easm

Blog of cyber

External Attack Surface Management : évaluer, prioriser, remédier

gestion des vulnérabilités

External Attack Surface Management (EASM) : évaluer, prioriser, remédier

L’External Attack Surface Management (EASM) englobe les pratiques, procédures et outils ayant pour objectif de cartographier, surveiller et sécuriser tous les actifs numériques d’une entreprise exposés sur Internet. Il fournit aux organisations une connaissance et une maîtrise complète des ressources visibles de l’extérieur par un attaquant..

L’EASM est devenu incontournable dans un contexte de généralisation du Cloud Computing, de l’interopérabilité et de mauvaises pratiques internes. L’EASM s’impose alors comme une approche proactive pour réduire sa surface d’expositions numérique

Qu’est-ce que l’EASM ?

L’External Attack Surface Management (EASM) vise à identifier, évaluer et corriger toutes les sources d’attaques externes d’une entreprise liées à l’exploitation d’actifs numériques (serveurs, ports ouverts, nom de domaine, certificats SSL…) non maîtrisés sur Internet. L’EASM identifie les vulnérabilités cyber potentielles grâce à un inventaire et une gestion des actifs sensibles .

Même si la plupart des actifs numériques sont connus et enregistrés, une grande majorité échappe à la surveillance, notamment quand il s’agit de ressources liées aux tiers.

Quels sont les actifs exposés ?

L’EASM permet d’identifier les « angles morts » liés au Shadow IT et aux services web historiques oubliés ou mal maîtrisés.

  • Noms de domaine et sous-domaines,
  • Adresses IP publiques,
  • Applications web et mobiles,
  • Environnements Cloud,
  • APIs exposées,
  • Services accessibles par inadvertance, non mis à jour ou dont la configuration est minimaliste.

EASM, ASM, CTEM… quelles complémentarités ?

L’EASM constitue une brique spécifique de l’Attack Surface Management (ASM). Son périmètre traite des ressources exposées publiquement et donc directement exploitables par un cybermalveillant. Quant à l’ASM et le CTEM (Continuous Threat Exposure Management), ils couvrent des périmètres plus larges et incluent une logique de surveillance continue.

Approche Objectif principal Portée Fréquence Exemple d’usage
EASM Cartographier uniquement les actifs exposés sur Internet Externe Continue Surveillance de domaines, IP, APIs
ASM Identifier les actifs d’une organisation (internes et externes) Large, inclut interne et externe Périodique Inventaire de tous les systèmes
CTEM Prioriser et tester les menaces de manière dynamique Interne + externe Continue, orientée scénarios Validation de scénarios d’attaque

Où s’arrête l’EASM ?

La gestion de la surface d’attaque externe doit s’accompagner d’une démarche de monitoring globale de sa cybersécurité. En complément, la mise en place de tests d’intrusion permet d’évaluer la sécurité d'un système ou d'une application grâce à des exercices de simulation d'attaque. Les tests d’intrusion peuvent faire émerger des points d’entrées potentiels et leurs résultats éclairent l’EASM sur des nouvelles vulnérabilités non détectées.

Cependant, les tests d’intrusion peuvent s’avérer longs et coûteux. A l’inverse, les solutions de notation, comme le Securty Rating, offre une analyse de la maturité cyber d’une organisation. Non intrusives, elles complètent la démarche EASM grâce à une évaluation des risques tiers (TPRM) et permet d’identifier les zones de vulnérabilité en continu afin d’engager un plan de corrections.

Pourquoi l’EASM n’est plus une option ?

Faire face à l’augmentation de la surface d’attaque

La surface d’attaque externe d’une organisation s’étend à mesure que ses systèmes, applications et données migrent vers le Cloud. L’usage massif des APIs ouvre de nouvelles brèches. S’y ajoute l’usage de solutions non validées par les équipes informatiques rendant vulnérables le système d’information (Shadow IT).

En moyenne, les experts et auditeurs découvrent 40 % d’actifs supplémentaires par rapport à ce qu’ils pensaient surveiller. L’essor du télétravail et de l’IoT rend encore plus indispensable la démarche de gestion de la surface d’attaque externe.

Enfin, l’EASM s’inscrit dans une démarche de conformité globale. Par exemple, NIS 2 et DORA imposent désormais un recensement de ses actifs et une mesure de leur exposition.

Sans EASM, quels sont les risques ?

L’EASM cherche à renforcer la résilience opérationnelle et la performance cyber. Pour des secteurs sensibles (banque, santé, défense, collectivités), la maîtrise de leur surface d’attaque est un impératif de cybersécurité.

Sans quoi une organisation se risque à plusieurs menaces :

  • exposition de données sensibles par négligence,
  • compromission via une vulnérabilité non corrigée,
  • exploitation d’un service Cloud mal sécurisé,
  • perte de confiance de clients ou de partenaires.

Quels référentiels & bonnes pratiques pour l’EASM ?

Les organismes de référence en cybersécurité insistent sur la nécessité de mieux maîtriser sa surface d’exposition externe.

  • La CISA (Cybersecurity and Infrastructure Security Agency) recommande la mise en œuvre de stratégies et pratiques pour limiter les points d’entrée exploitables.
  • Le NIST (National Institute of Standards and Technology) définit la “surface d’attaque” comme l’ensemble des vecteurs utilisables par un cybermalveillant pour compromettre un système.
  • L’ANSSI (Agence nationale de la sécurité des systèmes d’information) expose dans ses mesures de sécurité, les actions adéquates pour réduire la surface d’attaque de son SI.

Ces référentiels fournissent des indications générales dont la mise en application implique la définition de procédures internes et d’outils adaptés aux enjeux et à la complexité des environnements informatiques des entreprises.

Comment piloter son EASM ?

Le point de départ consiste à fixer des objectifs en matière de réduction de la surface d’attaque externe et de diminution des risques cyber associés. L’External Attack Surface Management doit aboutir à une feuille de route permettant de corriger les vulnérabilités.

Plusieurs indicateurs permettent de suivre et piloter les actions EASM.

  • Nombre d’actifs découverts : mesure l’exposition réelle des ressources en externe, souvent plus vaste que celle déclarée.
  • MTTR (Mean Time To Remediation) : temps moyen nécessaire pour corriger une vulnérabilité identifiée.
  • Vulnérabilités critiques détectées sur les systèmes exposés : indicateur direct du niveau de risque.
  • Hygiène DNS et TLS : vérification de la configuration des domaines, sous-domaines et certificats SSL/TLS.
  • Protocoles de messagerie (DMARC, SPF, DKIM) : contrôle de la protection contre l’usurpation d’identité par email.

EASM, fonctionnement et solutions

Avec la multiplication du Shadow IT et des erreurs humaines, un outil d’External Attack Surface Management devient une brique essentielle de la performance cyber. En continu, il scanne les actifs disponibles sur Internet et analyse le niveau de risques afin d’accélérer la remédiation.

Détecter, en temps réel, les actifs exposés aux risques cyber

La première étape consiste à identifier les ressources de l’entreprise connectées à Internet. Ce recensement automatisé offre une vision complète des actifs exposés. Des alertes peuvent être paramétrées dès qu’une nouvelle exposition est détectée. Lors de cette phase initiale, des actifs méconnus sont identifiés par les équipes opérationnelles.

Priorisation, remédiation et gestion de la surface d’attaque

Il s’agit de mesurer le niveau de risque cyber engendré par les actifs exposés : vulnérabilités, erreurs de configuration, certificats expirés, services obsolètes… Ces données sont ensuite traduites en workflows de priorité permettant d’organiser leurs corrections. Le temps de remédiation (MTTR) est alors réduit et les risques les plus critiques sont assurés d’être traités en priorité.

Quels bénéfices attendre de l’EASM ?

Accélérer ses opérations de cybersécurité

Les outils de gestion des surfaces d’attaque externe offrent une priorisation intelligente des actifs à risque. Les équipes RSSI se concentrent alors sur les menaces réelles et à forte criticité. Les solutions d’EASM facilitent le partage des résultats avec les équipes métiers, l’IT ou les fournisseurs afin d’améliorer la collaboration et renforcer la résilience cyber.

Renforcer sa stratégie de cybersécurité

Une visibilité en temps réel de ses actifs exposés permet d’exploiter pleinement les solutions cyber. Une meilleure analyse des vulnérabilités oriente les actions de contrôle, de mesure et de correction, déployées via les procédures déjà en place. In fine, l’EASM peut réduire le risque de cybersécurité de 30 % en moyenne.

Réduire ses coûts informatiques et gagner en efficacité

Détecter rapidement les systèmes obsolètes ou les services inutilisés s’avère pertinent en vue de rationaliser les équipements informatiques et d’optimiser l’allocation des ressources de cybersécurité.

Comment Board of Cyber accompagne une démarche EASM ?

L’External Attack Surface Management (EASM) doit s’inscrire dans une démarche globale de cybersécurité. L’évaluation de sa conformité, l’analyse des risques fournisseurs (TPRM) et le pilotage de sa performance cyber doivent compléter la gestion de sa surface d’attaque.

Security Rating® : notation cyber non intrusive et continue des actifs

Basé sur les domaines publics de l’entreprise, Security Rating® effectue une évaluation automatisée des actifs de l’entreprise de manière non intrusive. En moins de 20 minutes, un score de 0 à 1000 est attribué à l’organisation. Cette évaluation continue permet de produire des rapports et tableaux de bord offrant aux décisionnaires une vision éclairée et centralisée sur leur maturité cyber. Les équipes RSSI obtiennent des actions de remédiation claires et immédiates à déployer

Cette notation intègre plusieurs dimensions.

  • La surface d’attaque externe : domaines, sous-domaines, IP, applications Cloud exposées.
  • La sécurité de la messagerie : configuration SPF, DKIM, DMARC pour réduire les risques de phishing.
  • Les protocoles TLS/SSL et DNS : conformité, résilience et bonnes pratiques de chiffrement.
  • Les vulnérabilités détectées : correctifs manquants, logiciels obsolètes, mauvaises configurations.
  • Les incidents connus : fuites de données, compromissions passées, anomalies publiques.

Cas d’usage : Comment la notation de son EASM aide les RSSI au quotidien ?

Maîtriser le risque cyber à tous les niveaux de l’organisation

Le Security Rating englobe tous les échelons de l’organisation (filiales, agences…). Les rapports et analyses produits offre une vision complète de la maturité cyber. Cette logique s’applique également dans la sphère publique où les administrations régionales ou départementales viennent en soutien aux communes de leur territoire. La solution Security Rating® zoome individuellement sur chaque structure locale pour un conseil personnalisé et pragmatique sur leurs risques cyber.

Evaluer le risque fournisseur

Une stratégie de Third Party Cyber Risk Management (TPCRM) implique l’évaluation constante des tiers. Leur recensement et l’analyse de leurs risques cyber permet d’identifier les axes de correction pour limiter les potentielles attaques. Dans une logique de gestion de sa surface d’attaque externe, le monitoring des fournisseurs constitue un pilier essentiel de la stratégie de cybersécurité.

Réduire les failles cyber d’une fusion-acquisition

La maturité cyber d’une entreprise devient un critère clé de valorisation d’une fusion-acquisition. Le rachat d’une entreprise peut cacher des vulnérabilités, incidents non déclarés ou des failles non corrigées. Le Security Rating associé à l’EASM se place comme un outil d’audit non intrusif, offrant une vision précise des axes de progrès en matière de cybersécurité. In fine, il permet d’anticiper les coûts potentiels de remédiation et de juger de la gouvernance cyber.

Choisir sa solution EASM

Une solution d’External Attack Surface Management doit inclure quatre grands périmètres

  1. La surveillance quotidienne de la surface d’attaque externe

Chaque nouvelle ressource implémentée doit automatiquement faire l’objet d’une analyse. Une solution EASM doit offrir une surveillance continue des actifs et proposer un système d’alertes contextualisées afin de prioriser les risques en fonction de leur impact métier.

  1. L'éventail des ressources externes détectées

Domaines, sous-domaines, adresses IP, environnements Cloud, applications utilisées, API… listez tous les actifs que la solution va évaluer et des environnements analysés. Assurez-vous également des indicateurs de performances disponibles et partageables à la direction générale et aux équipes opérationnelles.

  1. L’identification de la source de l’actif

La détection des actifs est le point départ mais la force d’un bon outil d’EASM est le rattachement de chaque ressource à son propriétaire et son lien avec le réseau principal : département, filiale, projet ou fournisseur tiers.

La classification automatique des ressources découvertes permet de hiérarchiser les efforts de correction : par type (messagerie, site web, API), par plateforme (cloud, on-premise) et par exposition (critique, secondaire, périphérique).

En résumé, voici 10 points clés pour choisir votre solution EASM.

  1. Couverture des domaines, sous-domaines, adresses IP et services Cloud.
  2. Détection et suivi des vulnérabilités critiques.
  3. Evaluation de la configuration des services de messagerie (DMARC, SPF, DKIM).
  4. Contrôle de l’hygiène DNS et TLS/SSL.
  5. Qualité des données collectées (fraîcheur, exactitude).
  6. Taux de faux positifs observé sur un échantillon.
  7. Simplicité d’intégration avec les outils internes existants.
  8. Options de priorisation et d’assignation (workflows, tickets).
  9. Clarté et accessibilité des tableaux de bord pour le top management.
  10. Disponibilité d’un support expert pour accompagner les phases critiques de remédiation.

FAQ

Quelle est la différence entre EASM, ASM et CTEM ?

L’EASM (External Attack Surface Management) s’attache à analyser la surface d’attaque externe. L’ASM est plus large et inclut les actifs internes. Le CTEM (Continuous Threat Exposure Management) assure une gestion continue et dynamique de l’exposition aux menaces.

Quels actifs couvre une solution d’EASM ?

Un outil d’EASM identifie les domaines, sous-domaines, adresses IP publiques, environnements Cloud, applications web et API exposée à Internet. Il identifie aussi le shadow IT, souvent source de failles de sécurité.

EASM & Third Party Risk : quelle complémentarité ?

L’EASM cartographie les actifs externes d’une entreprise. Il s’applique également à l’analyse de la surface d’attaque d’un tiers, en complément d’un programme de Third Party Risk Management (TPRM). Cette approche intégrée permet d’évaluer et sécuriser la supply chain, de réduire les risques d’attaques et de prioriser les actions de remédiation.

Comment fonctionne un outil d’EASM ?

Il détecte les actifs exposés, les classe par criticité et alerte en cas de vulnérabilités. Contrairement aux tests d’intrusion, ponctuels, l’EASM fournit une gestion continue de l’exposition aux menaces.

Quels critères vérifier pour choisir une solution d’EASM ?

Pour choisir une solution d’EASM c’est s’assurer de :

  • la couverture complète des actifs couverts (DNS, TLS/SSL, messagerie, API, cloud) ;
  • la précision et le faible taux de faux positifs ;
  • les possibilités d’intégration avec les outils internes (SIEM, ITSM, GRC) ;
  • la disponibilité d’un support et SLA pour la remédiation rapide ;
  • la présence de tableaux de bord permettant de suivre la cartographie des actifs et leur criticité cyber.

Retour au blog

Newsletter
Mentions Légales
Gérer les cookies