Au cours de la dernière décennie, les organisations ont considérablement augmenté leur surface d’exposition avec notamment la numérisation des services et l’utilisation de fournisseurs cloud.
Elles ont ainsi multiplié, par exemple, leur nombre d'adresses IP publiques pour faciliter les échanges entre leur réseau interne et Internet.
Les actifs de l’entreprise sont ainsi de plus en plus exposés en externe, certains non cartographiés, non surveillés, voire non connus des services IT ou cyber.
La surface d'attaque externe s’est ainsi étendue et va jusqu’à englober des ressources gérées par des prestataires externes. La gestion de la surface d’attaque externe, ou EASM, permet de prendre en compte ces problématiques.
L’EASM (External Attack Surface Management), ou gestion de la surface externe, est une approche de sécurité informatique qui a pour objectif de détecter, évaluer et contrôler les accès potentiels externes au réseau ou système informatique d’une organisation. L’objectif : réduire les risques d’attaques sur ce périmètre.
Qu'est-ce que l'EASM (External Attack Surface Management) ?
La surface externe d'attaque, également connue sous le nom de « surface d'attaque numérique », représente toutes les vulnérabilités potentielles qu'un attaquant peut cibler depuis l'extérieur de l'entreprise pour tenter d'en compromettre la sécurité. Ces points d'entrée peuvent inclure, par exemple :
- Les serveurs web accessibles sur Internet ;
- Les services et ports ouverts sur les pare-feux et les routeurs ;
- Les applications web et mobiles accessibles publiquement ;
- Les fuites de données confidentielles sur Internet (mots de passe, documents, …) ;
- Les réseaux sans fil ouverts ou mal configurés ;
- Les dispositifs IoT (Internet des objets) connectés au réseau ;
- Les services cloud et les comptes avec des autorisations mal configurées.
Les attaquants cherchent à identifier et à exploiter ces points faibles pour pénétrer le système d’information de l'entreprise, voler des données sensibles, perturber les opérations ou réaliser d'autres actions malveillantes. C'est pourquoi il est essentiel pour les entreprises de bien cartographier et de comprendre leur surface externe d'attaque et de prendre des mesures pour protéger leurs actifs en comblant les failles de sécurité et en mettant en place des mécanismes de protection appropriés.
Des cartographies, des tests d’intrusion et des audits de sécurité sont souvent effectués pour évaluer la surface externe d'attaque et identifier les vulnérabilités avant qu'un attaquant ne puisse les exploiter.
EASM, ASM : quelles différences ?
À l’instar de l’EASM, la gestion de la surface d’attaque, ou ASM, est une stratégie de cybersécurité visant à repérer, évaluer et gérer les vulnérabilités ou points d’accès potentiels d’un système informatique, dans le but de diminuer les risques d’attaques. Dans son essence, l’ASM a pour principal objectif de cerner la surface d’attaque globale. Pour cela, il faut se placer du point de vue d’un attaquant et utiliser les mêmes méthodes que ce dernier pourrait utiliser. Il faut ainsi décrire les vecteurs d’attaques pouvant être exploités par les cybercriminels, que ce soient des failles de sécurité dans des applications web, des pare-feux, des systèmes d’exploitation voire même des dispositifs IoT. L’ASM permet aussi de se prémunir des attaques par social engineering - notamment le phishing - ainsi que des attaques physiques - lorsqu’un attaquant pénètre dans les locaux de l’entreprise cible.
De son côté, l’EASM ne concerne que les vulnérabilités et les risques externes, donc exposés sur internet. À partir du moment où la surface d’attaque est déterminée, l’ASM peut être mobilisée pour évaluer les risques inhérents à chaque point d’accès, mais aussi pour hiérarchiser les actions de sécurité qui permettent de les contourner. Vous l’aurez compris, l’ASM et l’EASM sont deux approches de cybersécurité assez similaires voire parfois confondues, ne se distinguant majoritairement que sur le périmètre de leurs actions.
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Lyse, Nancy, Natacha, Nicolas, PierreG, Sébastien, Yann, et bonne visite !