The ROI Problem in Attack Surface Management

2 minute de lecture

Mis à jour : January 02, 2026

La Mesure Réelle de la Gestion de la Surface d’Attaque

Les outils de gestion de la surface d’attaque (ASM) promettent une réduction des risques, mais se concentrent souvent sur la quantité d’informations collectées plutôt que sur les résultats concrets. La difficulté à prouver le retour sur investissement (ROI) de l’ASM réside dans la mesure des progrès : l’augmentation du nombre d’actifs découverts et d’alertes générées ne se traduit pas nécessairement par une organisation plus sûre.

Les métriques courantes comme le nombre d’actifs ou de changements ne reflètent pas l’amélioration réelle. Le problème vient d’un décalage entre la visibilité et la réponse. Une efficacité accrue de l’ASM devrait se traduire par une réduction des risques, ce qui est difficile à quantifier avec les méthodes actuelles.

Points Clés :

L’ASM génère souvent plus d’informations (actifs, alertes) que de preuves de réduction des risques.
La mesure actuelle de l’ASM se concentre sur la couverture (combien d’actifs sont connus) plutôt que sur l’efficacité (comment le risque est géré).
Les métriques basées sur les entrées (nombre d’actifs) ne montrent pas les résultats (réduction des incidents).
La fatigue des alertes, les arriérés de traitement et la confusion sur la propriété des actifs sont des symptômes d’une ASM inefficace.

Vulnérabilités (non spécifiées dans l’article, mais implicites dans les problèmes de gestion) :

Actifs non répertoriés ou inconnus.
Actifs sans propriétaire clair, entraînant des retards de patching et de maintenance.
Exposition prolongée des risques.
Points d’entrée externes non authentifiés et modifiables.
Actifs abandonnés ou obsolètes qui persistent dans la surface d’attaque.

Recommandations pour un ROI Significatif :

Pour mesurer efficacement le ROI de l’ASM, il faut se concentrer sur les résultats tangibles de la gestion des risques plutôt que sur la simple visibilité des actifs. Les métriques clés à suivre incluent :

Temps Moyen pour l’Attribution de la Propriété (Mean Time to Asset Ownership) : Mesurer la rapidité avec laquelle la propriété d’un actif est clairement identifiée. Un temps plus court indique une meilleure réactivité et une réduction de la fenêtre d’exposition sans responsabilité.
Réduction des Endpoints Exécutant des Actions d’État Sans Authentification : Surveiller la diminution du nombre de points d’accès externes qui peuvent modifier l’état d’un système sans nécessiter d’authentification. Une réduction de ces points est un indicateur fort d’une surface d’attaque plus restreinte.
Délai de Mise Hors Service Après Perte de Propriété (Time to Decommission After Ownership Loss) : Quantifier la rapidité avec laquelle les actifs sont retirés lorsque la propriété est perdue (par exemple, suite à des changements d’équipe, des dépréciations d’applications, etc.). Cela met en évidence l’hygiène à long terme et l’absence d’actifs oubliés.

En adoptant ces métriques orientées résultats, les organisations peuvent démontrer des progrès réels en matière de gestion de la surface d’attaque, rendant le programme plus défendable et axé sur la diminution effective des risques.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

The ROI Problem in Attack Surface Management

Partager sur

Vous pourriez aimer

Trust Wallet links $8.5 million crypto theft to Shai-Hulud NPM attack

Transparent Tribe Launches New RAT Attacks Against Indian Government and Academia

Cyberattaques Ciblées en Inde : Nouvelles Tactiques de Transparent Tribe et Patchwork

The Kimwolf Botnet is Stalking Your Local Network

Reverse Engineering the Tapo C260 and Tapo Discovery Protocol v2

Exploration du Protocole de Découverte Tapo v2 sur la Caméra C260