Surface d'attaque
Qu'est-ce que Surface d'attaque ?
Surface d'attaqueEnsemble des points par lesquels un attaquant peut tenter d'entrer, d'exfiltrer ou de manipuler un systeme: reseaux, logiciels, identites, supply chain, humains.
La surface d'attaque d'une organisation est l'ensemble complet des points d'entree exposes : actifs exposes sur internet, SaaS tiers, APIs, endpoints, applis mobiles, protocoles reseau, depots de code source, appareils IoT/OT, plans de controle cloud, identites et canaux humains vulnerables a l'ingenierie sociale. Elle est dynamique et croit avec chaque nouvelle fonctionnalite, fournisseur et changement de configuration. Les analystes la divisent souvent en surface numerique (logiciels et services exposes), surface physique (appareils et supports) et surface sociale (personnes ciblees par l'hameconnage).
La campagne MOVEit Transfer de 2023 en est une illustration d'ecole. Une unique faille d'injection SQL, CVE-2023-34362, residait dans une appliance de transfert de fichiers exposee sur internet ; Shodan denombrait environ 2 500 instances MOVEit exposees au moment de la divulgation, et le groupe de rancongiciel Cl0p les a exploitees comme zero-day pour compromettre des centaines d'organisations via un seul recoin oublie de leur surface. La lecon : les actifs non geres ou relevant du « shadow IT » — un bucket S3 de dev, une appliance VPN abandonnee, un sous-domaine obsolete vulnerable a une prise de controle — sont exactement la ou les attaquants regardent en premier.
Les outils de gestion de la surface d'attaque (ASM) et de gestion de la surface d'attaque externe (EASM) decouvrent en continu les actifs, les caracterisent et hierarchisent les expositions. La reduction repose sur le hardening, la mise hors service des services hérites, la minimisation des privileges, la segmentation reseau, le patching rapide des logiciels exposes sur internet et la suppression des dependances et comptes inutilises.
flowchart TD
O[Organisation] --> D[Surface numerique<br/>actifs internet, APIs, SaaS, cloud]
O --> P[Surface physique<br/>endpoints, IoT/OT, supports]
O --> S[Surface sociale<br/>employes, cibles d'hameconnage]
D --> EASM[Decouverte continue EASM<br/>+ caracterisation]
EASM --> X{Exposition trouvee ?}
X -->|Oui : ex. MOVEit non patche| R[Patcher / mettre hors service /<br/>segmenter / moindre privilege]
X -->|Non| M[Continuer la surveillance]
R --> M● Exemples
- 01
Un bucket S3 de dev oublie et un SaaS admin CI/CD apparaissent chacun dans un scan EASM comme nouveaux actifs exposes.
- 02
Eteindre une appliance VPN inutilisee reduit la surface d'attaque reseau.
● Questions fréquentes
Qu'est-ce que Surface d'attaque ?
Ensemble des points par lesquels un attaquant peut tenter d'entrer, d'exfiltrer ou de manipuler un systeme: reseaux, logiciels, identites, supply chain, humains. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Surface d'attaque ?
Ensemble des points par lesquels un attaquant peut tenter d'entrer, d'exfiltrer ou de manipuler un systeme: reseaux, logiciels, identites, supply chain, humains.
Comment se défendre contre Surface d'attaque ?
Les défenses contre Surface d'attaque combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.