Aller au contenu principal
own2pwn
appsec/qu-est-ce-que-l-easm.tsx

EASM : qu'est-ce que la gestion de surface d'attaque externe ?

L'EASM en clair : définition, fonctionnement, et ce qui le distingue d'un scanner ou d'un pentest. Comment cartographier votre surface d'attaque externe et qui en a besoin.

own2pwn··11 min de lecture

Vous tapez votre nom de domaine racine dans une plateforme, vous cliquez sur « lancer la découverte », et vous partez chercher un café. Dix minutes plus tard, l'écran affiche 214 actifs exposés sur Internet. Votre CMDB en connaît 70. Le reste ? Des sous-domaines de vieilles campagnes marketing, un jenkins-old mis en ligne en 2021 qui répond toujours, une API de staging que quelqu'un a poussée « pour deux jours » en 2022, un panel d'admin derrière une IP oubliée, un bucket rattaché à un prestataire parti depuis. Vous ne les aviez jamais vus. Dehors, ils sont visibles depuis des mois.

Ce moment de lucidité, c'est ce que produit un EASM : External Attack Surface Management, la gestion de la surface d'attaque externe. Le terme est récent, la pratique moins : les attaquants cartographient les surfaces exposées depuis toujours. L'EASM outille le même travail, côté défense.

L'EASM, c'est quoi ? La définition

L'EASM (External Attack Surface Management) est la discipline qui consiste à découvrir, inventorier et surveiller en continu tout ce qu'une organisation expose sur Internet, du point de vue de l'attaquant. Pas depuis votre réseau interne, pas depuis un fichier Excel d'actifs : depuis l'extérieur, comme le ferait quelqu'un qui prépare une intrusion et n'a pour seul point de départ que votre nom.

En français, on parle de gestion de la surface d'attaque externe. Vous croiserez aussi « cartographie de la surface d'exposition » ou, plus vaguement, « attack surface management ». Peu importe l'étiquette, l'idée tient en une phrase : on ne protège pas ce qu'on ne voit pas, et la première étape de toute défense sérieuse, c'est de voir sa propre surface comme l'adversaire la voit. Un EASM n'a besoin d'aucun agent installé, d'aucun accès à votre réseau. Il travaille depuis Internet, avec les mêmes données publiques que n'importe qui.

Surface d'attaque externe : de quoi parle-t-on ?
C'est l'ensemble des points par lesquels un attaquant peut vous atteindre depuis Internet, sans être déjà dans vos murs : noms de domaine et sous-domaines, adresses IP, ports et services ouverts, applications web, API, certificats, actifs cloud, dépôts et fuites publiques. Tout ce qui a une adresse joignable de l'extérieur en fait partie, que vous le sachiez ou non.

Comment fonctionne un EASM, étape par étape

Un EASM ne se contente pas d'une liste d'IP à scanner. Il part de presque rien (votre nom, votre domaine) et remonte, de proche en proche, jusqu'à reconstituer votre exposition réelle. Cinq temps s'enchaînent.

1. Découverte. Tout part de quelques graines : un domaine racine, une marque, une plage IP. La plateforme moissonne ensuite des sources publiques pour faire apparaître des actifs que personne ne lui a donnés. L'énumération passive de sous-domaines s'appuie sur les journaux de Certificate Transparency (chaque certificat TLS émis y laisse une trace publique, qu'on ratisse avec crt.sh, subfinder ou amass), puis on résout et on sonde ce qui répond avec dnsx et httpx. Un même favicon, hashé et cherché sur Shodan ou Censys, fait parfois tomber une IP directe planquée derrière un CDN. L'attribution par ASN, elle, ne rend service que si l'organisation possède ses propres plages RIR : une minorité. La plupart des cibles vivent dans les ASN d'un cloud (AWS 16509, OVH 16276), où le numéro d'AS ne rattache plus rien d'exploitable. Pour elles, le fil conducteur reste le DNS et les certificats. C'est là que ressortent les sous-domaines fantômes qui pointent dans le vide, mûrs pour un subdomain takeover, et le shadow IT que personne ne gère.

fan-out-decouverte
DNS
Sous-domaines
Énumérés depuis les logs CT, les résolveurs, les archives.
Réseau
IP & ASN
Plages RIR, mais seulement si l'org possède ses propres blocs.
TLS
Certificats
Chaque cert émis trahit un hostname jusque-là inconnu.
GRAINE
1 domaine racine
Le seul point de départ : votre nom.
Cloud
Buckets & services
Stockage objet, fonctions, sous-domaines de fournisseurs.
App
API de staging
Le « temporaire » qui n'a jamais été débranché.
Web
Panels exposés
Interfaces d'admin et back-offices oubliés.
À partir d'une graine, l'EASM révèle des actifs que votre inventaire ignore. Chaque satellite est un nouveau point d'entrée potentiel.

2. Inventaire et attribution. Découvrir un actif ne suffit pas : encore faut-il prouver qu'il est à vous. Cette étape relie chaque élément trouvé à votre organisation (par le domaine, le certificat, le contenu, parfois l'ASN quand il tient) et l'enrichit : ports ouverts, technologies détectées, versions de logiciels, en-têtes. Mal attribuer, c'est se créer un angle mort ou polluer le périmètre d'un voisin. On y passe du temps parce que tout le reste du pipeline en dépend.

3. Corrélation des vulnérabilités. Une fois qu'on sait quel logiciel tourne et dans quelle version, on confronte ces empreintes aux flux de CVE, typiquement la NVD du NIST. On fait remonter les expositions connues sur des actifs qu'on vient juste de redécouvrir. Cas d'école : un nginx 1.18.0 laissé sur une machine que plus personne ne surveillait, vulnérable à la CVE-2021-23017 (un off-by-one dans le resolver DNS). Rien d'exotique, juste une version qui a pris la poussière.

4. Priorisation par exploitabilité. Lister des CVE, c'est facile, et c'est le meilleur moyen de noyer vos équipes. Un bon EASM hiérarchise par exploitabilité, pas par score CVSS brut. Le service est-il seulement atteignable depuis Internet ? La fonctionnalité vulnérable, elle, est peut-être désactivée ; la bannière de version, souvent, ment. Une faille exploitable sur un actif exposé pèse mille fois plus qu'un « critique » théorique sur un port fermé.

5. Surveillance continue. Une surface d'attaque bouge tous les jours : un déploiement crée un sous-domaine, un certificat expire, une CVE sort, une équipe met en ligne un nouveau service. Un scan unique périme en une semaine. L'EASM re-scanne en boucle et alerte sur les changements : c'est ce « continu » qui le distingue d'un audit ponctuel.

pipeline-easm
Entrée
Graines
Domaine, marque, plages IP, organisation.
Étape 1 et 2
Découverte & attribution
Sous-domaines, DNS, certificats, cloud, puis rattachement à vous.
Étape 3
Corrélation NVD
Confrontation des empreintes aux flux de CVE.
Étape 4
Priorisation
Ce qui est atteignable et exploitable d'abord.
Étape 5
Surveillance continue
Re-scan permanent, alerte sur tout changement, retour à la découverte.
Cinq temps, en boucle. La surveillance continue reboucle sur la découverte : le pipeline ne s'arrête jamais.

EASM, ASM, CAASM, CTEM : démêler les sigles

Le marché adore les acronymes, et ceux-là se ressemblent assez pour tout embrouiller. La question « c'est quoi un ASM ? » revient sans cesse. Les quatre sigles ne recouvrent pas la même chose.

  • ASM (Attack Surface Management) : le terme parapluie. Gérer sa surface d'attaque, tout court. L'EASM en est la déclinaison la plus répandue, au point qu'on emploie souvent les deux mots l'un pour l'autre.
  • EASM (External ASM) : la version focalisée sur l'externe, ce qui est joignable depuis Internet. C'est le sujet de cet article, et de loin le point de départ le plus utile, parce que c'est par l'extérieur qu'on se fait attaquer.
  • CAASM (Cyber Asset ASM) : une approche qui agrège une vue des actifs en se branchant, via API, sur vos outils internes existants (CMDB, EDR, cloud, annuaire). Il consolide ce que vous savez déjà, quand l'EASM part de zéro et regarde du dehors. Les deux se recoupent utilement.
  • CTEM (Continuous Threat Exposure Management) : un programme continu formalisé par Gartner. Aucun produit à installer, c'est une méthode. Il organise en cycle cinq étapes : cadrage (scoping), découverte, priorisation, validation, mobilisation des équipes. L'EASM l'alimente en matière (les actifs, les expositions) qu'il met ensuite en musique.

Retenez la hiérarchie : ASM est le concept large, EASM sa face externe, CAASM sa face interne agrégée, et CTEM le programme qui met tout ça sous tension en continu. Pour la plupart des organisations, on commence par l'EASM : on éclaire d'abord la partie qu'on ne maîtrise pas.

EASM, scanner de vulnérabilités, pentest : qui répond à quoi

La confusion la plus coûteuse, c'est de croire que ces trois-là font la même chose. Ils répondent à des questions différentes, et se déclenchent à des moments différents.

OutilPérimètre couvertQuestion poséeAutomatisé ou humain
EASMToute la surface externe, y compris l'inconnu« Qu'est-ce que j'expose, et où sont les risques ? »Automatisé, continu
Scanner de vulnérabilitésUne liste de cibles connues qu'on lui fournit« Ces cibles ont-elles des versions vulnérables ? »Automatisé, ponctuel
PentestUn périmètre défini dans un mandat« Cette faille est-elle exploitable, et jusqu'où ? »Humain (expert)

La différence tient à un point : un scanner de vulnérabilités a besoin qu'on lui donne les cibles. Il ne trouvera jamais le serveur oublié dont personne ne connaît l'adresse, puisqu'elle ne figure sur aucune liste. Un EASM commence par établir le périmètre, puis le qualifie. Il vient donc en amont du scan.

Et le pentest ? Autre catégorie. L'EASM signale « c'est probablement vulnérable » ; un humain qui teste le démontre, enchaîne les failles, et mesure l'impact réel. On a détaillé cette frontière dans pentest vs scan de vulnérabilité. En pratique on les met bout à bout : l'EASM cartographie et surveille en continu, le pentest va au fond des zones critiques que la cartographie a fait remonter.

Qui a besoin d'un EASM ?

Réponse courte : toute organisation dont la surface Internet a grossi plus vite que sa capacité à la suivre. C'est-à-dire à peu près tout le monde. Trois profils reviennent le plus souvent.

  • Les grands comptes et ETI : des dizaines de filiales, de marques, de rachats, de prestataires. Leur surface réelle se compte en milliers d'actifs et personne, en interne, n'en a la vue complète. Le shadow IT y est la norme, pas l'exception.
  • Les PME : moins d'actifs, mais souvent zéro inventaire et pas d'équipe dédiée. Un seul sous-domaine oublié suffit à ouvrir la porte. Et elles arrivent désormais dans le périmètre réglementaire, souvent par ruissellement via la sous-traitance, comme on l'explique pour les PME concernées par NIS2.
  • Les organisations sous pression réglementaire : NIS2, DORA et consorts imposent en filigrane une gestion des actifs et une analyse de risques continues. On ne coche pas ces cases avec un Excel daté de l'an dernier. Le lien concret entre la directive et la cartographie, c'est le sujet d'EASM et conformité NIS2.

Reste un critère qu'on sous-estime : la souveraineté. Confier la cartographie de tous vos points d'exposition à une plateforme, c'est lui remettre le plan coté de vos points d'entrée, actif par actif. Où ces données sont hébergées, et sous quelle juridiction, compte. Pour les organisations qui veulent garder ce plan en France, on a creusé la question de l'EASM souverain hébergé en France.

À retenir

L'essentiel sur l'EASM
  • EASM = External Attack Surface Management, la gestion de la surface d'attaque externe : découvrir, inventorier et surveiller en continu tout ce qu'on expose sur Internet, du point de vue de l'attaquant.
  • Il fonctionne en cinq temps : découverte à partir de graines, attribution, corrélation CVE (via la NVD), priorisation par exploitabilité, surveillance continue en boucle.
  • ASM est le terme large, EASM sa face externe, CAASM sa face interne agrégée par API, CTEM le programme continu (cadre Gartner) qui orchestre le tout.
  • Un EASM découvre le périmètre ; un scanner qualifie des cibles qu'on lui donne ; un pentest prouve l'exploitation à la main. Trois maillons d'une même chaîne.
  • Grands comptes, PME et entités sous NIS2 en ont tous besoin. La souveraineté des données (où elles sont hébergées) fait partie du cahier des charges.

Tout part de là : savoir ce que vous exposez vraiment, avant qu'un autre ne le fasse à votre place. C'est le travail de la plateforme EASM d'own2pwn, construite par un pentester OSWE : découverte en continu, corrélation des CVE via la NVD, validation d'exploitabilité IA-native pour trier le vrai risque du bruit. Le premier scan suffit en général à corriger l'idée qu'on se faisait de sa propre surface.

Articles liés