Prix d'un EASM : combien coûte une plateforme de gestion de surface
d'attaque ?
Prix EASM : les modèles de facturation réels, les fourchettes observées, le piège du sur devis et ce qui fait varier la facture. Existe-t-il un EASM gratuit ?
own2pwn··9 min de lecture
Fin de trimestre, la facture de votre plateforme EASM passe de 180 à 340 € sans qu'une seule ligne du contrat ait bougé. La cause tient dans une colonne du relevé : le nombre d'actifs surveillés. L'outil en a découvert quarante de plus le mois dernier, et chacun se facture au passage. C'est ça, le prix d'un EASM : rarement le chiffre affiché en gros sur la page tarifs, souvent celui que la découverte fait grimper une fois le contrat signé.
Alors, combien coûte un EASM en pratique ? La réponse honnête tient en deux temps : le ticket d'entrée d'une plateforme de gestion de surface d'attaque externe tourne autour de 90 à 130 € par mois pour une petite surface, et grimpe vite à plusieurs milliers d'euros par an dès qu'on parle de centaines d'actifs, d'enrichissement et de support. Entre les deux, tout dépend de la façon dont l'éditeur compte. Six modèles de facturation coexistent sur le marché, et ils ne se lisent pas de la même manière.
Les modèles de facturation d'un EASM
Le marché n'a pas de standard. Chaque éditeur facture sur l'unité qui l'arrange, et c'est rarement la même. Six modèles reviennent, parfois combinés dans une seule offre.
Modèle Unité facturée Ordre de grandeur
----------------- -------------------- ------------------------
Par actif actif découvert ~0,30 EUR / actif / mois
Par domaine / IP racine ou plage forfait 90-130 EUR / mois
Forfait + quotas palier (X actifs) ~100 a 300 EUR / mois
Par siège utilisateur (compte) variable, s'ajoute
Freemium palier bride a 0 EUR gratuit, plafonne bas
Sur devis "votre contexte" opaque, 10k+ EUR / anPar actif découvert. Le plus honnête sur le papier, le plus traître en pratique. Vous payez au nombre d'actifs surveillés (un sous-domaine, une IP, un certificat, un service). Microsoft Defender EASM, par exemple, affiche 0,011 $ par actif et par jour, soit environ 0,33 $ par actif et par mois. Ça paraît dérisoire, jusqu'au moment où l'EASM fait son travail : il découvre. Vous pensiez avoir 70 actifs, il en remonte 214. La facture épouse alors votre exposition réelle, celle que vous ne connaissiez pas au moment de signer.
Par domaine racine ou par plage IP. On facture au périmètre que vous déclarez au départ, quel que soit le nombre d'actifs qui en découlent ensuite. Intruder démarre par exemple autour de 99 $ par mois pour un seul domaine et une seule IP. Simple à comprendre, mais l'addition gonfle vite si vous avez douze marques, quinze filiales et autant de racines à couvrir.
Forfait avec quotas. Un palier fixe (« jusqu'à X actifs »), un prix fixe. Attaxion annonce des plans à partir de 129 $ par mois qui montent jusqu'à quelques centaines d'actifs ; TRaViS démarre à 99 $. Vous savez ce que vous payez tant que vous restez sous le plafond ; au-delà, vous changez de palier. C'est le modèle le plus prévisible, à condition que le plafond soit un hard-cap et non un seuil qui déclenche une facturation à l'actif supplémentaire.
Par siège. Certains ajoutent un coût par utilisateur du dashboard, surtout côté outillage d'entreprise. Marginal pour une PME, sensible dans un SOC où vingt analystes doivent accéder à la console.
Freemium. Un palier gratuit, volontairement bridé : un domaine, un scan par semaine, pas d'historique, pas d'alerte. Utile pour tâter le produit, insuffisant pour un usage réel. Le cas de l'EASM gratuit a sa propre section plus bas.
Sur devis. Le fameux « contactez-nous ». Les gros noms (CyCognito, Ivanti, CrowdStrike, Group-IB) ne publient aucun prix et calibrent au cas par cas, souvent à partir de plusieurs dizaines de milliers d'euros par an. Rien d'illégitime pour un déploiement grand compte. Reste que le silence a une fonction : on ajuste le prix à ce que vous semblez pouvoir payer.
Ce qui fait varier la facture
Deux entreprises avec le même nombre de salariés peuvent payer du simple au décuple. Le prix d'un EASM ne dépend presque jamais de votre chiffre d'affaires. Il dépend de variables concrètes, qu'on peut lister.
- La taille de votre surface. C'est le premier levier, et le seul que vous ne maîtrisez pas au moment de signer. Une PME mono-domaine et un groupe avec 400 sous-domaines hérités de dix ans de rachats ne jouent pas dans la même cour. Sur un modèle à l'actif, cette variable est la facture.
- La fréquence de scan. Un balayage mensuel coûte moins qu'une surveillance continue qui re-scanne tous les jours et vous alerte au changement. Le « continu » est ce qui sépare un EASM d'un audit ponctuel ; payer pour du mensuel, c'est souvent payer pour un scanner déguisé.
- L'enrichissement. Corréler les versions détectées aux CVE de la NVD, croiser avec des flux de threat intelligence, détecter les fuites de données ou les credentials exposés : chaque couche d'analyse se paie. Les offres « premium » sont surtout des offres « plus d'enrichissement ».
- Le support et l'accompagnement. Un accès self-service n'a pas le prix d'un contrat avec un ingénieur dédié qui trie vos alertes. Sur le haut de gamme, une part du ticket paie de l'humain, pas du logiciel.
- L'engagement. Annuel contre mensuel, souvent 15 à 20 % de remise pour un an payé d'avance. Confortable si le produit vous convient, piège si vous vous êtes trompé de plateforme.
Le piège du prix « sur devis »
Existe-t-il un EASM gratuit ?
Oui, mais lisez les petites lignes. Un EASM gratuit prend deux formes, et aucune ne remplace un abonnement pour un usage sérieux.
La première, ce sont les outils open-source : subfinder, amass, dnsx, httpx, nuclei. Gratuits, excellents, c'est d'ailleurs ce que la plupart des plateformes font tourner sous le capot. Le mot « gratuit » ne dit rien du coût d'exploitation : il faut un serveur qui tourne, des sources de données (certaines API de reconnaissance sont payantes), quelqu'un pour orchestrer les scans, corréler les résultats, et surtout recommencer chaque semaine. Le coût ne disparaît pas, il se déplace vers du temps d'ingénieur. Une équipe outillée s'en sort ; pour les autres, l'addition en heures dépasse vite le prix d'un abonnement.
La seconde, ce sont les paliers freemium des plateformes commerciales. Gratuits, oui, mais bridés par construction : un domaine, un scan ponctuel, pas de surveillance continue, pas d'alerte, pas d'historique. Le but est commercial : vous montrer ce qui dépasse, assez pour donner envie de passer à un palier payant. Ce qui a du sens : un premier scan gratuit qui remonte trois actifs oubliés vaut mieux que rien, et vous n'avez rien signé. Le palier gratuit est une porte d'entrée vers l'offre payante, à consommer comme tel.
Le vrai tarif d'un EASM, c'est son coût total
Comparer deux prix mensuels ne veut pas dire grand-chose tant qu'on ne les rapporte pas à ce qu'ils remplacent. Le prix d'un EASM se juge contre son alternative : le temps passé à cartographier la surface à la main, et le coût d'un actif oublié qui finit par se faire compromettre. C'est là que se joue le coût total de possession.
Rapporté à ça, un EASM d'entrée de gamme coûte moins cher qu'une journée d'ingénieur par mois. La comparaison avec un simple scanner de vulnérabilités ne tient pas non plus : un scanner qualifie une liste de cibles qu'on lui fournit, un EASM commence par trouver les cibles que vous ignoriez. On a détaillé cette frontière, et son impact sur le budget, dans pentest contre scan de vulnérabilité.
Un EASM ne remplace pas non plus un test d'intrusion et son budget : le premier surveille en continu une large surface pour quelques centaines d'euros par mois, le second envoie un humain prouver l'exploitation sur un périmètre ciblé pour quelques milliers d'euros par mandat. Deux lignes budgétaires qui se complètent : l'EASM cartographie et priorise, le pentest va au fond des zones critiques qu'il a fait remonter.
Combien coûte own2pwn EASM
On applique à notre propre grille ce qu'on reproche aux autres de cacher. Le tarif est public et le modèle est un hard-cap : un palier fixe, un prix fixe, pas de facturation à l'actif qui dérape, pas d'overage surprise en fin de mois.
- Dès 0 €. Un palier gratuit pour découvrir votre surface et voir ce qui dépasse, sans carte bancaire.
- Pro à 99 € par mois. Pour une PME ou une équipe qui veut une surveillance continue et de la corrélation CVE sur son périmètre.
- Business à 299 € par mois. Pour une surface plus large, avec des quotas relevés, toujours en plafond fixe.
Pas de « sur devis », pas de commercial à convaincre avant de connaître le prix. Et sur le volet hébergement, qui compte quand on confie le plan de ses points d'entrée à un tiers, on garde les données dans l'Union européenne : le sujet est traité dans EASM souverain et hébergement en France.
À retenir
L'essentiel sur le prix d'un EASM
- Ticket d'entrée : 90 à 130 € par mois pour une petite surface ; plusieurs milliers d'euros par an dès qu'on ajoute des actifs, de l'enrichissement et du support.
- Six modèles de facturation : par actif, par domaine ou IP, forfait à quotas, par siège, freemium, et le fameux « sur devis ». Ils ne se comparent pas d'un coup d'œil.
- Le modèle par actif est piégeux : la facture suit votre exposition réelle, que vous ne connaissez pas d'avance. Un hard-cap protège le budget.
- EASM gratuit : existe en open-source (coût déplacé vers du temps d'ingénieur) et en palier freemium bridé (porte d'entrée, pas couverture réelle).
- Le vrai tarif de la gestion de surface d'attaque externe se juge au coût total : face au temps de cartographie manuelle et au prix d'un incident sur un actif oublié, l'abonnement est la ligne la moins chère.
Avant de comparer des grilles, mesurez votre propre surface : le premier scan suffit souvent à corriger l'idée qu'on se faisait de son exposition, et ce chiffre change la lecture de tous les tarifs. Le palier gratuit de la plateforme EASM d'own2pwn le fait sans carte bancaire ; Pro et Business prennent le relais si la surface le justifie, au prix affiché, sans rattrapage le mois d'après.
Articles liés
appsec
EASM : qu'est-ce que la gestion de surface d'attaque externe ?
L'EASM en clair : définition, fonctionnement, et ce qui le distingue d'un scanner ou d'un pentest. Comment cartographier votre surface d'attaque externe et qui en a besoin.
appsec
Comparatif EASM : comment choisir la meilleure plateforme
Comparatif EASM sans langue de bois : la grille de critères pour choisir un outil EASM, comprendre les familles d'acteurs et trancher entre les plateformes du marché.
appsec
Subdomain takeover : comment un sous-domaine oublié devient une porte d'entrée
Subdomain takeover : un CNAME orphelin (dangling DNS) laisse un tiers servir du contenu sous votre marque, avec un vrai certificat TLS. Détection et remédiation.