Skip to content
EASM : comprendre et maîtriser sa surface d'attaque externe — OverView
Retour aux ressources
Guide pratique15 juin 2025

EASM : comprendre et maîtriser sa surface d'attaque externe

L'EASM identifie et surveille en continu les actifs exposés sur internet. Fonctionnement, étapes clés et différence avec le CAASM.

L'EASM (External Attack Surface Management) désigne l'ensemble des processus et outils qui permettent à une organisation d'identifier, surveiller et sécuriser ses actifs exposés sur internet. Selon le Market Guide for EASM publié par Gartner en 2023, l'EASM est devenue une capacité essentielle pour toute entreprise dont la surface d'attaque s'étend au-delà de son périmètre réseau traditionnel.

En pratique, ces actifs exposés sont les composants d'infrastructure (VPN, routeurs, pare-feu), les applications web, les API publiques, les sous-domaines oubliés ou encore les services cloud mal configurés. L'EASM automatise leur découverte et leur surveillance, là où un audit manuel serait trop lent et incomplet.

Pourquoi l'EASM est devenu indispensable

Une surface d'attaque en expansion constante

D'après le rapport ENISA Threat Landscape 2023, l'expansion de la surface d'attaque figure parmi les tendances majeures en cybersécurité. Chaque nouveau service cloud, chaque application SaaS, chaque acquisition d'entreprise ajoute des actifs potentiellement exposés — souvent sans que l'équipe sécurité en soit informée.

Le problème n'est pas théorique. N'importe qui peut utiliser un moteur de recherche comme Shodan pour trouver des équipements connectés, des bases de données ouvertes ou des interfaces d'administration exposées. Ce que trouve un chercheur en sécurité, un attaquant le trouve aussi.

Les risques concrets d'une surface d'attaque non maîtrisée

Sans visibilité sur ses actifs exposés, une organisation ne peut pas savoir si ses systèmes comportent des vulnérabilités exploitables. Les vecteurs d'attaque les plus courants sont :

  • Le détournement DNS (subdomain takeover) : un sous-domaine pointe vers un service désactivé. Un attaquant enregistre ce service et héberge un faux site pour du phishing.
  • L'exploitation de vulnérabilités connues : des serveurs ou applications non patchées, exposés sur internet, sont la cible de scans automatisés. Selon le rapport M-Trends 2025 de Mandiant, l'exploitation de vulnérabilités est le premier vecteur d'accès initial dans les intrusions analysées.
  • Les fuites de données involontaires : bases de données, buckets S3, fichiers de configuration accessibles publiquement par erreur.
  • L'ingénierie sociale facilitée : l'exposition d'informations sur les employés (emails, organigramme) facilite les attaques de phishing ciblé (spear phishing).

Les 4 étapes de la démarche EASM

1. Découverte : identifier tous les actifs exposés

La première étape consiste à cartographier l'ensemble des actifs accessibles depuis internet, y compris ceux que l'organisation ne connaît pas (Shadow IT). Cela inclut les sous-domaines, les certificats SSL, les adresses IP, les services cloud et les API. L'approche EASM adopte le point de vue de l'attaquant : tout ce qui est visible de l'extérieur fait partie de la surface d'attaque.

2. Analyse : évaluer les risques

Chaque actif découvert est analysé pour détecter d'éventuelles vulnérabilités : versions logicielles obsolètes, configurations faibles, ports ouverts inutilement, certificats expirés. Cette analyse peut s'appuyer sur des bases de référence comme les CVE (Common Vulnerabilities and Exposures) et les scores CVSS pour évaluer la gravité de chaque faille.

3. Priorisation : concentrer les efforts

Toutes les vulnérabilités ne se valent pas. La priorisation repose sur trois critères :

  • La sévérité intrinsèque (score CVSS)
  • L'exploitabilité réelle (score EPSS du FIRST — probabilité d'exploitation dans les 30 jours)
  • La criticité de l'actif concerné — une vulnérabilité moyenne sur un serveur de production exposé est plus urgente qu'une vulnérabilité critique sur une machine de test isolée

Cette approche basée sur le risque évite de noyer les équipes sous des centaines d'alertes de même priorité. Pour aller plus loin sur ce sujet, consultez notre guide sur la priorisation des vulnérabilités.

4. Correction : remédier et surveiller en continu

Une fois les priorités définies, l'équipe sécurité applique les correctifs : patch, reconfiguration, désactivation de services inutiles, suppression d'actifs orphelins. L'EASM n'est pas un audit ponctuel — c'est un processus continu qui tourne en permanence pour détecter les nouveaux actifs et les nouvelles vulnérabilités au fil du temps.

EASM et CAASM : quelle différence ?

L'EASM et le CAASM (Cyber Asset Attack Surface Management) sont deux approches complémentaires, mais leur périmètre diffère :

EASMCAASM
PérimètreActifs externes (visibles depuis internet)Tous les actifs (internes + externes)
Point de vueAttaquant (outside-in)Défenseur (inside-out)
Sources de donnéesScans externes, DNS, certificatsConnecteurs internes (AD, EDR, CMDB, cloud)
ObjectifRéduire l'exposition externeUnifier la visibilité sur tout le SI

D'après une étude menée par OverSOC et le CESIN sur la maturité CAASM en France, 7 professionnels de la sécurité sur 10 reconnaissent ne pas avoir une bonne connaissance de leur périmètre. L'approche CAASM répond à ce besoin en agrégeant les données de toutes les sources — internes comme externes — dans un référentiel unique.

En pratique, les organisations les plus matures combinent les deux : l'EASM pour surveiller ce que voit l'attaquant, le CAASM pour avoir une vision complète du SI. C'est cette vision unifiée qu'apporte une plateforme comme OverView, qui connecte vos sources internes (AD, EDR, CMDB, scanners) pour cartographier l'ensemble de votre surface d'attaque.

FAQ

L'EASM remplace-t-il les scans de vulnérabilités ?

Non. L'EASM complète les scans de vulnérabilités en ajoutant la découverte d'actifs inconnus (Shadow IT) et la surveillance continue. Les scans traditionnels ne testent que les actifs déjà inventoriés.

Quelle est la différence entre EASM et pentest ?

Un pentest est un exercice ponctuel réalisé par des experts humains sur un périmètre défini. L'EASM est un processus automatisé et continu qui surveille l'ensemble de la surface d'attaque externe 24h/24. Les deux sont complémentaires : l'EASM détecte les expositions en continu, le pentest valide les scénarios d'exploitation en profondeur.

Combien de temps faut-il pour déployer une solution EASM ?

La plupart des solutions EASM fonctionnent en mode SaaS et ne nécessitent aucune installation on-premise. La découverte initiale des actifs prend généralement quelques heures à quelques jours selon la taille de l'organisation.

Ce qu'il faut retenir

L'EASM est une brique essentielle de la sécurité moderne : elle donne aux organisations la visibilité sur ce que voient les attaquants. Mais la surface d'attaque externe n'est qu'une partie du problème. Pour maîtriser réellement sa posture de sécurité, il faut aussi connaître ses actifs internes, corréler les données de ses outils et prioriser les actions sur la base du risque réel.

C'est exactement ce que permet OverView : une vision unifiée de votre cybersécurité, de l'externe à l'interne. Demandez une démo pour voir comment OverView cartographie votre surface d'attaque complète.

Prêt à reprendre le contrôle ?

Prenez 15 minutes pour voir si OverView est pertinent pour vous. 9 clients sur 10 adoptent OverView après l’essai.

Demander une démo