20 avril 2026 Astuces Equipe Patrowl

Qu'est-ce que l'EASM ? Ce que vos scanners ne voient pas

Guide technique

76 % des organisations ont subi une attaque via un actif (asset) qu'elles ne connaissaient pas. La gestion de la surface d'attaque externe (EASM) est la réponse à ce problème : elle découvre ce que vos scanners ne voient pas, en temps réel, depuis la perspective d'un attaquant. En 2026, Gartner intègre cette discipline dans les Unified Exposure Management Platforms (UEMP), combinant l'évaluation préemptive de l'exposition (PEA) et la validation des vulnérabilités — ce que Patrowl fait dans une plateforme unifiée.

Dans ce guide, vous allez comprendre pourquoi votre inventaire d'actifs (assets) est nécessairement incomplet, comment fonctionne la découverte EASM en 4 étapes, et ce que 5 incidents réels (SolarWinds, Exchange ProxyLogon, Twitch, Volkswagen, Log4Shell) ont en commun. Vous verrez aussi comment l'EASM se positionne dans une stratégie CTEM et ce qu'il change concrètement pour votre équipe.

Patrowl Security Team
Mis à jour avril 2025
15 min de lecture

Vous ne pouvez pas protéger ce que vous ne voyez pas.

Demandez à votre équipe une liste complète de tous vos actifs exposés sur internet. Ce que vous allez obtenir, c'est la liste de ce que vous avez déclaré — pas ce qui existe vraiment.

Environnements de développement jamais décommissionnés, buckets cloud créés par une équipe data en dehors du processus IT, sous-domaines hérités d'une acquisition trois ans plus tôt, interfaces applicatives de test oubliées depuis 2022 : ces actifs (actifs) sont exposés sur internet, joignables depuis n'importe où, et personne dans votre équipe sécurité ne les surveille.

Gartner estime que 80 à 95 % des actifs (assets) d'une organisation changent chaque année.[1] Aucun inventaire, même automatisé, ne couvre l'intégralité du périmètre exposé.

Les attaquants sont capables de scanner l'ensemble des adresses IPv4 publiques en moins de 45 minutes et d'exploiter une CVE dans les 15 minutes suivant sa publication.

CISA — rapports d'exploitation de vulnérabilités, 2021-2022

Un attaquant ne part pas de votre inventaire déclaré. Il scanne l'espace d'adressage IPv4 public, énumère les certificats SSL/TLS, interroge les bases de données de transparence de certificats et les moteurs de recherche de services exposés. Il trouve ce que vous avez oublié, avant vous.

76% des organisations ont subi une attaque initiée par un actif inconnu ou non géré Enterprise Strategy Group, 2024
35% d'actifs supplémentaires découverts en moyenne après déploiement d'un outil EASM Security Magazine, 2023
15 min délai médian entre publication d'une CVE et premiers scans d'exploitation CISA / rapports d'incident, 2021

En moins de 45 minutes, un attaquant peut parcourir l'ensemble de l'espace d'adressage IPv4 public. Il interroge crt.sh, Shodan, et les registres DNS. Il trouve votre environnement environnement de pré-production oublié avant que votre équipe n'ouvre le moindre ticket.

Définition de la gestion de la surface d'attaque externe (EASM)

La gestion de la surface d'attaque externe (EASM, External Attack Surface Management) est le processus continu de découverte, de cartographie, de surveillance et de réduction de l'ensemble des actifs internet d'une organisation, y compris ceux qu'elle ne connaît pas.

Le point clé est le point de départ : l'EASM ne part pas de votre CMDB. Il part de votre nom de domaine et remonte tout ce qui en découle, exactement comme un attaquant le fait en phase de reconnaissance, sans se limiter à votre référentiel d'actifs (CMDB, Configuration Management Database).

Gartner a formalisé la catégorie dans son Hype Cycle for Security Operations 2022, puis dans celui de 2025. Elle fait depuis partie du Continuous Threat Exposure Management (CTEM), le cadre de gestion continue de l'exposition.

Définition Gartner

L'EASM désigne les processus, technologies et services professionnels déployés pour découvrir les actifs et systèmes d'entreprise exposés sur internet, ainsi que les expositions susceptibles d'être exploitées par des acteurs malveillants. [Gartner Peer Insights]

Ce que l'EASM couvre concrètement :

  • Domaines, sous-domaines et certificats SSL associés
  • Plages IP et services exposés (ports, bannières, protocoles)
  • Équipements réseau et de sécurité exposés (VPN, firewalls, routeurs)
  • Infrastructure cloud (comptes, régions, services exposés)
  • Applications web, APIs et endpoints publics
  • Services cloud et buckets de stockage
  • Actifs liés aux filiales et subsidiaires
  • Exposition via les prestataires tiers
  • Shadow IT et environnements oubliés
CERT-EU — Threat Landscape Report 2025

L'exploitation des systèmes exposés sur internet reste le vecteur d'accès initial le plus impactant. Les attaquants ciblent de plus en plus les prestataires et fournisseurs de services comme points d'entrée indirects vers leurs cibles finales.

SURFACE D'ATTAQUE EXTERNE ce que l'EASM découvre depuis un seed domain company.com seed input Sous-domaines Whois, ASN pivot Ports exposés fingerprinting passif SSL / TLS config, expiry, CA DNS security takeover, misconfiguration Headers HTTP security headers Mail services SPF, DKIM, DMARC CVE / EPSS composants obsolètes Panneaux admin accès non protégés Cloud buckets S3, Azure, permissions Open shares FTP, SMB anonymes Secrets exposés tokens, API keys Typosquatting réputation IP / domaine Shadow IT filiales, acquisitions Services réseau RDP, SSH, DB exposés

Scanner de vulnérabilités vs EASM

La question revient souvent : "J'ai déjà un scanner de vulnérabilités. Pourquoi un outil en plus ?"

Un scanner teste ce que vous lui déclarez. L'EASM trouve ce que vous n'avez pas déclaré.

Le scanner est un bon outil. Le problème est en amont : si vous ne lui déclarez pas un actif, il ne le teste pas. L'EASM génère le scope. Le scanner le teste ensuite en profondeur. Ce sont deux étapes distinctes, pas deux outils concurrents.

CERT-EU — Threat Landscape Report 2025

L'exploitation des systèmes exposés sur internet reste le vecteur d'accès initial le plus impactant. Les attaquants ciblent de plus en plus les prestataires et fournisseurs de services comme points d'entrée indirects vers leurs cibles finales.

Attaquant scanne tout ASSETS CONNUS @ Domaine principal company.com IP IPs de production déclarées en scope Certificats SSL surveillés / APIs documentées en scope Scanner + EASM ASSETS INCONNUS ! Shadow IT env. dev/staging oubliés Subsidiaires / filiales assets hérités non audités Buckets cloud exposés accès public non intentionnel ~ Sous-domaines non déclarés hors inventaire DNS EASM uniquement — scanner aveugle SCANNER : Vous déclarez → il teste ce que vous lui donnez EASM : Seed = domaine + marques → cartographie complète

Actifs connus vs inconnus — ce que le scanner manque, l'EASM trouve

Capacité Scanner de vulnérabilités EASM
Découverte d'actifs inconnus (outside-in)
Surveillance continuePériodique✓ Continu
Perspective attaquant (outside-in)
Enrichissement threat intel (CVE, EPSS)Partiel
Détection vulnérabilités inconnues / 0-dayPartiel
Scope déclaré requisObligatoireNon requis
Test des vulnérabilités connues (CVE)
À retenir

Le scanner doit être configuré et planifié sur un périmètre déclaré ; l'EASM le gère pour le client. Le scanner vérifie majoritairement si les correctifs connus sont appliqués ; l'EASM découvre et cartographie ce que le scanner n'a pas été paramétré pour tester. Les deux se complètent.

5 incidents documentés, 1 pattern

Voici cinq incidents de sécurité, documentés et qui ont fait la une de l'actualité. Dans chaque cas : un actif exposé sur internet, absent de tout inventaire de sécurité, des attaquants qui passent avant la détection.

01

SolarWinds — attaque de la chaîne d'approvisionnement (supply chain)

2020 · attaque de la chaîne d'approvisionnement · plus de 30 000 administrations américaines impactées

APT29 (groupe lié à la Russie) a accédé à un serveur de développement connecté à internet, dont l'authentification n'était basée que sur un mot de passe trivial, sans authentification forte (MFA), et absent de tout inventaire sécurité. Après plusieurs mois de reconnaissance et d'analyse des habitudes des développeurs, ils ont inséré du code malveillant dans les mises à jour de SolarWinds Orion en imitant le style de codage interne. Ce code, distribué avec la mise à jour suivante, a exfiltré les données sensibles des victimes, dont plus de 30 000 administrations américaines.

Ce que l'EASM aurait changé : le serveur de build aurait été détecté comme asset exposé non géré dès sa mise en ligne — avant qu'APT29 ne le trouve lors de sa phase de reconnaissance.

02

Microsoft Exchange — ProxyLogon

Mars 2021 · CVE-2021-26855 · plus de 250 000 serveurs compromis en 48h · HAFNIUM (lié à la Chine selon Microsoft)

CVE publiée le 2 mars 2021. 48 heures plus tard, HAFNIUM avait compromis 250 000 serveurs Exchange. Le vrai problème : des milliers d'organisations ne savaient pas que leurs serveurs étaient accessibles depuis internet. Sans visibilité sur ces actifs, aucune réponse n'était possible.

Ce que l'EASM aurait changé : dès la publication de la CVE, l'EASM croise les actifs exposés avec la threat intel (CISA KEV, EPSS). Les serveurs Exchange concernés auraient été remontés immédiatement en priorité critique.

03

Twitch — erreur de configuration serveur et accès aux dépôts internes

Octobre 2021 · 125 Go de données exfiltrées · code source exposé

Une erreur de configuration serveur a permis à un tiers non autorisé d'accéder aux dépôts Git internes de Twitch. Code source de la plateforme, outils sécurité internes, données de rémunération des streamers : 125 Go de données exfiltrées et publiées sur 4chan. L'accès résultait d'une mauvaise configuration, pas d'une attaque sophistiquée.

Ce que l'EASM aurait changé : l'énumération des sous-domaines aurait remonté cet environnement staging dès sa mise en ligne — sans qu'une équipe humaine ait besoin de le connaître au préalable.

04

Volkswagen / Cariad — le bucket S3 ouvert pendant des mois

2024 · 800 000 enregistrements exposés · données de géolocalisation VE

Un bucket cloud de Cariad (entité software du groupe VW) en accès public pendant plusieurs mois. Données de géolocalisation de 800 000 véhicules électriques, y compris ceux de personnalités politiques et d'officiers militaires allemands. L'actif n'était surveillé par personne après son déploiement.

Ce que l'EASM aurait changé : impossible de tracker manuellement les services cloud à l'échelle d'un groupe international. La surveillance continue des configurations cloud fait partie du scope EASM de base.

05

Log4Shell — la bibliothèque oubliée dans des milliers de services exposés

Décembre 2021 · CVE-2021-44228 · CVSS 10.0 · exploitation massive en 72h

Lorsque la CVE-2021-44228 (Log4Shell) a été publiée, les équipes sécurité ont découvert que Log4j était embarqué dans des centaines d'applications internes, souvent à leur insu. Des services exposés sur internet utilisaient cette bibliothèque sans que personne n'en ait conscience, certains hérités de projets anciens jamais décommissionnés. L'exploitation massive a débuté moins de 72 heures après la publication.

Ce que l'EASM aurait changé : l'EASM maintient une cartographie continue des technologies exposées sur chaque actif. Dès la publication de la CVE, les actifs embarquant Log4j auraient été identifiés et remontés en priorité critique, réduisant la fenêtre d'exposition de plusieurs semaines à quelques heures.

Le pattern

Actif exposé, absent de tout inventaire de sécurité, accès à des données sensibles. Les attaquants exploitent les angles morts, pas uniquement les CVE.

Le cycle en 4 étapes

Contrairement à un scanner planifié, l'EASM fonctionne en continu, sans fenêtre de maintenance. Chaque nouvel actif, chaque nouvelle CVE publiée, chaque changement de configuration déclenche automatiquement une mise à jour de la cartographie et, le cas échéant, une alerte.

CERT-EU — Threat Landscape Report 2025

L'exploitation des systèmes exposés sur internet reste le vecteur d'accès initial le plus impactant. Les attaquants ciblent de plus en plus les prestataires et fournisseurs de services comme points d'entrée indirects vers leurs cibles finales.

01 DISCOVER Domaines, IPs Shadow IT, cloud filiales, ASN 02 ENRICH CVE + EPSS CISA KEV threat intel 03 PRIORITIZE CVSSv3 + EPSS contexte métier tickets ITSM 04 MONITOR Retest + alerte change detection compliance proof boucle continue — 24/7/365

Contrairement à un pentest, l'EASM ne s'arrête pas — chaque nouvel asset et chaque nouvel exploit sont détectés dès qu'ils apparaissent

Découverte

Point de départ : un nom de domaine et les noms de marque associés. L'EASM reconstitue depuis ces entrées l'ensemble de la cartographie exposée : sous-domaines via les certificats SSL/TLS et les registres DNS, plages IP, numéros d'AS (ASN), identifiants cloud. L'objectif est de cartographier ce qu'un attaquant identifierait lors de sa phase de reconnaissance.

Enrichissement

Sur chaque actif, une collecte de métadonnées est réalisée pour identifier les technologies utilisées et leurs versions. Ces éléments sont croisés avec la Threat Intelligence (CTI) : CVE enrichies via NVD, EUVD et GCVE, notes EPSS, indice d'exploitation avec le catalogue KEV de la CISA et des outils de veille dédiés.

Priorisation

Le croisement entre le score CVSS, l'EPSS, la présence dans le CISA KEV et la criticité métier permet de distinguer le risque réel du score théorique. Un actif exposé sur internet avec une CVE activement exploitée prime sur une vulnérabilité critique sur un service interne isolé.

Surveillance

L'inventaire est mis à jour en temps réel. Nouveaux assets détectés dès qu'ils apparaissent. Expositions retestées après remédiation. Changements loggés pour les audits compliance.

Patrowl combine EASM et PTaaS dans une plateforme unifiée. La découverte continue vient enrichir directement les programmes de PTaaS et de pentest hybride automatisé — plus jamais de tests sur un scope obsolète. Colas, MGEN et PMU utilisent cette approche pour garder une visibilité externe en temps réel.

EASM intégré dans le CTEM

Le CTEM (Continuous Threat Exposure Management) est le framework Gartner pour gérer l'exposition en continu. L'audit annuel et le pentest, qu'il soit annuel ou bi-annuel, ne suffisent plus : l'infrastructure change trop vite entre deux cycles.

Le CTEM se décompose en 5 phases : scoping, découverte, priorisation, validation, mobilisation. L'EASM couvre les deux premières. Il définit le périmètre réel et remonte les expositions que les autres outils ne voient pas.

Gartner, 2023

L'EASM est passé d'"essential new technology" en 2021 à composante du CTEM en 2023. Le marché converge vers des plateformes intégrées incluant VM, CTI et EASM. [Gartner Peer Insights, 2023]

En moyenne, les organisations découvrent 35 % d'assets internet exposés supplémentaires après déploiement d'un outil EASM.[Security Magazine, 2023] Un tiers de votre surface d'attaque réelle échappe à vos outils actuels — ce n'est pas un angle mort mineur.

Pour qui ?

Dès que vous avez plusieurs dizaines de services exposés, plusieurs environnements cloud, ou des prestataires connectés à votre SI — vous avez besoin d'EASM. Ce n'est pas réservé aux groupes du CAC40.

Les cas d'usage concrets :

  • Post-acquisition : cartographier la surface exposée d'une entité rachetée avant intégration au SI groupe
  • Réponse à incident : savoir quelle surface était exposée au moment de la compromission
  • Compliance : prouver une surveillance continue de la surface externe pour NIS2 et ISO 27001
  • Scope pentest : tester les actifs réellement exposés avec un PTaaS ou un pentest hybride automatisé, plutôt qu'une liste déclarée potentiellement incomplète
  • Risque tiers : surveiller l'exposition des prestataires connectés à votre environnement
En résumé

Avant EASM, vous protégez ce que vous connaissez. Après, vous protégez ce qui existe. Les 35 % d'actifs manquants — les attaquants les avaient déjà trouvés.

Questions fréquentes

Quelle est la différence entre EASM et un scanner de vulnérabilités ?
Un scanner teste les assets que vous lui déclarez. L'EASM découvre les assets inconnus depuis la perspective d'un attaquant, puis les croise avec la threat intel. Les deux se complètent : l'EASM génère le scope, le scanner le teste.
Combien d'actifs inconnus l'EASM découvre-t-il en moyenne ?
35 % d'assets internet-exposés en plus par rapport à l'inventaire initial, selon plusieurs études sectorielles (Security Magazine, Enterprise Strategy Group). Ces assets n'ont jamais été évalués — et les attaquants les ont déjà trouvés.
L'EASM remplace-t-il le pentest ?
Non. L'EASM tourne en continu et identifie ce qui est exposé. Le pentest valide si c'est exploitable en conditions réelles. La plupart des équipes matures utilisent les résultats EASM pour définir le périmètre de leurs PTaaS ou pentests hybrides automatisés.
Combien de temps faut-il aux attaquants pour exploiter une nouvelle CVE ?
15 minutes entre la publication d'une CVE et les premiers scans d'exploitation automatisés (CISA, rapports d'incident 2021-2022). Votre cycle de patch management moyen : plusieurs jours. C'est cette fenêtre que l'EASM réduit.
Qu'est-ce que le CTEM et quel est le rôle de l'EASM dedans ?
Le CTEM (Continuous Threat Exposure Management) est le framework Gartner pour gérer l'exposition en continu plutôt que par cycles d'audit. 5 phases : scoping, découverte, priorisation, validation, mobilisation. L'EASM couvre les deux premières — il définit le périmètre réel avant tout le reste.
NIS2 mentionne-t-elle l'EASM ?
Non explicitement. Mais l'Art. 21 de NIS2 impose la gestion des risques, la cartographie des assets et la surveillance continue. Pour les entités essentielles et importantes, l'EASM constitue une réponse technique directe à ces exigences.

Quelle est votre surface d'attaque réelle ?

Trouvez vos actifs exposés avant que les attaquants ne le fassent.

Lancer un scan EASM →

Nos dernières actualités

Voir plus d'actualités