Comment évaluer sa surface d’attaque ?

•

Dernière mise à jour :

La surface d’attaque (ou d’exposition), est l’ensemble des points exposés d’un système informatique par lesquels un attaquant peut s’introduire pour y exécuter des actions malveillantes. Heureusement, il est possible d’évaluer sa surface d’attaque et ainsi de la réduire, pour mieux protéger le système d’information d’une entreprise, par exemple.

La surface d’attaque, qu’est-ce que c’est ? Comment l’évaluer ?

Il existe plusieurs types de vulnérabilités qu'un attaquant peut utiliser pour parvenir à ses fins :

la surface d’attaque externe, composée des points de faiblesses extérieurs, c’est-à-dire accessibles à distance, via internet.
les vulnérabilités internes, composée des points de faiblesse du système interne de l’entreprise ;
les vulnérabilités humaines que représentent les collaborateurs d'une entreprise face à un email de phishing (hameçonnage) par exemple.

Nous allons aujourd'hui nous concentrer sur le premier point : la surface d’attaque.

Surface d’attaque : définition

La surface d’attaque est la somme des points faibles d’un environnement ; celles par lesquelles un pirate peut potentiellement s’introduire dans un système. Plus il y a de points de faiblesse présents (plus la surface est grande, donc), plus les risques de subir une attaque sont importants. Les intrusions peuvent être de différents types :

accès à distance à une base de données mal sécurisée ;
exécution de code malveillant ;
intrusion sur un serveur mal sécurisé.

Il y a autant d’attaques possibles qu’il existe de points de faiblesse ; il est donc important d’en sécuriser le maximum.

Et pour ce faire, la première étape consiste à connaître sa surface d’attaque, un des points clés pour assurer sa cybersécurité selon l'ANSSI et améliorer son hygiène cyber.

Bon à savoir

La dangerosité des attaques n’est pas forcément liée à la taille de la surface d’exposition ! Un seul point d’entrée peut provoquer de gros dégâts.

Comment évaluer sa surface d’attaque

Pour protéger efficacement un environnement, il convient d’en connaître toutes les failles potentielles.

Dans le cas de la surface d’attaque externe, il faut donc lister tous les points d’entrée, ou tous les points de contact, qui peuvent exposer l’environnement informatique d’une entreprise à un accès extérieur. Il faut, en quelque sorte, cartographier sa surface de risque.

Évaluez votre surface d'attaque gratuitement

Faites tourner le scan externe de Stoïk sur votre infrastructure pour connaître votre niveau de vulnérabilité.

Tester mon risque

Ces accès à lister peuvent comprendre les :

enregistrements de DNS (noms de domaine et sous-domaines) ;
applications utilisées (qu’elles soient internes à une entreprise ou externes) ;
services web exposés vers l’extérieur (pour autoriser à des tiers des accès à des API, par exemple) ;
serveurs exposés et leurs ports (accès en FTP, en SSH, etc.).

Cette étape est très importante, on ne peut pas protéger un système efficacement si on n’en connaît pas toutes les failles ! Il faut donc prendre le temps de faire le tour de tout ce qui peut donner un accès depuis l’extérieur vers le système interne. Se faire aider par un expert est, dans ce cas, une bonne idée.

Comment réduire sa surface d’attaque ?

Pourquoi est-il important de réduire sa surface d’attaque ?

Avant d’expliquer comment réduire sa surface d’attaque, voyons en quoi il est important de réduire celle-ci, notamment pour une entreprise comme une PME.

Plus une surface d’attaque est grande, plus il est facile pour un pirate d’y trouver un point d’entrée. Et avoir accès au système d’information d’une entreprise permet notamment à l’attaquant d’y installer des virus, ou ransomwares (logiciel bloquant les données en échange d’une rançon).

Un attaquant peut aussi voler des données sensibles (documents internes, identités des collaborateurs, numéros de carte de paiement, etc.), et les utiliser à mauvais escient, ou les revendre.

Il ne faut pas prendre ces dangers à la légère, tout type d’attaque peut nuire à une entreprise ; voire lui être fatale. Et, aujourd'hui, les pirates informatiques ne visent plus seulement les entreprises possédant des données sensibles, ils peuvent aussi tout simplement chercher à nuire à l’activité de l’entreprise, quelle qu’elle soit. Toute entreprise possédant un système d’information peut en être la cible.

Ainsi, toute cyberattaque peut avoir de lourdes conséquences ; il est donc important de faire de sa surface d’attaque la plus réduite possible.

Le saviez-vous ?

60% des PME victimes d'une cyberattaque mettent la clé sous la porte dans les 18 mois qui suivent (source : L’Usine Digitale)

Comment se protéger efficacement ?

Une fois les points d’entrée composant la surface d’attaque listés, il est temps de passer à l’étape de la protection : la réduction de la surface d’attaque.

Pour cela, il y a plusieurs éléments clés à mettre en place :

Réduire le nombre de points d’entrée
Segmenter les services et réseaux internes
Adopter le principe du moindre privilège
Sensibiliser les utilisateurs du système

Testez votre risque cyber

Stoïk met à disposition un scan externe gratuit pour évaluer votre surface d'attaque.

Tester mon risque

Réduire le nombre de points d’entrée

Réduire le nombre de points d’entrée en est le premier. Par exemple, fermer les accès extérieurs d’un service de l’entreprise (la boite mail interne) pour n’en laisser l’accès que depuis l’intérieur du système.

Il est également recommandé d’éliminer les points d’entrées qui ne sont plus, ou peu utilisés. Cela peut être, par exemple, un vieux service web inutilisé qui tourne encore et qui est accessible depuis l’extérieur.

Segmenter les services et réseaux internes

C’est aussi une bonne idée de segmenter les services et réseaux internes d’une entreprise. Plus une chaîne est découpée en blocs, séparée en morceaux plus petits, plus il est difficile de s’infiltrer dans le bloc suivant.

Adopter le principe du moindre privilège

Adopter le principe du moindre privilège est également recommandé. Cela veut dire, donner le minimum de privilèges à chaque usager. Un utilisateur du service A n’a pas besoin d’avoir accès au service B, ni inversement. De cette manière, si le compte du premier utilisateur se fait pirater, l’attaquant n’aura accès qu’à une partie limitée du système.

Sensibiliser les utilisateurs du système

Le dernier élément important pour réduire la taille d’une surface d’attaque, c’est de sensibiliser les utilisateurs du système. Ceux-ci peuvent en effet, et de manière involontaire, créer des ouvertures vers l’extérieur, qui pourront être exploitées par des attaquants. Un collaborateur sensibilisé à ces risques sera plus à même de détecter lui-même si ses actions créent un potentiel danger ou non.

Enfin, tous les éléments que nous venons de citer doivent être revus régulièrement.

Réduire sa surface d’attaque une fois n’est pas suffisant ; elle bouge en permanence. Installation d’un nouveau logiciel interne, création de nouveaux droits utilisateur, etc. Tout cela va faire varier la taille de la surface d’exposition.

Il convient donc d’analyser cette surface et de vérifier que les bonnes pratiques soient toujours respectées.

D'autres bonnes pratiques de cybersécurité :

Mettre en place un PCA (Plan de continuité d'activité)
Mettre en place l'authentification multifacteur
Former les collaborateurs à générer des mots de passe robustes
Appliquer les bonnes pratiques de sauvegardes de données
Sensibiliser les collaborateurs au phishing
Faire les mises à jour de son système informatique

Sources :

https://fr.wikipedia.org/wiki/Surface_d%27attaque](https://fr.wikipedia.org/wiki/Surface_d%27attaque
‍https://www.vaadata.com/blog/fr/comment-connaitre-sa-surface-attaque-et-la-reduire/‍
https://www.usine-digitale.fr/article/il-est-urgent-de-trouver-une-solution-aux-problemes-d-assurance-cyber.N1779877