CTEM : Le Cadre Qui Redéfinit la Cybersécurité Proactive en 2026

1. L'évolution du cadre Gartner : de concept émergent à socle stratégique

Le CTEM a parcouru un chemin remarquable depuis sa première formalisation le 21 juillet 2022 dans le rapport Gartner « Implement a Continuous Threat Exposure Management (CTEM) Program » par Jeremy D'Hoinne, Pete Shoard et Mitchell Schneider. La définition originale reste la référence : un ensemble de processus et de capacités permettant aux entreprises d'évaluer de manière continue et cohérente l'accessibilité, l'exposition et l'exploitabilité de leurs actifs numériques et physiques. Point fondamental : le CTEM n'est explicitement pas un produit ni une technologie, c'est un programme stratégique articulant personnes, processus et technologies.

1.1 La trajectoire de reconnaissance Gartner

La montée en puissance du CTEM dans la hiérarchie Gartner témoigne de son importance croissante. Après son introduction en 2022, le CTEM a été nommé tendance n°4 en cybersécurité pour 2023, puis propulsé au rang de n°2 des Top Strategic Technology Trends pour 2024, juste derrière AI TRiSM. En juillet 2024, le Hype Cycle for Security Operations a introduit trois catégories structurantes, Threat Exposure Management (TEM), Exposure Assessment Platforms (EAP) et Adversarial Exposure Validation (AEV), qui opérationnalisent le cadre CTEM en segments de marché distincts.

Le jalon décisif est survenu en novembre 2025 avec la publication du premier Magic Quadrant for Exposure Assessment Platforms, évaluant 20 fournisseurs. Les Leaders identifiés, Tenable, Qualys, Rapid7, et le Challenger XM Cyber signalent la maturité industrielle du segment. En mars 2025, le Market Guide for Adversarial Exposure Validation avait déjà prédit que 40 % des organisations adopteraient des initiatives formelles de validation d'exposition d'ici 2027.

1.2 Prédictions stratégiques et données d'adoption

Les prédictions de Gartner se sont affinées au fil du temps. La prédiction originale de 2022, réduction de deux tiers des brèches pour les adopteurs CTEM d'ici 2026, a été complétée en juillet 2025 par une projection ambitieuse : réduction d'au moins 50 % des cyberattaques réussies d'ici 2028 pour les organisations mettant l'accent sur la mobilisation inter-business-units. Le MQ EAP de novembre 2025 anticipe également 30 % de temps d'arrêt non planifié en moins pour les organisations intégrant les données d'évaluation d'exposition dans leurs workflows IT.

Les données d'adoption confirment cette dynamique. Selon un sondage Gartner Peer Connect, 71 % des organisations pourraient bénéficier d'une approche CTEM, et 60 % poursuivent déjà un programme ou l'envisagent. Une étude portant sur 247 organisations révèle que 29 % ont déjà implémenté un programme CTEM et 46 % sont en cours de développement, soit un taux de pénétration combiné de 75 %. Le marché CTEM croît à un CAGR de ~10,15 % sur la période 2025-2034, tandis que le marché connexe de l'Attack Surface Management devrait passer de 1,03 milliard $ en 2025 à 4,29 milliards $ en 2032 (CAGR 22,6 %).

2. Les cinq phases du CTEM : un programme, pas un produit

Le CTEM se structure autour de cinq phases complémentaires formant un cycle continu. Chaque phase s'appuie sur les résultats de la précédente et alimente la suivante, créant une boucle d'amélioration permanente. Comprendre cette architecture est essentiel pour éviter l'écueil majeur : réduire le CTEM à un simple outil technologique.

2.1 Scoping : l'ancrage métier

La phase de Scoping définit le périmètre du cycle CTEM en fonction des priorités métier, pas de l'inventaire technique. Elle identifie les « crown jewels » et les processus Tier 1, détermine quelles infrastructures (on-premise, cloud, SaaS, OT/IoT) sont couvertes, et établit les métriques de succès. Gartner recommande aux organisations débutantes de commencer par la surface d'attaque externe et la posture de sécurité SaaS, deux périmètres offrant un retour rapide.

Le scoping doit couvrir quatre catégories de menaces : menaces externes intentionnelles, menaces externes non intentionnelles, menaces internes et menaces de la chaîne d'approvisionnement. L'erreur la plus fréquente consiste à confondre scoping et inventaire d'actifs, le scoping est stratégique, l'inventaire relève de la phase Discovery.

2.2 Discovery : au-delà des CVE

La Discovery cartographie l'ensemble des expositions dans le périmètre défini. Cela va bien au-delà des seules vulnérabilités logicielles (CVE) pour inclure les misconfigurations, risques identitaires, comptes dormants, credentials exposées, shadow IT et dépôts de code vulnérables. Les technologies mobilisées incluent les scanners de vulnérabilités, l'EASM, le CSPM/CIEM, le CAASM et la surveillance du dark web.

Un constat critique souligne l'urgence de cette phase : seulement 17 % des organisations parviennent actuellement à identifier la majorité de leurs actifs. Ce déficit de visibilité est précisément ce que la phase Discovery du CTEM cherche à combler, en unifiant des sources de données hétérogènes dans une vue consolidée de l'exposition.

2.3 Prioritization : l'intelligence du risque

La priorisation CTEM se distingue radicalement de l'approche CVSS traditionnelle. Moins de 1 % des CVE sont exploitées par des acteurs malveillants chaque année ; dans un environnement donné, un pourcentage encore plus faible sera réellement exploitable. La priorisation CTEM intègre l'exploitabilité réelle (via EPSS et threat intelligence), l'impact métier, les contrôles compensatoires existants et l'analyse des chemins d'attaque.

Des recherches démontrent que 75 % des expositions sont des « impasses » ne menant pas à un autre actif, et seulement 2 % des expositions mènent à des actifs critiques. Cette réalité souligne l'importance capitale de ne pas traiter toutes les vulnérabilités de manière égale, un principe fondateur du CTEM.

2.4 Validation : la preuve par l'attaque

La Validation est la phase la plus différenciante par rapport à la gestion traditionnelle des vulnérabilités. Elle confirme que les expositions priorisées posent effectivement des menaces réelles, vérifie les chemins d'attaque et teste l'efficacité des contrôles existants. Les méthodes incluent le Breach and Attack Simulation (BAS), le pentesting automatisé, le red teaming manuel et le purple teaming.

Les outils de validation s'alignent sur le framework MITRE ATT&CK (14 tactiques, 193 techniques, 401 sous-techniques) pour simuler des scénarios d'attaque réalistes. Une étude Cymulate 2025 démontre que les organisations conduisant des exercices mensuels de validation d'exposition constatent une réduction de 20 % des brèches et 47 % des responsables sécurité rapportent une amélioration du MTTD (Mean Time To Detect).

2.5 Mobilization : le chaînon manquant

La Mobilization opérationnalise les résultats en coordonnant la remédiation inter-équipes (sécurité, IT, DevOps, métiers). Gartner affirme que les leaders implémentant la mobilisation inter-équipes obtiennent 50 % d'optimisation sécuritaire de plus que ceux se limitant à la remédiation automatisée. Cette phase intègre les workflows ITSM (ServiceNow, Jira), les pipelines CI/CD et les plateformes SOAR.

La remédiation ne se limite pas au patching : elle peut inclure des redesigns architecturaux, des restrictions identitaires, des contrôles compensatoires ou des actions sur les fournisseurs tiers. L'output de la Mobilization alimente la boucle de rétroaction pour le prochain cycle de Scoping, bouclant ainsi le processus CTEM.

3. Un paysage de menaces qui rend le CTEM indispensable

Les données 2025 dessinent un tableau sans équivoque. Le contexte de menaces actuel dépasse structurellement les capacités de toute approche ponctuelle ou réactive. Trois dynamiques convergentes, coût exponentiel des brèches, explosion de la surface d'attaque et sophistication IA des attaques, imposent le passage à un modèle continu.

3.1 Le coût croissant des brèches

Le rapport IBM Cost of a Data Breach 2025 établit le coût moyen mondial d'une brèche à 4,44 M$ (10,22 M$ aux États-Unis, record historique), avec un cycle de vie moyen de 241 jours, le plus bas en 9 ans, mais toujours considérable. Le Verizon DBIR 2025, analysant 22 052 incidents et 12 195 brèches confirmées, révèle que l'exploitation de vulnérabilités a bondi de 34 % pour atteindre 20 % de toutes les brèches, se rapprochant de l'abus de credentials (22 %).

L'exploitation des équipements périphériques (VPN, firewalls) a explosé d'un facteur 8, passant de 3 % à 22 % des exploits. Fait alarmant : le délai médian entre la publication d'un CVE edge et l'exploitation de masse est de 0 jour, tandis que le délai médian de remédiation atteint 32 jours, un fossé béant que seule une approche continue peut combler.

3.2 L'explosion de la surface d'attaque

En 2025, 48 185 CVE ont été publiées (+21 % vs 2024), soit environ 130 par jour. Le catalogue CISA KEV recense désormais 1 484 vulnérabilités activement exploitées, avec 245 ajouts en 2025. La prédiction Gartner selon laquelle les surfaces non patchables passeraient de moins de 10 % à plus de la moitié de l'exposition totale d'ici 2026 se concrétise avec la prolifération des 18-19 milliards d'objets IoT connectés et l'augmentation de 84 % des attaques sur les protocoles OT.

Le ransomware reste la menace la plus destructrice. Le Verizon DBIR 2025 note sa présence dans 44 % des brèches (+37 %), tandis que Cyble comptabilise 6 604 revendications ransomware en 2025 (+52 %). Pour la France spécifiquement, Comparitech recense 178 attaques ransomware en 2025 (+39 %), et l'ANSSI a traité 4 386 événements de sécurité en 2024 (+15 %), dont 144 compromissions par ransomware. Le coût moyen de récupération en France s'élève à 1,22 M$.

3.3 Les menaces IA : un changement de paradigme offensif

Les menaces alimentées par l'IA transforment l'équation offensive. 87 % des organisations ont subi une attaque IA au cours de l'année écoulée, et 83 % des emails de phishing intègrent désormais de l'IA. Les deepfakes prolifèrent avec une hausse de 19 % au seul T1 2025, et le « Deepfake-as-a-Service » émerge comme outil cybercriminel. Le rapport IBM révèle que 16 % des brèches impliquent l'utilisation d'IA par les attaquants, principalement pour le phishing (37 %) et l'usurpation d'identité par deepfake (35 %).

La chaîne d'approvisionnement constitue le second front critique : l'implication de tiers dans les brèches a doublé pour atteindre 30 % (Verizon DBIR), et les attaques supply chain ont augmenté de 93 % en 2025 avec 297 attaques revendiquées. Les PME/TPE/ETI représentent 37 % des incidents ransomware traités par l'ANSSI, une cible structurellement vulnérable que le CTEM peut aider à protéger.

4. Le contexte réglementaire français et européen pousse vers le CTEM

La pression réglementaire européenne et française constitue un accélérateur majeur de l'adoption CTEM. Trois textes convergents, NIS2, DORA et le Cyber Resilience Act, exigent tous une approche continue d'évaluation des risques que le cycle CTEM en cinq phases opérationnalise directement.

4.1 NIS2 : la France en phase finale de transposition

La France n'a pas encore pleinement transposé la directive NIS2 en février 2026. Le pays a choisi de regrouper trois directives dans un véhicule législatif unique, la « Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » (Loi Résilience), couvrant NIS2 (Titre I), CER (Titre II) et l'adaptation DORA (Titre III). Le Sénat a adopté le texte en première lecture le 12 mars 2025, et la commission spéciale de l'Assemblée nationale l'a approuvé à l'unanimité les 9-10 septembre 2025.

Le périmètre français passera de ~500 entités (NIS1) à 15 000-18 000 entités réparties en Entités Essentielles (EE) et Entités Importantes (EI), avec 20 objectifs de sécurité pour les EE et 15 pour les EI. L'article 21 de NIS2 exige explicitement des politiques d'analyse de risques, de gestion des vulnérabilités et d'évaluation de l'efficacité des mesures, des exigences que le cycle CTEM opérationnalise directement. L'ANSSI a averti que la certification ISO 27001 ne couvre que 2 des 20 objectifs de sécurité NIS2 français.

4.2 DORA : pleinement applicable depuis janvier 2025

Le Digital Operational Resilience Act (DORA) s'applique directement depuis le 17 janvier 2025 à toutes les entités financières. Ses cinq piliers, gestion du risque ICT, reporting d'incidents, tests de résilience, gestion des tiers ICT et partage d'informations, s'alignent naturellement avec le CTEM. L'article 26 établit le TLPT (Threat-Led Penetration Testing) selon le cadre TIBER-EU, exigeant des tests au moins tous les 3 ans avec purple teaming obligatoire.

Le cadre DORA exige un monitoring continu et l'intégration des résultats de tests dans l'amélioration continue, exactement le cycle CTEM. L'impact est mesurable : selon le Wavestone Cyber Benchmark 2025, le secteur financier affiche la maturité cybersécurité la plus élevée à 62,5 % (+2,5 points), directement stimulé par DORA.

4.3 Le Cyber Resilience Act et l'omnibus numérique

Le CRA (Règlement EU 2024/2847) est entré en vigueur le 10 décembre 2024 avec une pleine application au 11 décembre 2027. Les obligations de signalement des fabricants s'appliqueront dès septembre 2026. Le CRA exige une gestion des vulnérabilités tout au long du cycle de vie des produits numériques et la fourniture de SBOM (Software Bill of Materials).

En parallèle, le Digital Omnibus Package proposé en novembre 2025 vise à créer un point d'entrée unique de reporting d'incidents (géré par ENISA) couvrant NIS2, CRA, RGPD, DORA et CER, avec des économies estimées à 5-6 milliards € pour les entreprises. Cette simplification facilitera la mise en conformité transversale, un objectif que le CTEM soutient nativement grâce à sa vision intégrée de l'exposition.

5. CTEM versus approches traditionnelles : pourquoi les solutions ponctuelles échouent

La gestion traditionnelle des vulnérabilités se concentre sur les CVE des actifs connus au sein du réseau corporate, avec des scans périodiques et une priorisation par score CVSS. Le CTEM élargit radicalement ce paradigme en couvrant toutes les expositions, CVE, misconfigurations, risques identitaires, credentials exposées, shadow IT, SaaS, supply chain, avec une priorisation basée sur l'impact métier et l'exploitabilité réelle, et surtout une phase de validation qui prouve l'exploitabilité.

5.1 Les limites documentées des approches fragmentées

Les données 2025 illustrent dramatiquement les limites des approches isolées. Seulement 9 % des vulnérabilités identifiées par scan sont remédiées (Verizon). Le délai moyen de patch pour les 17 CVE edge du DBIR est de 209 jours (Tenable), alors que le délai moyen d'exploitation est de 5 jours, voire 0 jour pour les équipements edge. Les grandes entreprises peuvent avoir plus de 250 000 vulnérabilités ouvertes et n'en corriger que 10 %.

Comme le résume GuidePoint Security : Gartner décrit le CTEM comme un « programme parapluie qui aide et fédère les efforts de Vulnerability Management, plutôt qu'un remplacement direct ». Le pentesting traditionnel est ponctuel et produit un rapport statique ; l'EASM ne couvre que les actifs exposés sur Internet ; le red teaming est conduit 1-2 fois par an. Chacune de ces approches isolées laisse des angles morts que seul un programme CTEM intégré peut combler.

5.2 Intégration avec les frameworks existants

Le CTEM s'intègre naturellement avec les cadres de référence existants. MITRE ATT&CK sert de colonne vertébrale opérationnelle pour les phases de Priorisation et Validation, en mappant les simulations d'attaque sur les tactiques et techniques adverses réelles. NIST CSF 2.0 (publié en février 2024) avec ses six fonctions s'aligne directement : le Scoping map à Govern/Identify, la Discovery à Identify, la Prioritization et Validation à Protect/Detect, et la Mobilization à Respond/Recover.

Les contrôles ISO 27001:2022, notamment A.5.7 (threat intelligence), A.8.8 (gestion des vulnérabilités techniques) et A.8.16 (activités de monitoring), supportent l'implémentation CTEM. Toutefois, comme l'ANSSI le rappelle, la certification ISO 27001 ne couvre que 2 des 20 objectifs NIS2 français : le CTEM fournit le complément programmatique nécessaire.

6. Feuille de route CTEM pour les organisations françaises

Pour les DSI et RSSI français, la feuille de route d'implémentation CTEM doit conjuguer efficacité opérationnelle et conformité réglementaire, tout en s'appuyant sur l'écosystème souverain en pleine maturité. Le Wavestone Cyber Benchmark montre qu'aucune entreprise française n'est encore pleinement conforme à NIS2, mais que la maturité moyenne face aux exigences NIS2 indique que les fondations existent.

6.1 Le marché français : maturité en progression

Le 11e Baromètre CESIN/OpinionWay (publié le 26 janvier 2026, 397 répondants RSSI) révèle que 40 % des entreprises françaises ont subi au moins une cyberattaque significative en 2025 (contre 47 % en 2024 et 65 % en 2019). Cette tendance baissière est encourageante, mais 81 % des organisations victimes rapportent un impact métier direct, perturbation de production (28 %), impact image (26 %). Les vecteurs dominants restent le phishing (55 %), l'exploitation de vulnérabilités (41 %) et les attaques indirectes via des tiers (35 %, en forte hausse).

Le Wavestone Cyber Benchmark 2025 établit la maturité moyenne des grandes entreprises françaises à 54 % (+1 point), avec le secteur financier en tête à 62,5 % et le secteur public en queue à 36 %. Les faiblesses structurelles persistent : sécurité des tiers à 48,9 %, sécurité cloud à 44 %, systèmes industriels à 39,9 % et résilience/reprise à 43 %. Le ratio est de 1 expert cybersécurité pour 1 016 employés en moyenne, avec plus de 15 000 postes non pourvus.

6.2 Souveraineté numérique : un impératif stratégique

La souveraineté numérique est une préoccupation croissante. 63 % des répondants CESIN s'inquiètent des enjeux de cloud de confiance (+11 points), 48 % citent l'hébergement des données soumis à des lois extraterritoriales comme risque clé, et 92 % des données européennes sont stockées chez des acteurs non européens. La qualification SecNumCloud de l'ANSSI couvre environ 1 200 exigences de sécurité, mais moins de 10 offres sont qualifiées fin 2025.

6.3 Plan d'action en 5 étapes pour démarrer le CTEM

Le budget moyen à prévoir varie selon la taille de l'organisation : 100-200 K€ pour les Entités Importantes NIS2 et 450-880 K€ pour les Entités Essentielles, incluant la mise en conformité réglementaire. Les budgets cybersécurité représentent actuellement 6,4 % des budgets IT en France, une phase de consolidation selon le CESIN, les entreprises devant finir de déployer les investissements précédents.