EASM : un marché naissant, mais déjà dynamique

Fin avril 2022, Tenable annonçait le rachat de Bit Discovery. Dans un communiqué de presse, l’éditeur, spécialiste de la gestion des vulnérabilités, indiquait vouloir ainsi compléter son portefeuille pour proposer à ses clients « une vue différenciée à 360 degrés de la surface d’attaque moderne – tant à l’intérieur qu’à l’extérieur » – afin d’identifier et d’éliminer les zones de risque de sécurité connues et inconnues.

Concrètement, Tenable veut intégrer les outils de Bit Discovery à « l’ensemble de son portefeuille – de la gestion des vulnérabilités d’entreprise à Nessus, du cloud à la technologie opérationnelle (OT) et à l’identité ». De quoi permettre à ses clients de disposer d’une vision complète de leur posture de sécurité et, notamment, des vecteurs d’intrusion qu’ils sont susceptibles d’exposer.

Cette approche s’inscrit dans la continuité d’autres acquisitions, à commencer par celle d’Alsid : celle-ci permet à Tenable de prendre en compte les risques spécifiquement liés à l’environnement Active Directory. Mais il faut également considérer deux autres rachats : Indegy pour les systèmes opérationnels et industriels, et Accurics pour les déploiements en environnement d’infrastructure as code (IaC).

Yaniv Bar-Dayan, co-fondateur et PDG de Vulcan Cyber, comprend bien l’intérêt de l’approche. Mais pour lui, Tenable « se concentre sur un problème dans l’infrastructure », tandis que sa jeune pousse mise sur la gestion du risque de manière holistique et suivant l’angle des processus. Une approche plus complémentaire que concurrente.

D’une certaine manière, le domaine de la gestion de la surface d’attaque exposée (External Attack Surface Management, EASM) présente des recouvrements avec celui de la notation de la posture de sécurité, du moins pour les approches basées sur l’analyse technique de ce qui est exposé, sur Internet, par l’entreprise.

La jeune pousse française Stoïk, courtier en assurance, s’appuie ainsi sur un balayage externe de ce qu’expose son prospect sur Internet : il s’agit d’évaluer, de l’extérieur, et de manière aussi automatisée que possible, la posture de sécurité du prospect.

Cette approche se retrouve aussi chez Cyquant, fondé en 2018 par Thierry Murté à Zurich : Cyquant mise sur une plateforme qui va aider à identifier les faiblesses. Cela passe notamment par l’analyse de rapports de vulnérabilités comme ceux que peuvent produire les outils de Qualys ou encore un OpenVas. De là, des partenariats avec des prestataires spécialisés doivent permettre d’améliorer la posture de sécurité de l’entreprise. Surtout, la plateforme de Cyquant indique comment la mise en œuvre de mesures de prévention complémentaires peut affecter le montant de la prime d’assurance.

De son côté, Moody’s a mis fin, en septembre 2021, à son aventure avec Team8 entamée en 2019. Mais pas question de jeter le bébé avec l’eau du bain. Moody’s a noué un partenariat avec BitSight. Dans le cadre de celui-ci, l’agence de notation a investi 250 millions de dollars sur la jeune pousse spécialisée dans la quantification du risque cyber.

Ce chèque a notamment permis à BitSight de racheter VisibleRisk, la co-entreprise que Moody’s avait créée avec le fonds d’investissement Team8 en 2019, avec l’ambition d’établir une norme internationale d’évaluation et de quantification du risque informatique. Moody’s et Team8 avaient annoncé, mi-mai 2021, avoir finalisé l’investissement de 25 millions de dollars dans VisibleRisk.