CTEM : Pourquoi le Continuous Threat Exposure Management remplace le scan de vulnérabilités

7 min de lecture

Les scans de vulnérabilités détectent les failles. Cela ne suffit plus. Gartner désigne le Continuous Threat Exposure Management (CTEM) comme l’investissement prioritaire pour 2026. Les entreprises qui alignent leurs investissements en sécurité sur un programme CTEM sont, selon Gartner, trois fois moins souvent victimes d’une attaque réussie. Pourtant, 84 % des programmes de sécurité accusent un retard dans l’approche CTEM. La différence : le CTEM ne pense pas en termes de failles individuelles, mais en termes de chemins d’attaque.

L’essentiel

🔒 Les entreprises avec un programme CTEM sont, selon Gartner, trois fois moins souvent victimes de violations de données que celles qui n’en ont pas.
⚠️ 84 % des programmes de sécurité accusent un retard dans l’approche CTEM (The Hacker News, février 2026).
🛡️ Le CTEM comprend cinq phases : Scoping, Discovery, Prioritization, Validation, Mobilization.
📊 Le BSI exige en 2026 une « année de gestion de surface » : tous les systèmes accessibles numériquement doivent être capturés et surveillés de manière structurée.
🔧 Le CTEM intègre la gestion des vulnérabilités, la gestion de la surface d’attaque et le pentesting dans un programme continu.

moins souvent victimes d’une violation : les entreprises dotées d’un programme CTEM

Source : Gartner, Implement a Continuous Threat Exposure Management Program, 2024/2025

Qu’est-ce que le CTEM et pourquoi la gestion des vulnérabilités ne suffit-elle plus ?

La gestion classique des vulnérabilités repose sur un principe simple : un scanner détecte une faille, l’équipe applique un correctif. Le problème ? Le nombre de CVE explose. En 2024, plus de 30 000 nouvelles CVE ont été publiées, soit une hausse de 25 % par rapport à l’année précédente. Aucune entreprise ne peut corriger immédiatement chaque faille.

Le CTEM va plus loin. Plutôt que de traiter toutes les failles de façon égale, il évalue leur exploitabilité réelle dans le contexte spécifique de l’environnement concerné. Une faille critique sur un système déconnecté d’internet est moins urgente qu’une faille modérée sur un serveur web accessible publiquement. Cela paraît évident, mais reste rarement mis en œuvre en pratique.

Gartner a forgé le terme CTEM en 2022 et en a fait depuis un concept stratégique central. Selon son analyse la plus récente, le CTEM figure parmi les investissements prioritaires pour 2026. La raison ? Il intègre de façon cohérente la gestion des vulnérabilités, la gestion de la surface d’attaque et le pentesting continu au sein d’un même programme.

« Les organisations qui orientent leurs investissements en sécurité autour d’un programme CTEM réduiront de deux tiers le nombre de violations d’ici 2026. »
Gartner, Implement a Continuous Threat Exposure Management Program

Les cinq phases d’un programme CTEM

Phase 1 – Scoping : Quelle surface d’attaque est critique pour l’activité ? Tous les systèmes ne se valent pas. Le CTEM commence par définir les périmètres pertinents : surface d’attaque externe, infrastructure d’identité, environnement SaaS, charges de travail cloud. Ce cadrage s’appuie sur le risque métier, non sur la topologie technique.

Phase 2 – Discovery : Identifier tous les actifs accessibles. Cela inclut non seulement les systèmes connus, mais aussi les infrastructures IT informelles (Shadow IT), les sous-domaines oubliés, les API exposées et les dépendances tierces. Les inventaires d’actifs classiques sont inadaptés, car ils ne recensent que les ressources officiellement documentées.

Phase 3 – Prioritization : Quelles failles sont réellement exploitables ? C’est ici que réside la principale distinction avec la gestion classique des vulnérabilités. Le CTEM évalue les failles selon la disponibilité d’un exploit, leur accessibilité, leur impact métier et les compensations contextuelles (par exemple, un pare-feu applicatif en amont ou un réseau segmenté).

Phase 4 – Validation : Les attaquants peuvent-ils réellement exploiter les failles priorisées ? Les simulations d’intrusion et d’attaque (BAS), le pentesting automatisé et les exercices de red team permettent de valider la priorisation théorique. Les failles qui ne sont pas exploitables en pratique voient leur niveau de gravité revu à la baisse.

Phase 5 – Mobilization : Intégrer les résultats dans les processus opérationnels. Création de tickets vers les bonnes équipes, délais de réponse définis selon le niveau de risque, suivi automatisé. Sans cette phase, le CTEM reste un projet d’évaluation, non un programme continu.

CTEM contre gestion des vulnérabilités : les différences concrètes

La gestion des vulnérabilités pose la question : « Quelles failles existent ? » Le CTEM demande plutôt : « Quels chemins d’attaque sont les plus probables et présentent le plus fort impact métier ? » Ce changement de perspective est fondamental.

Un scanner classique de vulnérabilités signale 10 000 anomalies. L’équipe sécurité tente alors de prioriser selon le score CVSS : d’abord les 9,8. Or, un CVSS à 9,8 sur un système de test isolé est sans conséquence, tandis qu’un CVSS à 6,5 sur un serveur web exposé, qui transmet des jetons de session dans les paramètres d’URL, constitue un risque critique.

C’est pourquoi les outils CTEM – comme Rapid7, Tenable One, Palo Alto XSIAM ou CrowdStrike Falcon Exposure Management – combinent les données de vulnérabilités avec la topologie réseau, le contexte d’identité et l’intelligence sur les menaces. Résultat : au lieu de 10 000 anomalies équivalentes, l’équipe reçoit une liste priorisée de 50 chemins d’attaque critiques.

Pour les entreprises soumises à la directive NIS2, le CTEM revêt une importance particulière. Cette réglementation exige des « mesures techniques et organisationnelles appropriées » pour la détection des risques. Un programme CTEM fournit précisément cette évaluation continue et structurée des risques exigée par NIS2.

Comment lancer un programme CTEM dans les PME

Étape 1 : Commencez par la surface d’attaque externe. La gestion externe de la surface d’attaque (EASM) est la composante la plus rapidement déployable du CTEM. Des outils comme Censys, Shodan ou Microsoft Defender EASM révèlent, en quelques heures, quels actifs de votre entreprise sont accessibles depuis Internet.

Étape 2 : Intégrez le contexte d’identité. Quels comptes disposent d’un accès privilégié ? Quels comptes de service utilisent des mots de passe statiques ? Le renforcement d’Active Directory est un pilier critique, souvent négligé.

Étape 3 : Validez régulièrement. Un pentest automatisé mensuel ou une solution BAS permet de vérifier si les risques priorisés ont bien été résolus. Sans validation, le CTEM reste un simple exercice théorique.

Étape 4 : Définissez des SLA clairs pour la phase de mobilisation. Chemins d’attaque critiques : correction sous 48 heures. Risques élevés : 7 jours. Risques modérés : 30 jours. Sans délais contraignants, le CTEM perd toute efficacité.

84 %

des programmes de sécurité accusent un retard dans l’approche CTEM

Source : The Hacker News, février 2026

Questions fréquentes

Quelle est la différence entre CTEM et la gestion des vulnérabilités ?

La gestion des vulnérabilités identifie les failles. Le CTEM va plus loin : il évalue les failles dans le contexte de la surface d’attaque, valide l’exploitabilité réelle et transforme les résultats en processus opérationnels. Le focus se déplace de « trouver toutes les failles » à « fermer les chemins d’attaque les plus pertinents ».

Chaque entreprise a-t-elle besoin d’un programme CTEM ?

Les entreprises disposant d’environ 200 actifs IT bénéficient du CTEM. Pour les plus petites organisations, un programme classique de gestion des vulnérabilités avec des tests de pénétration externes réguliers suffit. Les entreprises concernées par le NIS2 devraient envisager le CTEM, car il couvre de manière structurée l’évaluation continue des risques exigée.

Quels outils soutiennent le CTEM ?

Les grandes plateformes sont Rapid7 (InsightVM + Cloud Risk), Tenable One, Palo Alto XSIAM, CrowdStrike Falcon Exposure Management et Qualys CSAM. Pour les débutants, Microsoft Defender EASM (surface d’attaque externe) et Censys Search (découverte d’actifs) sont adaptés. Les coûts commencent à quelques milliers d’euros par an.

Combien de temps dure la mise en œuvre d’un programme CTEM ?

La phase 1 (Scoping) et la phase 2 (Discovery) peuvent être mises en œuvre en 2 à 4 semaines. L’intégration complète des cinq phases prend généralement 3 à 6 mois. Le facteur le plus important n’est pas la technique, mais l’ancrage organisationnel : des responsabilités claires et des SLA contraignants pour la résolution.

Le CTEM est-il pertinent pour la conformité NIS2 ?

Oui. Le NIS2 exige des « mesures techniques appropriées » pour la détection et l’évaluation des risques. Un programme CTEM fournit exactement cela : une évaluation structurée et continue de la surface d’attaque avec une priorisation et une résolution prouvables. Pour les audits, le CTEM constitue une base de documentation solide.

Conseils de lecture de la rédaction

Plus du réseau MBF Media

→ Boom de la cybersécurité : pourquoi le NIS2 transforme la sécurité allemande en moteur de croissance (MyBusinessFuture)
→ DevSecOps : la sécurité comme composante intégrale du développement cloud (cloudmagazin)

Source de l’image : Pexels / Sora Shimazaki

Imprimer l'article

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow