Ressources · Guide · CTI · 1 min de lecture

Attack surface management : on ne défend pas ce qu'on ne voit pas

En bref

On ne peut pas défendre ce qu'on ne sait pas posséder. Chaque entreprise expose plus qu'elle ne le pense : sous-domaines oubliés, services de test en ligne, VPN et portails hérités, actifs de shadow IT, identifiants dans des dépôts publics. L'attack surface management cartographie en continu cette surface exposée avec l'œil d'un attaquant, car c'est précisément là que commence la reconnaissance avant une attaque. Ce qui vous est invisible est déjà visible pour qui vous étudie.

La thèse

Le premier mouvement d’un attaquant n’est pas l’attaque : c’est la reconnaissance. Il cherche ce que vous exposez sans le savoir, car c’est la voie d’entrée la plus facile. L’attack surface management renverse l’avantage : il regarde votre entreprise depuis l’extérieur, comme lui, et vous montre les portes ouvertes avant que quelqu’un d’autre ne les trouve.

Le coût de ne pas le voir

La surface exposée grandit d’elle-même : un environnement de test publié et oublié, un sous-domaine d’une vieille campagne, un VPN hérité jamais désactivé, une clé fuitée dans un dépôt. Ce sont des actifs que personne ne garde parce que personne ne sait qu’ils existent, et ils sont souvent le véritable point d’entrée. L’inventaire interne ne les voit pas ; l’attaquant, oui.

Ce qu’apporte l’ASM

Une cartographie continue de la surface exposée sur internet du point de vue de l’adversaire : découverte des actifs inconnus, expositions priorisées par le risque, suivi de l’évolution dans le temps. C’est de l’intelligence appliquée à la prévention, alimentée par la même recherche qui attribue les acteurs (comme Nebula Broker).

Quand cela compte vraiment (et quand le minimum suffit)

Cela devient essentiel avec plusieurs clouds, une croissance rapide, des fusions-acquisitions, un écosystème de fournisseurs : autant de facteurs qui gonflent la surface exposée. Si en revanche vous gérez peu d’actifs, tous recensés et sans cloud dispersé, le retour est plus faible et la priorité peut résider dans le durcissement de base. En toute honnêteté : l’ASM est pour ceux qui ont grandi plus vite que leur propre carte.

Comparatif

Inventaire interne vs attack surface management

Inventaire interneAttack Surface Management
Point de vueCe que vous savez posséderCe que voit l'attaquant
Shadow IT / héritéSouvent manquantDécouvert et cartographié
Mise à jourPériodique, statiqueContinue
RésultatListe d'actifs connusExpositions réelles à fermer, priorisées
Preuve de terrain · l'œil de l'attaquant

En cartographiant l'infrastructure de l'acteur Nebula Broker (confirmé ensuite par Mandiant sous le nom UNC4990) et les 800 domaines de la plateforme Kali365, l'équipe Fortgale a développé la méthode pour penser comme l'adversaire : le même œil qui, tourné vers vous, cartographie la surface exposée avant qu'un attaquant ne le fasse.

Lire la recherche →
FAQ

Questions fréquentes.

Que trouve généralement l'attack surface management ?

Des sous-domaines et services oubliés, des environnements de test exposés, des portails et VPN hérités, des certificats expirés, des ports ouverts, des actifs de shadow IT non recensés, des identifiants ou des clés fuités dans des dépôts publics. Les portes que personne ne garde parce que personne ne savait qu'elles étaient ouvertes.

En quoi est-ce différent d'un scan de vulnérabilités ?

Un scan de vulnérabilités cherche des failles sur des actifs connus ; l'ASM découvre d'abord les actifs, y compris ceux que vous ne saviez pas posséder. Ils sont complémentaires : l'ASM définit le périmètre réel, le scan le vérifie.

Pourquoi « l'œil de l'attaquant » compte-t-il ?

Parce que l'attaquant n'attaque pas votre organigramme informatique, il attaque ce qu'il trouve exposé. Cartographier la surface depuis l'extérieur, comme il le fait, révèle les angles morts qu'un inventaire interne manque.

Quand est-ce moins prioritaire ?

Avec une surface minimale et bien gouvernée (peu d'actifs, tous recensés, pas de cloud dispersé), le retour est plus faible. Mais dès qu'il y a plusieurs clouds, des fusions, des fournisseurs et une croissance rapide, la surface exposée grandit vite et l'ASM devient essentiel.

Comment Fortgale le délivre

De la théorie à une opération réelle.

Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Attack Surface Management.

Ressources liées : Qu'est-ce que la CTI · Le rôle de la CTI en défense · Qu'est-ce que le MDR

Approfondir avec un analyste ?

Une conversation technique, pas un funnel.

Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.

Délai de réponse : < 1 jour ouvré.