La surface d’attaque des entreprises ne cesse de s’étendre avec la complexification des systèmes d’information et le développement du cloud. Dans le même temps, le paysage des menaces évolue rapidement. La cartographie continue des actifs et des risques devient indispensable pour éclairer la stratégie de cybersécurité.
Une vision dynamique du SI et de ses vulnérabilités
La cartographie CTEM vise à analyser en temps réel les relations entre :
- Les actifs critiques : applications, serveurs, postes de travail, équipements ICS/IoT.
- Les vulnérabilités : bugs logiciels, failles de configuration, non conformité à des référentiels.
- Les menaces : malwares, outils et méthodes d’attaques observées.
Contrairement à une cartographie « statique » des assets, la CTEM met en évidence l’évolution des:
- Expositions aux cyber-risques en fonction des vulnérabilités.
- Impacts métier de chaque faille ou porte dérobée.
- Potentiels de compromission des actifs et de progression des attaquants.
Une chasse aux vulnérabilités isolée ne suffit plus. La CTEM analyse précisément le contexte cyber et métier de chaque actif.
Le CTEM au service de la gestion des risques
La cartographie dynamique CTEM analyse la criticité des vulnérabilités sous un angle « business oriented » :
- Probabilité de survenue : détectabilité et facilité d’exploitation d’une vulnérabilité.
- Niveau d’impact : sensibilité des informations, gravité de l’indisponibilité etc.
Le croisement de ces deux dimensions permet de faire ressortir les scénarios de risques les plus importants, et non simplement les vulnérabilités ayant le CVSS le plus élevé.
La hiérarchisation des risques selon leur criticité métier facilite ensuite la définition de plans d’actions concrets, ciblés et mesurables pour renforcer la sécurité des assets prioritaires de l’entreprise.
Référentiel dynamique de sécurité avec le MITRE ATT&CK
Le framework ATT&CK est progressivement devenu un standard international dans l’analyse des cybermenaces. Ce référentiel, maintenu par des experts en sécurité offensive, détaille l’ensemble des tactiques et techniques utilisées par les hackers.
La cartographie CTEM s’appuie sur le MITRE ATT&CK pour :
- Enrichir les vulnérabilités détectées avec des indicateurs de compromission complémentaires: potentiel de fuite de données, possibilité d’élévation de privilèges etc.
- Analyser la surface d’attaque de l’entreprise sous un angle défensif : couverture des mesures de sécurité face aux TTP des attaquants.
- Simuler des scénarios de cyberattaques pour identifier les chemins de compromission prioritaires à traiter.
L’application SCUBA intègre par exemple un moteur MITRE ATT&CK pour évaluer la criticité des vulnérabilités selon ce standard international.
Piloter sa performance de cybersécurité
Au delà de l’évaluation ponctuelle des risques, la démarche CTEM vise à mesurer dans la durée l’évolution du niveau global de cybersécurité de l’entreprise.
Des indicateurs de suivi permettent de piloter au plus juste les investissements dans la protection des actifs critiques :
- Taux de couverture des vulnérabilités par famille de risques
- Délai de remédiation pour les failles prioritaires
- Score de sécurité par segment du SI
- Maturité cybersécurité au regard des bonnes pratiques
Une analyse des écarts régulière entre la cible de sécurité et l’état de l’exposition aux menaces aide le RSSI à adapter le budget, les ressources et la feuille de route cybersécurité aux enjeux business de l’organisation.
La démarche CTEM s’inscrit ainsi dans une amélioration continue de la posture de sécurité, gage de résilience face à l’accélération des cyberattaques.