Qu’est-ce que l’inventaire des ressources IT ?

La gestion de l’inventaire des ressources a une définition différente selon qu’on la considère sous l’angle de l’IT ou des SecOps. En vous familiarisant avec ces deux perspectives, vous comprendrez pourquoi les équipes de cybersécurité ont besoin d’un processus d’inventaire distinct, et pourquoi la gestion des ressources doit impérativement s’opérer en temps réel.

Qu’est-ce que l’inventaire des ressources IT ?

Il s’agit d’un inventaire dressé par l’équipe IT pour s’assurer que l’entreprise dispose bien de toutes les ressources nécessaires, dans une double optique d’efficacité et de rentabilité. L’inventaire inclut de précieux renseignements sur chaque asset : emplacement, utilisateurs, maintenance et assistance, documentation, performances, licences, conformité, coûts, étape du cycle de vie, et bien plus encore. Les assets IT englobent :

• Les équipements matériels (serveurs, ordinateurs portables, smartphones, imprimantes, etc.)
• Les ressources logicielles (logiciels, solutions SaaS, clouds, etc.)

La portée des inventaires IT et des inventaires SecOps peut se chevaucher. Mais dans tous les cas, l’inventaire doit couvrir l’ensemble des ressources directement exposées à Internet, par nature plus vulnérables aux expositions et aux attaques. On recensera donc les équipements matériels et logiciels, les terminaux, les données, les environnements cloud, les appareils IoT et IIoT, et toutes les autres ressources, partout dans le monde, qu’elles soient on-prem, dans le cloud, ou colocalisées.

Pourquoi est-ce si important ?

L’inventaire des ressources IT aide les équipes SecOps à détecter et à corriger les vulnérabilités avant que les attaquants ne les exploitent. Un impératif majeur, mais la tâche est loin d’être aisée. Les menaces se multiplient et évoluent à vitesse grand V, et la surface d’attaque des entreprises est toujours plus complexe et étendue. Bon nombre de ressources sont obsolètes ou mal configurées, et les collaborateurs contribuent à leur insu au « Shadow IT ». Pour ne rien arranger, les ressources tierces ayant un accès direct à votre réseau peuvent également mettre en danger votre organisation. Il existe une infinité de risques.

Autre problème : certaines entreprises pensent, à tort, pouvoir identifier tous les assets dans leur environnement. Un excès de confiance qui peut leur coûter cher. Par exemple, les clients Cortex^® Xpanse^™ découvrent en moyenne 35 % de ressources en plus qu’auparavant. Preuve que leur visibilité n’était pas aussi parfaite qu’ils le pensaient. Enfin, seules 28 % des organisations interrogées dans le cadre d’une étude ESG pensent que l’inventaire de leurs ressources est complet à plus de 75 %.

Pourquoi faut-il optimiser la gestion des ressources ?

La gestion des ressources se limitait autrefois à des inventaires manuels, effectués chaque mois ou chaque trimestre. Or, cette approche présente des inconvénients majeurs : en plus d’être lent et laborieux, le processus donnait des résultats approximatifs, qui devenaient rapidement obsolètes.

Cela n’a rien d’anodin, car l’inventaire utilisé par les équipes de sécurité influe directement sur l’exactitude et la précision des autres processus. Comme les outils de détection des vulnérabilités et d’analyse antivirus/antimalware scannent uniquement les ressources de l’inventaire, les risques associés aux assets inconnus passent entre les mailles du filet. Quant aux équipes Red Team, elles peinent à définir le périmètre de leur mission, car les tests d’intrusion et autres exercices nécessitent un référentiel centralisé pour l’ensemble des ressources.

La surface d’attaque des entreprises est en constante évolution et gagne rapidement en complexité. Dans ce contexte, faire reposer vos processus de sécurité sur un inventaire incomplet et obsolète engendre de sérieux risques. Vous voilà face à un paradoxe : comment protéger des ressources dont vous ignorez l’existence ?

Quels sont les critères d’une gestion optimale des ressources ?

Face aux problématiques actuelles liées à la surface d’attaque, la découverte et la surveillance continues de toutes les ressources connectées à Internet (matérielles ou logicielles, on-prem ou dans le cloud) s’imposent comme un impératif absolu pour garantir à tout instant l’exhaustivité de votre inventaire. Grâce à cette approche, vous bénéficierez d’un référentiel centralisé de tous les assets, où qu’ils se trouvent, même s’ils appartiennent à un partenaire ou à un fournisseur externe.

Les équipes SecOps ne doivent pas non plus perdre de vue qu’en matière de gestion de la surface d’attaque (ASM) et de gestion des ressources, toutes les solutions ne se valent pas. La solution ASM idéale doit d’abord assurer votre conformité. Elle allège également vos coûts en prévenant les attaques, et apporte aux SecOps des gains d’efficacité en automatisant la détection et l’atténuation des risques.

Votre solution doit identifier les expositions, et vous fournir des données contextuelles sur les propriétaires des ressources concernées afin de savoir à qui revient la responsabilité d’effectuer les remédiations nécessaires. Certaines solutions peuvent également transférer ces alertes et ces données à un outil d’orchestration, d’automatisation et de réponse à incident (SOAR) qui pourra automatiser les actions correctives.

Pour que votre inventaire soit complet, vos ressources doivent être analysées selon une approche « outside-in ». L’intérêt est double : 1) vous localisez toutes vos ressources sans avoir recours aux données d’autres solutions de gestion des ressources et 2) vous visualisez votre surface d’attaque comme le feraient les attaquants.

Ces derniers sont capables de scanner tout Internet de manière automatisée en moins d’une heure pour y détecter les ressources vulnérables. Il est donc essentiel que vos SecOps gèrent vos ressources avec la même rapidité pour prendre vos adversaires de vitesse. La bonne nouvelle, c’est que les solutions de gestion de la surface d’attaque sont capables de telles performances. Vos équipes de sécurité peuvent ainsi identifier, évaluer et atténuer les risques, même ceux posés par les ressources hébergées dans le cloud ou dans les environnements des fournisseurs ou des entreprises nouvellement acquises. Ce n’est pas tout, l’ASM offre également des capacités de priorisation des risques qui aident votre équipe à se concentrer sur les menaces les plus urgentes.

L’importance de l’inventaire des ressources pour les équipes de sécurité

Les attaquants sont plus déterminés que jamais. Ils cherchent constamment de nouveaux moyens d’infiltrer votre réseau et vont même jusqu’à automatiser leurs tactiques pour gagner du temps. Résultat, il leur faut moins d’une heure pour analyser tout Internet afin d’y détecter les systèmes vulnérables.

La publication des CVE (Common Vulnerabilities and Exposures) est une véritable aubaine pour eux : dans les 15 à 60 minutes qui suivent la divulgation d’une vulnérabilité, ils sont déjà à l’œuvre. Quand ce n’est pas moins : le 2 mars 2021, Microsoft a publié des vulnérabilités liées à Microsoft Exchange Server et Outlook Web Access (OWA). Il n’a fallu que cinq minutes aux attaquants pour déclencher des scans.

Dresser l’inventaire de vos ressources avec Cortex Xpanse

Cortex Xpanse analyse en continu l’intégralité du Web pour vous aider à dresser un inventaire complet de vos assets. Votre équipe SecOps a ainsi toutes les cartes en main pour découvrir vos ressources inconnues et évaluer les risques qui pèsent sur votre surface d’attaque.

La solution Cortex Xpanse détecte de nombreuses expositions :

• Services d’accès à distance (RDP, etc.)
• Services de partage/d’échange de fichiers non sécurisés (SMB, NetBIOS, etc.)
• Systèmes en fin de support et systèmes non corrigés vulnérables aux exploits publics
• Portails d’administration IT
• Applications métiers sensibles (Jenkins, Grafana, Tableau, etc.)
• Connexions et protocoles textuels non chiffrés (Telnet, SMTP, FTP, etc.)
• Appareils IoT directement exposés
• Chiffrement faible et non sécurisé/obsolète
• Infrastructures de développement exposées
• Portails marketing non sécurisés ou inutilisés
• Ressources exécutant des versions logicielles ayant fait l’objet de divulgations de CVE critiques

Cortex Xpanse offre encore plus de fonctionnalités qui font défaut aux autres solutions ASM. Sa configuration peut être basée sur les politiques de votre entreprise afin de réduire le trop-plein d’alertes. Elle renforce l’opérationnalisation via des intégrations et des API bidirectionnelles, et collecte les données internes et externes pour une meilleure compréhension des ressources. Elle permet la création rapide de nouvelles empreintes digitales et politiques en fonction des événements rendus publics.

Enfin, Cortex Xpanse s’intègre à des outils comme Cortex XSOAR pour automatiser la gestion des alertes. Les entreprises peuvent ainsi créer des processus qui améliorent leur résilience et simplifient la gestion des risques et des expositions.

Envie d’en savoir plus sur l’ASM et l’inventaire des assets ? Voici quelques ressources utiles pour bien démarrer :

• Ressources supplémentaires sur Cortex Xpanse et l’ASM