Votre surface d'attaque externe, cartographiée depuis un seul domaine.

Un scanner type Nessus ou OpenVAS part d'une liste d'IP que vous lui fournissez et teste des vulnérabilités dessus. Il ne voit que ce que vous lui déclarez. L'EASM répond à la question d'avant : qu'est-ce que vous exposez vraiment sur Internet ? Il part d'un seul domaine racine, découvre les actifs que personne n'a inventoriés (sous-domaines oubliés, staging laissé en ligne, buckets cloud), corrèle ces actifs entre eux via les certificats partagés, le DNS et l'ASN, puis surveille en continu ce qui apparaît et disparaît. Les deux sont complémentaires : le scanner approfondit le connu, l'EASM trouve l'inconnu.

Vous saisissez votre domaine racine, le scan démarre. Pas d'agent à installer, pas d'accès cloud à fournir. On combine 14 plugins de découverte : sources passives (Certificate Transparency via crt.sh, six sources publiques de sous-domaines, WHOIS et reverse WHOIS, DNS), puis active non-intrusive (scan de ports, fingerprint de services, énumération de vhosts, crawl web, détection cloud S3/Azure/GCP). De proche en proche, on remonte sous-domaines, IP, ports, certificats TLS, technologies et services exposés. Le périmètre reste sous votre contrôle : on déroule à partir des domaines que vous déclarez, pas d'attribution hasardeuse sur des entités qui ne sont pas à vous.

Oui. Buckets S3 publics, Azure Blob Storage, GCP Storage, instances exposées, sous-domaines pointant vers un CDN ou un hébergeur cloud. Des modules dédiés vérifient aussi les ACL de stockage et les fuites de métadonnées (SSRF cloud). Si un actif cloud est joignable depuis Internet et rattaché à votre domaine, il remonte dans l'inventaire.

Vous programmez des scans périodiques (cron) et vous déclenchez des scans à la demande depuis l'interface ou l'API. À chaque passage, vous recevez le delta : nouvel actif, port qui s'ouvre, nouvelle CVE sur un service exposé, finding résolu. Les volumes dépendent du plan : 10 scans par mois en Découverte, 100 en Pro, illimité en Business et Enterprise. Vous suivez votre consommation en temps réel.

Le scan est refusé et l'API renvoie un HTTP 402 jusqu'au renouvellement mensuel ou à un upgrade. Tous les quotas (scans, actifs surveillés, validations IA, clés API) sont comptés par mois calendaire et remis à zéro le 1er. Le dashboard affiche votre consommation et un bouton d'upgrade. À noter : le plan Découverte surveille jusqu'à 25 actifs et 1 domaine, le plan Pro monte à 250 actifs et 5 domaines, le Business à 1 000 actifs et 15 domaines.

Sur un finding High ou Critical, vous pouvez demander à un agent IA autonome de tenter de confirmer qu'il est réellement exploitable. Il dispose d'un vrai outillage offensif (sqlmap, nuclei et autres) qu'il lance contre l'actif concerné, dans la limite de garde-fous stricts : 20 étapes, 300 secondes et 150 000 tokens par finding. S'il prouve l'exploitabilité, le finding passe en confirmé avec une preuve conservée (secrets masqués). C'est de l'IA, pas un pentester humain, et c'est quotaé : 2 validations par mois en Découverte, 30 en Pro, 100 en Business, illimité en Enterprise. On ne promet pas le zéro faux positif. Pour une vérification humaine approfondie, c'est le rôle de nos pentests, une offre séparée.

Distinguons deux choses. La découverte et le scan EASM sont non-intrusifs par conception : aucune exploitation, pas de payload destructeur, redirections désactivées, débit plafonné par hôte (1 à 1000 req/s), garde anti-SSRF à trois couches. Vous pouvez l'ajouter à votre périmètre sans coordonner avec les ops. La validation IA, elle, est du test actif : elle lance de l'outillage réel contre l'actif live, ce qui peut modifier son état. La sandbox isole l'outillage (conteneur éphémère, egress filtré aux seules IP publiques de la cible), pas votre actif. C'est pour ça qu'elle est manuelle, réservée aux findings critiques sur un domaine que vous avez vérifié, et quotaée. On préfère le dire que le cacher.

Hébergement en France, souverain, hors Cloud Act et hors FISA 702. Vos données d'inventaire et vos findings restent sous droit européen, isolés par compte (cloisonnement strict en base par tenant), avec masquage des secrets avant écriture. Aucune revente, aucun partage à des tiers, aucune utilisation pour entraîner des modèles externes. Confier sa cartographie d'attaque à un éditeur américain expose à des demandes d'accès extraterritoriales, en tension avec le RGPD et NIS2 : c'est précisément le risque qu'on supprime.

Le périmètre est défini par les domaines racines que vous ajoutez (1 en Découverte, 5 en Pro, 15 en Business, illimité en Enterprise) : rien n'est scanné en dehors. Pour chaque run, vous ajustez les en-têtes et cookies personnalisés (jusqu'à 50 chacun) et le débit maximal par hôte. Utile pour respecter un WAF, une fenêtre de charge ou un environnement sensible.

L'article 21 de NIS2 impose une gestion des risques qui inclut la cartographie des actifs et la surveillance continue de la surface exposée, shadow IT compris. L'EASM répond directement à ce volet : inventaire vivant des actifs exposés, détection des CVE avec priorisation KEV et EPSS, alerte au premier changement, rapports PDF et CSV exportables pour vos auditeurs. Soyons clairs : il ne couvre pas tout NIS2 à lui seul (gouvernance, réponse à incident, chaîne d'approvisionnement restent à votre charge). Il adresse la partie connaître et maîtriser ce que vous exposez.