Gestion des Actifs
Qu'est-ce que Gestion des Actifs ?
Gestion des ActifsDécouverte, inventaire, classification et suivi du cycle de vie en continu de chaque actif matériel, logiciel, cloud et de données que le programme de sécurité doit protéger.
La gestion des actifs est le socle de tous les autres contrôles de sécurité : on ne peut ni protéger, ni patcher, ni surveiller, ni répondre à ce dont on ignore l'existence. Un inventaire d'actifs moderne couvre les postes, serveurs, équipements réseau, mobiles, charges de travail cloud, tenants SaaS, identités, dépôts de code et stockages de données, avec des attributs de propriété, de criticité et d'exposition. La découverte est de plus en plus continue et outillée, via des intégrations CMDB, les données EDR, les API cloud et les sondes EASM. Une bonne gestion des actifs alimente la gestion des vulnérabilités, la gestion des configurations, la réponse à incident et l'application du zero trust, et constitue un prérequis pour des cadres comme les CIS Controls.
Sa primauté n'a rien de théorique : les CIS Critical Security Controls (v8) font de l'« Inventaire et contrôle des actifs de l'entreprise » et de celui « des actifs logiciels » les Contrôles 1 et 2 — les toutes premières choses qu'une organisation devrait faire — car c'est dans les hôtes non gérés que se cachent les intrusions. Log4Shell (CVE-2021-44228) a enfoncé le clou : les équipes incapables de répondre à « où exécutons-nous Log4j ? » ont passé des jours à chercher, tandis que celles disposant d'un inventaire logiciel précis et d'un SBOM ont délimité leur exposition en quelques heures. La fuite de données d'Equifax en 2017 (CVE-2017-5638) a elle aussi perduré, en partie parce qu'un actif Apache Struts vulnérable n'était rattaché à aucun responsable susceptible de le patcher. La faille la plus difficile à combler est le patrimoine « fantôme » — instances cloud oubliées, sous-domaines expirés mais toujours actifs et inscriptions SaaS hors du périmètre de la DSI — que les outils de gestion de la surface d'attaque externe (EASM) mettent au jour en scannant depuis le point de vue de l'attaquant.
flowchart LR
A[Sources de découverte] --> B[Normaliser et dédupliquer]
subgraph A[Sources de découverte]
A1[EDR / agents]
A2[API cloud et SaaS]
A3[Scans réseau / EASM]
A4[CMDB / DHCP / IdP]
end
B --> C[Source unique de vérité]
C --> D[Enrichir : propriétaire, criticité, exposition]
D --> E[Gestion des vulnérabilités]
D --> F[Gestion des correctifs et configurations]
D --> G[Réponse à incident]
E --> H{Réconcilier les écarts}
H --> AL'objectif est une source unique de vérité réconciliée en continu : chaque cycle compare ce que voit chaque source, signale les actifs présents dans un système mais absents d'un autre (signe classique d'un hôte non géré ou pirate) et attribue un responsable avant que l'actif ne replonge dans l'ombre.
● Exemples
- 01
Une réconciliation hebdomadaire comparant les enregistrements CMDB aux postes enrôlés dans l'EDR pour détecter les hôtes non gérés.
- 02
Marquer les bases de données les plus critiques (crown jewels) afin qu'elles bénéficient de correctifs prioritaires et de contrôles d'accès renforcés.
● Questions fréquentes
Qu'est-ce que Gestion des Actifs ?
Découverte, inventaire, classification et suivi du cycle de vie en continu de chaque actif matériel, logiciel, cloud et de données que le programme de sécurité doit protéger. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie Gestion des Actifs ?
Découverte, inventaire, classification et suivi du cycle de vie en continu de chaque actif matériel, logiciel, cloud et de données que le programme de sécurité doit protéger.
Comment se défendre contre Gestion des Actifs ?
Les défenses contre Gestion des Actifs combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Gestion des Actifs ?
Noms alternatifs courants : Gestion des actifs informatiques, Gestion des actifs cyber.