Menu

Définition Surface d'attaque

En 2022, selon le cabinet en cybersécurité Asterès, les entreprises françaises ont subi 347 000 cyberattaques. Et 86 % d’entre elles concernaient des PME. Pourquoi ce type d’entreprise est-elle plus exposé ? Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les PME sont moins conscientes des vulnérabilités de leur système informatique et des enjeux de la cybersécurité.

Pour assurer leur sécurité informatique, il s’agit, selon l’ANSSI, de connaître l’ensemble de ces vulnérabilités, c’est-à-dire leur surface d’attaque. Cette démarche permet d’adapter la protection aux menaces découvertes. La gestion de la surface d’attaque représente ainsi une solution optimale pour prévenir les risques en cybersécurité.

Qu’est-ce que la surface d’attaque ?

La surface d’attaque représente un concept d’origine militaire. Sa compréhension permet la mise en place d’un véritable management des vulnérabilités d’une entreprise.

Origine de la gestion de la surface d’attaque

Comme tous les concepts liés à la sécurité, la surface d’attaque puise son origine dans l’enseignement militaire. Celui-ci vise à optimiser les ressources d’une armée et à organiser la meilleure défense face à un adversaire. En sécurité informatique, l’adversaire, c’est le hacker. Et l’entreprise joue le rôle du defender. Dans l’Art de la guerre, Sun Tzu souligne l’importance de la préparation des troupes (équipes informatiques) : 

Connaissez l’ennemi et connaissez-vous vous-même ; en cent batailles, vous ne courrez jamais aucun danger.

– Sun Tzu, dans l’Art de la guerre.

Définition et principe de la surface d’attaque

La surface d’attaque d’un système d’information, c’est l’ensemble de ses points faibles face à une attaque extérieure. Ces vulnérabilités désignent toutes les portes d’entrée possibles dans le réseau informatique, dans les services web, les appareils des utilisateurs ou les applications clients. Connaître la surface d’attaque permet aux équipes de sécurité informatiques de réduire les points d’entrée et donc le risque d’attaques. 

Quelles sont les principales surfaces d’attaque ?

La surface d’attaque d’une entreprise se décompose en quatre surfaces différentes. Cette répartition catégorielle permet de mieux appréhender le risque lié à chaque catégorie.

Le réseau : la surface d’attaque externe d’un système informatique

La surface d’attaque externe englobe tous les points d’entrée accessibles depuis internet. Ces vulnérabilités proviennent de sites web, des API (interface de programmation d’application) ou des services cloud par exemple. 

Une requête client pour une demande d’informations peut représenter une faille de sécurité. Grâce à un formulaire web, un hacker peut en effet exécuter un code malveillant dans le serveur du site. Un port VPN ouvert sur la passerelle de réseau constitue également un risque de sécurité.

Logiciels, appareils connectés : les vulnérabilités internes de l’entreprise

Chaque terminaison de réseau représente une vulnérabilité susceptible d’être exploitée. Les appareils connectés (ordinateurs, téléphones, tablettes) représentent des points d’entrée pour des attaques. La prise de contrôle d’un appareil peut bloquer le fonctionnement et la productivité d’une entreprise.

L’utilisateur : la surface d’attaque liée au facteur humain

Selon Stoïk, conseil en cybersécurité, l’humain représente 75 % des risques de sécurité des entreprises. Avec le développement du télétravail, ce risque est amplifié. 47 % des télétravailleurs sont victimes d’attaques de phishing dans une année.

L’intrusion, la dégradation ou le vol : la surface d’attaque physique d’un système d’information

L’attaque réalisée par un individu malveillant constitue un risque de sécurité non négligeable. Vol ou destruction d’appareils (ordinateurs, serveurs) ou de données sont possibles si la gestion des accès est défaillante. Un salarié mécontent représente également une source potentielle de vengeance ou de représailles.

Quels sont les enjeux d’une surface d’attaque ?

Plus les points d’entrée potentiels sont nombreux, plus le risque d’attaque est élevé. Et les enjeux pour les entreprises sont terribles en cas de cyberattaque. 

  • Perte de données sensibles : fin décembre 2022, les données personnelles d’intérimaires et d’employés des agences Adecco ont été dérobées. Des prélèvements bancaires ont été effectués sur leur compte.
  • Pertes financières : certaines attaques peuvent bloquer le système de gestion ou le site internet d’une entreprise. Selon Jean-Noël Barrot, ministre délégué chargé du numérique, une PME sur deux fait faillite dans les 18 mois suivant une attaque informatique.
  • Dégradation de l’image de l’entreprise : le vol de données clients peut légitimement inquiéter ces derniers. En 2013, Yahoo, société de services web, a subi le vol de 3 milliards de comptes utilisateurs. Le manque de clarté de sa communication a dégradé la confiance de ses clients et partenaires.

 

Quels sont les vecteurs d’attaques courantes ?

Les vecteurs d’attaque désignent les méthodes ou les outils utilisés pour infiltrer ou compromettre un système informatique. Ils sont spécifiques à chaque entreprise ou organisation.

Le phishing : un mode d’attaque centré sur l’utilisateur

Le phishing, c’est l’une des cyberattaques les plus courantes. Elle vise à dérober les données des utilisateurs en les incitant à les partager suite à l’envoi d’un email. Les données collectées peuvent ensuite servir à pénétrer dans un réseau interne et conduire à sa prise de contrôle. Dans le cas du ransomware, les pirates peuvent exiger une rançon pour cesser leur attaque.

Les attaques DDoS

Les menaces DDoS sont des attaques par déni de service distribué. Elles consistent à submerger de requêtes les serveurs d’une entreprise jusqu’à bloquer leur gestion. Les administrations et les hôpitaux sont régulièrement soumis à ce type d’attaque.

Les failles de sécurité dans un logiciel, les applications ou dans les appareils

Les failles de sécurité dans les logiciels, dans les navigateurs (Microsoft Windows) ou dans les applications populaires sont scrutées par les hackers du monde entier. Elles permettent d’infecter facilement les systèmes d’information des entreprises. Les équipes de sécurité informatique doivent s’assurer que les correctifs et les mises à jour régulières soient réalisés.

Les ports ouverts sur le réseau

Le port représente une porte ouverte sur le réseau. Et les ports sont souvent ouverts par défaut. Si leur gestion (ordinateurs, serveurs) n’est pas optimale, un cyberattaquant peut concevoir et envoyer un message spécialement conçu pour compromettre le système informatique. 

La prise de contrôle d’un compte utilisateur

Les hackers peuvent profiter d’un manque de sécurité des procédures d’authentification. Les mots de passe sont en particulier une cible facile pour eux. Fin 2022, la société Nordpass, solution de gestion des mots de passe, révèle que les trois mots de passe les plus utilisés en France sont : 

  • 1 2 3 4 5 6 ;
  • 1 2 3 4 5 6 7 8 9 ;
  • a z e r t y.

 

Comment évalue-t-on la surface d’attaque d’un système ?

L’audit d’une surface d’attaque permet de détecter et de corriger les vulnérabilités des systèmes d’information. Les équipes de sécurité informatique doivent procéder à l’analyse méthodique de l’ensemble des points d’entrée possibles.

Audit des vulnérabilités des appareils de l’entreprise

Il s’agit d’identifier l’ensemble des appareils informatiques utilisés par les équipes. Puis, la direction de la sécurité informatique (DSI) doit vérifier leur configuration (fonctionnalités) et leur niveau de protection : 

  • ordinateurs et PC portables ;
  • serveurs réseau ;
  • imprimantes, scanners et périphériques ;
  • smartphones, tablettes, objets connectés.

 

Audit du stockage des données et des informations sensibles

Pour assurer une protection optimale du système d’information, la DSI doit évaluer le niveau de sécurité des informations dans les différents modes de stockage : bases de données, cloud, messageries, sites web, réseaux sociaux, etc. Il s’agit enfin de vérifier le type d’accès et le niveau d’authentification pour chaque utilisateur. 

Évaluation de l’utilisateur réseau ou système

Chaque utilisateur doit bénéficier d’un accès conforme à ses responsabilités et à sa mission. La gestion des accès doit également évaluer les privilèges accordés à l’utilisateur, mais aussi aux applications et aux appareils.

Quelles sont les stratégies pour réduire la surface d’attaque d’un système ?

L’audit de la surface d’attaque doit permettre de définir une stratégie de réduction des vulnérabilités. Les entreprises peuvent se faire accompagner par des experts en cybersécurité pour optimiser la surface d’attaque. Selon l’analyse effectuée, les stratégies peuvent varier. Par exemple :

  • Utilisation d’outils EASM (external attack surface management) pour découvrir les actifs et les services connectés à internet : ils dévoilent les défauts de configuration, ou de protection ;
  • Mise en place d’un programme de nettoyage des ressources (audit des certificats, correctifs) ;
  • Analyse du niveau de sécurité des mots de passe et sensibilisation des utilisateurs ;
  • Mise en œuvre d’une gouvernance de cybersécurité pour assurer le suivi du réseau, des points de terminaison et des appareils et pour instaurer des règles de sécurité informatique.

La gestion de la surface d’attaque des systèmes d’information des entreprises représente ainsi la solution optimale pour la cybersécurité. Son audit révèle les vulnérabilités potentielles et permet sa réduction pour mieux protéger les données et les informations.