Le CTEM (Continuous Threat Exposure Management) redéfinit la gestion des risques cyber en remplaçant les audits ponctuels par un cycle continu en 5 étapes. Découvrez comment implémenter cette approche Gartner dans votre organisation.
Le CTEM (Continuous Threat Exposure Management) est l'une des évolutions les plus structurantes de la cybersécurité d'entreprise depuis la démocratisation du Zero Trust. Introduit par Gartner en 2022, ce cadre méthodologique répond à un constat simple mais brutal : la gestion classique des vulnérabilités, fondée sur des scans périodiques et des scores CVSS, ne suffit plus face à des attaquants qui opèrent en temps réel. Les équipes sécurité traitent des milliers d'alertes chaque semaine, s'épuisent à prioriser sans contexte métier réel, et découvrent souvent les brèches après compromission. Le CTEM propose une approche radicalement différente : plutôt que de mesurer des vulnérabilités statiques, il évalue l'exposition réelle de l'organisation à travers cinq étapes cycliques et continues — Scoping, Discovery, Prioritization, Validation, Mobilization. Pour un RSSI confronté à des ressources limitées et une surface d'attaque en expansion permanente (cloud, shadow IT, tiers), ce guide pratique détaille chaque étape, les outils disponibles, les métriques à suivre, et propose une roadmap réaliste sur six mois pour une ETI. L'objectif n'est pas de corriger toutes les vulnérabilités, mais de corriger les bonnes — celles qu'un attaquant réel exploiterait aujourd'hui contre votre organisation spécifique.
À retenir :
- Le CTEM est un cycle continu en 5 étapes (Scoping → Discovery → Prioritization → Validation → Mobilization) qui remplace les audits de vulnérabilités ponctuels
- La Prioritization contextuelle (EPSS + exposition internet + impact métier) permet de réduire le backlog de 80% en ciblant les vulnérabilités réellement exploitables
- La Validation via BAS (Breach & Attack Simulation) confirme que les contrôles existants résistent aux techniques d'attaque réelles avant remediation
- Déploiement réaliste en ETI : 6 mois, budget indicatif 80-150k€/an selon maturité, ROI mesurable dès le 3ème mois sur le MTTR
Définition CTEM : le framework Gartner en 5 étapes
Gartner a formalisé le concept de Continuous Threat Exposure Management dans son rapport "Implement a Continuous Threat Exposure Management Program" publié en juillet 2022 par Pete Shoard et al. La prédiction centrale : d'ici 2026, les organisations déployant un programme CTEM réduiront de deux tiers les incidents de sécurité causés par des expositions évitables.
La définition officielle positionne le CTEM comme "un ensemble de processus et de capacités permettant aux entreprises d'évaluer de manière continue et cohérente l'accessibilité, l'exposition et l'exploitabilité des actifs numériques et physiques de l'entreprise". Ce qui distingue le CTEM de la gestion classique des vulnérabilités, c'est le mot continu : pas de fenêtre de scan trimestrielle, mais un cycle permanent alimenté par des sources de données hétérogènes.
Les cinq étapes du cycle CTEM s'enchaînent dans une boucle itérative :
- Scoping : définir le périmètre d'évaluation prioritaire (actifs critiques, surfaces exposées)
- Discovery : inventorier en continu tous les actifs et leurs expositions
- Prioritization : scorer chaque exposition selon son exploitabilité réelle et son impact métier
- Validation : confirmer que les expositions sont effectivement exploitables et que les contrôles existants échouent
- Mobilization : déclencher et suivre les actions correctives avec des SLA adaptés à la criticité
Il est important de noter que le CTEM n'est pas un produit unique mais un programme — une orchestration de technologies et de processus. Aucun outil seul ne couvre les cinq étapes, même si certaines plateformes comme Tenable One ou XM Cyber en adressent trois ou quatre.
Pourquoi dépasser la gestion de vulnérabilités classique
La gestion classique des vulnérabilités (VM — Vulnerability Management) repose sur un paradigme vieux de vingt ans : scanner le réseau, récupérer des CVE avec leur score CVSS, trier par criticité décroissante, corriger. Ce modèle présente plusieurs limites fondamentales qui le rendent insuffisant en 2026.
Le CVSS mesure la gravité intrinsèque, pas l'exploitabilité réelle. Un CVSS 9.8 sur un serveur interne sans exposition internet, protégé par un WAF, et pour lequel aucun exploit public n'existe est moins urgent qu'un CVSS 6.5 sur un serveur web exposé avec un exploit Metasploit disponible et un contrôle d'accès défaillant. Le CVSS ne connaît pas votre réseau.
Les scans périodiques créent une fausse sécurité. Un scan effectué le lundi capture un instantané. Le mardi, un nouveau service cloud est provisionné en shadow IT, une clé API est exposée sur GitHub, et une mise à jour logicielle introduit une régression. La surface d'attaque moderne change trop vite pour des snapshots.
Le backlog devient incontrôlable. Une ETI de 500 postes génère typiquement 15 000 à 40 000 findings par scan. Sans priorisation contextuelle, les équipes se retrouvent à traiter les "faciles" ou les "visibles" plutôt que les "dangereux".
L'approche CTEM résout ces problèmes en introduisant la notion d'exposition plutôt que de vulnérabilité : une exposition est une combinaison de vulnérabilité + chemin d'attaque + impact métier. C'est actionnable et contextualisé.
Étape 1 — Scoping : définir les surfaces exposées prioritaires
Le Scoping est l'étape fondatrice qui détermine quels actifs et quelles surfaces seront évalués en priorité. Son erreur classique : vouloir tout couvrir immédiatement. Un programme CTEM réussi commence par un périmètre restreint et pertinent, puis s'étend.
Identifier les actifs critiques nécessite un dialogue avec les métiers. Quels systèmes, si compromis, provoqueraient un arrêt d'activité, une fuite de données réglementée, ou une atteinte à la réputation ? Pour une ETI industrielle, ce sera l'ERP, les systèmes OT/SCADA, et les accès fournisseurs. Pour une fintech, les API de paiement, les environnements de données clients, et les infrastructures d'authentification.
La surface d'attaque externe (External Attack Surface) mérite une attention particulière car elle est directement accessible aux attaquants sans accès préalable. Elle inclut : les adresses IP routables, les domaines et sous-domaines, les certificats TLS, les services exposés (SSH, RDP, VPN, API), les buckets de stockage cloud publics, les comptes de réseaux sociaux officiels, et les dépôts de code publics.
Pour le Scoping, définissez au minimum trois niveaux de criticité : Crown Jewels (actifs dont la compromission serait catastrophique), Critiques (impact significatif mais récupérable), et Standard (reste du parc). Les Crown Jewels font l'objet d'un cycle CTEM complet toutes les semaines ; le niveau Standard peut être mensuel.
Étape 2 — Discovery : inventaire continu des actifs et expositions
La Discovery est le moteur alimentant tout le cycle. Elle répond à la question : qu'est-ce que l'attaquant peut voir et atteindre ? Les technologies clés pour cette étape sont l'EASM, le CAASM, et les scanners de vulnérabilités.
EASM (External Attack Surface Management) cartographie ce qui est visible depuis internet — domaines, IP, services cloud, certificats, mentions sur des forums d'attaquants. Des outils comme Censys, Shodan (pour la recherche), ou des plateformes EASM dédiées (Cortex Xpanse de Palo Alto, Randori, Mandiant ASM) automatisent cette veille. L'EASM détecte par exemple un sous-domaine oublié pointant vers un bucket S3 vide (dangling DNS), ou un portail d'administration Jira exposé sur un port non-standard.
CAASM (Cyber Asset Attack Surface Management) adresse la surface interne. L'objectif est de constituer un inventaire d'actifs exhaustif et continuellement mis à jour, en agrégeant les données de l'AD, du CMDB, des outils MDM, des plateformes cloud (AWS, Azure, GCP), et des scanners réseau. Des outils comme Axonius, JupiterOne, ou Noetic Cyber sont spécialisés dans cette agrégation.
Les scanners de vulnérabilités (Tenable Nessus, Qualys VMDR, Rapid7 InsightVM) complètent la Discovery en identifiant les CVE sur les actifs découverts. Pour une comparaison détaillée de ces scanners, consultez notre article Nuclei vs Nessus vs Qualys : comparatif scanners de vulnérabilités.
La Discovery dans un programme CTEM mature est automatisée et s'exécute en continu — pas une action manuelle hebdomadaire. Les nouvelles expositions sont détectées et injectées dans le pipeline de Prioritization dans les heures qui suivent leur apparition.
Étape 3 — Prioritization : score contextualisé des expositions
C'est l'étape la plus différenciante du CTEM. La Prioritization abandonne le CVSS brut pour un score multidimensionnel prenant en compte l'environnement réel de l'organisation.
L'EPSS (Exploit Prediction Scoring System) est désormais indispensable. Maintenu par FIRST, l'EPSS prédit la probabilité qu'une CVE soit exploitée dans les 30 prochains jours en s'appuyant sur des données de threat intelligence réelles (mentions sur des forums, disponibilité de PoC, activité d'exploitation observée). La combinaison CVSS + EPSS est bien plus performante que le CVSS seul : seulement 2 à 5% des CVE publiées ont un EPSS élevé, ce qui permet de concentrer les efforts.
L'exposition internet module fortement la priorité. Une CVE critique sur un service exposé sur internet sans authentification est 10x plus urgente que la même CVE sur un système interne protégé par une segmentation réseau stricte.
L'impact métier est le facteur différenciateur final. Une exposition sur un système traitant des données de santé (HDS) ou des paiements (PCI-DSS) justifie une priorité supérieure à celle sur un système de gestion documentaire interne, même si la CVE est identique.
Les chemins d'attaque (attack paths) constituent l'élément le plus avancé de la Prioritization. Des outils comme XM Cyber, Skybox Security, ou la fonctionnalité Attack Path Analysis de Tenable One calculent les séquences d'exploitations permettant d'atteindre les Crown Jewels depuis différents points d'entrée. Une vulnérabilité "non critique" qui constitue le premier maillon d'un chemin vers l'AD Domain Controller devient immédiatement prioritaire. Voir aussi notre guide sur la gestion de la posture cloud (CSPM) pour la Prioritization sur les environnements cloud.
Étape 4 — Validation : tests automatisés et BAS
La Validation est l'étape que les programmes de vulnerability management classiques ignorent systématiquement. Elle répond à deux questions : (1) cette exposition est-elle réellement exploitable dans notre contexte ? (2) nos contrôles de sécurité existants la détectent-ils et la bloquent-ils ?
BAS (Breach & Attack Simulation) est la technologie centrale de la Validation. Les plateformes BAS exécutent en continu des milliers de scénarios d'attaque simulés — techniques MITRE ATT&CK, mouvements latéraux, exfiltrations de données — et mesurent l'efficacité des contrôles (EDR, SIEM, firewall, DLP) face à chaque technique. Cela permet de savoir, avant qu'un attaquant le fasse, quelles techniques passent à travers les défenses en place.
Pour une présentation détaillée des exercices de validation adversariale, consultez notre article sur la méthodologie Purple Team.
Le pentest continu (à ne pas confondre avec le pentest annuel classique) complète le BAS en introduisant une dimension humaine. Des équipes de pentesters (internes ou via des programmes de bug bounty) testent en permanence les actifs critiques avec une approche créative qu'un BAS automatisé ne peut pas répliquer.
La validation des remediations est également incluse dans cette étape : après correction d'une vulnérabilité, un test automatisé confirme que la correction est effective et n'a pas introduit de régression.
Étape 5 — Mobilization : remediation, SLA et indicateurs
La Mobilization est l'étape d'exécution — transformer les findings priorisés et validés en actions correctives effectives. C'est souvent ici que les programmes CTEM échouent, non par manque d'outils, mais par absence de processus organisationnels.
Les SLA par criticité structurent la remediation. Une organisation mature définit typiquement :
- Critique (Crown Jewels exposés, exploit actif) : correction ou mitigation sous 24-72 heures
- Élevé (EPSS > 0.5, exposé internet) : correction sous 7 jours
- Moyen (vulnérabilité interne, exploitation difficile) : correction sous 30 jours
- Faible (EPSS bas, pas d'exposition directe) : intégré au cycle de patching standard (90 jours)
L'intégration avec les outils de ticketing (Jira, ServiceNow) est indispensable pour que la Mobilization ne reste pas un tableau Excel. Chaque finding priorisé génère automatiquement un ticket avec le niveau SLA, les informations de remediation, le propriétaire de l'actif, et le contexte d'exploitation.
Les indicateurs CTEM à suivre : MTTD (Mean Time To Detect — délai entre apparition d'une exposition et sa détection), MTTR (Mean Time To Remediate — délai entre détection et correction effective), pourcentage de vulnérabilités critiques corrigées dans les SLA définis, et le score d'exposition global de l'organisation (indicateur composite suivant l'évolution de la posture dans le temps).
Outils CTEM : panorama des plateformes du marché
Tenable One est la plateforme CTEM la plus complète du marché en 2026. Elle unifie la gestion des vulnérabilités (Nessus), l'EASM (Tenable Attack Surface Management), le cloud security posture (Tenable Cloud Security), et l'analyse des chemins d'attaque (Attack Path Analysis). Son point fort : la couverture end-to-end des étapes Discovery, Prioritization et Validation en une seule console. Tarification : environ 50 à 80$/actif/an selon le volume.
XM Cyber se distingue par son moteur d'analyse de chemins d'attaque, particulièrement performant sur les environnements Active Directory et hybrides. L'outil simule en permanence ce qu'un attaquant pourrait faire depuis chaque point d'entrée pour atteindre les actifs critiques, et identifie les "choke points" — les expositions dont la correction interrompt le plus grand nombre de chemins d'attaque. Idéal pour les étapes Prioritization et Validation.
Picus Security et Cymulate sont des leaders du BAS (Breach & Attack Simulation), centrés sur la Validation. Picus propose des milliers de simulations couvrant les 14 tactiques MITRE ATT&CK et génère des recommandations de règles SIEM/EDR basées sur les lacunes détectées. Pour la rédaction de règles de détection, voir notre guide Sigma Rules : guide complet d'écriture et de détection.
AttackIQ (plateforme BAS enterprise) et SafeBreach complètent l'offre BAS avec des intégrations natives vers les grandes plateformes SIEM et XDR (Splunk, Microsoft Sentinel, CrowdStrike Falcon).
CTEM vs ASM vs BAS vs VM : tableau comparatif
La confusion entre ces quatre approches est fréquente. Voici un tableau de synthèse :
| Critère | VM classique | ASM | BAS | CTEM |
|---|---|---|---|---|
| Périmètre | Assets connus | Surface externe | Contrôles sécurité | Tout l'environnement |
| Fréquence | Périodique | Continue | Continue | Continue |
| Priorisation | CVSS brut | Exposition externe | N/A (validation) | Multi-critères contextuels |
| Validation | Non | Partielle | Oui (cœur) | Oui (étape dédiée) |
| Focus | Vulnérabilités | Découverte d'actifs | Efficacité des contrôles | Exposition réelle |
| Mobilization | Ticketing basique | Non | Non | Oui (SLA, intégrations) |
En résumé : VM, ASM, et BAS sont des composantes du CTEM. Un programme CTEM mature intègre les trois, plus une couche d'orchestration et de Mobilization.
Roadmap CTEM en 6 mois pour une ETI
Voici une roadmap pragmatique pour une ETI de 200 à 1000 salariés, disposant d'une équipe sécurité de 2 à 5 personnes.
Mois 1-2 : Fondations (Scoping + Discovery basique)
Déployer un scanner de vulnérabilités (Tenable Nessus Essentials ou Qualys VMDR) sur le périmètre interne. Identifier les 10-20 actifs Crown Jewels avec les métiers. Lancer un premier scan EASM (Shodan, Censys, ou trial Tenable ASM) sur la surface externe. Recenser les sources d'inventaire existantes (AD, CMDB, cloud consoles). Budget estimé : 10-20k€ (licences + charge interne).
Mois 3-4 : Prioritization contextuelle
Intégrer les flux EPSS dans le workflow de traitement des CVE. Configurer des dashboards différenciant exposition internet vs interne. Définir les SLA par criticité et les intégrer dans Jira/ServiceNow. Premiers "attack path" manuels sur les Crown Jewels. Budget estimé : 20-40k€ (outils + formation).
Mois 5-6 : Validation et Mobilization automatisées
Déployer un outil BAS (Picus, Cymulate ou AttackIQ — trials disponibles). Créer les premiers dashboards MTTD/MTTR. Automatiser la génération de tickets depuis les findings CTEM. Premier rapport CTEM pour le COMEX. Budget estimé : 30-60k€ (BAS + intégrations).
Budget total indicatif sur 12 mois : 80k€ (ETI minimaliste avec outils open source partiels) à 150k€ (ETI avec stack complète et consultant CTEM pour le pilotage). Le ROI se matérialise par la réduction du MTTR (de 45 jours en moyenne à moins de 15 jours pour les critiques) et la prévention d'un incident majeur.
Métriques CTEM : les KPI à suivre
Un programme CTEM sans métriques ne peut pas démontrer sa valeur au COMEX ni s'améliorer dans le temps. Les indicateurs fondamentaux :
MTTD (Mean Time To Detect) : délai moyen entre l'apparition d'une nouvelle exposition critique et sa détection par le programme CTEM. Cible mature : moins de 24 heures pour la surface externe, moins de 48 heures pour l'interne.
MTTR (Mean Time To Remediate) : délai moyen entre la détection d'une exposition critique et sa correction effective. Cible : moins de 72 heures pour les vulnérabilités critiques exploitables, moins de 7 jours pour les élevées.
% vulnérabilités critiques corrigées dans les SLA : indicateur de respect des engagements. Cible : > 90% pour le niveau critique.
Score d'exposition global : métrique composite calculée par la plateforme CTEM (Tenable Lumin, XM Cyber Score) reflétant l'évolution de la posture dans le temps. L'objectif est une tendance décroissante sur 12 mois.
Taux de validation BAS : pourcentage des techniques ATT&CK bloquées par les contrôles existants. Un taux de 70% en début de programme peut atteindre 90%+ après 12 mois d'itérations.
Réduction du backlog de vulnérabilités critiques : indicateur d'efficacité opérationnelle. Mesurer le nombre de CVE critiques ouvertes depuis plus de 72h au fil du temps.
FAQ — Questions fréquentes sur le CTEM
Le CTEM remplace-t-il complètement la gestion classique des vulnérabilités ?
Non, le CTEM l'englobe et l'enrichit. La gestion des vulnérabilités (scan, CVE, patch) reste un composant indispensable du CTEM — c'est la base de la Discovery et une partie de la Prioritization. Ce que le CTEM ajoute, c'est le contexte (chemins d'attaque, impact métier, exposition réelle), la validation (est-ce que les contrôles tiennent ?), et la Mobilization structurée. Une organisation qui ne fait pas encore de VM correctement ne peut pas implémenter un programme CTEM mature : il faut consolider les fondations avant de construire l'édifice complet.
Quelle est la différence entre CTEM et CAASM ?
Le CAASM (Cyber Asset Attack Surface Management) est une technologie qui adresse principalement l'étape Discovery du CTEM — il s'agit de constituer un inventaire d'actifs exhaustif et consolidé en agrégeant les données de multiples sources (AD, CMDB, cloud, MDM). Le CTEM est un programme complet qui utilise le CAASM comme input, mais va bien au-delà : Prioritization contextuelle, Validation par BAS, et Mobilization avec SLA. En résumé : le CAASM est un outil ; le CTEM est un programme qui utilise cet outil parmi d'autres.
Par où commencer si l'on n'a aucun programme de gestion des vulnérabilités existant ?
L'étape 0 est de déployer un scanner de vulnérabilités (Nessus Essentials est gratuit jusqu'à 16 IP, Qualys propose un trial 60 jours) et d'effectuer un premier scan complet de la surface externe avec un outil EASM gratuit (Shodan, Censys, ou SecurityTrails). En parallèle, identifier les 5 actifs les plus critiques de l'organisation avec les responsables métiers. Ces deux actions, réalisables en deux semaines sans budget additionnel, constituent le Scoping et le début de la Discovery du premier cycle CTEM. Une fois ce premier cycle complété, les findings justifient naturellement l'investissement dans des outils de Prioritization et de Validation plus avancés.
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
SASE 2026 : architecture, comparatif Zscaler Netskope Palo Alto
Le SASE redéfinit la sécurité réseau en fusionnant SD-WAN et SSE dans une architecture cloud-native. En 2026, les directions informatiques doivent choisir entre des leaders dont les offres divergent sur des critères cruciaux : souveraineté des données, intégration Zero Trust et maturité MSSP.
DMARC, DKIM et SPF : guide déploiement complet et diagnostic
Déployez DMARC, DKIM et SPF pour protéger votre domaine contre le spoofing et les attaques BEC. Guide complet avec déploiement en 4 phases, analyse des rapports XML, BIMI et checklist 20 points.
Sécuriser son outil RMM : guide durcissement MSP 2026
Guide complet pour sécuriser votre outil RMM en 2026 : architecture sécurisée, authentification, contrôle d'accès, surveillance et checklist de durcissement en 25 points.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire