Tribune par Vladimir KOLLA, COO et co-fondateur de Patrowl
Les prévisions et les études du Gartner ont le mérite de l’exhaustivité. Mais ses choix éditoriaux et ses méthodes de classement peuvent parfois favoriser une certaine confusion. Son Hype Cycle for Security Operations 2022 est une illustration frappante du conflit qui se joue entre choix technologiques, positionnement et aptitudes d’entreprises. Un exemple avec la technologie émergente de l’EASM.
Vous avez dit EASM ?
EASM, pour External Attack Surface Management est, selon le Gartner, un ensemble de processus, de technologies et de services visant à découvrir tous les actifs et les systèmes d’une entreprise exposés sur Internet et dont les éventuelles vulnérabilités connues (CVE) peuvent être utilisées pour propager une cyberattaque.
Concrètement, c’est une cartographie du patrimoine numérique de l’entreprise exposé sur Internet. Ce patrimoine est d’une extrême variété : sites internet et landing pages, services d’accès distant (VPN), API, serveurs, bases de données, configuration de services Cloud, IoT, etc. L’EASM a pour objet de dresser la liste d’une petite partie des vulnérabilités connues de ces actifs.
Et parce que ces vulnérabilités sont le vecteur de la moitié des cyberattaques recensées dans le monde, (l’autre étant principalement le phishing à travers l’usurpation d’identité et les mails frauduleux), elles représentent un enjeu fort.
L’EASM n’est apparue au Hype Cycle for Security Operations qu’en 2021. En 2022, Gartner classe la technologie dans la catégorie Innovation Trigger, lui donnant entre 5 et 10 ans pour qu’elle se fasse une place en entreprise. Toutefois, le cabinet souligne la nécessité, pour les responsables, de déployer d’importantes compétences internes afin de traiter l’information obtenue, insistant sur une maturité avérée des équipes pour tirer pleinement parti de la solution. En ces temps d’embauche passablement ralentie, la précaution peut faire sourire.
L’EASM n’est pas une solution cybersécurité d’entreprise
Le principal reproche que l’on doit faire à ce Hype Cycle 2022 est de considérer l’EASM comme une solution technologique à part entière, autonome et aboutie, à disposition des équipes IT les plus rodées et robustes. La courbe Hype Cycle place d’ailleurs le management de surface d’attaque externe au même niveau d’exploitation que le SIEM ou l’Exposure management ou encore le Pentest as a Service. Au point d’ailleurs que les experts du Gartner soulignent la difficulté de différencier les offres du marché.
Pourtant, le positionnement de l’EASM est très clair et dispose d’un champ d’action circonscrit : il cartographie en continu les actifs exposés sur Internet d’une entreprise et dresse la liste d’une partie des vulnérabilités connues associées. C’est déjà beaucoup mais c’est tout. Il ne peut pas identifier toutes les failles existantes, ne les hiérarchise pas selon leur criticité et fournit encore moins d’axes de remédiation.
En pratique, l’EASM à l’œuvre dans une entreprise Grand Compte affiche en quelques heures des milliers, parfois des centaines de milliers d’informations, truffées de faux positifs, et dont une très faible part porte réellement sur les vulnérabilités. Si les résultats n’aboutissent pas à provoquer une crise cardiaque collective, ils n’auront pas d’autre effet, car les filtres et les requêtes que les équipes mettront en œuvre seront insuffisants pour gérer la complexité du traitement. L’EASM leur propose une mission proche de l’impossible.
En intégrant l’EASM dans son Hype Cycle, le Gartner fait donc une confusion de taille. Cette technologie n’est pas destinée à l’entreprise. Elle est réservée aux prestataires de cybersécurité capables d’en intégrer la plus-value dans une offre globale qu’ils auront éditée.
Une seconde poubelle numérique insoupçonnée
Ce que l’EASM fait apparaître, c’est l’extrême étendue des interactions des collaborateurs d’une entreprise (tous métiers confondus) avec les nouveaux outils de développement et de déploiement en libre accès. À ce jour, deux entreprises sur trois n’ont pas encore découvert à quel point elles sont exposées et fragiles. On pourrait comparer la situation à une grande poubelle dans le jardin dont personne n’a encore soulevé le couvercle, les responsables sécurité étant déjà bien trop occupés à trier celle de la cuisine.
Une fois descellée, la poubelle du jardin se révèle une véritable décharge numérique à ciel ouvert, regorgeant de centaines de petites applications et de bouts de code bricolés en douce, dépourvus du tampon sécurité ad hoc, introduits en ligne grâce aux multiples fonctionnalités et à la puissance des grandes plateformes ayant inondé le marché.
On mesure alors l’inexistence de protocoles ou de processus de sécurité qui auraient permis de contrôler l’effervescence des nouveaux usages. Les solutions SaaS ont complètement fait sauter les barrières et les règles les plus élémentaires de protection. L’EASM a au moins le mérite de provoquer une prise de conscience profitable et d’engager une réflexion en interne sur les mesures à prendre pour contrer cette prolifération.
Au-delà, ce n’est plus du ressort du RSSI. L’EASM est un outil d’éditeur, pas la panacée d’un arsenal interne. En entretenant cette confusion, le Gartner maintient les services IT dans l’erreur et les prive de l’accès à des solutions globales autrement plus adaptées à leurs besoins immédiats de gain de temps et de réactivité face aux menaces.