Comparaison
Gravité CSPM vs priorisation par chemin d’attaque
Un score de gravité CSPM classe un constat selon sa signature (un chiffre CVSS, une règle de posture) de façon isolée. La priorisation par chemin d’attaque le classe selon la possibilité réelle qu’un attaquant l’atteigne et ce qu’il y gagne s’il y parvient : le point d’entrée, l’identité qu’il expose et le rayon d’impact à partir de là. Le premier est une colonne triable ; le second est un graphe. Seul le second vous dit quoi corriger en premier.
Un constat infonuagique a deux types d’importance très différents, et la plupart des outils n’en font ressortir qu’un seul.
| Gravité CSPM | Priorisation par chemin d’attaque | |
|---|---|---|
| Classe selon | la gravité CVSS / règle de posture, par constat | l’accessibilité + le rayon d’impact de l’identité, à travers les constats |
| Unité | une ligne dans un tableau | un graphe : entrée → identité → impact |
| « Critique » signifie | la signature est mauvaise dans l’abstrait | un attaquant peut l’atteindre et en tirer quelque chose de réel |
| Aveugle à | la possibilité que quoi que ce soit y accède réellement | rien d’accessible, par construction |
| Résultat | une liste que vous triez par un chiffre | un ensemble classé de chemins à couper |
Une colonne de gravité n’est pas un classement de risque
Un CSPM vous indique qu’un groupe de sécurité autorise 0.0.0.0/0 sur le port 22, le cote Élevé et passe à autre chose. Il ne sait pas si cet hôte se trouve dans un sous-réseau public, si quoi que ce soit est à l’écoute, quel rôle IAM l’instance peut assumer, ni ce que ce rôle peut atteindre. Deux constats avec un CVSS identique peuvent différer de plusieurs ordres de grandeur en risque réel : l’un est une impasse, l’autre est le premier saut vers vos données. Trier par gravité les place côte à côte et demande à votre équipe de deviner.
Le résultat, c’est l’échec que toute équipe de plateforme connaît : des centaines de « critiques », de la fatigue d’alerte, et un véritable chemin de compromission qui traîne au rang 240 parce que sa signature individuelle a été cotée Moyenne.
Ce qu’un chemin d’attaque modélise et qu’un score ne peut pas
L’accessibilité est une propriété du graphe, pas du constat. Pour prioriser honnêtement, vous devez modéliser trois choses ensemble :
- Entrée — ce qu’un attaquant non authentifié ou à faible privilège peut réellement toucher (exposition publique, authentification faible, un compartiment trop partagé).
- Identité — quel identifiant ou rôle cette entrée procure, et ce que cette identité peut assumer ensuite. Dans l’infonuagique, le mouvement latéral est surtout un problème d’IAM, pas de réseau.
- Rayon d’impact — ce que les identités accessibles peuvent lire, écrire ou détruire, et quelles frontières de confiance elles franchissent.
Une SSRF de gravité Moyenne sur une instance dotée d’un rôle capable de lire chaque compartiment S3 du compte n’est pas Moyenne. Le score n’a jamais eu le contexte pour le savoir.
Comment reclasser vos propres constats
Vous n’avez pas besoin d’un nouveau produit pour commencer. Vous devez superposer les données que vous avez déjà :
- Associez chaque constat Élevé/Critique à sa ressource, et la ressource au rôle IAM qu’elle porte.
- Pour chaque rôle, calculez (ou lisez depuis Access Analyzer / le simulateur de politiques) ce qu’il peut réellement faire et atteindre.
- Marquez quels constats sont accessibles depuis un point d’entrée non fiable, tout court. Rétrogradez tout le reste vers un carnet de tâches.
- Classez l’ensemble accessible selon l’impact de l’identité au bout du chemin, et non la gravité de l’entrée.
Ce classement inverse habituellement le top 20 du scanneur. Les constats qui remontent au sommet sont ceux qui valent une semaine d’ingénierie ; le reste est de l’hygiène que vous planifiez.
Une Revue de sécurité infonuagique fait exactement ce reclassement, et vous remet le Terraform qui coupe les principaux chemins — pas un tableur retrié.