulté à appréhender l’idée de base. Ces deux moteurs de recherche parcourent les adresses IP du monde entier en continu, à la découverte des services exposés par les hôtes auxquels correspondent ces adresses. Et les surprises ne manquent pas.
Selon Gartner, il s’agit d’acquérir et maintenir une vision externe des portes existantes et celles qui, laissées involontairement et inconsciemment entrebâillées, pourraient attirer l’attention d’attaquants.
Shodan est bien connu pour aider à la découverte de webcams non sécurisées rendues accessibles – délibérément ou pas – directement sur Internet, notamment. Mais cela va bien au-delà, avec par exemple des systèmes de contrôle industriel (ICS/Scada), dont certains pourraient être détournés de leurs conditions opérationnelles nominales par malveillance. Et à cela s’ajoute toute une variété de systèmes et serveurs, par exemple de bases de données.
Onyphe et Shodan combinent cette connaissance avec ces vulnérabilités publiquement connues. Le premier permet ainsi, à partir du nom ou du nom de domaine d’une organisation donnée, de vérifier si elle expose des systèmes affectés par de graves vulnérabilités connues pour être exploitées dans le cadre de cyberattaques. Pour des raisons de sécurité évidentes, l’accès à certaines fonctionnalités du moteur de recherche est fortement restreint.
Mais aussi dans le cloud…
Mais Onyphe n’a pas manqué de permettre à des entreprises françaises de prévenir le pire. Et c’est là que le rapprochement en inventaire des actifs exposés et la gestion des vulnérabilités trouvent toute leur valeur : en aidant à accélérer le traitement des faiblesses les plus critiques.
Sur le papier, l’EASM concerne également les actifs déployés et exploités en mode cloud par les entreprises. Et l’histoire n’a pas manqué de montrer à quel point un bucket S3 aux droits mal configurés pouvait s’avérer préjudiciable. Dans cette perspective, la gestion de la surface d’attaque exposée peut aider à réduire le risque de fuite de données.
Mais cela ne s’arrête pas à cela : il faut aussi compter avec les environnements de conteneurs ou les machines virtuelles exposant un service RDP. Gartner l’indique bien dans sa note d’information : l’EASM peut ainsi compléter la gestion de la posture de sécurité cloud (Cloud Security Posture Management, CSPM) en aidant à accélérer la découverte des faiblesses et à en accélérer le traitement.
Et au-delà…
Le cabinet d’analyste a identifié trois cas d’usage additionnels pour la gestion de la surface d’attaque exposée. Tout d’abord, celle-ci peut aider une entreprise à garder un œil sur ses filiales et, ainsi, réduire le risque de survenue d’une attaque contre l’une d’elles, avec ensuite propagation au sein du groupe.
Suivant la même logique, l’EASM peut aider une entreprise à étudier la posture générale de sécurité de ses partenaires, fournisseurs comme clients. Une façon plus ou moins collective d’appréhender la cybersécurité à l’échelle d’un écosystème marqué par des interconnexions plus ou moins lâches. Accessoirement, lors de la découverte d’une cyberattaque conduite contre une entreprise, il n’est pas rare que ses partenaires cherchent à en savoir le plus et le plus vite possible afin d’estimer le risque pour eux-mêmes.
Et puis viennent les fusions et acquisitions. Là, la gestion de la surface d’attaque exposée peut aider à renforcer l’évaluation de la posture de sécurité générale des organisations concernées. C’est d’autant moins négligeable qu’une entreprise procède régulièrement à des fusions et acquisitions, alors que ces opérations impliquent des efforts d’intégration parfois difficiles à réaliser – que ce soit pour des raisons techniques, historiques ou culturelles.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
