Cybersécurité : la prudence est de mise avec les directives de Gartner, comme en atteste l’exemple de l’EASM !

L’approche exhaustive de Gartner dans ses études et prévisions est incontestablement un atout, mais comme beaucoup de choses dans ce monde, elles sont loin d’être parfaites…

Prenons les choix éditoriaux et les méthodologies de classement de Gartner, qui ont tendance à engendrer parfois un flou, particulièrement palpable dans son récent « Hype Cycle for Security Operations 2022 », un rapport qui soulève des questions critiques sur l’alignement entre les innovations technologiques, la stratégie d’entreprise et les capacités opérationnelles réelles. Et à ce niveau, le cas de l’EASM, cette technologie émergente, est particulièrement éclairant… Décryptage !

EASM, qu’est-ce que c’est exactement ?

Le terme EASM, ou External Attack Surface Management, désigne selon Gartner un ensemble de processus, technologies et services qui permettent d’identifier tous les actifs et systèmes d’une entreprise visibles sur Internet, ainsi que les vulnérabilités connues susceptibles d’être exploitées dans une cyberattaque. En bref, cette technologie propose une cartographie précise du patrimoine numérique d’une entreprise, exposé sur le web.

Un patrimoine qui, rappelons-le, est extrêmement diversifié, allant des sites internet et pages d’atterrissage aux services d’accès à distance comme les VPN, en passant par les API, serveurs, bases de données, configurations de services cloud, et dispositifs IoT. L’EASM vise spécifiquement à répertorier certaines des vulnérabilités connues de ces actifs.

Etant donné que ces vulnérabilités constituent le canal de près de la moitié des cyberattaques mondiales (l’autre moitié provenant principalement du phishing via l’usurpation d’identité et les e-mails frauduleux), elles sont (naturellement !) devenues un gros enjeu de sécurité.

Introduite seulement en 2021 dans le Hype Cycle for Security Operations de Gartner, l’EASM a été catégorisée en 2022 comme « Innovation Trigger », anticipant son adoption en entreprise dans une fenêtre de 5 à 10 ans. Cela dit, Gartner met en lumière la nécessité pour les entreprises de développer des compétences internes substantielles pour analyser les données recueillies, comme un signe de l’importance d’une maturité opérationnelle pour exploiter efficacement cette technologie, surtout dans un contexte de ralentissement des recrutements.

L’EASM n’est pas une panacée en matière de cybersécurité d’entreprise !

Un des principaux griefs à l’encontre du Hype Cycle 2022 de Gartner est qu’il présente l’EASM (External Attack Surface Management) comme une solution technologique complète, autonome et aboutie, destinée aux équipes IT les plus aguerries. Dans ce cycle, l’EASM est mis sur un pied d’égalité avec des technologies comme le SIEM, le gestionnaire de l’exposition ou encore le Pentest as a Service. Les analystes de Gartner notent même la difficulté à distinguer clairement les différentes offres sur le marché.

Seulement voilà, le rôle de l’EASM est bien défini et ses limites sont nettes : il s’agit de cartographier continuellement les actifs d’une entreprise exposés sur Internet et de lister certaines vulnérabilités connues. C’est une contribution significative, mais elle reste limitée… L’EASM ne peut pas identifier toutes les failles existantes, ne les classe pas par niveau de criticité et n’offre pas de solutions de remédiation.

En pratique, lorsqu’il est déployé dans une grande entreprise, l’EASM peut en quelques heures générer des milliers, voire des centaines de milliers d’informations, y compris de nombreux faux positifs. Or, seule une infime partie de ces informations concerne réellement les vulnérabilités. Sans provoquer de crise cardiaque collective, les résultats sont souvent si complexes à gérer qu’ils deviennent inefficaces, les filtres et requêtes utilisés par les équipes étant insuffisants pour traiter efficacement ces données.

En plaçant l’EASM dans son Hype Cycle, Gartner crée donc une vraie confusion. Pourquoi ? Parce que cette technologie n’est pas vraiment destinée aux entreprises elles-mêmes, mais plutôt aux fournisseurs de services de cybersécurité qui peuvent intégrer sa valeur ajoutée dans une offre globale qu’ils développent.

L’EASM révèle une seconde poubelle numérique méconnue

Vous l’aurez compris, l’EASM met en lumière l’ampleur des interactions entre les collaborateurs d’une entreprise et les outils de développement et de déploiement librement accessibles. A ce jour, deux tiers des entreprises ignorent à quel point leur exposition et leur vulnérabilité sont grandes, une situation qui pourrait être comparée à celle d’une grande poubelle dans le jardin, dont le couvercle n’a pas encore été soulevé, tandis que les responsables de la sécurité sont déjà submergés par les déchets de la « cuisine » numérique.

Et lorsqu’on ouvre cette poubelle du jardin, on découvre une véritable décharge numérique à ciel ouvert, remplie de centaines de petites applications et de morceaux de code improvisés, souvent mis en ligne sans les contrôles de sécurité nécessaires, facilités par les fonctionnalités avancées des grandes plateformes qui dominent le marché. Ainsi, cette révélation met en évidence l’absence de protocoles ou de processus de sécurité adaptés pour gérer cette effervescence des nouveaux usages, à l’heure où les solutions SaaS ont effacé les barrières et les règles élémentaires de protection.

L’EASM a au moins le mérite de susciter une prise de conscience bénéfique et d’initier une réflexion interne sur les actions à entreprendre pour contrer cette prolifération incontrôlée.

Pour autant, cette tâche dépasse les compétences du RSSI seul comme l’explique si bien le site internet-lyon.fr, en cela que l’EASM est un outil conçu pour les éditeurs, et non la solution miracle d’un arsenal de sécurité interne. En entretenant cette confusion, Gartner maintient les services IT dans l’erreur et les prive de solutions globales plus adaptées à leurs besoins urgents de réactivité et d’efficacité face aux menaces.