Du pentest annuel au CTEM : pourquoi tester sa sécurité une fois par an ne suffit plus
Tester sa cybersécurité une fois par an, c'est comme faire un bilan de santé et attendre 12 mois pour vérifier que le traitement fonctionne. Le continuous threat exposure management (CTEM) change la donne.
Scénario classique : une entreprise réalise son audit de sécurité annuel. Le pentesteur identifie une dizaine de vulnérabilités critiques, rédige son rapport avec des recommandations de correction. Douze mois plus tard, lors de l'audit suivant, les mêmes failles sont toujours présentes. Entre-temps, l'équipe marketing a déployé un nouveau site web non sécurisé, invisible lors du précédent audit. Cette situation, monnaie courante dans les organisations, illustre les limites de l'approche ponctuelle de la cybersécurité.
L'approche ponctuelle : un cliché déjà périmé
Le pentest traditionnel fonctionne comme une photographie à un instant T. Sur une période définie, souvent jugée trop courte par les auditeurs et trop coûteuse par les clients, il identifie les vulnérabilités présentes à ce moment précis. Mais entre deux audits espacés de six à douze mois, la surface d'attaque évolue constamment. Une nouvelle application est mise en ligne, un serveur est déployé, une configuration change. Résultat : l'organisation navigue à vue pendant de longs mois, sans visibilité réelle sur son niveau d'exposition aux risques.
L'autre écueil majeur réside dans l'inertie de la correction. Même une fois les vulnérabilités identifiées et les mesures correctives définies, leur mise en œuvre prend du temps. Et lorsque vient le moment de valider que les corrections ont bien fonctionné, il faut organiser un contre-audit, mobiliser à nouveau des ressources, attendre des semaines. Cette lenteur crée des fenêtres d'exposition dangereuses.
Le CTEM : un framework pour une gestion continue du risque
Face à ces limites, Gartner a formalisé en 2023 le concept de CTEM (Continuous Threat Exposure Management). Le principe est simple : tester régulièrement sa posture de sécurité permet d'être mieux préparé et plus proche de la réalité. Plus les tests sont fréquents, plus la vision de la couverture réelle est précise.
Le CTEM s'articule autour de cinq étapes qui forment un cycle d'amélioration continue :
1/ Scoping : définir le périmètre à surveiller. Quels actifs protéger en priorité ? Cette démarche ne se limite pas à la cyber, elle peut s'appliquer à tout type de risque, de la sécurité physique aux plans de continuité d'activité.
2/ Discovery : identifier les failles et angles morts. Au-delà des simples CVE, cette phase détecte les erreurs de configuration, les comportements à risque, les nouveaux éléments exposés.
3/ Prioritization : hiérarchiser les vulnérabilités découvertes. Toutes ne se valent pas. Un site e-commerce générant 50 % du chiffre d'affaires sera toujours plus critique qu'un vieux serveur WordPress interne. Cette priorisation doit intégrer le risque métier : impact financier, atteinte à la réputation, perte de données sensibles.
4/ Validation : c'est l'étape où l'Adversarial Exposure Validation (AEV) entre en jeu. Il s'agit de simuler des attaques réalistes pour évaluer la probabilité de réussite d'une intrusion et l'efficacité des processus de détection et de réponse.
5/ Mobilization : agir concrètement sur les conclusions, en privilégiant l'automatisation des mesures correctives pour une remédiation rapide.
La priorisation : parler au board avec des chiffres
La question de la priorisation mérite qu'on s'y attarde. Quand une organisation découvre plusieurs dizaines de vulnérabilités, par où commencer ? La seule entité capable de déterminer qu'un actif est plus important qu'un autre, c'est l'organisation elle-même.
Du point de vue cyber, on peut évaluer la criticité technique d'une vulnérabilité. Mais la pondération finale dépend de l'actif concerné. L'ordinateur du CEO, contenant des informations stratégiques, sera toujours plus critique que celui d'un employé lambda, même face à la même vulnérabilité.
Pour convaincre les directions, il faut traduire le risque technique en risque métier. Combien coûte une journée d'indisponibilité du site marchand ? Quel impact réputationnel aurait une fuite de données clients ? C'est avec ces chiffres que les boards écoutent et débloquent des budgets.
Du test ponctuel à la validation continue
Là où le CTEM marque une rupture, c'est dans sa dimension continue. Au lieu d'auditer une fois par an, les organisations peuvent désormais tester quotidiennement leur posture de sécurité. Cette fréquence permet de valider immédiatement qu'une correction a fonctionné, sans attendre le prochain audit.
La démarche AEV, en simulant des scénarios d'attaque réalistes de bout en bout, permet de mesurer simultanément plusieurs dimensions : l'actif est-il vulnérable ? Est-il protégé par les mécanismes de sécurité déployés ? Les équipes détectent-elles les tentatives d'intrusion ? Cette vision complète donne aux équipes de sécurité les métriques nécessaires pour piloter leur stratégie et justifier leurs investissements.
Une évolution portée par la maturité et la réglementation
Cette évolution vers le CTEM est rendue possible par la montée en maturité des organisations. Même les PME disposent aujourd'hui d'EDR, de solutions de protection des e-mails, de services SOC externalisés. Ces investissements, qui représentent parfois 80 % du budget IT, méritent d'être évalués régulièrement.
Les exigences réglementaires comme NIS2 ou DORA et les clauses contractuelles imposées par les grands donneurs d'ordres accélèrent cette dynamique. Les entreprises doivent désormais prouver qu'elles sensibilisent leur personnel, réalisent des pentests, maintiennent un niveau de sécurité élevé. Le CTEM offre le cadre méthodologique pour y parvenir de manière structurée.
Selon Gartner, d'ici fin 2026, les entreprises qui définissent la priorité de leurs investissements en sécurité sur la base d'un programme de CTEM seront trois fois moins exposées à des risques de violation. Un argument qui devrait achever de convaincre les plus sceptiques : en cybersécurité, la continuité n'est plus une option mais une nécessité.