Le Continuous Threat Exposure Management (CTEM) représente une rupture fondamentale dans la gestion de la cybersécurité. Introduit par Gartner en 2022, ce framework en 5 phases permet aux organisations qui l'adoptent d'être trois fois moins susceptibles de subir une brèche d'ici 2026.
Gartner définit le CTEM comme « un ensemble de processus et de capacités permettant aux entreprises d'évaluer de manière continue et cohérente l'accessibilité, l'exposition et l'exploitabilité des actifs numériques et physiques ». Cette définition marque une évolution majeure : l'objectif n'est plus de remédier chaque vulnérabilité identifiée, mais d'adresser celles qui présentent le plus grand risque d'exploitation contre l'organisation spécifique.
Le framework a été introduit en juillet 2022 par les analystes Jeremy D'Hoinne et Pete Shoard. Il a été classé numéro 2 des Top 10 Strategic Technology Trends 2024 de Gartner, juste derrière l'AI Trust, Risk and Security Management. Cette position reflète une réalité terrain préoccupante : les surfaces d'attaque s'étendent plus vite que les équipes de défense ne peuvent suivre.
D'ici 2026, les surfaces d'attaque non patchables passeront de moins de 10% à plus de la moitié de l'exposition totale des entreprises. Le CTEM devient essentiel pour gérer cette nouvelle réalité.
L'adoption progresse rapidement : selon une étude Gartner sur 247 organisations, 29% ont déjà implémenté un programme CTEM tandis que 46% en développent un activement. Cette dynamique s'explique par des résultats tangibles : l'étude Forrester Total Economic Impact documente une réduction de 90% de la probabilité de brèche sévère et des économies de 12,4 millions de dollars sur trois ans.
Le CTEM s'articule autour d'un cycle continu et itératif en cinq phases distinctes mais interdépendantes. Chaque phase répond à un objectif précis et s'appuie sur des technologies spécifiques.
Définir le périmètre en alignant les évaluations avec les priorités business. Identifier les « crown jewels » (actifs critiques).
Cartographier exhaustivement les expositions : CVE, Shadow IT, actifs cloud, certificats, configurations erronées.
Séparer les risques critiques du bruit en combinant CVSS, EPSS, threat intelligence et contexte business.
Confirmer l'exploitabilité effective via BAS, red teaming automatisé ou tests de pénétration.
Opérationnaliser les résultats en coordonnant la remédiation entre équipes sécurité, IT et DevOps.
Le Scoping définit le périmètre couvert en alignant les évaluations avec les priorités business. Cette phase identifie les « crown jewels » et obtient l'adhésion des parties prenantes. Gartner recommande de démarrer par la surface d'attaque externe ou la posture SaaS, périmètres relativement contenus avec un écosystème d'outils mature.
Ne confondez pas Scoping et Discovery. Le scoping n'est pas l'énumération de tous les actifs mais la définition stratégique du périmètre prioritaire.
La Discovery cartographie exhaustivement les expositions dans le périmètre défini. Elle dépasse largement les CVE traditionnelles pour inclure :
Les technologies CAASM et EASM alimentent cette phase. Les données XM Cyber révèlent qu'une organisation possède en moyenne 15 000 expositions exploitables, dont les CVE ne représentent que 1%.
La Prioritization sépare les risques critiques du bruit. Elle combine plusieurs facteurs :
L'impact est spectaculaire : selon Picus Security, 63% des vulnérabilités initialement classées critiques se révèlent ne représenter que 10% de risque réel après contextualisation, soit une réduction de 84% de la « fausse urgence ».
La Validation confirme l'exploitabilité effective des expositions priorisées via Breach and Attack Simulation (BAS), red teaming automatisé ou tests de pénétration. Cette phase transforme les hypothèses en preuves.
Gartner a d'ailleurs créé en 2024 la catégorie « Adversarial Exposure Validation » fusionnant BAS et pentesting automatisé. L'exemple Log4Shell illustre cette valeur : une CVE CVSS 10.0 peut voir son score réel réduit à 5.2 si des règles WAF efficaces la protègent.
La Mobilization opérationnalise les résultats en coordonnant la remédiation entre équipes sécurité, IT et DevOps. Gartner précise que cette phase vise à « réduire les obstacles dans les approbations, processus d'implémentation et déploiements de mitigations ».
Les organisations utilisant la mobilisation inter-équipes obtiendront 50% d'amélioration supplémentaire par rapport à celles s'appuyant uniquement sur la remédiation automatisée.
Le CTEM s'appuie sur une convergence de technologies complémentaires, chacune alimentant des phases spécifiques du cycle.
Le CAASM (Cyber Asset Attack Surface Management) fournit une visibilité unifiée sur tous les actifs cyber internes. Axonius domine ce marché avec 32,3% de mindshare, suivi d'Armis (22,2%) et Qualys CSAM. Ces plateformes intègrent et corrèlent les données de multiples sources pour créer un inventaire contextualisé révélant Shadow IT et actifs orphelins.
L'EASM (External Attack Surface Management) complète cette vue en cartographiant la surface d'attaque externe visible des attaquants. CyCognito, Censys et Mandiant dominent ce segment. La distinction est cruciale : CAASM adresse l'interne, EASM l'externe, et leur combinaison offre une couverture complète.
Découvrez comment Beareye cartographie automatiquement vos assets exposés sur Internet.
Le VMDR (Vulnerability Management Detection & Response), porté par Qualys, Tenable et Rapid7, fait évoluer le VM traditionnel vers une gestion continue intégrant priorisation multi-facteurs et orchestration de la remédiation.
Les technologies BAS (Breach and Attack Simulation) (Beareye, SafeBreach, Cymulate, AttackIQ, Picus) simulent des techniques d'attaque pour tester l'efficacité des contrôles existants. Les outils de Red Team automatisé (Beareye, XM Cyber, Pentera, Horizon3.ai) vont plus loin en chaînant automatiquement les vulnérabilités pour démontrer des chemins d'attaque complets.
Deux standards ont transformé la pratique de priorisation :
L'EPSS (Exploit Prediction Scoring System) de FIRST.org prédit la probabilité d'exploitation à 30 jours via un modèle ML utilisant 1 100 variables. Contrairement au CVSS qui mesure la sévérité théorique, l'EPSS répond à « que se passe-t-il réellement ? ».
| Stratégie | CVE à traiter | Couverture exploits | Efficience |
|---|---|---|---|
| CVSS ≥ 7 | 57,4% | 82% | 3,96% |
| EPSS ≥ 10% | 2,7% | 63% | 65% |
Le rapport d'efficience est 16 fois supérieur avec EPSS.
Le catalogue KEV (Known Exploited Vulnerabilities) de CISA recense 1 414 CVE confirmées comme exploitées activement. Obligatoire pour les agences fédérales américaines, il constitue une « patch-these-first list » universellement pertinente.
Les nouvelles réglementations européennes rendent le CTEM particulièrement pertinent pour les organisations du continent.
La directive NIS2, applicable depuis le 18 octobre 2024, impose aux entités essentielles et importantes des mesures de gestion des risques cyber documentées à l'article 21. Les exigences d'analyse des risques, de gestion des vulnérabilités dans la chaîne d'approvisionnement et d'évaluation de l'efficacité des mesures s'alignent directement avec les phases Scoping, Discovery et Validation du CTEM.
Les sanctions atteignent 10 millions d'euros ou 2% du CA mondial pour les entités essentielles en cas de non-conformité.
Le règlement DORA, applicable depuis le 17 janvier 2025 pour le secteur financier, renforce ces exigences avec un programme obligatoire de tests de résilience (article 24) et des tests de pénétration basés sur les menaces (TLPT) tous les trois ans conformément au framework TIBER-EU.
Le purple teaming est désormais obligatoire en phase de clôture des TLPT. La phase Validation du CTEM, avec ses capacités BAS et red team automatisé, prépare directement à ces obligations.
Les contrôles ISO 27001:2022 pertinents incluent :
Ces contrôles s'intègrent naturellement dans le cycle CTEM, facilitant la certification pour les organisations ayant implémenté le framework.
La comparaison avec les méthodes établies révèle l'ampleur du changement de paradigme.
| Critère | VM Classique | Pentest Ponctuel | EASM Seul | CTEM |
|---|---|---|---|---|
| Fréquence | Scans périodiques | 1-2x/an | Continue | Continue |
| Couverture | Serveurs connus | ~20% actifs ciblés | Externe uniquement | 100% périmètre scopé |
| Priorisation | CVSS brut | Expertise humaine | CVSS générique | EPSS + Business + KEV |
| Validation | ✗ Absente | ✓ Manuelle | ✗ Absente | ✓ Automatisée |
| Mobilization | ✗ Absente | ◐ Rapport PDF | ✗ Absente | ✓ Workflow intégré |
| Shadow IT | ✗ | ◐ | ✓ | ✓ |
IDC révèle que 70% des grandes organisations déploient du code en production quotidiennement, rendant les pentests annuels structurellement inadaptés. Les approches restent complémentaires : le CTEM fournit cartographie et priorisation continues, le pentest valide les chemins critiques avec l'intelligence non-linéaire d'experts humains.
Les organisations bénéficiant le plus du CTEM partagent des caractéristiques communes :
La recherche XM Cyber sur l'état de l'Exposure Management 2024 révèle que les grandes entreprises cumulent plus de 250 000 vulnérabilités ouvertes mais n'en corrigent que 10%. Le CTEM permet de concentrer les efforts sur les 2% d'expositions menant réellement aux actifs critiques, puisque 74% constituent des « impasses » pour les attaquants.
L'impact sur les équipes SOC inclut une réduction de 84% du bruit d'alertes après validation contextuelle.
Le CTEM génère des KPIs business compréhensibles :
Gartner note que 88% des conseils d'administration considèrent désormais la cybersécurité comme un enjeu business.
1. Confondre Scoping et Discovery en lançant l'inventaire technique avant d'avoir défini les priorités business.
2. Ignorer la phase Mobilization en produisant des rapports sans coordination inter-équipes.
3. Accumuler des outils sans intégration, créant des silos qui empêchent une vision holistique.
Gartner recommande une approche « crawl, walk, run » avec des cycles courts et itératifs, démarrant par un périmètre focalisé (surface externe ou SaaS) avant d'élargir progressivement.
Retrouvez les réponses aux questions les plus posées sur le framework Gartner de gestion continue de l'exposition aux menaces.
Le CTEM est un framework créé par Gartner en 2022 définissant un ensemble de processus et capacités permettant d'évaluer de manière continue l'accessibilité, l'exposition et l'exploitabilité des actifs numériques. Il se structure en 5 phases : Scoping, Discovery, Prioritization, Validation et Mobilization.
Selon Gartner, les organisations qui priorisent leurs investissements sécurité via un programme CTEM seront trois fois moins susceptibles de subir une brèche d'ici 2026 (réduction de 66%). Une étude Forrester documente un ROI de 394% sur trois ans et une réduction de 90% de la probabilité de brèche sévère.
Le CTEM se distingue du Vulnerability Management classique par son évaluation continue (vs scans périodiques), sa priorisation basée sur le risque business (vs tri CVSS), sa validation de l'exploitabilité réelle, et sa couverture étendue au Shadow IT, APIs, SaaS et identités compromises.
Le CTEM répond directement aux exigences NIS2 (article 21) d'analyse des risques et de gestion des vulnérabilités. Pour DORA, la phase Validation avec ses capacités BAS et red team automatisé prépare aux tests de résilience obligatoires (article 24) et aux TLPT basés sur TIBER-EU.
L'écosystème CTEM repose sur le CAASM (inventaire des actifs internes), l'EASM (surface d'attaque externe), le VMDR (gestion des vulnérabilités), les outils BAS (simulation d'attaques), le red team automatisé, et les standards EPSS et KEV pour la priorisation.
Gartner recommande une approche « crawl, walk, run » démarrant par un périmètre focalisé comme la surface d'attaque externe ou la posture SaaS. Les erreurs à éviter : confondre Scoping et Discovery, ignorer la phase Mobilization, et accumuler des outils sans intégration.
Selon une étude Gartner sur 247 organisations, 29% ont déjà implémenté un programme CTEM et 46% en développent un activement, portant le taux de pénétration à 75%. Le CTEM a été classé numéro 2 des Top 10 Strategic Technology Trends 2024.
Beareye unifie CAASM, EASM, VMDR et Red Team automatisé dans une plateforme souveraine française. Découvrez comment structurer votre approche CTEM.
