Qu'est-ce que le CTEM selon Gartner ?
Gartner définit le CTEM comme « un ensemble de processus et de capacités permettant aux entreprises d'évaluer de manière continue et cohérente l'accessibilité, l'exposition et l'exploitabilité des actifs numériques et physiques ». Cette définition marque une évolution majeure : l'objectif n'est plus de remédier chaque vulnérabilité identifiée, mais d'adresser celles qui présentent le plus grand risque d'exploitation contre l'organisation spécifique.
Le framework a été introduit en juillet 2022 par les analystes Jeremy D'Hoinne et Pete Shoard. Il a été classé numéro 2 des Top 10 Strategic Technology Trends 2024 de Gartner, juste derrière l'AI Trust, Risk and Security Management. Cette position reflète une réalité terrain préoccupante : les surfaces d'attaque s'étendent plus vite que les équipes de défense ne peuvent suivre.
D'ici 2026, les surfaces d'attaque non patchables passeront de moins de 10% à plus de la moitié de l'exposition totale des entreprises. Le CTEM devient essentiel pour gérer cette nouvelle réalité.
L'adoption progresse rapidement : selon une étude Gartner sur 247 organisations, 29% ont déjà implémenté un programme CTEM tandis que 46% en développent un activement. Cette dynamique s'explique par des résultats tangibles : l'étude Forrester Total Economic Impact documente une réduction de 90% de la probabilité de brèche sévère et des économies de 12,4 millions de dollars sur trois ans.
Les 5 phases du cycle CTEM décryptées
Le CTEM s'articule autour d'un cycle continu et itératif en cinq phases distinctes mais interdépendantes. Chaque phase répond à un objectif précis et s'appuie sur des technologies spécifiques.
Scoping
Définir le périmètre en alignant les évaluations avec les priorités business. Identifier les « crown jewels » (actifs critiques).
Discovery
Cartographier exhaustivement les expositions : CVE, Shadow IT, actifs cloud, certificats, configurations erronées.
Prioritization
Séparer les risques critiques du bruit en combinant CVSS, EPSS, threat intelligence et contexte business.
Validation
Confirmer l'exploitabilité effective via BAS, red teaming automatisé ou tests de pénétration.
Mobilization
Opérationnaliser les résultats en coordonnant la remédiation entre équipes sécurité, IT et DevOps.
Phase 1 — Scoping : Définir le périmètre stratégique
Le Scoping définit le périmètre couvert en alignant les évaluations avec les priorités business. Cette phase identifie les « crown jewels » et obtient l'adhésion des parties prenantes. Gartner recommande de démarrer par la surface d'attaque externe ou la posture SaaS, périmètres relativement contenus avec un écosystème d'outils mature.
Ne confondez pas Scoping et Discovery. Le scoping n'est pas l'énumération de tous les actifs mais la définition stratégique du périmètre prioritaire.
Phase 2 — Discovery : Cartographier toutes les expositions
La Discovery cartographie exhaustivement les expositions dans le périmètre défini. Elle dépasse largement les CVE traditionnelles pour inclure :
- Le Shadow IT et les actifs éphémères cloud
- Les certificats expirés et les identifiants compromis
- Les configurations erronées (misconfigurations)
- Les APIs exposées et les services non documentés
Les technologies CAASM et EASM alimentent cette phase. Les données XM Cyber révèlent qu'une organisation possède en moyenne 15 000 expositions exploitables, dont les CVE ne représentent que 1%.
Phase 3 — Prioritization : Séparer le signal du bruit
La Prioritization sépare les risques critiques du bruit. Elle combine plusieurs facteurs :
- CVSS : score de sévérité intrinsèque
- EPSS : probabilité d'exploitation à 30 jours
- Threat intelligence : contexte d'exploitation active
- Contexte business : criticité de l'actif pour l'organisation
- Contrôles compensatoires : protections déjà en place
L'impact est spectaculaire : selon Picus Security, 63% des vulnérabilités initialement classées critiques se révèlent ne représenter que 10% de risque réel après contextualisation, soit une réduction de 84% de la « fausse urgence ».
Phase 4 — Validation : Prouver l'exploitabilité
La Validation confirme l'exploitabilité effective des expositions priorisées via Breach and Attack Simulation (BAS), red teaming automatisé ou tests de pénétration. Cette phase transforme les hypothèses en preuves.
Gartner a d'ailleurs créé en 2024 la catégorie « Adversarial Exposure Validation » fusionnant BAS et pentesting automatisé. L'exemple Log4Shell illustre cette valeur : une CVE CVSS 10.0 peut voir son score réel réduit à 5.2 si des règles WAF efficaces la protègent.
Phase 5 — Mobilization : Passer à l'action coordonnée
La Mobilization opérationnalise les résultats en coordonnant la remédiation entre équipes sécurité, IT et DevOps. Gartner précise que cette phase vise à « réduire les obstacles dans les approbations, processus d'implémentation et déploiements de mitigations ».
Les organisations utilisant la mobilisation inter-équipes obtiendront 50% d'amélioration supplémentaire par rapport à celles s'appuyant uniquement sur la remédiation automatisée.
L'écosystème technologique du CTEM
Le CTEM s'appuie sur une convergence de technologies complémentaires, chacune alimentant des phases spécifiques du cycle.
CAASM — Visibilité interne unifiée
Le CAASM (Cyber Asset Attack Surface Management) fournit une visibilité unifiée sur tous les actifs cyber internes. Axonius domine ce marché avec 32,3% de mindshare, suivi d'Armis (22,2%) et Qualys CSAM. Ces plateformes intègrent et corrèlent les données de multiples sources pour créer un inventaire contextualisé révélant Shadow IT et actifs orphelins.
EASM — Surface d'attaque externe
L'EASM (External Attack Surface Management) complète cette vue en cartographiant la surface d'attaque externe visible des attaquants. CyCognito, Censys et Mandiant dominent ce segment. La distinction est cruciale : CAASM adresse l'interne, EASM l'externe, et leur combinaison offre une couverture complète.
Découvrez comment Beareye cartographie automatiquement vos assets exposés sur Internet.
VMDR et BAS — Gestion et simulation
Le VMDR (Vulnerability Management Detection & Response), porté par Qualys, Tenable et Rapid7, fait évoluer le VM traditionnel vers une gestion continue intégrant priorisation multi-facteurs et orchestration de la remédiation.
Les technologies BAS (Breach and Attack Simulation) (Beareye, SafeBreach, Cymulate, AttackIQ, Picus) simulent des techniques d'attaque pour tester l'efficacité des contrôles existants. Les outils de Red Team automatisé (Beareye, XM Cyber, Pentera, Horizon3.ai) vont plus loin en chaînant automatiquement les vulnérabilités pour démontrer des chemins d'attaque complets.
EPSS et KEV — Standards de priorisation
Deux standards ont transformé la pratique de priorisation :
L'EPSS (Exploit Prediction Scoring System) de FIRST.org prédit la probabilité d'exploitation à 30 jours via un modèle ML utilisant 1 100 variables. Contrairement au CVSS qui mesure la sévérité théorique, l'EPSS répond à « que se passe-t-il réellement ? ».
| Stratégie | CVE à traiter | Couverture exploits | Efficience |
|---|---|---|---|
| CVSS ≥ 7 | 57,4% | 82% | 3,96% |
| EPSS ≥ 10% | 2,7% | 63% | 65% |
Le rapport d'efficience est 16 fois supérieur avec EPSS.
Le catalogue KEV (Known Exploited Vulnerabilities) de CISA recense 1 414 CVE confirmées comme exploitées activement. Obligatoire pour les agences fédérales américaines, il constitue une « patch-these-first list » universellement pertinente.
Alignement avec NIS2 et DORA
Les nouvelles réglementations européennes rendent le CTEM particulièrement pertinent pour les organisations du continent.
Directive NIS2
La directive NIS2, applicable depuis le 18 octobre 2024, impose aux entités essentielles et importantes des mesures de gestion des risques cyber documentées à l'article 21. Les exigences d'analyse des risques, de gestion des vulnérabilités dans la chaîne d'approvisionnement et d'évaluation de l'efficacité des mesures s'alignent directement avec les phases Scoping, Discovery et Validation du CTEM.
Les sanctions atteignent 10 millions d'euros ou 2% du CA mondial pour les entités essentielles en cas de non-conformité.
Règlement DORA
Le règlement DORA, applicable depuis le 17 janvier 2025 pour le secteur financier, renforce ces exigences avec un programme obligatoire de tests de résilience (article 24) et des tests de pénétration basés sur les menaces (TLPT) tous les trois ans conformément au framework TIBER-EU.
Le purple teaming est désormais obligatoire en phase de clôture des TLPT. La phase Validation du CTEM, avec ses capacités BAS et red team automatisé, prépare directement à ces obligations.
Contrôles ISO 27001:2022 alignés
Les contrôles ISO 27001:2022 pertinents incluent :
- A.8.8 — Gestion des vulnérabilités techniques
- A.8.16 — Surveillance des activités
- A.8.29 — Tests de sécurité en développement
- A.8.34 — Protection pendant les audits
Ces contrôles s'intègrent naturellement dans le cycle CTEM, facilitant la certification pour les organisations ayant implémenté le framework.
CTEM vs approches traditionnelles
La comparaison avec les méthodes établies révèle l'ampleur du changement de paradigme.
| Critère | VM Classique | Pentest Ponctuel | EASM Seul | CTEM |
|---|---|---|---|---|
| Fréquence | Scans périodiques | 1-2x/an | Continue | Continue |
| Couverture | Serveurs connus | ~20% actifs ciblés | Externe uniquement | 100% périmètre scopé |
| Priorisation | CVSS brut | Expertise humaine | CVSS générique | EPSS + Business + KEV |
| Validation | ✗ Absente | ✓ Manuelle | ✗ Absente | ✓ Automatisée |
| Mobilization | ✗ Absente | ◐ Rapport PDF | ✗ Absente | ✓ Workflow intégré |
| Shadow IT | ✗ | ◐ | ✓ | ✓ |
IDC révèle que 70% des grandes organisations déploient du code en production quotidiennement, rendant les pentests annuels structurellement inadaptés. Les approches restent complémentaires : le CTEM fournit cartographie et priorisation continues, le pentest valide les chemins critiques avec l'intelligence non-linéaire d'experts humains.
Bénéfices concrets et facteurs de succès
Les organisations bénéficiant le plus du CTEM partagent des caractéristiques communes :
- Taille significative (plus de 500 employés)
- Secteur réglementé (finance, santé, énergie)
- Environnements hybrides complexes
- Chaîne d'approvisionnement numérique étendue
Résultats documentés
La recherche XM Cyber sur l'état de l'Exposure Management 2024 révèle que les grandes entreprises cumulent plus de 250 000 vulnérabilités ouvertes mais n'en corrigent que 10%. Le CTEM permet de concentrer les efforts sur les 2% d'expositions menant réellement aux actifs critiques, puisque 74% constituent des « impasses » pour les attaquants.
L'impact sur les équipes SOC inclut une réduction de 84% du bruit d'alertes après validation contextuelle.
Dialogue RSSI/Direction
Le CTEM génère des KPIs business compréhensibles :
- Score de risque cyber traçable dans le temps
- Pourcentage de réduction de la surface d'attaque
- MTTR (Mean Time To Remediate)
- Couverture des actifs critiques
Gartner note que 88% des conseils d'administration considèrent désormais la cybersécurité comme un enjeu business.
Erreurs d'implémentation à éviter
1. Confondre Scoping et Discovery en lançant l'inventaire technique avant d'avoir défini les priorités business.
2. Ignorer la phase Mobilization en produisant des rapports sans coordination inter-équipes.
3. Accumuler des outils sans intégration, créant des silos qui empêchent une vision holistique.
Gartner recommande une approche « crawl, walk, run » avec des cycles courts et itératifs, démarrant par un périmètre focalisé (surface externe ou SaaS) avant d'élargir progressivement.
Points clés à retenir
- Le CTEM est un framework Gartner en 5 phases (Scoping → Discovery → Prioritization → Validation → Mobilization) qui structure la gestion continue de l'exposition aux menaces
- Les organisations adoptant le CTEM seront 3 fois moins susceptibles de subir une brèche d'ici 2026 selon Gartner
- L'EPSS offre une efficience de priorisation 16 fois supérieure au CVSS traditionnel
- Le CTEM s'aligne directement avec les exigences NIS2 (article 21) et DORA (tests TLPT)
- ROI documenté : 394% sur 3 ans avec réduction de 90% de la probabilité de brèche sévère
- Démarrez par un périmètre focalisé (surface externe ou SaaS) avec une approche « crawl, walk, run »