Les équipes de cybersécurité sont souvent submergées par un arriéré sans fin de vulnérabilités, mais toutes ne présentent pas un risque élevé. La gestion traditionnelle des expositions met l'accent sur l'identification et la hiérarchisation des risques, mais sans validation, les équipes passent souvent du temps à remédier à des problèmes qui ne mettent même pas en danger les actifs critiques.

Dans cette Q&A, Dr. Süleyman Özarslan, co-fondateur de Picus Security et VP de Picus Labs, explique pourquoi la validation des expositions représente la pièce manquante dans la gestion des risques. Il parle également de la manière dont les organisations peuvent dépasser les évaluations théoriques des risques pour adopter une approche plus résiliente de la cybersécurité.

Le CTEM est important pour les industries traitant des données sensibles, comme la finance, la santé, les TI et le commerce électronique. Pour les entreprises des industries réglementées, le CTEM est également un composant essentiel des exigences renforcées de sécurité et de conformité. Notez que la conformité est une base; la gestion validée des expositions assure que vous êtes réellement protégé.

Comment les organisations gèrent-elles typiquement les expositions en cybersécurité?

L'exposition en cybersécurité signifie toute vulnérabilité, mauvaise configuration ou lacune de sécurité dans l'environnement TI d'une organisation qu'un cybercriminel pourrait exploiter. Celles-ci vont des actifs IoT, des logiciels vieillissants et des systèmes non corrigés à un chiffrement faible ou des contrôles de sécurité mal configurés. Les attaquants peuvent se faufiler à travers ces brèches dans les défenses d'une organisation pour accéder aux systèmes critiques. Les organisations qui traitent proactivement ces expositions réduisent les chances de subir une violation.

Pour résoudre ces problèmes, les équipes de sécurité effectuent généralement des évaluations d'exposition, qui incluent la recherche de vulnérabilités, leur notation (par exemple, via CVSS), puis tentent de hiérarchiser la remédiation. Cependant, comme je le note souvent, cocher les bonnes cases (par exemple, corriger les bogues connus, déployer des outils de sécurité réputés et maintenir des tableaux de bord de conformité) ne signifie pas nécessairement que vous êtes réellement sécurisé. Un score de risque ou un certificat de conformité ne capture qu'un risque théorique à un moment donné. Les attaquants ne se soucient pas si vos contrôles semblent impressionnants sur papier; ils se soucient de savoir s'ils peuvent les craquer dans la réalité. C'est l'angle mort que les organisations manquent lorsqu'elles s'appuient uniquement sur des évaluations d'exposition conventionnelles.

Pourquoi une évaluation d'exposition seule ne suffit-elle pas à sécuriser le réseau d'une organisation?

Les évaluations d'exposition ne racontent qu'une partie de l'histoire. Les organisations doivent faire plus que trouver des vulnérabilités. C'est là qu'intervient la validation des expositions. Sans elle, l'évaluation d'exposition est comme diagnostiquer une maladie mais ne pas vérifier le traitement. Vous avez besoin des deux. Une vulnérabilité critique pourrait enregistrer un CVSS 9.8 terrifiant, mais si elle n'est pas réellement exploitable dans votre environnement, elle pourrait ne pas être votre plus grande préoccupation. Pendant ce temps, vous pourriez avoir une chaîne de bogues de gravité modérée qui, combinés, créent une voie réelle pour les acteurs de la menace.

La validation des expositions est lorsque les organisations continuent à tester les vulnérabilités et autres expositions qu'elles ont découvertes pour voir si les attaquants peuvent les exploiter. Cela se fait par des techniques comme les tests de pénétration automatisés et la simulation de violation et d'attaque (BAS), qui testent continuellement les contrôles de sécurité en simulant des attaques réelles pour trouver des mauvaises configurations et s'assurer que les défenses d'une entreprise font ce qu'elles sont censées faire.

Le cabinet d'analyse Gartner appelle cela "validation d'exposition adverse". En validant les expositions, les équipes de sécurité peuvent se concentrer sur les vulnérabilités exploitables plutôt que de poursuivre des problèmes qui ne présentent aucun risque réel. Cela transforme la sécurité d'un travail de conjecture basé sur des "et si" en des plans d'action confiants guidés par la résistance de vos contrôles face aux menaces réelles.

Pouvez-vous donner un exemple de la manière dont la validation d'exposition adverse fait une différence?

Disons qu'une société de services financiers effectue une évaluation d'exposition et trouve plus de 1 000 vulnérabilités. Les hiérarchiser uniquement par gravité pourrait suggérer que la plupart sont "critiques", et l'équipe pourrait passer des mois à corriger frénétiquement tout. En simulant des cyberattaques par validation d'exposition adverse, la société apprend que ses pare-feux de nouvelle génération, systèmes de prévention d'intrusion et pare-feux d'applications web protègent contre 90% d'entre eux. Au lieu de passer des mois à remédier à des vulnérabilités à faible risque, la société peut se concentrer sur le traitement des 100 vulnérabilités réellement exploitables restantes. Cette précision non seulement économise du temps et des ressources, mais place également les efforts de remédiation là où ils comptent vraiment.

Qu'est-ce qu'une stratégie de Gestion Continue des Menaces et des Expositions (CTEM), et comment la validation d'exposition adverse s'y intègre-t-elle?

Le CTEM est une approche structurée et continue conçue pour découvrir, vérifier et atténuer proactivement les menaces afin de minimiser l'exposition en cybersécurité d'une organisation. Il s'agit d'établir quelles vulnérabilités sont exploitables et de les classer en fonction des menaces réelles.

En tant que partie importante du CTEM, la validation d'exposition adverse est le pivot essentiel du simple "scoring de risque" à la "preuve de risque". En exécutant des simulations d'attaque continues dans des conditions réelles, vous vérifiez quelles menaces comptent afin de les traiter en premier. En conséquence, le CTEM ne se contente pas de cocher des cases mais renforce votre environnement en se concentrant sur les menaces les plus critiques.

Le CTEM peut-il être utilisé dans différentes industries et tailles d'entreprise?

Le CTEM fonctionne très bien pour les entreprises de toute taille ou industrie. Les idées principales — surveiller proactivement les menaces, se concentrer sur les menaces les plus risquées pour votre entreprise et itérer pour s'améliorer — s'appliquent à presque toutes les organisations.

Quelle que soit votre entreprise — une startup établissant sa présence numérique ou une grande organisation avec un écosystème TI avancé — le CTEM peut s'adapter et s'adapter à vos exigences.

Le CTEM est important pour les industries traitant des données sensibles, comme la finance, la santé, les TI et le commerce électronique. Pour les entreprises des industries réglementées, le CTEM est également un composant essentiel des exigences renforcées de sécurité et de conformité. Notez que la conformité est une base; la gestion validée des expositions assure que vous êtes réellement protégé.

L'industrie de la cybersécurité a vu de nombreux fournisseurs prétendre offrir des solutions CTEM. Quel est le risque dans cette tendance?

Le marché est saturé de fournisseurs qui présentent leurs outils existants comme des offres CTEM. Certains vont jusqu'à appeler leurs produits "CTEM alimenté par IA", ce qui est trompeur. Le risque est de croire que vous pouvez "acheter" le CTEM comme un logiciel. Le CTEM n'est pas un produit; c'est un programme avec des processus, des personnes et des technologies travaillant en tandem. Le danger est que les organisations croient qu'elles peuvent simplement acheter le CTEM pour résoudre leurs défis de gestion des expositions et n'ont pas besoin de construire un programme sur mesure qui répond à leurs besoins uniques. La raison pour laquelle Gartner crée un guide pratique pour le CTEM est que la plupart des entreprises manquent de ressources et ne sont pas préparées à mettre en œuvre un programme CTEM.

Comment une entreprise peut-elle commencer avec un programme de Gestion Continue des Menaces et des Expositions (CTEM)?

Un programme CTEM suit un processus clair et structuré composé de cinq phases clés. Dans la phase de cadrage, les équipes de sécurité doivent évaluer l'infrastructure critique et évaluer la résilience cybernétique à travers les surfaces d'attaque internes, externes et cloud. Cela prépare le terrain pour hiérarchiser les actifs critiques et définir l'objectif du programme.

Ensuite, lors de la découverte, les équipes de sécurité doivent inventorier les actifs et évaluer les profils de risque, découvrant des vulnérabilités, des mauvaises configurations et des faiblesses cachées qui pourraient affecter les opérations commerciales.

Dans la phase de hiérarchisation, les équipes doivent identifier les lacunes de sécurité, comme des attaques non détectées ou des règles de détection cassées, pour les aider à concentrer leurs efforts de remédiation là où ils seront les plus efficaces.

La phase de validation implique que les équipes testent les défenses de sécurité dans des scénarios réels à travers des simulations d'attaque contrôlées ou une émulation d'adversaire. Des outils automatisés comme le BAS et les tests de pénétration automatisés fournissent une image complète de la posture de sécurité. C'est l'essence même de se débarrasser de la fausse confiance des scores de risque théoriques et de bâtir une véritable confiance dans votre posture de sécurité. En combinant l'automatisation du BAS et des tests de pénétration avec l'objectif stratégique du CTEM, les organisations passent de simplement prétendre être sécurisées à le prouver chaque jour.

Enfin, dans la phase de mobilisation, les leaders de la sécurité doivent souligner que si l'automatisation gère les tâches de base, les vulnérabilités complexes nécessitent une intervention humaine. Cela implique une approche plus nuancée et pratique de la gestion du risque en cybersécurité.

Pour en savoir plus sur Picus Security, visitez https://www.picussecurity.com/.

Le post Q&A avec Dr. Süleyman Özarslan, Co-Fondateur de Picus Security: Pourquoi la validation des expositions est essentielle à la résilience en cybersécurité est apparu en premier sur citybiz.

Avertissement : Cette traduction a été générée automatiquement par NewsRamp™ pour citybiz (collectivement désignés sous le nom de "LES ENTREPRISES") en utilisant des plateformes d'intelligence artificielle génératives accessibles au public. LES ENTREPRISES ne garantissent pas l'exactitude ni l'intégralité de cette traduction et ne seront pas responsables des erreurs, omissions ou inexactitudes. Vous vous fiez à cette traduction à vos propres risques. LES ENTREPRISES ne sont pas responsables des dommages ou pertes résultant de cette confiance. La version officielle et faisant autorité de ce communiqué de presse est la version anglaise.