Attack Surface Management · Fortgale CTI
CTI · capability 06 · Attack Surface Management

Ce que votre CMDB ne voit pas.

External Attack Surface Management : discovery outside-in de la surface d'attaque externe telle que la voit un attaquant. Actifs internet-facing, vulnérabilités exploitables, shadow IT, M&A non intégrés, cloud misconfigurations, leaks de credentials. Les expositions détectées sont priorisées avec la threat intelligence (CISA KEV, EPSS, acteurs actifs) — pas une liste de CVE théoriques, mais une liste de risques concrets.

Demander un assessment ASM Explorer les 5 catégories ↓
24hRescan complet
4-6hCritical asset rescan
< 15 minSLA alerte critical
Standards · frameworks
NIST CSF
CISA KEV
EPSS
MITRE ATT&CK
Discipline · sources
Certificate Transparency
Passive DNS
OSINT
Internet scanning
Le problème

Le VM scanne ce qu'il connaît. L'attaquant trouve le reste.

Le vulnerability management traditionnel est inside-out : il scanne ce que le CMDB connaît. Mais l'attaquant ne part pas du CMDB · il part de Shodan, Censys, certificate transparency, OSINT. L'EASM comble le gap · discovery outside-in, comme l'attaquant.

01

CMDB obsolètes · shadow IT

La plupart des organisations ont 20-40 % d'actifs internet-facing que le CMDB ne connaît pas. Shadow IT, M&A, développeurs externes, marketing.

02

Liste de CVE sans priorité

Des milliers de CVE par an · seules certaines sont actively exploited. Sans corrélation avec KEV, EPSS et acteurs actifs, l'équipe patche partout ou nulle part.

03

Cloud & secret leaks invisibles

Buckets S3 publics, secrets sur GitHub, environment variables dans des endpoints debug · hors du radar du VM traditionnel, mais fully visible à l'attaquant.

La distinction qui change tout

VM inside-out vs EASM outside-in.

Même discipline (vulnerability), perspective opposée. L'EASM complète le VM traditionnel · il ne le remplace pas.

VM traditionnel · inside-out
  • Scanne ce que le CMDB connaît
  • Nécessite des agents ou des credentials
  • Mappe l'inventory déclaré
  • Priorité : CVSS score pur
  • Fréquence : hebdomadaire ou mensuelle
Nécessaire, non suffisant
EASM Fortgale · outside-in
  • Discovery sans CMDB · trouve le shadow IT
  • Aucun agent, aucun credential, aucune intégration
  • Mappe l'inventory réel (CMDB + tout le reste)
  • Priorité : CISA KEV + EPSS + acteurs actifs
  • Fréquence : rescan complet 24h, critical 4-6h
Complémentaire · actor-aware
La méthode · 4 étapes

De l'OSINT à la règle de priorité.

Quatre phases documentées · du discovery outside-in à la règle de priorité calibrée sur les acteurs actifs contre votre secteur.

  1. 01
    Mapping du périmètre tel que le voit l'attaquant

    Discovery outside-in

    Discovery entièrement outside-in : aucun agent, aucun credential, aucun accès interne. Sources : certificate transparency logs (CT), passive DNS, internet-wide scanning, ASN profiling, OSINT, registrar feeds.

    CT logsPassive DNSInternet scanASN profiling
  2. 02
    De l'actif à la bannière

    Enumeration et fingerprinting

    Pour chaque actif détecté : enumeration des ports, services, bannières, versioning logiciel, certificats TLS, en-têtes HTTP, redirect chain. Identification précise de la stack technologique (Apache vs Nginx, IIS, Tomcat, application server, framework).

    Port scanBanner grabTLS fingerprintStack ID
  3. 03
    De la CVE générique à la CVE qui vous touche

    Prioritization avec CTI

    Les vulnérabilités détectées sont corrélées avec CISA KEV (Known Exploited Vulnerabilities), EPSS score, et les acteurs actifs suivis par la CTI Fortgale. Seul ce qui est réellement exploité contre votre secteur monte en priorité.

    CISA KEVEPSS scoreActor correlationSector match
  4. 04
    Du scan one-shot à la surveillance continue

    Continuous monitoring & delta alert

    Rescan complet toutes les 24 heures. Actifs critiques (VPN, Citrix, MOVEit, Fortinet) toutes les 4-6 heures. Alertes real-time sur les deltas : nouveaux actifs exposés, certificat en expiration, banner version changé, nouvelle KEV pour votre stack.

    24h rescanCritical 4-6hDelta alertStack-aware KEV
Catégories de discovery

Cinq catégories d'exposition · coverage complète.

Les cinq familles d'expositions que l'EASM Fortgale mappe en continu · chacune avec une méthodologie et des sources dédiées.

Catégorie 01

Asset Discovery

Domaine · subdomain · IP · ASN · certificats

Discovery de tous les actifs internet-facing de l'organisation : domaines et subdomains (racine + acquisitions + marques), IP ranges (ASN-owned + cloud-hosted), certificats, endpoints API. La plupart des organisations découvrent 20-40 % d'actifs qu'elles ne savaient pas posséder.

  • Certificate Transparency Monitoring continu des CT logs pour les certificats émis sur des domaines détenus · trouve les subdomains non déclarés avant qu'ils ne soient actifs.
  • Passive DNS Base de données historique des résolutions DNS · permet de trouver des subdomains désaffectés mais encore répondants.
  • ASN profiling Mapping des ASN détenus ou utilisés · identifie les actifs cloud-hosted (AWS, Azure, GCP) et on-prem.
  • Brand & acquisition tracking Domaines achetés post-M&A, domaines brand-protection, domaines de typosquatting détenus.
  • Endpoints API & GraphQL Discovery des endpoints API exposés, GraphQL introspection activée, OpenAPI/Swagger exposés.
Catégorie 02

Vulnerability Intelligence

CISA KEV · EPSS · exploitation in-the-wild

Les vulnérabilités seules ne sont pas une priorité. La priorité est donnée par la corrélation avec une exploitation réelle : groupes ransomware actifs, campagnes de mass exploitation, acteurs ciblant le secteur.

  • CISA KEV catalog Tracking du catalogue CISA des vulnérabilités activement exploitées · alerte immédiate si une CVE de votre stack y apparaît.
  • EPSS score Exploit Prediction Scoring System · probabilité d'exploitation dans les 30 prochains jours · combiné au CVSS pour un scoring composite.
  • Mass exploitation campaigns Tracking des campagnes de mass exploitation (Cl0p MOVEit, Akira Cisco ASA, Black Basta Citrix) · alerte si vous êtes une cible potentielle.
  • 0-day & N-day en vente Listings d'exploits en vente sur les marketplaces · corrélation avec les CVE de votre stack.
  • Patch lag tracking Pour les actifs visibles publiquement : detection si le patch est en retard par rapport à la publication · pression sur la remédiation.
Catégorie 03

Shadow IT & M&A discovery

Actifs hors CMDB · post-acquisition · ex-employés

Le shadow IT est l'actif le plus dangereux : personne ne le connaît, personne ne le supervise, personne ne le met à jour. Discovery automatique via brand keywords, executive names, IP correlation.

  • M&A inheritance Actifs de sociétés acquises non encore intégrés au périmètre principal · souvent avec une stack obsolète et sans monitoring.
  • Ex-employés / développeurs Actifs hébergés dans des tenants personnels (AWS, Heroku, Vercel, Netlify) pendant le développement · souvent oubliés après le départ de l'employé.
  • Marketing & vendor-controlled Microsites, landing pages, campagnes marketing publiées hors du périmètre IT principal.
  • Test / staging exposés Environnements de test ou staging accidentellement publiés sur internet (souvent sans authentification).
  • Acquisitions de marques Domaines achetés pour brand-protection · souvent non maintenus · vecteur de typosquatting.
Catégorie 04

Cloud Misconfiguration

S3 · Azure Blob · GCS · Kubernetes · Docker · CI/CD

Les cloud misconfigurations sont aujourd'hui l'une des premières causes de data breach. Discovery des buckets publics, API servers exposés, container registries, secrets dans les repositories publics.

  • S3 / Azure Blob / GCS Buckets publics détenus ou gérés par des fournisseurs · échantillonnage du contenu pour estimer la sensibilité (PII, code, backups).
  • Kubernetes API exposed kube-apiserver, etcd, kubelet publiquement accessibles · l'un des vecteurs les plus exploités en 2024-2026.
  • Docker registry & Helm Container registries exposés · permettent le pull d'images · souvent avec des credentials dans les environment variables.
  • CI/CD pipelines exposées Jenkins, GitLab CI, GitHub Actions runners publiquement accessibles · souvent avec accès au code et aux secrets.
  • Cloudflare workers · Vercel · Netlify Déploiements serverless publics · souvent avec des secrets dans l'environment, des API keys dans le code client-side.
Catégorie 05

Credential & Secret leaks

GitHub · Pastebin · infostealers · environment leak

Les secrets (API keys, mots de passe, certificats, .env) finissent dans des repositories publics, des paste sites, des dumps d'infostealers. Discovery continue pour identifier les leaks avant exploitation.

  • GitHub / GitLab leaks Scanning continu des repositories publics pour secrets attribuables au client (API keys, AWS credentials, .env, private keys).
  • Paste sites & gists Pastebin, GhostBin, Gist, RentryCo · monitoring des leaks de code ou de credentials.
  • Infostealer dump correlation Corrélation avec les logs d'infostealers indexés dans le dark web monitoring (capability 05) pour les credentials d'entreprise exposés.
  • Environment variable leak Detection des endpoints qui exposent inadvertently des variables d'environment (ex. /env, /debug, /actuator).
  • Mobile app reverse-engineering Analyse des applications mobiles de l'entreprise · extraction des API keys, endpoints privés, certificate pinning bypass.
Parmi les plus suivies

Sept expositions qui font la différence.

Un extrait des expositions les plus pertinentes pour le risque réel 2024-2026 · chacune corrélée à des groupes d'acteurs qui l'exploitent activement.

VPN/Edge exposed · 2024-2026 · top

Citrix NetScaler exposed

CVE-2023-3519 · CVE-2024-8534 · CVE chains
Type
Edge device · VPN/load balancer
Coverage
Banner version · build · admin panel · session injection

Vecteur d'intrusion numéro un en 2024-2026. Tracking continu des versions de Citrix NetScaler/ADC exposées · alertes sur les versions vulnérables aux CVE activement exploitées par Black Basta, LockBit, RansomHub. Admin panel exposed = critical.

KEV-listedTop exploit 2024-26Mass exploitationPre-ransomware
Risk · Critical Vérifier l'exposition →
VPN/Edge · 2023-actif · KEV

Ivanti Connect Secure

CVE-2023-46805 · CVE-2024-21887 · CVE-2024-22024
Type
Edge device · SSL VPN
Coverage
Version detection · auth bypass · template injection

La mass exploitation 2024 a fait des victimes dans tous les secteurs. Tracking des versions vulnérables, build ID, configuration admin panel.

KEV-listedMass exploitedAPT + cybercrime
Risk · Critical Vérifier l'exposition →
VPN · 2024-actif · KEV

Fortinet FortiOS exposed

CVE-2024-21762 · CVE-2024-23113 · CVE chains
Type
Firewall · SSL VPN
Coverage
Build · admin panel · vulnerable CVE chain

CVE chains activement exploitées par Akira, BlackBasta et groupes APT. Tracking des FortiOS/FortiGate exposés avec versions vulnérables ou configurations admin publiques.

KEV-listedVPN exploitationAkira target
Risk · Critical Vérifier l'exposition →
File transfer · 2023-actif

MOVEit Transfer exposed

Cl0p mass exploitation pattern · CVE-2023-34362
Type
File transfer · SQL injection
Coverage
Version detection · admin path · public URL

Vecteur de la mass exploitation Cl0p 2023 · a touché des centaines d'organisations. Tracking des MOVEit Transfer encore exposés publiquement.

Cl0p targetSQL injectionMass exploited
Risk · High Vérifier l'exposition →
Cloud misconfig · ongoing

Public S3 / Azure Blob

AWS S3 / Azure Blob / GCS storage
Type
Cloud storage misconfiguration
Coverage
Bucket discovery · public access · content sampling

Tracking continu des buckets cloud publiquement accessibles détenus par le client ou gérés par des fournisseurs. Échantillonnage du contenu (sans download) pour estimer la sensibilité.

CloudData exposureSupplier risk
Risk · High Vérifier l'exposition →
CMS · 2024-actif

WordPress vulnerable plugin

WordPress + plugins (Elementor, WPBakery, Yoast, …)
Type
CMS · plugin chain exploitation
Coverage
Plugin version · vulnerable known CVE · admin path

Tracking continu des sites WordPress détenus par le client ou contrôlés (marketing, brand site). Plugins vulnérables souvent vecteur de defacement, SEO poisoning, malvertising.

WordPressPlugin chainDefacement risk
Risk · Medium Vérifier l'exposition →
Hypervisor · 2024-actif

VMware vCenter / ESXi

CVE-2024-38812 · CVE-2024-37085 · auth bypass
Type
Hypervisor · management plane exposed
Coverage
Version detection · auth bypass paths

Les hyperviseurs exposés publiquement sont un vecteur privilégié de ransomware (LockBit, RansomHub, Akira ont un encryptor ESXi dédié). Tracking real-time.

ESXi encryptorCritical exposurePre-ransomware
Risk · Critical Vérifier l'exposition →
Severity · méthodologie

Priorités calculées · pas CVSS pur.

Chaque exposition reçoit une severity calculée comme une fonction de CVSS · KEV-listed · EPSS · acteurs actifs · criticité de l'actif. Pas un nombre de 0 à 10, mais une décision de patching priority.

Critical

Patching immédiat

CVE dans CISA KEV activement exploitée par des groupes ciblant votre secteur · sur un actif critique exposé (VPN, Citrix, hyperviseur, file transfer). Alerte immédiate.

High

Alerte webhook

CVE KEV-listed mais non encore observée contre votre secteur · OU actif critique exposé avec configuration faible · OU EPSS score > 50 %. Alerte webhook.

Medium

Weekly digest

CVE publiée mais non KEV-listed · EPSS score bas · actif non critique · exposition à faible impact. Inclus dans le weekly digest.

Info

Dashboard uniquement

Discovery d'un nouvel actif · changement non critique (ex. nouveau subdomain marketing) · informational only. Disponible dans le dashboard, ne génère pas d'alerte.

L'output

Comment l'EASM est livré.

Quatre canaux en fonction du rôle : dashboard pour le CISO, alertes webhook pour le SOC, weekly report pour le management, validation manuelle pour les cas critical.

01

Dashboard EASM

Console web avec vue en temps réel de tous les actifs détectés, expositions, CVE priorisées, deltas des dernières 24h. Filtering par criticité, catégorie, business unit.

02

Alerte webhook critical

Push immédiat pour les expositions Critical (nouvelle KEV sur votre stack, actif critique exposé, secret leak) via webhook, email, SMS. SLA < 15 minutes.

03

Weekly risk report

Rapport hebdomadaire par email pour le CISO : delta d'actifs, nouvelles expositions, nouvelles KEV pertinentes, récapitulatif par BU, recommandations de remédiation priorisées.

04

Validation pentest-aided

Pour les expositions critical, validation manuelle par les analystes Fortgale (test manuel d'exploitabilité, sans exploitation automatisée) · support au patching.

Honnêteté technique

Quand il n'est pas utile d'activer l'EASM.

Si la surface externe est minimale · pas d'IPv4 publiques, pas de SaaS, pas de cloud distribué, pas de M&A fréquents, pas de développeurs externes · le VM traditionnel interne couvre la majeure partie du risque. L'EASM se justifie quand il existe des périmètres non intégrés.

L'EASM devient critique quand : cloud distribué (multi-cloud, multi-tenant, multi-region), M&A fréquents, supplier ecosystem large, shadow IT non gouverné, marque visible (e-commerce, applications B2C), secteur cible de mass exploitation campaigns (industrie, finance, santé).

Vous n'êtes pas sûrs ? Parlons-en. Si cela ne vous est pas utile, Fortgale vous le dira.

Intégration

EASM comme radar avancé de la défense.

Les expositions détectées alimentent la detection, la threat intelligence et la roadmap de remédiation · elles ne restent pas dans un rapport PDF.

SOC · detection

Expositions → règles SOC

Actif critique exposé = règle de monitoring renforcée dans le SOC · access patterns monitorés, anomalous traffic alert prioritaire.

Découvrir le SOC →
MDR · prioritization

KEV → priorité MDR

L'MDR utilise la liste KEV-aware EASM pour prioriser les investigations · moins de temps perdu sur des CVE théoriques, focus sur les actifs réellement exposés.

Découvrir MDR →
CTI · capability 02

Combiné au feed

Le feed STIX/TAXII reçoit une couche supplémentaire : les IoC des acteurs qui exploitent vos expositions spécifiques, pas les IoC génériques.

Découvrir TI Feed →
CTI · capabilities sœurs

Les 6 autres capabilities CTI

Threat Actor Profiling · TI Feed · Advisory · Executive Briefing · Deep & Dark Web · Brand Intelligence. ASM est la capability 06 sur 7.

Voir toutes →
À porter au Conseil

Trois slides · la surface réelle.

L'EASM produit des données que le CISO peut porter au Conseil pour justifier des investissements et des priorités de remédiation · en langage business.

01 · La surface

Combien d'actifs internet-facing avez-vous réellement (vs combien dans le CMDB) · combien de shadow IT a été découvert · combien d'actifs M&A non intégrés.

02 · L'exposition

Combien de CVE actively-exploited vous concernent · combien d'actifs critiques exposés publiquement · combien de secrets ont leaké ces 12 derniers mois.

03 · La remédiation

Combien d'incidents évités grâce au pre-warning · combien d'actifs supprimés/protégés · coût évité estimé vs coût du service.

Le pack « 3 slides Conseil » est inclus dans les deliverables EASM premium · disponible on-demand.

FAQ

Questions fréquentes sur l'EASM.

Qu'est-ce que l'EASM et en quoi diffère-t-il du Vulnerability Management traditionnel ?

L'EASM (External Attack Surface Management) est un discovery outside-in : il découvre la surface d'attaque externe de l'organisation telle que la verrait un attaquant, sans avoir besoin d'agents ni d'intégrations internes. Le VM traditionnel est inside-out : il scanne ce que le CMDB connaît déjà. L'EASM trouve ce que le CMDB ne sait pas (shadow IT, actifs post-M&A, développeurs externes, actifs d'ex-employés).

Comment Fortgale intègre-t-elle la threat intelligence dans l'EASM ?

Les vulnérabilités détectées sont corrélées avec CISA KEV (Known Exploited Vulnerabilities), EPSS score, et les acteurs actifs suivis par la CTI Fortgale. Exemple : une CVE Citrix NetScaler « critique » avec un CVSS 9.8 mais sans exploitation observée a une priorité plus basse qu'une CVE Fortinet « high » activement exploitée par des groupes ransomware.

L'EASM découvre-t-il les actifs cloud (S3, Azure, GCP) ?

Oui. Discovery des buckets S3 publics, Azure Blob Storage et GCP Storage exposés, Kubernetes API servers publics, Docker registries, secrets dans les repositories publics (GitHub, GitLab), endpoints API SaaS non authentifiés. Coverage étendue également à Cloudflare workers, Vercel, déploiements Netlify.

Faut-il une intégration côté client ?

Non. L'EASM est entièrement outside-in : il opère depuis des sources publiques (certificate transparency, passive DNS, internet scan, OSINT) sans agent, sans credentials, sans accès aux systèmes internes. Onboarding typique : domaine racine, liste des subdomains connus, liste des IP ranges, liste des noms et marques. Le reste, Fortgale le trouve.

À quelle fréquence la surface est-elle rescannée ?

Discovery complet : 24 heures. Actifs critiques (ex. VPN, Citrix, MOVEit) : toutes les 4-6 heures. Alertes real-time sur les deltas significatifs : nouveaux actifs exposés, certificat en expiration, banner version changed, nouvelle CVE actively-exploited qui touche la stack du client.

Quand l'EASM N'A PAS de sens ?

Si la surface externe est minimale (pas d'IPv4 publiques, pas de SaaS, pas de cloud, pas d'e-commerce, pas de dirigeants exposés), le VM traditionnel interne suffit. En revanche, si vous avez un cloud distribué, des M&A fréquents, un supplier ecosystem large, du shadow IT non gouverné · l'EASM produit de la valeur immédiate en 1-2 semaines.

Commencer avec l'ASM

Qu'exposez-vous aujourd'hui sans le savoir ?

Demandez un assessment gratuit de 30 jours · scan complet de la surface externe, prioritization KEV-aware, rapport avec les expositions réelles détectées. Sans engagement.

Délai de réponse : < 1 jour ouvré.