Surveillance de la surface d'attaque : le guide définitif 2022

le 06 juillet, 2022

Les initiatives de transformation numérique généralisées au cours de la dernière décennie signifient que la plupart des environnements informatiques sont plus complexes et hétérogènes que jamais. Le cloud computing, les machines virtuelles sur plusieurs systèmes d'exploitation et les modalités de travail à distance sont des éléments d'infrastructure fondamentaux qui brouillent la frontière entre le réseau interne et l'Internet externe dans la plupart des organisations. Du point de vue de la cybersécurité, les périmètres de réseau dissous et les niveaux élevés de dynamisme du réseau étendent rapidement la surface d'attaque externe et rendent plus difficile la défense adéquate contre les menaces. 

Une visibilité constante sur l'évolution de votre surface d'attaque est une étape essentielle pour tenir à distance les cybermenaces d'aujourd'hui. Mais les efforts manuels pour cartographier et suivre votre surface d'attaque ont peu de chances de réussir en raison des contraintes de ressources. Les entreprises ont besoin d'une surveillance dédiée et unifiée de la surface d'attaque pour avoir une visibilité sur les vulnérabilités émergentes, les faiblesses, les erreurs de configuration et d'autres risques. Cet article fournit un guide définitif sur la surveillance de la surface d'attaque, y compris ses avantages, les types de risques atténués, etc. 

Qu'est-ce que la surveillance de la surface d'attaque ?

La surveillance de la surface d'attaque est une approche de sécurité proactive qui offre une visibilité constante sur les vulnérabilités, les faiblesses, les fuites de données et les erreurs de configuration qui émergent dans votre surface d'attaque externe. La surface d'attaque externe est le nombre total d'actifs numériques exposés aux acteurs de la menace et accessibles via Internet. Les pirates peuvent tenter d'entrer dans votre réseau par l'un de ces points, il est donc essentiel d'avoir le point de vue d'un tiers malveillant sur ce à quoi ressemble votre surface d'attaque. 

Les efforts manuels pour surveiller les surfaces d'attaque dépendent généralement de l'utilisation de plusieurs outils pour couvrir de nombreux canaux différents. Le résultat est généralement une couverture incomplète. Les solutions de surveillance de surface d'attaque dédiées tentent de fournir une visibilité sur l'évolution de votre surface d'attaque à travers une seule fenêtre. 

La surveillance de la surface d'attaque est un principe central d'une approche plus large de gestion de la surface d'attaque qui implique également la découverte, l'inventaire et la classification des actifs. Des solutions autonomes sont disponibles qui se concentrent uniquement sur la surveillance de la surface d'attaque, mais il est plus courant que la surveillance s'intègre dans une solution de gestion de la surface d'attaque plus complète qui automatise d'autres étapes importantes, notamment la découverte et l'inventaire des actifs. 

A étude récente a souligné la nécessité d'une surveillance de la surface d'attaque en constatant que 43 % des organisations ont admis que leur surface d'attaque échappe à tout contrôle et que 62 % ont des angles morts de surface d'attaque qui entravent la sécurité. 

Alors, quelles sont les fonctions spécifiques de la surveillance de la surface d'attaque qui peuvent combler ces lacunes de visibilité et réduire les cyber-risques ? Voici quelques caractéristiques communes à ces solutions. 

  • Un moteur de détection qui génère des alertes en temps réel lorsque des changements risqués sont détectés, comme une mauvaise configuration qui ouvre un bucket de stockage cloud à toute personne disposant du lien, des certificats SSL expirés ou non sécurisés, des ports ouverts, des vulnérabilités logicielles ou même des fuites de code source dans dépôts comme Github. 
  • Surveillance basée sur des règles qui tient compte des violations de conformité potentielles lors du déclenchement d'alertes.
  • Surveillance continue des applications Web, des services et des API pour détecter les vulnérabilités que des tiers pourraient exploiter. 

Quels actifs une solution de surface d'attaque complète doit-elle surveiller ? 

En général, toute solution complète doit surveiller au minimum les actifs suivants pour détecter les vulnérabilités, les erreurs de configuration et d'autres risques de sécurité :

  • Cloud computing sur les services de cloud public, y compris le stockage, les applications SaaS et l'infrastructure à laquelle vous accédez et que vous configurez en fonction de vos besoins personnalisés, comme l'hébergement d'une application. 
  • Infrastructure du site Web de l'entreprise (comptes d'hébergement, certificats SSL, systèmes de gestion de contenu).
  • Toute l'infrastructure d'applications Web, y compris les bibliothèques, les dépendances, les API et les serveurs Web.
  • Ressources informatiques fantômes que les employés utilisent sans l'approbation des services informatiques centraux. Cela inclut les appareils personnels physiques, les applications de messagerie ou de collaboration et les services de stockage cloud personnels. Les solutions complètes de gestion des surfaces d'attaque externes incluent généralement des fonctionnalités qui permettent de découvrir ces ressources, de les faire sortir de l'ombre et de les rendre visibles afin qu'elles puissent être cartographiées et surveillées.  
  • Infrastructure de travail à distance, qui comprend les ordinateurs portables des employés se connectant au réseau de l'entreprise et les applications VPN ou RDP qui fournissent une connectivité réseau interne. 


Il existe un argument solide selon lequel les organisations devraient considérer les informations d'identification des employés comme un type d'actif qui doit être surveillé. Après tout, ces informations d'identification pourraient se retrouver sur le dark web, où les pirates les achètent et les utilisent pour pénétrer dans votre réseau. De nombreuses solutions de surveillance de surface d'attaque n'étendent pas leurs capacités pour surveiller les informations d'identification... nous verrons plus tard en quoi Flare diffère à cet égard.

Avantages d'une surveillance efficace de la surface d'attaque

La perspective extérieure-intérieure qu'offre la surveillance de la surface d'attaque est inestimable pour gérer efficacement les risques de cybersécurité. Lorsque vous voyez ce que les acteurs malveillants voient, il devient beaucoup plus clair quels types de vulnérabilités et de mauvaises configurations posent les risques les plus immédiats pour vos données et vos applications. 

L'alerte en temps réel et la surveillance continue permettent une correction beaucoup plus rapide par rapport aux analyses de vulnérabilité ad hoc ou planifiées traditionnelles que les organisations exécutent. De plus, étant donné que la surveillance de la surface d'attaque se concentre sur plus de risques que les vulnérabilités typiques, la couverture est beaucoup plus grande. 

Les fuites ou expositions de données ne deviennent des incidents de violation à grande échelle que lorsqu'un tiers non autorisé accède et/ou télécharge les informations. Ces fuites offrent aux acteurs de la menace des fruits à portée de main, et c'est généralement une course contre la montre avant que quelqu'un ne trouve des données exposées sur Internet. Dans un monde de surveillance réglementaire accrue où diverses réglementations protègent les données des clients et les violations de données coûtent plus de 4 millions de dollars, il est essentiel de mettre en place des processus pour détecter les types d'erreurs qui exposent les données sensibles. La surveillance de la surface d'attaque fournit la détection rapide nécessaire pour corriger les erreurs de configuration qui exposent les données. 

Incidents très médiatisés que la surveillance de surface d'attaque aurait pu atténuer 

Pour mieux comprendre la puissante différence que la surveillance de la surface d'attaque peut apporter à vos cyberdéfenses, il est utile d'analyser quelques incidents de sécurité récents très médiatisés et de souligner comment une surveillance dédiée de la surface d'attaque aurait pu les atténuer. 

Mauvaise configuration de Securitas S3

En janvier 2022, site de recherche sur la cybersécurité et d'examen des produits techniques SécuritéDétectifs fait état d'une importante fuite de données affectant Securitas. La société fournit des services de sécurité, y compris la sécurité des aéroports, dans plus de 50 pays. 

La fuite en question provenait d'un compartiment cloud AWS S3 exposé qui n'était pas sécurisé sans aucune authentification par mot de passe. Les informations exposées comprenaient des données sensibles sur les employés des aéroports en Colombie et au Pérou. Avec un million de fichiers, cette fuite de données a totalisé 3 téraoctets de données.

On ne sait toujours pas si des acteurs de la menace ont réussi à trouver et à télécharger les données exposées. Mais il est probable que la mauvaise configuration du cloud soit passée inaperçue chez Securitas pendant un temps considérable. Avec une solution efficace de surveillance de la surface d'attaque en place qui surveille les actifs cloud pour les risques de sécurité, l'équipe informatique de Securitas aurait reçu une alerte immédiate concernant cette mauvaise configuration et aurait été en mesure d'atténuer rapidement le risque.

Compromis VPN du pipeline colonial


Un arrêt forcé en raison d'une attaque de Rançongiciels sur The Colonial Pipeline a été l'un des incidents de sécurité les plus discutés en 2021. Le point d'entrée initial qui a conduit à des pénuries de gaz provoquées par la panique est venu d'un système VPN hérité qui a été piraté en compromettant le compte d'un utilisateur inactif avec une fuite de mot de passe. 

Beaucoup de choses ont été dites et écrites sur cet incident, mais la véritable cause est passée quelque peu sous le radar. Il est essentiel de garder à l'esprit que les VPN sont des actifs numériques exposés à Internet sur lesquels les cybercriminels se concentrent souvent, en particulier dans un paysage où les travailleurs à distance utilisent ces services pour se connecter aux réseaux de l'entreprise. 

Étant donné que cet ancien compte VPN appartenait à un utilisateur inactif, une surveillance complète de la surface d'attaque aurait alerté le service informatique du risque de ce compte. Déprovisionner rapidement le compte ou révoquer l'accès en réponse à cette alerte à haut risque aurait empêché l'incident et ses retombées ultérieures.

Flare : gestion de la surface d'attaque externe 

Notre plate-forme fournit toutes les fonctionnalités que vous attendez d'une gestion de surface d'attaque externe, mais avec des capacités de surveillance supplémentaires. Reflétant le fait que les informations d'identification des employés continuent de fournir une voie d'entrée dans les réseaux d'entreprise, Flare surveille le dark web, Pastebin et d'autres sources externes pour les informations d'identification divulguées lors de violations précédentes. Vous pouvez ensuite empêcher les violations de données en réinitialisant les comptes susceptibles d'être compromis.     Obtenez votre démo Flare aujourd'hui.

Partager l'article

Publications connexes

Tout voir
05.04.2026

Surveillance des cyberattaques directement liées au conflit militaire américano-israélo-iranien

En savoir plus
04.28.2026

Infographie : L'économie des kits de phishing

En savoir plus
04.28.2026

Liste de contrôle de démarrage rapide pour la sécurité de l'identité : Plan d'action par étapes pour les praticiens

En savoir plus