EASM

01 — DéfinitionQu'est-ce que l'EASM ?

L'EASM (External Attack Surface Management, gestion de la surface d'attaque externe) est une discipline qui consiste à découvrir, inventorier et surveiller en continu tous les actifs exposés sur Internet par une organisation : domaines, sous-domaines, adresses IP, applications web, APIs, services cloud, certificats TLS, buckets de stockage, serveurs mail, instances d'administration.

La particularité de l'EASM tient à son point de vue : il adopte la perspective d'un attaquant (outside-in) qui découvrirait l'organisation sans informations préalables. Il ne consomme pas les inventaires internes de la DSI, mais part du nom, des domaines connus, des entités juridiques et découvre par lui-même, via l'OSINT et l'analyse du trafic Internet.

Ce que l'EASM cherche à identifier

• Domaines et sous-domaines appartenant à l'organisation, y compris ceux oubliés ou créés en dehors des processus officiels.
• Adresses IP publiques attribuées à l'organisation ou à ses filiales.
• Applications web exposées, versions, technologies utilisées.
• APIs publiques et leurs endpoints découvrables.
• Services cloud exposés : buckets S3, Azure Blob, interfaces d'administration cloud.
• Serveurs de messagerie, services FTP, SSH ouverts.
• Consoles d'administration visibles sur Internet (Kubernetes, bases de données, panels d'éditeurs).
• Certificats TLS actifs, expirés, mal configurés.
• Services vulnérables : CVE connues sur les composants découverts.
• Données exposées : credentials dans GitHub, documents publics, buckets ouverts.
• Usurpations de domaine ciblant la marque (typosquatting).
• Mentions de l'organisation sur le dark web, forums, marketplaces.

Le décalage observé systématiquement

Les études sectorielles 2024-2025 (Gartner, Forrester, rapports des éditeurs EASM) convergent sur un constat : 20 à 40 % des actifs exposés d'une organisation moyenne sont inconnus de la DSI ou du RSSI. Ce décalage vient de plusieurs sources :

• Shadow IT métier : services souscrits par les équipes business sans validation sécurité.
• Shadow IT technique : ressources cloud créées par les développeurs pour des tests, oubliées.
• Fusions-acquisitions : patrimoine IT hérité mal cartographié.
• Turnover : applications et domaines sans propriétaire clair après des départs.
• Filiales et entités juridiques multiples : consolidation rarement exhaustive.
• Legacy : infrastructures oubliées qui continuent de tourner.

L'attaquant découvre souvent des vulnérabilités que l'organisation elle-même ignore posséder. L'EASM vise à réduire cette asymétrie : connaître sa surface d'attaque aussi bien — idéalement mieux — que les adversaires.

02 — PourquoiUn enjeu devenu central

Une surface d'attaque en explosion

La surface d'attaque externe s'est transformée profondément :

• Cloud et SaaS : chaque équipe peut provisionner en minutes, multipliant les points d'exposition.
• Architectures distribuées : microservices, APIs, intégrations SaaS.
• Télétravail massif post-2020 : VPN, accès distants, RDP exposés.
• DevOps et CI/CD : déploiements fréquents, nouveaux services apparaissant quotidiennement.
• IoT et OT : connectivité croissante des équipements industriels.
• Écosystèmes de partenaires : API ouvertes, open banking, intégrations.

Le modèle d'adversaire moderne

Les attaquants professionnels — opérateurs de ransomware, groupes étatiques, cybercriminels organisés — démarrent systématiquement par une phase de reconnaissance approfondie de leur cible :

• OSINT sur le nom de l'organisation et ses filiales.
• Énumération de sous-domaines via passive DNS et certificate transparency.
• Recherche sur Shodan, Censys, Fofa (équivalent chinois) de services exposés.
• Dorking Google sur les documents exposés.
• Recherche dans GitHub, GitLab de secrets leakés.
• Consultation du dark web pour credentials vendus.
• Analyse des métadonnées de documents publics.

L'EASM automatise ces mêmes techniques côté défenseur pour découvrir avant les attaquants.

Cas concrets où l'EASM aurait évité l'incident

• Capital One 2019 : bucket S3 mal configuré chez AWS, 106 millions de clients exposés. Un EASM aurait détecté l'exposition.
• Accenture 2021 : 6 buckets AWS publics découverts par UpGuard (cabinet spécialisé EASM). Données clients exposées pendant des mois.
• Multiples cas d'instances Jenkins, Kubernetes, bases de données MongoDB/Elasticsearch exposées sur Internet sans authentification, régulièrement découvertes par Shodan et médiatisées.
• Ivanti Connect Secure 2024 : CVE critiques exploitées en masse — les organisations qui n'avaient pas recensé leurs instances Ivanti ont été touchées sans s'en rendre compte rapidement.

Cadre réglementaire

• NIS2 : impose la gestion des risques incluant la cartographie des actifs.
• DORA : pour le secteur financier, exige une connaissance détaillée des actifs critiques.
• ISO 27001 : contrôle A.5.9 sur l'inventaire des actifs.
• PCI DSS 4.0 : exigences renforcées sur la cartographie des systèmes dans le périmètre.
• Cyber-assurance : les assureurs questionnent désormais la qualité de la cartographie des actifs et peuvent exiger un outil d'EASM.

03 — DistinctionsEASM vs ASM vs CAASM

Trois termes voisins qui prêtent à confusion.

ASM — Attack Surface Management

Terme parapluie qui désigne la gestion globale de la surface d'attaque d'une organisation, incluant toutes les surfaces : externe, interne, cloud, SaaS, identités, humains. Cadre structurant introduit par Gartner à partir de 2020.

EASM — External Attack Surface Management

Vue externe de l'ASM. Adopte le point de vue de l'attaquant (outside-in). Cherche à découvrir ce qui est exposé sur Internet, même ce que l'organisation ignore posséder. Privilégie les sources publiques (OSINT, Shodan, certificate transparency, passive DNS).

CAASM — Cyber Asset Attack Surface Management

Vue interne consolidée. Au lieu de découvrir depuis l'extérieur, CAASM agrège via API les inventaires existants :

• CMDB (ServiceNow, BMC).
• EDR (CrowdStrike, SentinelOne, Defender).
• Solutions IAM (Microsoft Entra, Okta).
• Outils cloud (AWS Config, Azure Resource Graph).
• Scanners de vulnérabilités.
• Plateformes DevOps (GitHub, GitLab).

CAASM obtient une vue unifiée de tous les actifs cyber en combinant ces sources. Forces : exhaustivité sur les actifs connus, corrélation riche. Limites : ne trouve pas ce qui n'est dans aucun inventaire.

Pourquoi EASM et CAASM sont complémentaires

• EASM trouve ce qu'on ne sait pas qu'on possède.
• CAASM consolide ce qu'on sait déjà posséder.
• Ensemble, ils apportent une vue complète et cohérente.
• L'EASM alimente en découvertes, CAASM orchestre la vision globale.

Convergence vers CTEM

Gartner a introduit en 2022 le concept de CTEM (Continuous Threat Exposure Management), approche programmatique en 5 étapes : scoping, découverte (EASM+CAASM), priorisation, validation, mobilisation. EASM et CAASM s'inscrivent comme composantes du CTEM, concrétisant les étapes 2 et 3. Les grandes plateformes convergent vers cette vision unifiée.

Tableau de synthèse

• EASM : vue externe, outside-in, découverte par OSINT, détecte le shadow IT.
• CAASM : vue interne, inside-out, agrégation par API, consolide les connus.
• ASM : terme parapluie incluant les deux.
• CTEM : programme continu incluant ASM + validation + priorisation.

04 — FonctionnementComment opère un EASM

Phase 1 — Seed et scoping

L'EASM démarre avec un ensemble d'amorces minimal : noms de l'organisation, entités juridiques (y compris filiales et acquisitions), domaines de référence, marques, numéros ASN connus. De ces amorces, la plateforme élargit progressivement la découverte.

Phase 2 — Découverte d'actifs

Découverte de domaines et sous-domaines

• Certificate Transparency logs : les autorités de certification publient tous les certificats émis. Recherche des certificats contenant le nom de l'organisation révèle les domaines, y compris internes s'ils ont un certificat public.
• Passive DNS : bases historiques des résolutions DNS mondiales (Farsight, SecurityTrails, DNSDB).
• WHOIS et RDAP : recherches sur les déclarations d'enregistrement de domaines.
• Bruteforcing : test de sous-domaines probables avec des listes (admin, dev, staging, api…).
• Zone transferts : quand mal configurés, donnent toute la zone DNS.
• Scraping des résultats de moteurs de recherche.

Découverte d'adresses IP

• ASN et plages IP attribuées à l'organisation.
• Résolutions DNS des domaines découverts.
• Shodan, Censys, Zoomeye, Fofa : moteurs de recherche de services exposés qui donnent une vue mondiale.
• Scans passifs : consultation de bases de scans Internet.

Fingerprinting des services

Une fois les IP et domaines identifiés, l'EASM analyse chaque port/service pour déterminer :

• Nature du service (HTTP, HTTPS, SSH, FTP, RDP, base de données, etc.).
• Version logicielle exacte (via bannières, headers, pages par défaut).
• Stack technique utilisée (framework, CMS, serveur applicatif).
• Certificats TLS (émetteur, validité, chiffrement).
• Pages d'administration ou interfaces sensibles.

Découvertes cloud spécifiques

• Buckets S3, Azure Blob, GCS : énumération des patterns de nommage courants (companyname-backup, companyname-prod).
• Services PaaS exposés : Azure Web Apps, Cloud Run, App Engine.
• Kubernetes exposed : dashboards, API, etcd.
• Serverless : Lambda endpoints publics.

Découvertes additionnelles

• GitHub / GitLab : recherche de dépôts publics, secrets, code source exposé.
• Dark web monitoring : mentions de l'organisation, credentials en vente.
• Paste sites : Pastebin, Ghostbin, Rentry — recherche de data leaks.
• Typosquatting : domaines similaires au nom de l'organisation.
• Usurpation d'identité : comptes réseaux sociaux frauduleux.

Phase 3 — Attribution

Défi majeur : s'assurer que les actifs découverts appartiennent bien à l'organisation. Techniques :

• Signaux convergents : certificat TLS mentionnant l'organisation + IP dans une plage attribuée + résolution DNS vers un domaine connu.
• Contenu des pages : mentions textuelles, logos, favicons.
• Analytics et tags : Google Analytics ID, Adobe Analytics partagés entre domaines.
• Favicon hashes : reconnaissance de l'identité graphique.
• WHOIS historique pour les nouvelles acquisitions.
• Validation humaine : toujours nécessaire sur les cas ambigus.

Phase 4 — Évaluation des risques

Chaque actif découvert est qualifié selon sa criticité :

• Version vulnérable : correspondance avec CVE connues, score CVSS, score EPSS.
• Misconfigurations : TLS faible, en-têtes manquants, CORS permissif, services sans authentification.
• Exposition à haut risque : RDP, SSH, bases de données, interfaces d'administration exposées.
• Certificats expirés ou malformés.
• Données exposées : buckets publics, documents indexés.
• Réputation : domaines listés comme malveillants (typosquatting actif par un attaquant).

Phase 5 — Priorisation et remédiation

Les plateformes EASM modernes priorisent les découvertes selon :

• Criticité de l'actif (production vs test).
• Sévérité de la vulnérabilité (CVSS, EPSS).
• Facilité d'exploitation.
• Exposition effective (accessible depuis n'importe où vs filtré).
• Présence d'exploitations actives dans la nature (KEV catalog CISA).

Elles émettent ensuite des tickets d'action, intégrables dans les outils de gestion (Jira, ServiceNow) et les processus de patching.

Phase 6 — Surveillance continue

L'EASM moderne n'est pas une cartographie ponctuelle mais une surveillance continue : nouveaux actifs découverts quotidiennement, nouvelles vulnérabilités détectées, alertes sur les changements significatifs.

05 — ActeursLe marché EASM

Leaders du marché EASM

• Palo Alto Cortex Xpanse : ex-Expanse, acquis par Palo Alto en 2020. Souvent cité comme leader par Gartner. Forte présence enterprise.
• Microsoft Defender EASM : issu du rachat de RiskIQ en 2021. Intégration avec l'écosystème Microsoft Defender.
• CrowdStrike Falcon Surface : issu du rachat de Reposify en 2023. Intégration native avec Falcon.
• Rapid7 Surface Command : issu du rachat d'IntSights et de développements internes.
• Tenable Attack Surface Management : ex-Bit Discovery, intégré dans Tenable One.

Acteurs spécialisés et challengers

• Censys Attack Surface Management : moteur de découverte Internet historique, offre EASM complète.
• CyCognito : focus EASM pur, approche très orientée adversaire.
• Bishop Fox CAST : services + plateforme.
• Detectify : acteur européen, suédois, fort sur le continuous application security testing.
• Randori (IBM) : acquis par IBM en 2022, combine EASM et red team continue.
• SecurityTrails : fournisseur de données DNS historiques, nombreuses fonctionnalités EASM.
• Pentera : focalisé sur la validation continue, inclut des capacités EASM.

Plateformes CNAPP avec EASM intégré

• Wiz : CNAPP leader, intègre progressivement des capacités EASM.
• Orca Security : CNAPP agentless, ajout d'EASM.
• Tenable One : plateforme unifiée incluant EASM.

Acteurs français et européens

• Intrinsec CyberVision : plateforme française, acteur cyber défense français.
• Patrowl.io : solution française, édition open source disponible.
• Datadome, Thales : français, capacités partielles d'EASM.
• Sweepatic (Belgique) : acquis par Outpost24 (Suède).
• Outpost24 : acteur suédois, gamme étendue EASM + VM.

Outils open source utiles

• OWASP Amass : référence open source pour la découverte de sous-domaines via de multiples sources.
• Project Discovery : suite complète (subfinder, naabu, httpx, nuclei) largement utilisée.
• theHarvester : collecte d'informations OSINT.
• Sublist3r, findomain, assetfinder : énumération de sous-domaines.
• Shodan CLI et Censys CLI : interrogation programmatique des bases.
• urlscan.io : analyse automatisée d'URL, historique public.
• GitHub Dork/Gitleaks : recherche de secrets dans les dépôts publics.

Positionnement dans le Gartner Magic Quadrant

Gartner n'a pas de Magic Quadrant EASM dédié mais intègre l'EASM dans son cadre CTEM et dans les évaluations de plateformes plus larges (Vulnerability Management, CNAPP). Les Market Guide for EASM publiés depuis 2022 listent les acteurs principaux. La consolidation est rapide : la plupart des petits acteurs sont absorbés par les grands acteurs (Palo Alto, Microsoft, CrowdStrike, Rapid7, IBM).

Tarification indicative

• Petite entreprise (100-500 actifs externes) : 15 000 à 40 000 €/an.
• ETI (500-5 000 actifs) : 40 000 à 150 000 €/an.
• Grand compte (5 000-50 000 actifs) : 150 000 à 500 000 €/an.
• Très grand compte (> 50 000 actifs) : devis, souvent > 500 000 €/an.
• Tarification généralement à l'actif avec ajustements selon fonctionnalités.
• Outils open source : gratuits mais demandent expertise et temps d'exploitation.

06 — IntégrationDéployer l'EASM dans l'organisation

Positionnement organisationnel

Plusieurs modèles observés :

• Sous le RSSI : modèle le plus fréquent, l'EASM est une capacité de l'équipe sécurité.
• Dans le SOC : intégration avec la détection, alimentation des règles.
• Gestion des vulnérabilités : extension naturelle des équipes existantes de VM.
• DevSecOps : pour les organisations cloud-first, intégration dans le pipeline.

Intégrations techniques essentielles

• SIEM : alimentation par les découvertes d'actifs et vulnérabilités.
• SOAR : automatisation des réponses (tickets, notifications).
• Scanners de vulnérabilités : Tenable, Qualys, Rapid7 — les actifs découverts sont ajoutés au périmètre de scan.
• CMDB : réconciliation entre actifs externes découverts et inventaires internes.
• Ticketing : Jira, ServiceNow pour les actions de remédiation.
• Threat Intelligence : corrélation avec les IOC et campagnes actives.
• Cloud providers : API AWS, Azure, GCP pour l'attribution des ressources.

Processus à mettre en place

• Revues périodiques : hebdomadaires pour les nouvelles découvertes critiques, mensuelles pour la vue globale.
• Attribution des actifs : processus pour rattacher chaque actif à un propriétaire dans l'organisation.
• Remédiation : SLA selon criticité (critique = 72h, élevée = 2 semaines, etc.).
• Onboarding des fusions-acquisitions : intégrer rapidement les nouveaux actifs.
• Décommissionnement : processus pour retirer proprement les actifs obsolètes.
• Reporting : tableaux de bord direction, RSSI, équipes opérationnelles.

Articulation avec les autres équipes

• DSI et infrastructure : pour la remédiation technique.
• Équipes cloud : beaucoup d'actifs sont cloud, collaboration essentielle.
• Achats et contrats : identification des prestataires qui hébergent des actifs.
• Juridique : gestion des domaines et marques, typosquatting.
• Communication : si des comptes sociaux frauduleux sont détectés.
• Conformité : preuve pour les audits ISO 27001, SOC 2, NIS2.

07 — Bonnes pratiquesTirer le maximum de l'EASM

08 — FAQQuestions fréquentes

Combien de temps faut-il pour déployer un EASM ?

Rapide à démarrer, plus long à optimiser. Phases typiques : Semaine 1-2 — configuration initiale, amorces, premières découvertes. Semaines 2-8 — phase d'attribution intensive, qualification des actifs découverts, documentation des exceptions. Mois 3-6 — mise en place des processus de remédiation, intégration SIEM/ticketing, formation des équipes. Mois 6-12 — optimisation continue, ajustement des priorités, gain de maturité. Les premiers résultats actionnables apparaissent dès les deux premières semaines, mais un EASM mature en routine demande 6 à 12 mois.

L'EASM risque-t-il de déclencher des alertes chez les fournisseurs de la cible ?

Non pour l'EASM correctement conçu. L'EASM moderne est passif dans sa grande majorité : il consulte des bases publiques (Certificate Transparency, Shodan, WHOIS, passive DNS) plutôt que de scanner activement la cible. Quand des scans actifs sont effectués, ils sont typiquement légers (un SYN sur des ports, un banner grab) et volontairement non intrusifs. L'organisation qui utilise l'EASM scanne ses propres actifs, il n'y a donc pas d'enjeu d'autorisation. Pour le monitoring des prestataires ou cibles d'acquisition, certaines plateformes offrent un mode « observation externe » qui reste 100% passif pour ne pas être perçu comme intrusif.

Peut-on faire de l'EASM sans budget, avec des outils gratuits ?

Oui partiellement, avec de l'expertise. Démarche minimale sans budget :

• OWASP Amass pour énumérer les sous-domaines (plusieurs heures à configurer).
• Project Discovery suite (subfinder, naabu, httpx, nuclei) pour découvrir, scanner et tester.
• Shodan avec compte gratuit (requêtes limitées) ou abonnement basique (~59 €/mois).
• Google dorks et GitHub search pour les secrets exposés.
• crt.sh pour la Certificate Transparency, gratuit.
• Scripts périodiques automatisés via cron, alertes email.

Limitations : temps humain important, pas d'automatisation fine, attribution manuelle, pas d'intégration ticketing. Adapté aux petites structures techniques (startups, PME tech-savvy) mais chronophage. Les plateformes commerciales gagnent leur coût sur le temps économisé.

Comment gérer les cas où l'EASM remonte des actifs de filiales ou partenaires ?

Question politique et organisationnelle récurrente. Règles utiles :

• Filiales du même groupe : normalement dans le périmètre, à confirmer avec la gouvernance groupe.
• Joint-ventures : traiter selon les accords contractuels, souvent partagés.
• Anciennes filiales vendues : attention aux résidus (domaines toujours liés à l'ancienne maison mère).
• Prestataires et partenaires : hors périmètre direct, mais veille pertinente. Coordination avec les équipes achats et juridique.
• Actifs ambigus : décision explicite au cas par cas.

Documentation claire des règles d'attribution et réévaluation périodique.

L'EASM est-il remplacé par les plateformes CNAPP ?

Non, les deux sont complémentaires. CNAPP (Cloud-Native Application Protection Platform) se focalise sur la sécurité des environnements cloud — configurations, identités, workloads, APIs cloud. Les leaders CNAPP (Wiz, Palo Alto Prisma Cloud, Orca, CrowdStrike Falcon Cloud Security) intègrent de plus en plus d'EASM, mais leur angle reste principalement cloud-centric. L'EASM couvre aussi les actifs non cloud : datacenters traditionnels, infrastructures héritées, services on-premises, serveurs dédiés. Les grands éditeurs convergent vers des plateformes unifiées (Exposure Management) qui incluent EASM + CAASM + CNAPP + VM — c'est la vision CTEM de Gartner. Pour une organisation cloud-first, un CNAPP avec EASM intégré peut suffire. Pour les organisations hybrides ou legacy, un EASM dédié reste pertinent.

Quels sont les risques juridiques de l'EASM ?

Faibles quand utilisé sur son propre périmètre, mais attention :

• Sur son périmètre : aucun risque, on scanne ce qui nous appartient.
• Sur prestataires avec accord : prévoir explicitement dans les contrats.
• Scan actif de tiers sans autorisation : risque pénal (articles 323-1 et suivants en France). Les plateformes EASM commerciales sont conçues pour éviter cela.
• Collecte de données personnelles : ex. emails découverts dans des documents publics. Veiller au RGPD.
• Découverte de données confidentielles de tiers : procédure de divulgation responsable plutôt qu'utilisation.

Les plateformes EASM commerciales maintiennent leur approche passive précisément pour éviter tout risque légal de scan actif non autorisé.