Dans un monde où le système d’information doit être de plus en plus ouvert, de plus en plus multi-Cloud, gérer la surface d’attaque devient un véritable défi. L’ASRM apporte des outils adaptés pour gérer cette complexité nouvelle.
La protection d’un système d’information moderne est très éloignée du modèle « château fort » d’antan. Nous seulement une informatique moderne se doit d’être ouverte, accessible en télétravail ainsi que via des API, mais celle-ci est désormais très largement hybride, avec des ressources IaaS, PaaS et SaaS dans le Cloud en communication en quasi-temps réel avec des sources on-premise. Conséquence directe de ces évolutions architecturales, sa surface de contact avec l’extérieur et, par extension, sa surface d’attaque s’est très largement élargie. Ajoutons à cela les fusions/acquisitions, les multiples filiales qui disposent de leurs propres systèmes et la gestion de cette surface d’attaque constitue un véritable enjeu de sécurité. Il n’est pas rare que ce soit à l‘occasion d’un PenTest ou d’une véritable tentative d’attaque que l’entreprise redécouvre des assets oubliés…
Une solution ASRM assure globalement 3 grandes fonctions : D’une part compiler toutes les données nécessaires pour définir précisément la surface d’attaque de l’entreprise puis l’analyser. De cette analyse, la solution va permettre d’identifier et de prioriser les vulnérabilités qui peuvent conduire à une fuite de données. Enfin, la solution va fournir un support aux équipes techniques afin d’assurer le suivi des projets de remédiation des vulnérabilités découvertes. La notion de priorisation est absolument capitale car il est illusoire de vouloir traiter toutes les vulnérabilités d’un SI moderne. La DSI doit être à même de concentrer ses ressources sur les vulnérabilités qui présentent le niveau de risque le plus élevé.
La découverte des assets doit être réalisée en continu et doit porter tant sur des ressources IT internes que sur les différents services Cloud publics sur lesquels est présente l’entreprise. Cet inventaire doit absolument être mis à jour au quotidien, en quasi temps réel. L’autre critère clé dans le choix d’une solution porte sur le niveau de faux positifs que celle-ci va générer car le niveau de bruit généré par l’outil d’analyse peut anéantir tout l’intérêt de l’approche ASRM.
