Abraham Lincoln (répétant un bucheron) aurait répondu à la question : que feriez-vous si vous aviez seulement six heures pour abattre un arbre ? Je passerai les quatre premières à affûter ma hache.
Qu’est-ce que cela nous dit ? Que la préparation est la clé.
Vous ne pouvez pas protéger ce que vous ne connaissez pas, c’est pourquoi connaitre sa surface d’attaque est le premier pas essentiel pour la protéger efficacement.
Une surface d’attaque est l’ensemble des éléments qui peuvent être attaqués pour provoquer un incident de sécurité.
On considère généralement deux types de surface d’attaques : la surface d’attaque digitale et physique.
Alors que la surface d’attaque digitale se compose, par exemple, des web services, du réseau, des protocoles de communication, des noms de domaines… la surface d’attaque physique concerne les points d’attaques physiques contre une entreprise, comme les fenêtres des locaux, les lieux de production, voire même un incendie…
Ces deux surfaces d’attaques se recoupent et sont interconnectées ; il est tout aussi important de sécuriser l’une comme l’autre.
Dans cet article, nous nous concentrons sur la surface d’attaque du système d’information.
Elle peut être divisée en deux :
Cartographier la surface d’attaque de son SI est une tâche qui requiert de réfléchir à tous ses différents actifs et à la valeur qu’ils ont ou à laquelle ils peuvent donner accès.
Pour réaliser une cartographie de la surface d’attaque, cela nécessite :
Vous pouvez télécharger cette vue d’ensemble des principaux éléments à lister et sécuriser lorsque vous cartographiez votre surface d’attaque. Cette vue d’ensemble n’est qu’une base non exhaustive, car chaque contexte aura des éléments spécifiques à prendre en compte.
Il y a différents outils et moteurs de recherche qui existent pour faciliter cette cartographie : shodan.io, censys.io, crt.sh…
Par exemple, shodan.io permet de vérifier quels appareils de votre réseau sont accessibles depuis internet (serveurs, routeurs, imprimantes…), tandis que crt.sh permet de trouver les certificats liés à un domaine.
Connaitre sa surface d’attaque est parfois plus compliqué que l’on ne le pense à cause du Shadow IT. Le Shadow IT correspond aux appareils et outils IT utilisés par les collaborateurs sans que la DSI n’en soit informée et n’ait donné son accord. Ainsi, ces solutions ne sont pas pas contrôlées, en particulier d’un point de vue sécurité, et peuvent apporter des vulnérabilités dans le système d’information ou provoquer des fuites de données.
Certains éléments du Shadow IT peuvent remonter lors de la cartographie de la surface d’attaque (appareils connectés au réseau sans autorisation par exemple), mais pour d’autres éléments, comme des services web, cela est plus difficile à détecter.
Une fois que vous connaissez votre surface d’attaque, vous pouvez la gérer et évaluer les risques associés.
Quand la surface d’attaque est importante, l’inventaire vous aide également à prioriser les éléments à protéger.
Le but de connaitre sa surface est de pouvoir ensuite être en mesure de la réduire (lorsque possible) et de mettre en place les protections appropriées.
Avoir le moins de points d’attaques possible permet de concentrer les efforts de protection et donc de renforcer leur sécurité.
Pour réduire sa surface d’attaque, les conseils généraux sont :
Une fois que la cartographie et la réduction de la surface d’attaque ont été faites, l’étape suivante, aussi importante que les précédentes, est de la garder à jour, afin de continuer à la surveiller et à la protéger.
Pour cela, il est nécessaire de suivre les nouveaux services mis en place, les évolutions de l’infrastructure, mais également de surveiller la publication de vulnérabilités, de patchs, de correctifs… afin de les appliquer lorsque des changements concernant vos assets sont requis.
Un outil d’IT Asset Management (en français, gestions des biens IT) peut vous aider à centraliser et surveiller les informations concernant votre surface d’attaque.
