L'adversarial exposure validation ou le nouveau standard pour une cybersécurité réaliste et holistique

Sébastien Miguel

L'ère de la simple simulation d'attaque est révolue. L'adversarial exposure validation (AEV), le nouveau standard défini par Gartner, impose une nouvelle approche holistique et continue, intégrant l'organisationnel et la CTI.

Jusqu’à présent, pour valider l'efficacité de leur système de défense, les organisations s’appuyaient principalement sur l’approche BAS (Breach and Attack Simulation). Le BAS consiste à simuler des techniques d’attaque unitaires, souvent de manière unitaire et isolée, avec pour objectif de tester les outils de sécurité techniques en place (EDR, SIEM, etc.).

Cependant, cette approche ne suffit plus. Face à des menaces de plus en plus sophistiquées, qui ciblent l’ensemble de l'organisation, les entreprises doivent désormais baser l’évaluation de leurs capacités de réaction sur l’AEV : adversarial exposure validation.

L'approche AEV marque un changement de paradigme. Elle dépasse la simple vérification technique pour englober une vision holistique et réaliste de l'exposition au risque.

L'AEV : du test unitaire à la simulation d'attaquant

La grande force de l'AEV est d'évaluer la posture de sécurité non plus par des tests isolés, mais par des scénarios réalistes et complexes de bout en bout. On se rapproche d’un véritable "Pentest As a Service" automatisé.

Contrairement au BAS, qui s’appuyait souvent sur des données unitaires, l'AEV est enrichi en temps réel par les données issues de la Threat Intelligence (renseignement sur la menace). Cette approche garantit que les simulations sont à jour des dernières tactiques et techniques utilisées par les attaquants actuels.

Elle intègre notamment le concept de "chaining", essentiel pour modéliser le comportement d'un cybercriminel. Le chaining ne s'arrête pas à la détection d'une faille, il enchaîne les questions : Qu'y a-t-il derrière ce port ouvert ? Est-ce que cette vulnérabilité est exploitable pour avancer ? Cela permet de se protéger efficacement contre la propagation de la menace dans le système d’information.

Une  approche qui intègre le facteur humain et organisationnel

L’autre différence majeure est que l’AEV ne se limite plus à la technologie. Elle permet d’évaluer non seulement l’efficacité des outils techniques, mais aussi l’efficience des processus, des équipes et des partenaires en cas de crise.

Un exemple concret est l'intégration des exercices de "table-top" (simulation de crise organisationnelle). L’AEV permet de valider la coordination entre le DSI, le RSSI, la direction générale, les équipes juridiques ou de communication – une dimension critique et trop souvent oubliée lors d'une cyberattaque réelle.

En offrant une cartographie de sécurité la plus fidèle possible, l'AEV permet de :

Gérer la criticité et le risque : Elle aide à prioriser les actifs à protéger. Pour une entreprise, sécuriser le site marchand vital est bien plus critique qu’un vieux serveur obsolète.

Faciliter la remédiation : En identifiant les failles réellement exploitables par un attaquant, l’AEV délivre des enseignements précis pour accélérer la correction et l’amélioration des défenses.

L’AEV est ainsi l’outil idéal pour les équipes Purple Team, dont la mission est d’améliorer constamment la posture de sécurité en jouant à la fois le rôle de l'attaquant et du défenseur.

L'AEV, au cœur de la stratégie CTEM

Le Continuous Threat Exposure Management (CTEM), également défini par le Gartner, représente l'évolution nécessaire de la gestion des vulnérabilités. Il s'agit d'un processus cyclique et dynamique qui vise à maintenir la posture de sécurité à jour, en continu.

Ce cadre de cybersécurité repose sur cinq étapes fondamentales :

Définition du champ d’application : Choisir les actifs et les ressources prioritaires à couvrir, là où la surface d’attaque dépasse souvent ce que les programmes traditionnels gèrent.

Découverte : Identifier l'ensemble des faiblesses – au-delà des simples CVE – incluant les erreurs de configuration ou les comportements d'utilisateurs.

Hiérarchisation : Comprendre quelles vulnérabilités représentent le risque le plus grand pour l'entreprise afin de concentrer les efforts.

Validation : C'est à cette étape cruciale que l'AEV entre en jeu. Elle permet de simuler des attaques pour évaluer la probabilité de réussite d’une intrusion réelle et l’efficacité des processus de réponse.

Mobilisation : Réagir concrètement aux conclusions, en privilégiant l’automatisation des mesures correctives (remédiation) pour une correction rapide et efficace.

Selon Gartner, « d’ici 2026, les entreprises qui définissent la priorité de leurs investissements en sécurité sur la base d’un programme de CTEM seront trois fois moins exposées à des risques de violation. »

L’AEV est le nouveau standard sécuritaire : un paradigme qui répond à l’évolution constante des systèmes d’information. En adoptant une démarche itérative et continue comme le CTEM, et en utilisant l'AEV comme sa brique de validation, les organisations se dotent de la meilleure stratégie pour se prémunir contre les menaces les plus sophistiquées.

Source : Gartner, "Implement a Continuous Threat Exposure Management (CTEM) Program", octobre 2023