Attack surface management : on ne défend pas ce qu'on ne voit pas
On ne peut pas défendre ce qu'on ne sait pas posséder. Chaque entreprise expose plus qu'elle ne le pense : sous-domaines oubliés, services de test en ligne, VPN et portails hérités, actifs de shadow IT, identifiants dans des dépôts publics. L'attack surface management cartographie en continu cette surface exposée avec l'œil d'un attaquant, car c'est précisément là que commence la reconnaissance avant une attaque. Ce qui vous est invisible est déjà visible pour qui vous étudie.
La thèse
Le premier mouvement d’un attaquant n’est pas l’attaque : c’est la reconnaissance. Il cherche ce que vous exposez sans le savoir, car c’est la voie d’entrée la plus facile. L’attack surface management renverse l’avantage : il regarde votre entreprise depuis l’extérieur, comme lui, et vous montre les portes ouvertes avant que quelqu’un d’autre ne les trouve.
Le coût de ne pas le voir
La surface exposée grandit d’elle-même : un environnement de test publié et oublié, un sous-domaine d’une vieille campagne, un VPN hérité jamais désactivé, une clé fuitée dans un dépôt. Ce sont des actifs que personne ne garde parce que personne ne sait qu’ils existent, et ils sont souvent le véritable point d’entrée. L’inventaire interne ne les voit pas ; l’attaquant, oui.
Ce qu’apporte l’ASM
Une cartographie continue de la surface exposée sur internet du point de vue de l’adversaire : découverte des actifs inconnus, expositions priorisées par le risque, suivi de l’évolution dans le temps. C’est de l’intelligence appliquée à la prévention, alimentée par la même recherche qui attribue les acteurs (comme Nebula Broker).
Quand cela compte vraiment (et quand le minimum suffit)
Cela devient essentiel avec plusieurs clouds, une croissance rapide, des fusions-acquisitions, un écosystème de fournisseurs : autant de facteurs qui gonflent la surface exposée. Si en revanche vous gérez peu d’actifs, tous recensés et sans cloud dispersé, le retour est plus faible et la priorité peut résider dans le durcissement de base. En toute honnêteté : l’ASM est pour ceux qui ont grandi plus vite que leur propre carte.
Inventaire interne vs attack surface management
| Inventaire interne | Attack Surface Management | |
|---|---|---|
| Point de vue | Ce que vous savez posséder | Ce que voit l'attaquant |
| Shadow IT / hérité | Souvent manquant | Découvert et cartographié |
| Mise à jour | Périodique, statique | Continue |
| Résultat | Liste d'actifs connus | Expositions réelles à fermer, priorisées |
En cartographiant l'infrastructure de l'acteur Nebula Broker (confirmé ensuite par Mandiant sous le nom UNC4990) et les 800 domaines de la plateforme Kali365, l'équipe Fortgale a développé la méthode pour penser comme l'adversaire : le même œil qui, tourné vers vous, cartographie la surface exposée avant qu'un attaquant ne le fasse.
Lire la recherche →Questions fréquentes.
Que trouve généralement l'attack surface management ?
Des sous-domaines et services oubliés, des environnements de test exposés, des portails et VPN hérités, des certificats expirés, des ports ouverts, des actifs de shadow IT non recensés, des identifiants ou des clés fuités dans des dépôts publics. Les portes que personne ne garde parce que personne ne savait qu'elles étaient ouvertes.
En quoi est-ce différent d'un scan de vulnérabilités ?
Un scan de vulnérabilités cherche des failles sur des actifs connus ; l'ASM découvre d'abord les actifs, y compris ceux que vous ne saviez pas posséder. Ils sont complémentaires : l'ASM définit le périmètre réel, le scan le vérifie.
Pourquoi « l'œil de l'attaquant » compte-t-il ?
Parce que l'attaquant n'attaque pas votre organigramme informatique, il attaque ce qu'il trouve exposé. Cartographier la surface depuis l'extérieur, comme il le fait, révèle les angles morts qu'un inventaire interne manque.
Quand est-ce moins prioritaire ?
Avec une surface minimale et bien gouvernée (peu d'actifs, tous recensés, pas de cloud dispersé), le retour est plus faible. Mais dès qu'il y a plusieurs clouds, des fusions, des fournisseurs et une croissance rapide, la surface exposée grandit vite et l'ASM devient essentiel.
De la théorie à une opération réelle.
Ce que vous lisez ici, Fortgale le met en œuvre chaque jour avec un SOC européen 24·7·365 : 287 outils et acteurs profilés, <30 min de confinement médian. Voir le service : Attack Surface Management.
Ressources liées : Qu'est-ce que la CTI · Le rôle de la CTI en défense · Qu'est-ce que le MDR
Une conversation technique, pas un funnel.
Laissez vos coordonnées : un analyste vous rappelle sous un jour ouvré. SOC européen, même fuseau horaire, intelligence propriétaire sur les acteurs actifs dans l'UE.