Le Rapport CAASM 2024 est la deuxième étude annuelle menée par le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) et OverSOC sur la maturité des organisations françaises en matière de Cybersecurity Asset Attack Surface Management. 78 professionnels de la cybersécurité — RSSI, Directeurs Cybersécurité, DSI — ont été interrogés entre septembre et octobre 2024.
Transparence : cette étude a été co-réalisée par OverSOC, éditeur de la plateforme CAASM OverView, et le CESIN. Les résultats reflètent les réponses des membres du CESIN, collectées et analysées indépendamment.
Le CAASM : de quoi parle-t-on ?
Le CAASM (Cybersecurity Asset Attack Surface Management) désigne une catégorie d'outils qui collectent, unifient et exploitent les données de l'ensemble des sources IT et cyber d'une organisation. L'objectif : produire un inventaire consolidé et à jour de tous les actifs numériques — serveurs, postes, applications, cloud, IoT. Cet inventaire permet aux équipes de sécurité de maîtriser leur surface d'attaque.
Introduit par Gartner dans le Hype Cycle for Network Security en 2021, le CAASM répond à un problème concret : les entreprises disposent en moyenne de plus de 15 solutions de sécurité (CESIN, 2024), chacune avec sa propre console et ses propres données. Sans outil de consolidation, les équipes passent un temps considérable à croiser manuellement des informations dispersées.
Pourquoi cette étude est importante
Un marché en structuration rapide
Le marché de la gestion de la surface d'attaque connaît une croissance soutenue. En 2024, Axonius — spécialiste du CAASM — a atteint une valorisation de 2,6 milliards de dollars après une levée de 200 M$ (Series E, mars 2024). En juillet 2024, Rapid7 a acquis Noetic Cyber pour 51,2 M$ afin de renforcer son offre de visibilité sur la surface d'attaque.
Ces mouvements confirment que la consolidation de l'inventaire IT et cyber est devenue un enjeu stratégique pour les organisations — et un segment attractif pour les investisseurs.
Un contexte réglementaire qui accélère le besoin
L'entrée en application de NIS2 en octobre 2024, les exigences de DORA (Digital Operational Resilience Act) pour le secteur financier et le renforcement d'ISO 27001 imposent aux organisations une gouvernance stricte de leurs actifs et une traçabilité accrue. Toutes ces réglementations exigent un prérequis commun : connaître son système d'information. Le CAASM est l'outil qui rend cette connaissance possible.
Une pénurie de talents qui amplifie le problème
Selon le World Economic Forum (2024), 4 millions de postes en cybersécurité restent non pourvus dans le monde. En France, Wavestone estime ce chiffre à 15 000 (2023). Les équipes sont surchargées — le temps passé à chercher manuellement des informations entre les consoles est du temps perdu pour la remédiation et la détection.
Ce que révèle l'étude 2024
Trois constats majeurs émergent de cette deuxième édition :
- 73,9 % des organisations ne disposent pas d'un outil leur permettant de réconcilier l'ensemble de leurs sources IT et cyber — un chiffre qui n'a pas bougé depuis 2023
- 95,2 % des répondants estiment qu'un référentiel commun aux équipes IT et cyber est nécessaire pour piloter la sécurité
- Le manque de budget a explosé de +26 points en un an, passant de 24,1 % à 50,7 % comme frein cité à la gestion de la surface d'attaque
L'écart entre le besoin exprimé (95,2 %) et l'outillage existant (26,1 % disposent d'un outil) illustre le décalage entre la prise de conscience et la réalité opérationnelle.
« La valeur du CAASM, c'est sa capacité à fédérer différentes sources d'infos pour en générer une seule, unique, fiable et à jour, pour comprendre dans quel outil creuser, corriger et agir. » — Stéphane Joguet, Global CISO, Retailer
Méthodologie et profil des répondants
L'étude a été menée sur 4 semaines entre mi-septembre et mi-octobre 2024, auprès des membres du CESIN. Le panel de 78 répondants se compose de :
- 71,4 % de RSSI, 23,8 % de Directeurs Cybersécurité
- 47,6 % de grandes entreprises, 38,1 % d'ETI, 14,3 % de TPE/PME
- Secteurs : services (31,7 %), commerce (28,6 %), services publics (23,8 %), industrie/BTP (15,9 %)
Ce profil garantit une représentativité des enjeux réels auxquels font face les organisations françaises, du grand groupe à l'ETI.
Ce que contient le rapport complet
Le document de 24 pages va au-delà de ces résultats clés et détaille :
- L'évolution des freins 2023 → 2024 — tableau comparatif sur les 4 principaux obstacles, avec analyse des tendances
- La visibilité par type d'actif — ordinateurs, serveurs, IoT, OT : où sont les angles morts et comment les combler
- Les facteurs de priorisation des vulnérabilités — ce qui compte le plus pour les RSSI, au-delà du score CVSS
- Les cas d'usage concrets du CAASM — comment les équipes Infra, SecOps et Gouvernance l'utilisent au quotidien
- Les témoignages complets de 6 RSSI — Naval Group, Dekra, collectivités, groupes hospitaliers, retailers
- Les critères de choix d'un outil CAASM — classés par importance selon les répondants
- Les perspectives 2025 — 41,8 % des répondants ont un projet CAASM prévu, 53,5 % sont intéressés par une démo
FAQ
Quelle est la différence entre CAASM et CMDB ?
La CMDB (Configuration Management Database) est un référentiel IT géré manuellement, souvent incomplet et désynchronisé. Le CAASM automatise la collecte en se connectant directement aux outils existants (EDR, AD, scanners, cloud) via des APIs. Il produit un inventaire à jour en temps réel, sans ressaisie manuelle. Le CAASM peut d'ailleurs alimenter une CMDB en retour.
Le CAASM remplace-t-il les outils de sécurité existants ?
Non. Le CAASM ne remplace ni le SIEM, ni l'EDR, ni les scanners de vulnérabilités. Il les connecte pour centraliser leurs données dans un référentiel unique. Les outils existants continuent leur travail — le CAASM unifie leur vision.
Combien de temps prend le déploiement d'un outil CAASM ?
Selon les retours présentés dans le rapport, le déploiement se fait en quelques jours sans déploiement d'agent. L'outil se connecte aux sources existantes via des APIs ou des imports de fichiers. Les premiers tableaux de bord sont exploitables dès les premières heures.