Les équipes de sécurité n’ont jamais eu autant de données à leur disposition. Et pourtant, les questions fondamentales restent sans réponse. Le CTEM tContinuous Threat Exposure Management) est-il la solution ou un nouveau mot à la mode ?
Il y a quelque chose de paradoxal dans la situation actuelle des équipes de cybersécurité. Jamais elles n’ont disposé d’autant d’outils, de flux de menaces, de données sur les vulnérabilités. Et pourtant, les questions qui comptent vraiment restent, dans la plupart des organisations, sans réponse satisfaisante : quelles expositions sont réellement importantes pour nous ? Telle faille est-elle exploitable dans notre environnement spécifique ? Nos contrôles fonctionnent-ils vraiment face aux techniques utilisées par nos adversaires ? Nous sommes riches en bruit, pauvres en signal.
C’est précisément ce problème que prétend résoudre le Continuous Threat Exposure Management, ou CTEM, qui est un cadre méthodologique promu depuis 2022 par le Gartner, et qui s’est rapidement imposé comme l’un des concepts les plus discutés de l’industrie de la sécurité. Selon Gartner, 60 % des organisations ont déjà initié ou envisagent sérieusement un programme CTEM. Mais entre l’engouement et la réalité opérationnelle, le fossé est souvent large.
Du scan à la gestion de l’exposition : pourquoi le paradigme change
Pendant des années, la gestion des vulnérabilités a fonctionné selon un schéma bien rodé : scanner l’ensemble du parc, prioriser par score CVSS, générer des listes de correctifs, déléguer aux équipes techniques. Ce modèle a le mérite de la systématique. Il a aussi un défaut majeur : il favorise l’exhaustivité au détriment de la pertinence.
Le résultat est connu : des files d’attente de remédiation qui s’allongent indéfiniment, des équipes submergées, et des expositions véritablement critiques noyées sous des milliers de résultats de faible importance. En 2024, plus de 40 000 CVE ont été publiées. Aucune organisation ne peut traiter intelligemment un tel volume. Pire, cette approche ne répond pas à la vraie question : parmi toutes ces vulnérabilités, lesquelles sont réellement exploitables dans mon environnement, par mes adversaires réels, avec les contrôles que j’ai en place ?
C’est là que la notion d’exposition prend tout son sens. Gérer l’exposition, ce n’est plus seulement recenser les failles : c’est comprendre ce qu’un attaquant peut réellement atteindre et exploiter, en tenant compte du contexte : criticité des actifs, sensibilité des données, conséquences d’une compromission. Cette vision enrichie permet une évaluation des risques qui fait enfin sens pour les métiers, pas seulement pour les équipes techniques.
Le renseignement sur les menaces : du flux à la décision
L’une des évolutions les plus structurantes portée par l’approche CTEM est la place centrale accordée au renseignement sur les menaces, la Cyber Threat Intelligence (CTI). Non plus comme source d’information supplémentaire, mais comme moteur de priorisation.
Les recherches de Gartner l’indiquent : 94 % des vulnérabilités ne sont jamais exploitées. Traiter toutes les CVE avec la même urgence est donc, par définition, une mauvaise allocation de ressources. La CTI permet de se concentrer sur les 6 % qui comptent : celles qui sont activement utilisées dans des campagnes, par des groupes dont le profil correspond à votre secteur, votre géographie, vos technologies.
Le point de départ d’une approche saine est donc la définition de priorités en matière de renseignement (PIR), c’est-à-dire les questions stratégiques propres à l’organisation : quels adversaires nous ciblent ? Quelles techniques utilisent-ils ? Quels actifs défendre en priorité ? À partir de ces questions, la CTI devient un filtre, et non plus un flux. Elle connecte les vulnérabilités aux tactiques, techniques et procédures (TTP) observées dans les campagnes actives, et rend les décisions de remédiation défendables devant la direction.
La validation continue : prouver, pas supposer
Identifier et prioriser ne suffit pas. Encore faut-il valider que les contrôles en place fonctionnent réellement. C’est l’apport de la validation continue de la sécurité et c’est là que le CTEM marque une rupture nette avec les approches traditionnelles.
Les méthodes classiques d’évaluation telles que les tests d’intrusion ponctuels et les simulations de violations statiques ont leur utilité. Mais elles produisent des instantanés, pas une assurance continue. Or l’environnement évolue en permanence : nouvelles vulnérabilités, changements de configuration, nouvelles techniques d’attaque. Un test réalisé il y a six mois ne dit rien de la posture actuelle.
La Validation de l’Exposition Adversariale (AEV, pour Adversarial Exposure Validation) répond à ce besoin : il s’agit d’émuler de manière continue et contrôlée les techniques d’attaque réelles, et de mesurer si les contrôles les détectent, les bloquent, et déclenchent les bons processus de réponse. L’objectif n’est plus de produire un rapport, mais de répondre à une question opérationnelle précise : si cet adversaire tentait cette technique aujourd’hui, serions-nous capables de l’arrêter ?
Cette logique de preuve, et non d’hypothèse, transforme profondément la gouvernance de la sécurité. Les RSSI peuvent désormais présenter à leur direction non plus des indicateurs de volumétrie (nombre de correctifs appliqués, nombre de vulnérabilités détectées), mais des preuves de résilience : « nous avons émulé cette technique, notre EDR l’a manquée, nous avons ajusté la règle de détection, nous l’avons retestée, elle est désormais bloquée en moins de dix minutes. »
Outils, processus, personnes : la triade oubliée
Une erreur fréquente consiste à réduire la validation à ses dimensions techniques. Or, un outil parfaitement configuré ne protège rien si les processus qui l’entourent sont défaillants, ou si les équipes n’ont pas été entraînées à réagir sous pression.
Un SIEM bien paramétré génère des alertes. Encore faut-il que les analystes sachent quoi en faire, que les playbooks soient à jour, que les procédures d’escalade aient été testées dans des conditions réalistes, y compris au niveau de la direction et des équipes de communication, souvent oubliées dans les exercices de simulation.
Le CTEM, dans sa conception la plus complète, intègre cette dimension humaine et organisationnelle. Les exercices continus axés sur les menaces — threat-led exercises — permettent de valider non seulement que les outils fonctionnent, mais que les équipes peuvent exécuter leurs rôles avec cohérence et rapidité lorsque cela compte vraiment. C’est ainsi que la sécurité cesse d’être un ensemble de produits pour devenir une capacité organisationnelle.
Méfiez-vous du CTEM vendu en boîte
Le succès d’un acronyme du Gartner a toujours un effet pervers : il devient un argument commercial avant d’être une réalité opérationnelle. Le CTEM n’échappe pas à la règle. De nombreux éditeurs ont rapidement rebaptisé leurs offres existantes, ajoutant le terme à leurs brochures sans en avoir fondamentalement repensé l’approche.
Le point critique à comprendre est celui-ci : le CTEM n’est pas un produit qu’un éditeur peut livrer clé en main. C’est un modèle opérationnel interne que l’organisation doit concevoir, s’approprier et faire vivre. Les outils sont des facilitateurs importants, mais secondaires par rapport à la stratégie qu’ils sont censés servir.
Face à un éditeur qui revendique une offre CTEM, les bonnes questions à poser sont simples : comment hiérarchisez-vous les menaces qui comptent réellement pour mon contexte ? Quelles techniques adversariales pouvez-vous modéliser dans mon environnement ? Comment prouvez-vous l’exploitabilité, au lieu de vous contenter de lister des vulnérabilités ? Quels workflows concrets soutiennent une opération continue, plutôt que des rapports ponctuels ? Un éditeur incapable de répondre précisément à ces questions n’a probablement que la terminologie, pas la substance.
Du bruit aux résultats : la vraie promesse
Le CTEM n’a de valeur que s’il permet de passer du bruit aux résultats. L’objectif n’est pas d’adopter un nouvel acronyme, ni d’acquérir une plateforme supplémentaire. C’est de répondre en permanence, avec des preuves, aux questions qui comptent : qu’est-ce qui peut réellement nous nuire ? Comment cela se produirait-il ? Sommes-nous capables de l’empêcher ?
Cela exige plus qu’un scan élargi ou des tableaux de bord plus élaborés. Une démarche CTEM menée sérieusement, c’est une façon de piloter la sécurité : guidée par les menaces réelles, ancrée dans le contexte de l’organisation, et validée sans relâche. Moins de conjectures, moins d’indicateurs vaniteuses, et un programme de sécurité fondé sur des preuves — aligné sur les risques métier et capable de s’adapter aussi vite que les adversaires.
C’est cela, la vraie promesse du CTEM. Et elle mérite mieux qu’un habillage marketing.
____________________________
Par Neena Sharma, directrice marketing produit et client chez Filigran
____________________________
puis