L’approche CTEM de Gartner propose une stratégie proactive qui intègre IAM et renforce les politiques de sécurité en s’attaquant aux vulnérabilités avant leur exploitation. Par une surveillance constante, cette méthode structurelle réduit les surfaces d’attaque et protège les actifs critiques au sein des réseaux hybrides modernes.
Avons-nous besoin d’un nouveau cadre de cybersécurité ? Selon Gartner, la réponse est oui. Depuis 2022, Gartner promeut la CTEM (continuous threat exposure management), une approche en cinq étapes, conçue pour réduire les surfaces d’attaque et minimiser l’exposition aux menaces cyber grâce à une évaluation continue des risques et à des stratégies d’atténuation. Au cœur de la CTEM, l’idée est pour les responsables de la cybersécurité des entreprises de tester régulièrement les défenses de leur infrastructure numérique afin de détecter les vulnérabilités et renforcer la sécurité à l’aide de stratégies d’atténuation des risques.
Qu’est-ce qui rend la CTEM novateur – et intéressant ?
Le changement fondamental réside dans son éloignement des approches réactives axées sur le traitement des incidents passés. Au lieu de cela, la CTEM établit un cadre de cybersécurité proactif basé sur une gestion continue des risques. Cette stratégie prospective vise à anticiper et à déjouer les futures attaques, plutôt que de simplement réagir aux failles précédentes.
Et si nous pouvions identifier et atténuer ces risques de manière proactive avant qu’ils ne deviennent des failles ? Cette position proactive définit la gestion continue de l’exposition aux menaces (CTEM).
Les 5 phases du CTEM, en pratique
Le principe de la CTEM est donc d’aider les professionnels de la sécurité à identifier les points de vulnérabilité, à les associer aux vecteurs d’attaque, à les prioriser en fonction du risque qu’ils présentent pour les données critiques, à prendre des mesures de remédiation et à suivre leur efficacité.
Un programme CTEM se compose de 5 étapes :
1/ La définition du périmètre, c’est-à-dire la définition de la surface d’attaque du réseau, incluant les limites et priorités du système.
2/La découverte, c’est-à-dire la liste et l’évaluation des actifs identifiés lors de la phase de définition pour repérer les expositions potentielles.
3/ La priorisation des actifs critiques et à hauts risques afin de planifier une stratégie de cybersécurité efficace. Le classement est crucial car il est très difficile de corriger toutes les faiblesses dans des environnements réseau en constante évolution.
4/ La validation, c’est-à-dire vérifier l’efficacité de la sécurité existante face aux risques priorisés lors de l’étape précédente.
5/ La mobilisation, qui consiste à éduquer correctement toute l’équipe de sécurité sur les objectifs du programme et le plan de remédiation.
L’IAM : base de la cybersécurité et point de départ du CTEM
La gestion des identités et des accès (IAM) est au cœur de la sécurité des organisations car elle garantit que les bonnes personnes accèdent aux bonnes ressources au bon moment pour accomplir leur travail, tout en empêchant tout accès non autorisé. Ce rôle unique fait de l’IAM le point de départ idéal pour l’exécution d’une stratégie CTEM globale.
L’IAM permet de définir un ensemble de règles et de politiques pour gérer les identités des employés et contrôler l’accès aux ressources. Elle est essentielle à la sécurité de l’entreprise car elle impose des techniques d’authentification appropriées telles que l’authentification 2FA ou multi-facteurs (MFA), ainsi que des techniques d’autorisation comme le principe du moindre privilège (POLP) ou encore la politique Zero Trust. Cependant, à mesure que les réseaux hybrides d’aujourd’hui deviennent plus complexes, il est essentiel de s’assurer que les pratiques IAM sont tout aussi sophistiquées et adaptables. Des stratégies IAM faibles ou obsolètes peuvent facilement créer des vulnérabilités exploitables lors de cyberattaques.
Selon le rapport DBIR 2024 de Verizon, 31 % des fuites des 10 dernières années ont résulté d’identifiants volés, tandis que l’élément humain (erreurs et attaques de social engineering) a causé 68 % des fuites en 2023. Ces chiffres soulignent des lacunes critiques dans l’IAM, nécessitant des protocoles de sécurité plus solides.
Des stratégies IAM faibles peuvent en effet rendre l’entreprise vulnérable aux cyberattaques. Cela se traduit principalement par des identifiants faibles ou volés mais aussi l’escalade des privilèges, des outils IAM obsolètes ou mal configurés ou encore une visibilité et une gouvernance insuffisantes.
Des bonnes pratiques IAM renforcées par la CTEM
Une mise en œuvre efficace de la CTEM permet d’exploiter de meilleures pratiques IAM pour renforcer la posture de sécurité de son organisation de plusieurs façons :
>> Moindre privilège : l’analyse des schémas d’accès de la CTEM permet de détecter les permissions excessives et les privilèges non utilisés accordés aux utilisateurs. Cela permet de peaufiner les politiques d’accès et de supprimer les permissions inutiles, et d’appliquer plus efficacement le principe du moindre privilège.
>> Zero trust : la CTEM aide à mettre en place des politiques d’authentification strictes en vérifiant régulièrement tous les utilisateurs et dispositifs, même au sein du réseau. L’évaluation constante des anomalies d’identité et d’accès aide à maintenir une approche « ne jamais faire confiance, toujours vérifier ».
>> MFA : la CTEM permet d’identifier les points d’entrée et comptes à haut risque qui pourraient être exploités en l’absence de MFA. Ces informations permettent d’utiliser stratégiquement la MFA là où elle est le plus nécessaire.
CTEM et gestion des accès privilégiés (PAM)
La CTEM demande également de surveiller les comptes privilégiés, qui sont les principales cibles des attaquants. Identifier les vulnérabilités dans les accès privilégiés, permet de mettre en place des contrôles plus stricts et une surveillance continue pour réduire le risque de fuites.
Gartner estime qu’à l’horizon 2026, les entreprises qui intégreront un programme CTEM robuste dans leurs pratiques de cybersécurité pourront réduire de 66 % la probabilité d’une fuite.
Se concentrer sur la gestion des expositions plutôt que sur les incidents est le meilleur moyen d’obtenir une posture de sécurité solide pour ses actifs critiques. En revanche, mettre en place une IAM avec des règles et des politiques statiques et attendre un incident de sécurité peut nuire à gravement à l’organisation tant d’un point de vue financier que sur la réputation.
L’IAM est un processus dynamique nécessitant une surveillance et un raffinement continus, ce que le programme CTEM peut facilement fournir. Son cadre structuré en 5 étapes pour identifier et gérer les vulnérabilités permet d’améliorer les pratiques IAM et de les aligner sur des environnements hybrides en constante évolution et un paysage de menaces tout aussi changeant.
Il est temps d’explorer les avantages du CTEM et d’en savoir plus sur son potentiel à renforcer la sécurité de votre royaume numérique.
______________________________
Par Hicham Bouali, Directeur Avant-Ventes EMEA de One Identity
puis