Logo ORSYS le mag 2025

Le média de la formation et des compétences

Accueil > Glossaire Cybersécurité > Surface d’attaque 🔴 Failles

Surface d’attaque 🔴 Failles

Une surface d’attaque (ou attack surface en anglais) désigne l’ensemble des points d’entrée potentiels par lesquels un attaquant pourrait tenter d’accéder à un système, un réseau, une application ou une organisation. Il s’agit de tous les points faibles ou vulnérabilités qui pourraient être exploités pour compromettre la sécurité.

Elle englobe tous les accès matériels, logiciels, humains et procéduraux qui pourraient être ciblés par des menaces.

 

🔑 Types de surfaces d’attaques

 

Physique :

  • Accès aux serveurs, ordinateurs, périphériques (ex: ports USB, badges d’accès)
  • Exemple : Un serveur non sécurisé dans un local accessible au public.

Logicielle :

  • Applications, API, systèmes d’exploitation, microservices.
  • Exemple : Une API non authentifiée exposée sur Internet.

Réseau :

  • Points d’entrée comme les ports ouverts, les VPN, les pare-feux mal configurés.
  • Exemple : Un port SSH ouvert avec un mot de passe faible.

Humaine :

  • Utilisateurs susceptibles de cliquer sur des liens de phishing ou de divulguer des informations sensibles.
  • Exemple : un employé partageant ses identifiants par erreur.

Cloud :

  • Stockage de données mal configuré (ex : buckets S3 publics), interfaces de gestion cloud.
  • Exemple : un bucket AWS exposé sans restriction d’accès.

Autre classification :

  • Surface externe : points exposés à Internet (sites web, API, emails)
  • Surface interne : vulnérabilités au sein du réseau local (ex: partages de fichiers non sécurisés)
  • Surface sociale : risques liés à l’ingénierie sociale (arnaques, manipulation psychologique)

 

 🔑 Éléments clés

 

  • Points d’entrée :
    • Cela inclut les ports ouverts, les applications web, les services en ligne, les appareils connectés, les interfaces utilisateur, etc.
    • Tout ce qui peut être accessible de l’extérieur ou de l’intérieur d’un réseau représente un point d’entrée potentiel.
  • Vulnérabilités :
    • Les failles de sécurité dans les logiciels, les configurations incorrectes, les mots de passe faibles, les erreurs humaines, etc., sont des vulnérabilités qui augmentent la surface d’attaque.
  • Étendue :
    • La surface d’attaque peut varier considérablement en fonction de la complexité et de la taille d’un système.
    • Plus un système est complexe et interconnecté, plus sa surface d’attaque est étendue.
  • Gestion de la surface d’attaque (ASM ou Attack Surface Management) :
    • L’ASM est un processus continu d’identification, d’analyse, de gestion et de réduction de la surface d’attaque d’une organisation.
    • Cela implique de surveiller les actifs, de détecter les vulnérabilités, de prioriser les risques et de mettre en œuvre des mesures de sécurité appropriées.

Enjeux principaux

 

  • Complexité : plus un système est étendu (IoT, cloud, partenaires tiers), plus la surface d’attaque grandit
  • Évolution constante : les mises à jour, nouveaux logiciels ou appareils connectés créent de nouvelles vulnérabilités
  • Coûts : une surface d’attaque mal gérée augmente les risques de violations de données, entraînant des pertes financières et réputationnelles

 

👉 Exemples

 

  • Une application web :
  • Un employé en télétravail :
    • Risques : connexion via un Wi-Fi public non chiffré, appareil personnel non patché
  • Un objet connecté (IoT) :
    • Points d’entrée : firmware vulnérable, interface de gestion par défaut

 

Stratégies de réduction de la surface d’attaque

 

  1. Minimisation :
    • Désactiver les services inutiles, fermer les ports non utilisés
    • Appliquer le principe du moindre privilège (limiter les accès)
  2. Surveillance continue :
    • Utiliser des outils comme les scanners de vulnérabilités (Nessus, OpenVAS) ou les SIEM (ex : Splunk)
    • Analyser les logs pour détecter des activités suspectes
  3. Mises à jour régulières :
    • Corriger les failles via des patchs logiciels et matériels
  4. Segmenter le réseau :
    • Isoler les zones critiques (ex : réseau des serveurs vs utilisateurs)
  5. Formation des utilisateurs :
    • Sensibiliser aux risques de phishing et aux bonnes pratiques de sécurité

 

Outils de gestion

  • Cartographie des risques : logiciels comme Microsoft Attack Surface Analyzer
  • Pentesting : tests d’intrusion pour identifier les points faibles
  • Gestion des vulnérabilités : plateformes comme Tenable.io ou Qualys

 

Cas historique

  • Piraterie de Target (2013) :
    • La surface d’attaque incluait un système HVAC connecté au réseau interne, utilisé comme porte d’entrée pour voler 40 millions de cartes de crédit

 

Surface d’attaque vs vecteur d’attaque

  • Surface d’attaque : tous les points vulnérables d’un système (ex : ports, utilisateurs, API)
  • Vecteur d’attaque : méthode spécifique utilisée pour exploiter une faille (ex : phishing, injection SQL)

Retour au Glossaire

domaine de formation

Cybersécurité

formations associées

Sécurité systèmes et réseaux, niveau 1

Hacking et sécurité, niveau 1

Sécurité des systèmes d'information, synthèse

BEST

Vers la ORSYS Cyber Academy : un espace gratuit dédié à la cybersécurité