Si vous êtes un professionnel de la cybersécurité, vous connaissez probablement la mer d’acronymes dont notre industrie est obsédée. Du CNAPP, au CWPP, au CIEM et à la myriade d’autres, il semble y avoir un nouveau sigle qui naît chaque jour.

Dans cet article, nous examinerons un autre acronyme tendance – CTEM, qui signifie Continuous Threat Exposure Management – et les défis souvent surprenants qui accompagnent la réalisation d’un programme CTEM jusqu’à maturité. Bien que le concept de CTEM ne soit pas tout à fait nouveau, ayant fait ses débuts sous forme imprimée en juillet 2022, nous en sommes maintenant au point où de nombreuses organisations commencent à essayer d’opérationnaliser les programmes qu’elles ont mis en place au cours les derniers mois. Et au fur et à mesure que les organisations commencent à exécuter leurs plans soigneusement conçus, elles peuvent se heurter à des défis inattendus qui peuvent entraîner des revers.

Qu’est-ce que la gestion continue de l’exposition aux menaces (CTEM) ?

Mais d’abord, pour revenir en arrière, examinons rapidement ce qu’est et n’est pas le CTEM.

La gestion continue de l’exposition aux menaces n’est pas une technologie et vous ne pouvez pas vous adresser à un fournisseur dans l’espoir de trouver une solution CTEM (ou, du moins, pas avec un seul outil). Ce qu’est CTEM, c’est plutôt un programme ou un cadre continu en 5 étapes destiné à aider les organisations à surveiller, évaluer et réduire leur niveau d’exploitabilité et à valider que leurs processus d’analyse et de correction sont optimaux. Selon un rapport de Gartner®, « L’objectif de CTEM est d’obtenir un plan de correction et d’amélioration de la posture de sécurité cohérent et exploitable que les dirigeants d’entreprise peuvent comprendre et sur lequel les équipes d’architecture peuvent agir. » (Gartner, 21 juillet 2022, Mettre en œuvre un programme de gestion continue de l’exposition aux menaces (CTEM))

Téléchargez notre nouveau livre blanc, Établir un programme moderne de gestion de l’expositionet découvrez :

Publicité

• Pourquoi la vulnérabilité critique n’est pas synonyme de risque
• Les différents types d’expositions impactant la posture de sécurité organisationnelle
• Les principes fondamentaux d’un programme moderne de gestion de l’exposition conçu pour un paysage de risque en évolution
• Et plus!

Quels sont les objectifs du CTEM ?

Le rapport Gartner indique en outre : « Les surfaces d’attaque centrées sur la technologie et les projets d’auto-évaluation des vulnérabilités génèrent des rapports rarement mis en œuvre et de longues listes de mesures correctives génériques. Les programmes de gestion des vulnérabilités suivent rarement le volume global de leur propre organisation, ce qui entraîne une expansion rapide des attaques. superficies ». (Gartner, 21 juillet 2022, Mettre en œuvre un programme de gestion continue de l’exposition aux menaces (CTEM)) Ces facteurs, associés à d’autres facteurs clés, tels que la difficulté à maintenir la posture de sécurité au fil du temps au milieu d’une surface d’attaque en constante évolution, signifient que les méthodes traditionnelles pour assurer la sécurité de manière holistique deviennent de moins en moins efficaces.

Selon Gartner, « L’objectif de CTEM est d’obtenir un plan de correction et d’amélioration de la posture de sécurité cohérent et exploitable que les dirigeants d’entreprise peuvent comprendre et sur lequel les équipes d’architecture peuvent agir. » (Gartner, 21 juillet 2022, Mettre en œuvre un programme de gestion continue de l’exposition aux menaces (CTEM)). Lorsqu’il est correctement mis en œuvre, le CTEM peut aider les organisations à améliorer continuellement leur posture de sécurité en identifiant et en corrigeant les zones potentiellement problématiques avant qu’elles ne puissent être exploitées par des attaquants.

3 défis sur la route pour atteindre le CTEM

Fabuleux. Alors qu’est-ce que tu attends?

Tenir bon; la mise en place d’un programme CTEM est une excellente initiative – mais il y a quelques défis dans la mise en œuvre qui doivent être relevés pour que l’exécution soit réussie. Les prendre en compte plus tôt dans les étapes de mise en œuvre pourrait faire gagner du temps et de la frustration sur la route.

Défi 1 – Obtenir la non-sécurité et la sécurité sur la même page

C’est un fait bien connu que les équipes IT/infrastructure/DevOps/application… et les équipes sécurité ne parlent pas toujours le même langage ; cela est problématique à bien des égards, mais lors de la mise en œuvre de nouveaux programmes ou de nouvelles entreprises, cette déconnexion peut devenir encore plus problématique. Lors de la mise en œuvre de CTEM, cela peut se traduire par un manque de compréhension de qui de l’équipe non-sécurité possède quoi, et un manque d’alignement sur les attentes du SLA, entre autres problèmes.

Le problème ici est qu’il est difficile de communiquer pleinement le besoin, en particulier lorsque les équipes sont embourbées avec des tonnes de « URGENT ! » projets – et, pour eux, CTEM n’est qu’un autre de ces projets. Ce manque de compréhension peut les dissuader de faire réellement ce qui doit être fait.

Comment réparer – Dès les premières étapes, amenez les parties prenantes des équipes non liées à la sécurité dans la conversation. Il ne suffit pas de leur fournir une liste de choses à faire. Au lieu de cela, asseyez-vous avec eux et expliquez les objectifs que vous essayez d’atteindre afin qu’ils aient une bonne compréhension de ce qui est fait. Demandez leur avis et découvrez ce dont ils auront besoin de vous ou d’autres équipes de l’organisation pour leur faciliter la vie. De plus, partager avec eux des informations sur les cyberattaques les rendra plus conscients de l’impact commercial qu’elles pourraient avoir et de la manière dont cela se rattache à leur partie de l’entreprise.

Défi 2 – Voir à vol d’oiseau

Un programme CTEM complet couvre de nombreux domaines différents, du Cloud à l’AD, en passant par les vulnérabilités logicielles, la sécurité du réseau et pratiquement tout le reste. Chacun d’entre eux existe dans son propre silo et a ses propres propriétaires, ses propres outils et sa propre liste de problèmes à résoudre. L’objectif de CTEM est de les unir tous en une seule vue holistique, tous les domaines informant les autres. En pratique, cela signifie agréger toutes les informations et les utiliser pour comprendre les priorités et les responsabilités.

Mais obtenir une base de compréhension est difficile car chacun de ces domaines nécessite une expertise différente. La dernière chose que vous voudriez est d’avoir un programme qui a été minutieusement construit et exécuté mais qui ne comprend pas les risques que chaque domaine présente – ou pire, oublie d’inclure un domaine particulier de problème.

Comment réparer – Définissez quelqu’un comme la « personne de référence » – la personne qui peut avoir une vue d’ensemble et devenir un maître de haut niveau pour comprendre comment toutes les zones couvertes convergent et s’influencent les unes les autres. Cette personne n’a pas besoin de comprendre les moindres détails du fonctionnement de chaque outil ou de ce qu’englobe chaque catégorie de problème de sécurité, mais elle doit être capable de saisir l’intégralité de la vue d’ensemble afin de pouvoir s’assurer pleinement et précisément que tous les domaines sont pris en compte et sont continuellement traités par des professionnels qui possèdent une expertise approfondie et nuancée.

Défi 3 – Surmonter la surcharge de diagnostic

Revenons à ce point sur tous les différents domaines couverts par CTEM ; Un autre aspect important à noter est que comme ils ont tous leurs propres outils, ils génèrent tous des alertes. Et donc, alors que l’un des principaux objectifs de CTEM est de rationaliser toutes les informations provenant de ces outils, un sous-produit notable n’est qu’un tas de bruits parasites.

Comment réparer – Acceptez le fait que tout réparer est pratiquement impossible, ce qui signifie que vous devez établir des priorités et être aussi efficace que possible. Pour ce faire, concentrez-vous sur les portées et les expositions qui pourraient très probablement être exploitées par un attaquant et qui pourraient avoir le plus grand impact sur l’entreprise. Il peut être utile d’adopter l’approche « ramper, marcher, courir », c’est-à-dire commencer par des petits pas qui se concentrent sur une petite portée et l’agrandir à mesure que votre programme gagne en maturité. (Vous voulez rendre la réunion CTEM encore plus facile ? Obtenez cette liste de contrôle sur les conseils pratiques pour rationaliser le CTEM ici.)

Conclusion

Selon Gartner, « d’ici 2026, les organisations qui priorisent leurs investissements en matière de sécurité sur la base d’un programme de gestion continue de l’exposition seront trois fois moins susceptibles de souffrir d’une violation ». (Gartner, 21 juillet 2022, Mettre en œuvre un programme de gestion continue de l’exposition aux menaces (CTEM)) Et nous pensons que c’est énorme. Espérons qu’en aplanissant certains des problèmes potentiels en cours de route, votre organisation sera prête à répondre de manière transparente au CTEM.

Note: Cet article est rédigé et contribué par Shay Siksik, vice-président de l’expérience client chez XM Cyber.