01/04/2025
IT-Connect » Cours - Tutoriels » Cybersécurité » Gestion de la surface d’attaque : quelles différences entre l’EASM et la gestion des vulnérabilités ?

Surface d'attaque - EASM vs Gestion des vulnérabilités
Cybersécurité

Gestion de la surface d’attaque : quelles différences entre l’EASM et la gestion des vulnérabilités ?

Mickael Dorigny 0 commentaire

I. Présentation

Dans les entreprises en constante évolution, les systèmes d’information sont loin d’être des monolithes figés dans le temps. Croissance organique, acquisitions, évolution des besoins et investissement ont un impact direct sur la taille et la structure du système d’information, apportant à chaque évolution de nouvelles vulnérabilités potentielles et de nouveaux risques.

Dans ce contexte, le maintien d’un niveau de sécurité et de robustesse satisfaisant passe par une gestion active des vulnérabilités, qu’il s’agisse de leur découverte, de leur traitement et de leur correction. Différentes solutions techniques et organisationnelles peuvent être utilisées pour accomplir cette tâche, parmi lesquelles figure l’EASM (External Attack Surface Management) et le Vulnerability Management (gestion des vulnérabilités).

Dans cet article, nous nous attarderons sur ces deux approches en détaillants leurs forces, leurs faiblesses, mais aussi leurs différences et surtout leur complémentarité.

II. Qu’est-ce que la gestion des vulnérabilités dans une organisation ?

A. Vulnerability Management : définition

La gestion des vulnérabilités aux seins d’une organisation (aussi appelée Vulnerability Management, VM) est un ensemble de procédures et outils qui permettent d’identifier, d’évaluer, de traiter et de rapporter des faiblesses concernant les composants du système d’information.

Il s’agit donc d’une approche méthodologique qui peut être supportée par divers outils, notamment des scanners de vulnérabilités internes (ex. : Nessus, OpenVAS, Tenable), exécutés périodiquement sur des périmètres prédéfinis et qui remontent les vulnérabilités sur les composants scannés. Le Vulnerability Management est également composé d’outils de gestion, tri, documentation et représentation graphique des vulnérabilités, de leurs détails techniques et état d’avancement. Depuis plusieurs années, le vulnerability management se base aussi sur des sources externes, notamment dans le cadre des programmes de bug bounty ou encore les résultats d’une threat intelligence ciblée.

B. Limitations et forces du Vulnerability Management

L’intérêt du Vulnerability Management et des outils associés est bien sûr de pouvoir visualiser au sein d’un dashboard à un instant T toutes les vulnérabilités identifiées des composants d’un SI, d’avoir un aperçu de leur statut de remédiation, niveau de sévérité (souvent basé sur le score CVSS), etc. En plus de cet aspect opérationnel, le Vulnerability Management joue également un rôle en matière de conformité. Il constitue une preuve tangible des efforts de l’entreprise en cybersécurité, permettant de montrer que l’entreprise gère activement sa cybersécurité et est consciente des faiblesses actuelles de son SI.

Enfin, l’agrégation des données dans le temps permet de suivre l’évolution de la posture de sécurité de l’entreprise. En analysant les tendances des vulnérabilités détectées et corrigées, les équipes IT peuvent mesurer l’efficacité de leurs actions, identifier des failles récurrentes et adapter leur stratégie en conséquence.

Cependant, le process de Vulnerability Management possède quelques limitations. Souvent, les composants qui y sont représentés sont issus de périmètres définis à l’avance, qui peuvent contenir des lacunes ou ne pas suivre l’évolution réelle de la surface d’attaque interne ou externe du SI. Également, il s’agit forcément d’une photo à l’instant T de la situation, qui peut parfois évoluer très rapidement (à l’apparition d’une CVE critique par exemple). La mise à jour des informations présentées peut nécessiter différentes opérations manuelles ou automatisées comme la réexécution d’un scan de vulnérabilité, ou la réalisation d’un test d’intrusion.

III. Qu’est-ce que l’EASM ?

A. Rappel : qu’est-ce que la surface d’attaque ?

Avant de détailler ce qu’est l’EASM, faisons un bref rappel de ce qu’est une surface d’attaque en cybersécurité.

La surface d’attaque est constituée de tous les points d'entrée et de communication qu'un système d'information possède avec l'extérieur. Autrement dit, il s’agit de tous les composants par lesquels un attaquant peut tenter de s’introduire, car ils constituent une porte d’entrée potentielle. Par exemple, si votre entité possède un serveur mail, un site web vitrine ainsi qu’une application d'e-commerce, tous trois sont exposés sur internet. La surface d’attaque de votre SI par rapport à Internet est constituée de ces trois points.

Note : L’exemple cité ici est un peu simplifié, on pourrait, par exemple, ajouter les utilisateurs qui naviguent sur internet, ouvre des e-mails et branche des clés USB provenant de l’extérieur, ou encore votre infrastructure Cloud, etc.

La surface d’attaque est une notion “mouvante”. Elle peut, par exemple, s’exprimer à propos de tout un système d’information par rapport à Internet, mais aussi sur les composants internes d’un service applicatif par rapport à ses utilisateurs, d’un Active Directory par rapport à la DMZ, etc. Bref, elle doit toujours s’exprimer en fonction d’une source et d’une destination bien définie.

Suite à cette définition, essayez, par exemple, de vous représenter quelle est la surface d’attaque réelle de votre entreprise/système d’information par rapport à un attaquant situé sur Internet. Êtes-vous certains de ne rien oublier ?

Pour aller plus loin concernant cette notion de surface d’attaque, je vous oriente vers notre article dédié :

B. EASM : définition et fonctionnement

L’acronyme EASM signifie “External Attack Surface Management”, c'est-à-dire “gestion de la surface d’attaque externe”. Il s’agit de processus organisationnels et d’outils permettant de découvrir et d’analyser continuellement la surface d’attaque externe (comprendre : depuis Internet) de votre entreprise, et plus globalement son exposition face aux cyberattaques.

La phase de découverte est ici importante, puisqu’elle sous-entend que son analyse ne se base pas sur un ensemble de listes et périmètres prédéfinis (contenant potentiellement des oublis). Les outils sur lesquels repose l’EASM vont plutôt cartographier par eux-mêmes la surface d’attaque externe de votre entreprise, quitte à identifier des éléments que vous auriez pu oublier et qui pourraient être utilisés comme vecteur d’intrusion. On peut, par exemple, mentionner les ressources issues du Shadow IT, des sous-domaines récents, des dépôts de code externes ou des ressources Clouds mal surveillées. Pour certains outils, cette phase de découverte peut être démarrée avec très peu d’information, comme un nom d’entreprise ou de domaine.

Suite à cette phase de découverte, une analyse continue et automatisée des composants de la surface d’attaque est réalisée. Ces scans s’adaptent notamment au type de composants ciblés. L’intérêt de ces outils réside également dans leur possibilité de s’interconnecter avec des solutions tierces d’analyse et d’évaluation des risques.

À l’issue de cette analyse continue, une priorisation des éléments les plus critiques identifiés est effectuée, accompagnée de l’alimentation de divers tableaux de bord, inventaires des éléments découverts et analysés, ainsi que des solutions de remédiation.

Les solutions EASM actuelles vont même plus loin que les opérations de cartographie et découverte en continu des vulnérabilités. On y trouve également des fonctions de recherche de fuite de données (comptes, accès et mots de passe compromis), de mention sur le dark web, des domaines malveillants récemment créés, etc. Cela permet d’avoir une vue plus réaliste de l’exposition sur Internet de l’entreprise à protéger.

C. Limitations et forces de l’EASM

L’External Attack Surface Management se distingue par plusieurs points qui en font un complément intéressant aux stratégies de gestion des vulnérabilités classiques.

  • Couverture étendue et proactive: contrairement aux approches traditionnelles qui reposent sur un périmètre défini à l’avance et contenant potentiellement des oublis, l’EASM fonctionne en mode découverte continue. Il permet d’identifier des ressources oubliées ou non documentées. Cette capacité d’exploration en profondeur réduit le risque de zones d’ombre exploitables par un attaquant.
  • Vision “attaquant” du système d’information : l'un des intérêts de l’EASM est sa capacité à analyser une cible sous l’angle d’un attaquant. Plutôt que d’évaluer uniquement des actifs connus, l’outil simule la manière dont un attaquant cartographierait votre surface d’attaque en cherchant des points d’entrée potentiels.
  • Surveillance continue et en temps réel : les solutions EASM ne se contentent pas d’une analyse ponctuelle, mais offrent une surveillance dynamique et en continu de la surface d’attaque externe d’une entreprise. Chaque modification (ajout de nouveaux domaines, changement de configuration, nouvelles failles découvertes) est prise en compte en temps réel.
  • Gestion des risques liés aux tiers : de nombreuses cyberattaques exploitent les failles de la supply chain (venant de prestataires, fournisseurs, services SaaS utilisés). Les solutions EASM intègrent souvent un volet gestion des risques tiers, permettant d’auditer en permanence l’exposition de l’entreprise à travers les services et partenaires avec lesquels elle interagit.

Bien que puissant, un EASM ne remplace pas une gestion des vulnérabilités traditionnelle. Il faut être conscient des limitations de ces outils, voici les principales :

  • Approche plus large, mais moins approfondie : l'EASM excelle dans la découverte d’actifs exposés, mais il n’a pas la même granularité d’analyse qu’un scanner de vulnérabilités classique (VM). Par exemple, il pourra identifier un serveur web exposé, mais pas forcément toutes les failles applicatives qu’il contient.
  • Risque de faux positifs : parce qu’il effectue une cartographie étendue, une solution EASM peut remonter des alertes sur des éléments qui ne représentent pas un risque réel. Par exemple, elle pourrait signaler un domaine oublié, mais qui n’est plus utilisé et n’a aucune interconnexion avec le SI. Un tri manuel ou un filtrage avancé est donc souvent nécessaire, comme avec tout outil d’automatisation.
  • Nécessite une bonne compréhension du SI : l’EASM fournit une vision brute de l’exposition externe, mais l’interprétation des résultats demande une bonne connaissance du SI et du contexte métier. Certaines alertes nécessitent une corrélation avec d’autres sources (SIEM, CMDB, scans de vulnérabilités internes) pour être pleinement exploitables.

IV. Quels apports des solutions EASM dans une stratégie cybersécurité ?

Mettre en place une solution EASM (External Attack Surface Management) dans une stratégie cybersécurité permet de passer d’une posture réactive à une approche proactive face aux menaces. Plutôt que d’attendre qu’un scanner de vulnérabilités nous dise où sont les failles sur un périmètre que l’on croit maîtriser, l’EASM vient cartographier, identifier et surveiller en continu la surface d’attaque externe de l’organisation.

En d’autres termes, il ne se contente pas de scanner ce que vous lui demandez : il découvre aussi ce que vous avez peut-être oublié d’analyser.

A. Apport n°1 : une vision en temps réel de l’exposition externe

L’un des gros avantages d’une solution EASM, c’est qu’elle offre une vue dynamique et toujours à jour de ce qui est exposé sur Internet. Et contrairement aux solutions traditionnelles qui nécessitent des actions manuelles régulières, tout est automatisé. Concrètement, l’ EASM permet d’identifier rapidement :

  • Les nouveaux services et applications exposés accidentellement (exemple : un serveur de test qui aurait dû rester interne, mais qui est accessible publiquement).
  • Les changements de configuration dangereux, comme l’ouverture d’un port critique après une mise à jour.
  • Les sous-domaines récemment créés, qui pourraient être exploités par des attaquants (exemple : un ancien sous-domaine oublié utilisé pour une attaque par typosquatting).
  • Etc.

Plutôt que de se limiter à un audit ponctuel, l’entreprise bénéficie ainsi d’un état des lieux en temps réel de sa surface d’attaque, essentiel pour limiter les risques liés aux expositions non maîtrisées.

B. Apport n°2 : renforcement de la gestion des risques liés au Shadow IT et au Cloud

Avec l’adoption massive des services cloud et des solutions SaaS, de plus en plus d’actifs externes échappent au contrôle des équipes IT. Ce Shadow IT représente un risque majeur pour la sécurité d’une organisation.

L’EASM permet alors de détecter ces éléments que personne ne surveille vraiment :

  • Des ressources cloud mal configurées (exemple : un bucket S3 Amazon laissé en accès public).
  • Des applications SaaS utilisées sans validation, qui exposent peut-être des données sensibles.
  • Des services ouverts sans protection, parfois oubliés après un projet temporaire ou issus d’un détournement de votre infrastructure par un attaquant.

Cette visibilité accrue permet d’appliquer des politiques de sécurité adaptées, de limiter les accès non autorisés et d’améliorer la gouvernance des ressources numériques.

C. Apport n°3 : priorisation des menaces et réduction du bruit

Dans un monde parfait, chaque alerte cybersécurité mériterait une action immédiate. Mais dans la réalité, les équipes SOC croulent sous les alertes et doivent trier l’urgent de l’anecdotique.

L’EASM apporte une réponse efficace en identifiant les actifs les plus critiques en fonction de leur exposition et de leur sensibilité (exemple : un serveur VPN non sécurisé sera priorisé par rapport à un site vitrine statique), en corrélant ses découvertes avec des bases de vulnérabilités et d’autres outils de sécurité (SIEM, scanners de vulnérabilités) et réduisant les faux positifs grâce à des algorithmes d’analyses avancées et des mécanismes de filtrage, mais aussi de possibilités de customisation.

Grâce à cette priorisation, les équipes SOC peuvent se concentrer sur les failles réellement exploitables et les vraies alertes pour optimiser leur charge de travail.

D. Apport n°4 : amélioration de la posture de sécurité et conformité réglementaire

L’utilisation d’une solution EASM contribue à améliorer la posture de sécurité globale d’une entreprise en garantissant une meilleure maîtrise de son exposition externe. Cette approche s’inscrit dans plusieurs cadres réglementaires et normes de cybersécurité : ISO 27001 (gestion des actifs et des risques associés), NIST Cybersecurity Framework (identification et protection des surfaces d’attaque), SOC 2 (surveillance continue des systèmes exposés) ou RGPD.

Ainsi, en intégrant une solution EASM à son dispositif de cybersécurité, une entreprise réduit son risque d’exposition, tout en renforçant sa conformité face aux exigences réglementaires et aux audits de sécurité.

V. Conclusion

Nous avons vu dans cet article les différences entre la gestion classique des vulnérabilités (Vulnerability Management) et l’EASM (External Attack Surface Management).

Le premier permet d’analyser et gérer les vulnérabilités connues sur un périmètre bien défini du système d’information. Il repose sur des scans réguliers et des outils de reporting pour aider à identifier, prioriser et remédier aux failles de sécurité. Le second adopte une approche plus large et dynamique via une cartographie autonome et continue de la surface d’attaque externe. Il ne se limite pas aux actifs recensés par l’entreprise, mais cherche à découvrir des ressources inconnues ou oubliées, puis permet de référencer, classifier et analyser leurs faiblesses, offrant ainsi une vision plus exhaustive des points d’exposition potentiels.

Si ces deux approches ont des objectifs distincts, elles sont complémentaires. En les combinant, une entreprise peut maitriser plus efficacement sa surface d’attaque en s’assurant que les actifs exposés sont bien identifiés et sécurisés tout en bénéficiant d’un suivi précis des vulnérabilités internes.

Vous souhaitez savoir comment l’EASM pourrait s'intégrer à votre organisation ? Réservez dès aujourd'hui une analyse gratuite de la surface d'attaque avec un expert d'Outpost24.

Article sponsorisé.

author avatar
Mickael Dorigny Co-founder
Co-fondateur d'IT-Connect.fr. Auditeur/Pentester chez Orange Cyberdéfense.
Voir la bio complète
social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

Sécurité Active Directory - Attaque ASREPRoast

Sécurité de l’Active Directory : comprendre et se protéger de l’attaque ASREPRoast

Mickael Dorigny 3
tuto intune configurer bitlocker windows

Intune – Comment activer et configurer BitLocker sur Windows ?

Florian BURNEL 6

Informatique : c’est quoi une DMZ ?

Florian BURNEL 8

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.