L'External Attack Surface Management est devenu en quatre ans la brique de visibilité incontournable pour tout RSSI sérieux. Ce guide décrypte ce qu'est réellement l'EASM, comment il fonctionne, pourquoi NIS2 le rend quasi-obligatoire pour 15 000 entités françaises, et comment choisir une solution souveraine alignée sur les contraintes réelles d'une DSI en 2026.
L'EASM, ou External Attack Surface Management, regroupe les processus, technologies et services managés permettant de découvrir, inventorier, qualifier et surveiller en continu les actifs numériques d'une organisation exposés sur Internet, ainsi que les expositions associées qu'un attaquant pourrait exploiter. La définition de référence, posée par Gartner, insiste sur un point central : ces actifs sont identifiés depuis l'extérieur, sans s'appuyer sur les inventaires internes, en adoptant la posture d'un adversaire qui prépare une intrusion.
Le terme a été introduit par Gartner en 2021 pour désigner une nouvelle catégorie de solutions répondant à un constat opérationnel : les inventaires d'actifs gérés par les DSI, qu'il s'agisse de CMDB, de tableurs ou de plateformes de gestion d'actifs, sont systématiquement incomplets. Pour les organisations de plus de 1 000 collaborateurs, les écarts constatés entre les inventaires officiels et la réalité de l'exposition Internet atteignent couramment 30 à 60 % des actifs.
Une plateforme EASM moderne identifie une grande variété d'éléments :
L'industrie a multiplié les acronymes, ce qui peut décourager. La cartographie utile pour un RSSI en 2026 tient en cinq termes complémentaires.
| Acronyme | Périmètre couvert | Question à laquelle il répond |
|---|---|---|
| EASM | Actifs internet-exposés, connus et inconnus | Que voit un attaquant de mon organisation depuis Internet ? |
| CAASM | Vue consolidée des actifs internes et externes | Quel est l'inventaire unifié et corrélé de mes actifs ? |
| VMDR | Vulnérabilités sur les actifs inventoriés | Quelles CVE affectent mes actifs et quels correctifs appliquer ? |
| TPRM | Risque cyber des fournisseurs et prestataires | Quel est le niveau de sécurité de mes fournisseurs critiques ? |
| CTEM | Programme global de réduction de l'exposition | Quel programme continu pour réduire mon exposition réelle ? |
Le cadre CTEM, introduit par Gartner en 2022, structure en cinq étapes itératives un programme cyber moderne : cadrage, découverte, priorisation, validation et mobilisation. L'EASM est l'instrument principal de la phase de découverte sur le périmètre externe. Le CAASM la complète en consolidant la vue interne. La validation s'appuie sur des outils de simulation d'attaque et sur des tests d'intrusion automatisés. Acheter une plateforme EASM sans projet plus large de réduction d'exposition revient à acheter un scanner sans personne pour traiter les résultats.
Gartner a formulé en 2022 une prédiction marquante : d'ici 2026, les organisations qui prioriseront leurs investissements en sécurité sur la base d'un programme de gestion continue de l'exposition aux menaces seront trois fois moins susceptibles de subir une violation de données. Les premiers retours d'expérience publiés indiquent que les organisations ayant opérationnalisé CTEM affichent une visibilité de la surface d'attaque jusqu'à 50 % supérieure à celle de leurs pairs.
Quatre dynamiques convergent en 2026 pour faire de l'EASM un prérequis et non plus une option : l'explosion mécanique de la surface d'attaque externe, la prééminence des attaques par exploitation de vulnérabilités exposées, la généralisation du shadow IT et l'arrivée des obligations réglementaires NIS2 et DORA.
Selon Gartner, 67 % des organisations ont vu leur surface d'attaque externe s'élargir au cours des deux dernières années. Le moteur principal est connu : migration vers le cloud public, multiplication des SaaS, télétravail durable, déploiement d'API publiques, intégration de partenaires et de filiales, et plus récemment essor des services d'intelligence artificielle générative. Chaque vague d'innovation produit mécaniquement de nouveaux actifs externes que les équipes sécurité doivent identifier, qualifier et défendre.
Le marché reflète ce besoin. Selon Research and Markets, le marché mondial de l'Attack Surface Management est passé de 1,54 milliard de dollars en 2025 à 2,03 milliards en 2026, avec une projection à 5,98 milliards en 2030, soit un taux de croissance annuel de 31,1 %. Frost & Sullivan estime que le segment spécifique de l'EASM atteindra 6,55 milliards de dollars en 2029, contre 1,55 milliard en 2024. Ce qui était un sujet d'experts en 2022 est devenu une priorité de comité de direction en 2026.
Le Data Breach Investigations Report 2025 de Verizon est sans ambiguïté : l'exploitation de vulnérabilités a bondi de 34 % en un an et représente désormais 20 % des accès initiaux dans les violations confirmées, soit la deuxième cause après l'abus d'identifiants. Plus spécifiquement, la part des compromissions liées à l'exploitation d'équipements de bordure est passée de 3 % à 22 % en un an, soit une multiplication par huit.
Le rapport M-Trends 2025 de Mandiant confirme cette tendance : sur l'ensemble des investigations conduites en 2024, 33 % des intrusions ont commencé par l'exploitation d'une vulnérabilité, faisant des exploits le vecteur d'accès initial dominant pour la cinquième année consécutive. Plus inquiétant, trois des quatre vulnérabilités les plus exploitées en 2024 étaient des zero-days affectant directement des équipements de sécurité, c'est-à-dire les produits censés défendre l'organisation.
Côté français, l'ANSSI dans son Panorama de la cybermenace 2024 est tout aussi claire : plus de la moitié des opérations de cyberdéfense de l'Agence, à son plus haut niveau d'engagement, ont eu pour origine l'exploitation de vulnérabilités sur des équipements de bordure. Neuf des vulnérabilités les plus exploitées en 2024 selon l'ANSSI affectaient ce type d'équipements, avec des scores CVSS atteignant 10 sur 10.
D'après les données croisées de Recorded Future et de GreyNoise pour le second semestre 2025, l'exploitation des CVE affectant les équipements de bordure intervient désormais dans les heures qui suivent la divulgation, parfois avant même la publication d'un correctif. La fenêtre de remédiation médiane pour ces équipements reste pourtant supérieure à 30 jours. L'écart entre la vitesse des attaquants et celle des défenseurs justifie à lui seul l'investissement dans une cartographie continue de la surface d'attaque externe.
Le baromètre 2026 du CESIN, fondé sur l'enquête menée auprès de 397 RSSI et directeurs cybersécurité, indique que 60 % des entreprises considèrent l'usage massif de services cloud et de logiciels non validés comme un facteur de risque critique, et 66 % jugent l'usage des outils d'IA non approuvés comme un risque élevé ou très élevé.
Au-delà des perceptions, des études opérationnelles convergent vers un ordre de grandeur saisissant : une organisation type utilise en moyenne près de 1 000 services cloud différents, alors que la DSI n'en répertorie officiellement qu'un peu plus de 100. La généralisation du « Bring Your Own AI » accentue le phénomène : 78 à 80 % des collaborateurs déclarent utiliser des outils d'IA personnels pour leurs tâches professionnelles, sans validation IT.
Ce shadow IT a un coût direct. L'IBM Cost of a Data Breach Report 2025 chiffre à 4,63 millions de dollars en moyenne le coût d'une violation impliquant de l'IA fantôme, soit 670 000 dollars de plus que pour une violation classique. Et 97 % des organisations ayant subi un incident lié à l'IA ne disposaient pas de contrôles d'accès appropriés au moment de la compromission.
Une plateforme EASM moderne articule quatre fonctions principales, exécutées en continu. Comprendre cette mécanique aide à évaluer la maturité réelle d'une offre et à éviter le marketing fonctionnel.
À partir d'un nom de domaine racine, la plateforme étend le périmètre par énumération DNS, analyse des certificats TLS, scan Internet, OSINT et graphes de relations. Un éditeur sérieux découvre en quelques heures plusieurs centaines à plusieurs milliers d'actifs, dont 20 à 40 % sont inconnus de la DSI.
Chaque actif est qualifié : nature, technologie, vulnérabilités, exposition, rattachement organisationnel, criticité. Cette phase produit la cartographie de référence sur laquelle se construisent toutes les actions ultérieures.
La notion d'exposition est plus large que celle de vulnérabilité : elle couvre CVE, erreurs de configuration, services obsolètes, ports inutiles, certificats faibles, secrets exposés, sous-domaines vulnérables au takeover. La priorisation croise CVSS, KEV, EPSS et criticité métier.
La plateforme rescan en permanence, détecte les changements, pousse des alertes contextualisées vers les équipes concernées et suit le cycle de vie de chaque exposition jusqu'à sa fermeture.
L'efficacité d'une plateforme se mesure à la richesse de ses sources et à la qualité de la corrélation. Les techniques principales sont les suivantes :
La priorisation est l'étape qui distingue les vraies plateformes des simples scanners améliorés. Une bonne approche combine plusieurs signaux : sévérité technique (CVSS, CWE), exploitabilité réelle (catalogues KEV de CISA, scores EPSS, threat intelligence), criticité métier de l'actif, compensations existantes (pare-feu applicatif, segmentation, contrôles d'accès), et effort estimé de remédiation. Le résultat doit être une liste courte d'actions, classée par impact attendu sur le risque, plutôt qu'une montagne d'alertes. Comme le rappelle Gartner dans son cadre CTEM, l'objectif n'est pas de tout corriger ; c'est de corriger ce qui compte.
Les plateformes les plus matures en 2026 intègrent une couche d'automatisation par IA qui ne se contente pas de classer les alertes : elle propose des actions de remédiation personnalisées en fonction de la technologie sous-jacente, de l'environnement de l'organisation et du contexte de l'exposition. Cette dimension fait gagner en moyenne plusieurs jours-homme par exposition critique, là où les équipes devaient auparavant produire elles-mêmes les playbooks de remédiation.
Au-delà des principes, l'EASM se justifie par des cas d'usage concrets et mesurables. Six scénarios cristallisent la valeur ajoutée pour une PME, une ETI ou un grand groupe français.
Sites créés pour une campagne marketing et jamais désactivés, environnements de test laissés en production, sous-domaines hérités d'acquisitions. Une organisation de 2 000 collaborateurs découvre couramment plusieurs centaines d'actifs inconnus lors du premier scan.
Focaliser l'effort sur les actifs réellement accessibles aux attaquants. Couplée à une priorisation fondée sur KEV et EPSS, la liste interminable de CVE se transforme en une liste courte d'actions prioritaires.
Certificats TLS, typosquatting, domaines voisins exploités en campagnes de phishing. Cette fonction recoupe les besoins de protection de marque classiquement portés par les équipes communication.
Jetons d'API, clés de chiffrement, identifiants dans des dépôts Git publics ou des forums. Le baromètre 2026 du CESIN confirme que l'attaque via un tiers représente 35 % des vecteurs observés, et 43 % chez les grandes entreprises.
Lors d'une fusion-acquisition, une cartographie EASM réalisée en amont permet d'objectiver le risque cyber acquis et d'en intégrer le coût dans la valorisation. Réalisée après l'opération, elle accélère la consolidation des inventaires.
Production automatisée des preuves attendues par NIS2 (article 21), DORA (article 6) et ISO 27001:2022 : inventaire daté, historique des expositions, KPI de remédiation, traçabilité des actions.
La directive européenne NIS2 du 14 décembre 2022 aurait dû être transposée dans le droit national au plus tard le 17 octobre 2024. La France a accumulé un retard significatif. Le projet de loi relatif à la résilience des infrastructures critiques, dit « loi Résilience », a été adopté en première lecture au Sénat le 15 octobre 2024, puis voté à l'unanimité en commission spéciale à l'Assemblée nationale le 10 septembre 2025. Le vote en hémicycle est attendu lors de la session extraordinaire de juillet 2026, suivi des décrets d'application au second semestre.
Cette directive concerne en France un périmètre considérablement élargi : selon l'étude d'impact gouvernementale, environ 15 000 entités, contre 500 sous NIS1, seront soumises au régime d'entité essentielle ou d'entité importante. L'obligation centrale qui sous-tend toutes les autres exigences techniques est la cartographie complète et continue des actifs, exigence reprise par le ReCyF, le Référentiel Cyber France en cours d'élaboration par l'ANSSI au titre de l'article 14 du projet de loi.
La directive NIS2 ne mentionne pas explicitement le terme « EASM ». Elle impose en revanche, à travers son article 21, dix mesures techniques et organisationnelles minimales que toute entité régulée doit mettre en œuvre. Plusieurs d'entre elles présupposent une cartographie continue de la surface d'attaque externe :
Le Cyber Benchmark 2025 publié par Wavestone, fondé sur l'évaluation de plus de 170 organisations, indique que la maturité moyenne des grandes entreprises françaises par rapport à NIS2 atteint 80 %, mais qu'aucune n'est encore pleinement conforme. Les principaux freins identifiés sont précisément une cartographie des actifs trop parcellaire, une gestion des accès privilégiés incomplète, et la maîtrise des risques tiers trop souvent sous-estimée. La cartographie est nommée explicitement comme le défi structurant.
Le règlement DORA, quant à lui, est applicable depuis le 17 janvier 2025 pour le secteur financier européen. Il exige notamment la cartographie des dépendances aux prestataires informatiques critiques et la conduite de tests d'intrusion fondés sur la menace (TLPT, dans la lignée du dispositif TIBER-EU). Là encore, l'EASM constitue la couche technique permettant de répondre à l'obligation.
Le retour sur investissement d'un programme EASM se mesure sur plusieurs registres : prévention d'incidents, accélération de la détection, productivité des équipes sécurité, et conformité réglementaire.
L'IBM Cost of a Data Breach Report 2025, fondé sur l'analyse de 600 organisations dans 17 secteurs, fournit la référence sectorielle :
Sur la base de ces chiffres, le coût moyen d'une violation pour une ETI française se situe entre 1,5 et 3 millions d'euros. Pour une grande entreprise, il peut dépasser 5 millions d'euros, sans compter l'impact sur les délais commerciaux et la réputation. Le baromètre 2026 du CESIN confirme cet ordre de grandeur : 81 % des entreprises victimes d'une cyberattaque significative en 2025 déclarent un impact direct sur leur activité.
Le marché EASM s'est densifié, ce qui rend le choix plus complexe. Voici une grille de douze critères, regroupés en quatre familles, à appliquer systématiquement lors d'un appel d'offres :
Certaines plateformes prétendent couvrir EASM, CAASM, VMDR et TPRM sans véritable intégration, en juxtaposant des modules acquis par croissance externe. Le RSSI se retrouve alors avec une console unique en façade, mais des bases de données séparées et des flux incohérents. Pour éviter cet écueil, demander à voir le même actif suivi dans son cycle de vie complet, depuis la découverte EASM jusqu'à la fermeture de la remédiation, dans une seule interface fluide.
Les données collectées par une plateforme EASM constituent un actif sensible en soi : architecture détaillée, vulnérabilités connues, configurations, cartographie des dépendances. La question du droit applicable à ces données et de la juridiction effective de l'éditeur devient donc un critère de premier rang.
Le CLOUD Act américain, adopté en 2018, autorise les autorités fédérales à requérir auprès d'un fournisseur de services américain les données qu'il traite, y compris lorsque ces données sont hébergées hors des États-Unis. La section 702 du Foreign Intelligence Surveillance Act (FISA), prolongée jusqu'en avril 2026, autorise quant à elle la NSA à collecter massivement les communications de toute personne non américaine, sans mandat judiciaire.
En décembre 2025, un rapport juridique commandé par le ministère allemand de l'Intérieur à l'université de Cologne a confirmé que le droit américain prévaut, en pratique, sur les protections européennes dès lors que les données sont gérées par une entreprise américaine ou par l'une de ses filiales, y compris si l'hébergement physique est en Europe. Cette réalité entre en contradiction directe avec les obligations du RGPD, en particulier l'article 48, qui interdit les transferts de données fondés sur des décisions d'autorités d'États tiers en l'absence d'accord international.
La réponse française est portée par la qualification SecNumCloud, délivrée par l'ANSSI selon le référentiel 3.2. Cette qualification impose plus de 360 critères de sécurité technique, organisationnelle, opérationnelle et juridique, dont des exigences strictes de souveraineté capitalistique et de soustraction aux lois extraterritoriales. Le label France Cybersecurity complète SecNumCloud sur une dimension industrielle : conception et développement en France, hébergement national, support local.
BEAROPS, éditeur français basé à Vannes, développe Beareye, une plateforme unifiée de gestion des risques cyber qui intègre nativement les briques fonctionnelles requises pour un programme de réduction d'exposition complet : EASM, CAASM, VMDR, TPRM, CTEM, surveillance Dark Web et fuites de données, et Red Team automatisé par IA (CART).
Combinaison DNS actif et passif, Certificate Transparency, scan Internet large bande, OSINT structuré, registres de marques. La logique d'attribution s'appuie sur des heuristiques validées par l'équipe red team interne de BEAROPS, qui mène également des missions de pentest et d'investigation OSINT.
Chaque exposition est qualifiée selon CVSS, KEV, EPSS, criticité métier et contrôles compensatoires. La plateforme produit un plan de remédiation personnalisé généré par IA, adapté à la technologie identifiée. Objectif : réduire le délai médian de fermeture des expositions critiques.
Édité, développé et hébergé en France. Architecture sans agent : la découverte initiale démarre à partir du nom de domaine racine et livre les premiers résultats en quelques heures. Mise en service EASM en 48 heures, puis montée en charge progressive sur CAASM, VMDR et TPRM.
La feuille de route type d'un programme EASM réussi, observée sur le terrain auprès d'ETI et de grands groupes français, se décompose en trois phases de 30 jours.
L'objectif des trente premiers jours est de poser les bases. Le RSSI définit le périmètre cible (entité juridique, marques, filiales, prestataires critiques), désigne un sponsor au comité de direction et un référent technique côté DSI. La plateforme EASM est mise en service en moins d'une semaine. La première découverte large produit la cartographie initiale ; les équipes valident les attributions, écartent les faux positifs et qualifient les actifs critiques. À l'issue de la phase 1, le RSSI dispose d'un inventaire à jour de la surface d'attaque externe, d'une liste des expositions critiques classées par exploitabilité, et d'un premier reporting prêt à être présenté au COMEX.
Les expositions critiques entrent dans un cycle de remédiation industrialisée. La plateforme génère les plans de remédiation, les tickets sont créés dans l'outil ITSM existant (Jira, ServiceNow ou équivalent), les équipes applicatives et infrastructure interviennent. Le RSSI suit le délai médian de fermeture et identifie les goulets d'étranglement. Cette phase est aussi celle où les premiers vrais retours d'expérience apparaissent : actifs oubliés rattachés à des prestataires, sous-domaines de campagnes marketing à fermer, équipements de bordure non patchés découverts hors inventaire DSI.
La dernière phase consolide le programme. Les flux entre la plateforme EASM et les autres outils (SIEM, SOAR, GRC) sont activés. Les tableaux de bord de conformité NIS2, DORA ou ISO 27001 sont configurés. Le RSSI définit la gouvernance pérenne : comités mensuels de revue des expositions critiques, rituel trimestriel avec la DSI, rapport semestriel au COMEX. À la fin de la phase 3, l'organisation dispose d'un programme EASM opérationnel et mesurable, intégré dans un cadre CTEM plus large.
Cinq indicateurs simples suffisent à démontrer la valeur d'un programme EASM auprès du comité de direction : taille de la surface d'attaque externe découverte et écart avec l'inventaire DSI initial, nombre d'expositions critiques détectées et délai médian de remédiation (MTTR), pourcentage d'actifs externes couverts par un contrôle de sécurité documenté, pourcentage de vulnérabilités KEV présentes sur la surface externe et délai de fermeture, évolution du nombre d'actifs inconnus sur une période glissante de trois mois.
FAQ
L'EASM, ou External Attack Surface Management, désigne l'ensemble des processus, technologies et services permettant de découvrir, cartographier, évaluer et surveiller en continu les actifs numériques d'une organisation exposés sur Internet. Le concept a été formalisé par Gartner en 2021. Une plateforme EASM adopte le point de vue de l'attaquant pour identifier tous les actifs visibles publiquement : noms de domaine, sous-domaines, adresses IP, services exposés, certificats, applications web, API, buckets cloud, et toute exposition pouvant servir de point d'entrée.
L'EASM découvre les actifs internet-exposés depuis l'extérieur, sans s'appuyer sur les inventaires internes. Le CAASM consolide la vue interne et externe des actifs via des intégrations API avec les outils existants (CMDB, EDR, cloud, identité). Les deux approches sont complémentaires : l'EASM identifie ce que voient les attaquants, le CAASM corrèle ces données avec la vision interne pour fournir une vue unifiée des actifs et de leurs expositions.
La directive NIS2 et son projet de transposition française, la loi Résilience, n'imposent pas explicitement une solution EASM. Elles exigent en revanche une cartographie des actifs, une gestion continue des vulnérabilités et une analyse régulière des risques. Dans la pratique, atteindre ce niveau de visibilité sur l'ensemble de la surface d'attaque externe sans outil dédié est très difficile pour une organisation de plus de 250 collaborateurs. L'EASM est donc fortement recommandé pour les entités essentielles et importantes.
Le coût d'une plateforme EASM varie selon la taille de l'organisation, le nombre d'actifs surveillés, la profondeur fonctionnelle (découverte seule ou couplée à priorisation et remédiation) et le modèle de licence. Pour une ETI française de 500 à 2 000 collaborateurs, les budgets observés sur le marché se situent généralement entre 30 000 et 120 000 euros par an. Les plateformes unifiées qui combinent EASM, CAASM, VMDR et TPRM permettent de mutualiser le coût et d'éviter la multiplication des licences.
Les plateformes EASM modernes ne nécessitent pas d'agent ni d'accès interne au système d'information : la découverte initiale peut démarrer en quelques heures à partir d'un nom de domaine racine. Un programme EASM opérationnel, avec priorisation, intégration au processus de remédiation et reporting, peut être déployé en 60 à 90 jours. Cette rapidité contraste fortement avec les projets traditionnels de cartographie d'actifs qui s'étalent souvent sur plus d'un an.
Non. L'EASM et la gestion classique de vulnérabilités (VMDR) sont complémentaires. Le scanner de vulnérabilités fonctionne à partir d'un inventaire connu d'actifs, internes ou externes, et identifie les CVE présentes. L'EASM commence par découvrir les actifs eux-mêmes, y compris ceux qui ne figurent dans aucun inventaire. La logique cible est de coupler les deux : l'EASM trouve les actifs et les expositions, le VMDR traite ensuite les vulnérabilités identifiées sur ce périmètre élargi.
Les solutions EASM collectent des données sensibles sur les actifs critiques d'une organisation : architecture, expositions, vulnérabilités, configurations. Confier ces informations à un éditeur soumis au CLOUD Act américain ou à la section 702 du FISA expose ces données à des demandes d'accès extraterritoriales, en contradiction avec le RGPD. Une solution éditée et hébergée en France, idéalement qualifiée SecNumCloud, garantit que ces informations ne sortent ni du cadre juridique européen ni de la protection du droit français.
Passez à l'action
Découvrez comment Beareye révèle votre surface d'attaque externe réelle en quelques heures, priorise les expositions critiques par exploitabilité et industrialise la preuve de conformité NIS2 et DORA, depuis une plateforme souveraine éditée en France.
