Attack Surface Management : cartographier et maîtriser votre exposition en 2026

1. ASM, EASM, CAASM, ASD : clarifier les définitions

L'écosystème de l'Attack Surface Management souffre d'un excès d'acronymes que les éditeurs utilisent souvent de façon interchangeable à des fins commerciales. Avant de parler d'outillage, il est utile de fixer le vocabulaire.

1.1 L'ASM comme catégorie globale

Selon la définition officielle de Gartner, l'Attack Surface Management désigne l'ensemble des technologies, processus et services professionnels permettant de découvrir, inventorier et contextualiser les actifs numériques d'une organisation à des fins de cybersécurité. Gartner avait d'ailleurs noté en 2022 que l'expression "attack surface assessment" (ASA) serait techniquement plus précise, car la plupart des outils du marché se concentrent sur la visibilité plutôt que sur la remédiation directe. Dans la pratique, ASM reste le terme dominant.

En novembre 2025, Gartner a publié son premier Magic Quadrant pour les Exposure Assessment Platforms (EAP), créant formellement une catégorie unifiée qui fusionne les outils de gestion des vulnérabilités, l'EASM, le CAASM et la simulation d'attaques. Ce tournant taxonomique reflète une convergence réelle du marché : les leaders du MQ (Tenable, Qualys, Rapid7) proposent aujourd'hui des plateformes couvrant l'ensemble de ces capacités.

1.2 L'Attack Surface Discovery : la couche de reconnaissance

L'Attack Surface Discovery (ASD) désigne plus précisément la phase de découverte automatisée qui alimente un programme ASM. Elle répond à une question simple : qu'est-ce qui existe et qu'est-ce qui est exposé, y compris ce que l'organisation ne sait pas qu'elle possède ? Les méthodes utilisées sont similaires à celles d'un attaquant effectuant de la reconnaissance : scan des plages IP, énumération DNS, collecte de certificats TLS/SSL, analyse WHOIS, corrélation sur les ASN (Autonomous System Numbers), exploration des API publiques, recherche sur les buckets de stockage cloud mal configurés.

La valeur de l'ASD réside précisément dans sa capacité à trouver l'actif oublié : le sous-domaine créé pour un projet pilote il y a trois ans, la VM cloud provisionnée en test et jamais supprimée, le portail VPN d'une filiale acquise, la page d'administration accessible sur un port non standard. Ces actifs constituent la zone grise de l'inventaire, celle que les équipes ne patchent pas parce qu'elles ignorent son existence.

1.3 EASM et CAASM : positionnement dans l'écosystème

L'EASM (External Attack Surface Management) adopte une perspective extérieure. Il simule la reconnaissance initiale d'un attaquant depuis internet, sans accès préalable au système d'information. Il inventorie tous les actifs accessibles depuis l'extérieur et qualifie leur niveau d'exposition : versions logicielles obsolètes, services non chiffrés, certificats expirés, pages de login exposées, formulaires vulnérables.

Le CAASM (Cyber Asset Attack Surface Management) part de l'intérieur. Via des intégrations API avec les outils existants (CMDB, EDR, scanner de vulnérabilités, IAM, SIEM, outils cloud), il agrège et normalise toutes les données d'actifs pour produire une vue unifiée. Il ne scanne pas directement le réseau ; il consolide ce que les autres outils ont déjà collecté, enrichit les données et corrige les incohérences entre les inventaires.

Le marché mondial de l'ASM pesait environ 1 milliard USD en 2024, avec un CAGR de 29 à 32 % selon les cabinets d'analyse (Grand View Research, MarketsandMarkets). La projection pour 2030 se situe entre 5 et 6 milliards USD. Le segment européen représentait 270,9 millions USD en 2023, soit 27,6 % du marché mondial, avec un taux de croissance aligné sur la moyenne globale. Gartner signalait en avril 2024 que moins de 25 % des organisations avaient adopté une ou plusieurs technologies d'Attack Surface Assessment, ce qui indique un potentiel de pénétration considérable.

2. Pourquoi la surface d'attaque moderne est ingérable sans outillage dédié

La surface d'attaque d'une organisation ne cesse de croître, sous l'effet conjugué de plusieurs dynamiques structurelles. Les approches traditionnelles de l'inventaire d'actifs, fondées sur des CMDB alimentées manuellement ou des scans périodiques, ne sont plus adaptées à cette réalité.

2.1 Le shadow IT et le shadow AI : l'angle mort qui s'élargit

Le shadow IT reste un problème structurel, malgré une baisse apparente comme cause directe d'incidents (de 44 % en 2020 à 23 % en 2024 selon les baromètres CESIN). Cette baisse reflète davantage une mutation du phénomène qu'une résorption réelle. Selon Lansweeper (2025), l'entreprise moyenne possède 975 services cloud non inventoriés, contre seulement 108 services suivis par l'IT. 42 % des applications d'entreprise seraient issues du shadow IT. Gartner estime que d'ici 2027, 75 % des employés acquerront, modifieront ou créeront de la technologie hors de la visibilité de l'IT, contre 41 % en 2022.

Le phénomène s'est transformé avec le shadow AI, identifié par le baromètre CESIN 2026 comme le risque numéro un des entreprises françaises : 66 % des RSSI le classent comme risque élevé ou très élevé. Les quatre applications les plus fréquemment non gérées en entreprise sont toutes des outils d'IA (Torii, 2025). 31 à 38 % des employés qui utilisent des outils d'IA saisissent des données sensibles de l'entreprise sans autorisation (Valence Security, 2025). IBM a chiffré le surcoût des violations impliquant du shadow AI à 670 000 USD par rapport à un incident standard (CODB 2025).

2.2 Le cloud sprawl et l'exposition involontaire

92 % des entreprises utilisent une stratégie multi-cloud. Ce choix architectural, pertinent sur le plan de la résilience et de la flexibilité, génère une complexité qui dépasse la capacité de gestion manuelle. 54 % des environnements cloud contiennent des actifs publiquement exposés renfermant des données sensibles (Wiz). 99 % des entreprises ont subi au moins un incident de sécurité lié aux API dans l'année (CybelAngel, 2025). Chaque déploiement DevOps, chaque mise à jour d'infrastructure-as-code, chaque nouveau service peut ouvrir une surface d'exposition que les équipes opérationnelles n'ont pas documentée.

La conséquence directe : 40 % de l'infrastructure d'entreprise reste invisible pour l'IT selon Gartner. Les équipes sécurité ne peuvent pas protéger ce qu'elles ne voient pas. Et les attaquants, eux, ne se limitent pas à ce qui est documenté dans votre CMDB.

2.3 La menace cible précisément les actifs oubliés

L'ANSSI l'a mesuré concrètement : dans son Panorama de la cybermenace 2024, les vulnérabilités dans les équipements de bordure (pare-feux, VPN, appliances réseau) ont été à l'origine de plus de 50 % des opérations de cyberdéfense conduites par l'agence. Ces équipements de bordure sont précisément ceux que les équipes IT négligent dans leurs cycles de patch, souvent parce qu'ils ne figurent pas clairement dans les inventaires consolidés ou parce que leur mise à jour exige une fenêtre de maintenance jugée trop contraignante.

En mars 2026, le directeur général de l'ANSSI Vincent Strubel indiquait que plus de 6 000 équipements en France restent exposés sur internet avec des vulnérabilités connues datant de 2023-2024. Ces actifs sont visibles depuis l'extérieur, référencés dans les moteurs de recherche de type Shodan ou Censys, et potentiellement exploitables par tout attaquant ayant quelques heures à consacrer à une reconnaissance basique. Le Panorama 2025 recense également 1 366 incidents confirmés et souligne que le volume de CVE publiées a augmenté de 18 % en un an pour atteindre environ 50 000 en 2025.

2.4 La chaîne d'approvisionnement élargit encore le périmètre

Le risque tiers a connu une évolution spectaculaire. Le DBIR 2025 de Verizon révèle que 30 % des violations impliquent désormais un tiers, soit un doublement par rapport aux données précédentes. Le rapport Black Kite 2025 a recensé 136 violations majeures affectant 719 entreprises identifiées et environ 26 000 victimes en aval, avec en moyenne 5,28 entreprises touchées en cascade par violation (contre 2,46 en 2021). Le baromètre CESIN 2026 positionne les attaques via des tiers à 35 % des vecteurs d'attaque, en progression nette. La surface d'attaque ne s'arrête plus au périmètre de votre propre infrastructure : elle englobe celle de chaque fournisseur, prestataire et partenaire avec lequel vous échangez des données ou des accès.

3. EASM vs CAASM : deux perspectives, une même finalité

EASM et CAASM ne sont pas des produits concurrents mais des approches complémentaires qui adressent des angles morts différents. Comprendre leurs différences structurelles permet de décider laquelle prioriser selon votre maturité et votre contexte.

3.1 Quelle approche prioriser selon votre contexte

Le choix n'est pas binaire, mais la séquence d'adoption varie selon la taille de l'organisation et le degré de maturité de l'inventaire existant.

3.2 L'ASD comme couche de reconnaissance continue

L'Attack Surface Discovery s'insère en amont des deux approches. Que vous déployiez un outil EASM ou CAASM, la qualité du résultat dépend directement de la qualité de la découverte initiale et de sa mise à jour continue. Un outil EASM qui ne scanne qu'une fois par semaine ratera un actif déployé le lundi et exploité le jeudi. Les plateformes de référence comme Cortex Xpanse (Palo Alto Networks) scannent plus de 500 milliards de ports par jour et indexent l'ensemble des adresses IPv4 publiques plusieurs fois par jour.

La fréquence de la découverte est un critère de sélection à part entière. Elle doit être proportionnée à la cadence de déploiement de votre organisation : une DSI qui opère en mode DevOps avec plusieurs déploiements quotidiens a besoin d'une fréquence de scan incomparablement plus élevée qu'une organisation avec un cycle de mise à jour mensuel.

3.3 La convergence vers les Exposure Assessment Platforms

Le Magic Quadrant Gartner pour les Exposure Assessment Platforms (novembre 2025) entérine une convergence que les praticiens observaient depuis plusieurs années. Les trois leaders identifiés (Tenable avec Tenable One, Qualys, et Rapid7 avec Exposure Command) proposent tous des plateformes intégrant nativement EASM, CAASM, gestion des vulnérabilités et simulation d'attaques. Du côté des acteurs plus orientés plateforme de sécurité globale, CrowdStrike Falcon Exposure Management et Palo Alto Cortex Xpanse occupent des positions fortes, avec des intégrations natives dans leurs écosystèmes XDR respectifs.

Pour les organisations qui n'ont pas encore de programme ASM formalisé, cette convergence simplifie le choix : une plateforme EAP couvre l'ensemble des besoins initiaux sans multiplier les contrats et les intégrations. Pour celles qui ont déjà des outils point-solution déployés, la question est de savoir si la valeur ajoutée d'une plateforme unifiée justifie les coûts de migration.

4. L'ASM comme fondation du programme CTEM

Le Continuous Threat Exposure Management (CTEM), introduit par Gartner en juillet 2022, structure le passage d'une gestion réactive des vulnérabilités vers une approche proactive et continue de la réduction de l'exposition. L'ASM n'est pas un outil parmi d'autres dans ce framework : il constitue la couche fondationnelle des deux premières phases.

4.1 Les cinq phases du cycle CTEM

4.2 La prédiction clé de Gartner

Gartner formule une prédiction qui mérite d'être citée précisément : les organisations qui priorisent leurs investissements de sécurité sur la base d'un programme CTEM seront trois fois moins susceptibles de subir une violation d'ici 2026. 60 % des organisations poursuivent déjà ou envisagent un programme CTEM selon Filigran (2025). Le Gartner MQ pour les EAP confirme explicitement que ces plateformes sont "crucial to what Gartner calls a Continuous Threat Exposure Management (CTEM) program".

Sans une couche ASM solide, les phases de Cadrage et de Découverte du CTEM reposent sur un inventaire incomplet. Le programme produit alors des résultats partiels : les actifs connus sont bien gérés, mais les actifs oubliés ou non inventoriés restent exposés, précisément là où les attaquants cherchent leurs points d'entrée.

4.3 L'IA dans l'ASM : accélération et nouveaux risques

L'intégration de l'IA dans les plateformes ASM a radicalement changé les capacités de découverte et de priorisation. Les applications concrètes en 2026 incluent la classification automatique des actifs par profil de risque, la priorisation des vulnérabilités par scoring contextuel intégrant l'exploitabilité réelle et l'impact métier (au-delà du seul score CVSS), l'analyse prédictive des vecteurs d'attaque probables, et la réduction des faux positifs. CyCognito utilise l'IA pour cartographier les structures organisationnelles et les relations entre entités à partir du seul nom de l'entreprise. Rapid7 intègre des modèles LLM pour guider la remédiation dans Exposure Command.

5. NIS2, DORA, ISO 27001 : l'ASM est désormais une obligation réglementaire

Pour les DSI qui peinent encore à obtenir des budgets pour l'ASM, le contexte réglementaire de 2026 offre un argument supplémentaire. Plusieurs textes en vigueur ou en cours de transposition imposent explicitement des capacités qui correspondent exactement à ce que fournissent les outils ASM.

5.1 NIS2 et la Loi Résilience : l'inventaire d'actifs comme obligation légale

La directive NIS2 (Directive UE 2022/2555), en vigueur depuis octobre 2024, étend les obligations de cybersécurité à 18 secteurs critiques. L'article 21(2)(i) impose explicitement la gestion des actifs comme l'une des mesures techniques et organisationnelles obligatoires. Le règlement d'exécution (EU) 2024/2690, publié en octobre 2024, est encore plus précis : les entités doivent créer un inventaire des actifs couvrant le matériel, les logiciels, les services et les installations, classé par niveau de risque, avec un degré de granularité "particulièrement fin".

En France, la transposition se fait via la Loi Résilience, adoptée en première lecture à l'Assemblée nationale le 5 décembre 2025. L'adoption finale est attendue au premier trimestre 2026. Environ 15 000 entités seront concernées. L'ANSSI précise que la seule certification ISO 27001 ne couvre que 2 des 20 objectifs de sécurité pour les entités essentielles. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Les coûts estimés de mise en conformité vont de 100 000 à 200 000 euros pour les entités importantes à 450 000-880 000 euros pour les entités essentielles, plus environ 10 % annuellement.

5.2 DORA : l'inventaire ICT continu pour le secteur financier

Le règlement DORA (Digital Operational Resilience Act, EU 2022/2554), directement applicable depuis le 17 janvier 2025, impose aux entités financières (banques, assurances, gestionnaires d'actifs, fintechs) un cadre complet de gestion des risques ICT. L'article 8 est directement pertinent pour l'ASM :

• Art. 8(1) : identification, classification et documentation de tous les actifs ICT
• Art. 8(2) : identification continue des sources de risque ICT, y compris externes
• Art. 8(4) : identification de tous les actifs informationnels et ICT avec cartographie des liens d'interdépendance
• Art. 8(6) : inventaires régulièrement mis à jour
• Art. 8(7) : évaluation spécifique des systèmes ICT legacy au moins une fois par an

DORA impose également un signalement d'incident dans les 4 heures après classification et des tests TLPT (Threat-Led Penetration Testing) au minimum tous les 3 ans pour les entités significatives. Sans inventaire d'actifs précis et maintenu, le délai de 4 heures est difficile à tenir : vous ne pouvez pas classifier correctement un incident si vous ne savez pas quel actif est touché et quelle est sa criticité métier.

5.3 ISO 27001:2022 : les contrôles A.5.9 et A.8.8

La révision 2022 de la norme ISO 27001 a renforcé deux contrôles directement liés à l'ASM. Le contrôle A.5.9 (Inventaire des informations et autres actifs associés) exige un inventaire de tous les actifs informationnels avec des propriétaires désignés individuellement, une catégorisation, une localisation, une valeur ou criticité et un statut de cycle de vie documentés, et un inventaire revu régulièrement. L'absence de suivi des actifs constitue une non-conformité majeure en audit. Le contrôle A.8.8 (Gestion des vulnérabilités techniques) impose le scanning régulier, l'évaluation du risque de chaque vulnérabilité (CVSS), l'application de correctifs dans des délais définis par SLA (pratique recommandée : critique CVSS 9.0-10 sous 48 heures), et des tests de pénétration documentés périodiques.

Le NIST CSF 2.0 (février 2024) suit la même logique : la catégorie Asset Management (ID.AM) est la plus directement liée à l'ASM, avec les sous-catégories ID.AM-01 à ID.AM-07 couvrant les inventaires de matériel, logiciel, services, flux réseau et services fournisseurs. L'EASM supporte directement ID.AM-01, ID.AM-02 et ID.AM-03 ; le CAASM couvre l'ensemble des sous-catégories ID.AM.

6. Choisir et déployer une solution ASM : critères et souveraineté

Le marché ASM compte aujourd'hui des dizaines d'acteurs aux positionnements très différents. Choisir une solution n'est pas uniquement une décision technique : c'est aussi une décision politique, compte tenu des enjeux de souveraineté qui entourent les données exposées sur internet.

6.1 Les critères de sélection techniques

Plusieurs dimensions différencient réellement les solutions sur le terrain. La couverture de découverte est le premier critère : quelle est la profondeur de la reconnaissance (IPv4, IPv6, domaines, sous-domaines, certificats TLS, buckets cloud, dépôts publics, services SaaS) ? Quelle est la cadence de rescanning ? Le deuxième critère est la qualité de la contextualisation : l'outil enrichit-il les actifs découverts avec des données de threat intelligence pertinentes, des informations de propriété métier, des scores d'exploitabilité (EPSS, CVSS, KEV) ? Le troisième est la capacité d'intégration : l'outil s'intègre-t-il nativement avec votre CMDB, votre SIEM, votre ticketing, vos outils cloud ? Pour le CAASM en particulier, la richesse des connecteurs API est un critère différenciant majeur.

La gestion des faux positifs est souvent sous-estimée à l'évaluation mais centrale à l'usage. Un outil qui génère des centaines d'alertes non pertinentes par semaine devient rapidement un générateur de bruit que les équipes finissent par ignorer. Demandez des métriques de précision concrètes lors des POC. Enfin, la couverture TPRM (Third-Party Risk Management) est de plus en plus intégrée aux plateformes EASM : la capacité à monitorer la surface d'exposition de vos fournisseurs critiques répond directement aux exigences NIS2 et DORA sur la chaîne d'approvisionnement.

6.2 La question de la souveraineté numérique

Les données manipulées par une solution ASM sont sensibles par nature : elles décrivent précisément la surface d'attaque de votre organisation. Une plateforme ASM hébergée par un acteur soumis au CLOUD Act (loi américaine de 2018 permettant aux autorités US d'accéder aux données stockées par des entreprises américaines, y compris en dehors des Etats-Unis) expose ces informations à une juridiction étrangère.

Plus de 50 % des entreprises françaises se déclarent préoccupées par les enjeux de souveraineté numérique (CESIN 2026, en nette progression). 83 % des dépenses européennes en cloud et logiciel vont à des fournisseurs non européens, soit environ 264 milliards d'euros par an (Cigref, 2025). Pour les secteurs régulés (santé, finance, défense, OIV, administrations), cette dépendance crée un risque juridique et opérationnel qui dépasse le seul enjeu de confidentialité des données.

6.3 Roadmap de déploiement d'un programme ASM

Un déploiement ASM efficace ne s'improvise pas. Les organisations qui en tirent le plus de valeur suivent généralement une séquence en quatre étapes.

La première étape est le lancement de l'EASM en mode découverte : configuration de l'outil avec les domaines, plages IP et ASN de l'organisation, sans exclure les entités du groupe ou les filiales. Cette phase révèle inévitablement des actifs inconnus et génère les premières surprises utiles. Elle se déploie en quelques heures sans dépendance aux systèmes internes.

La deuxième étape est la qualification et la priorisation des expositions découvertes : triage des alertes selon l'exploitabilité réelle (EPSS, présence dans le KEV de la CISA), l'impact métier potentiel et les contrôles compensatoires existants. Cette phase définit la première liste de remédiations concrètes.

La troisième étape est l'intégration CAASM pour les organisations disposant d'outils de gestion des actifs existants : connexion des API (CMDB, EDR, scanner, cloud), normalisation et dédoublonnage des données, attribution des propriétaires d'actifs. C'est la phase la plus longue et la plus dépendante de la qualité des données existantes.

La quatrième étape est l'insertion dans le programme CTEM : définition des cycles de revue (hebdomadaire, mensuel selon les criticités), intégration dans les processus de patch management et de gestion des incidents, reporting vers la direction et les instances de gouvernance. 85 % des RSSI estiment qu'une cartographie à jour des actifs aiderait à résoudre une attaque plus rapidement (CESIN/OverSOC, 2023), mais près de 50 % n'ont pas la capacité de produire cette cartographie sans outillage dédié.

6.4 Beareye : l'alternative souveraine pour les organisations françaises

Beareye, la plateforme EASM et TPRM de BEAROPS, est conçue pour répondre aux exigences des organisations qui ne peuvent pas se permettre d'exposer leur surface d'attaque à des acteurs soumis à des juridictions étrangères. Hébergée en France, opérée par des équipes françaises et alignée sur les référentiels ANSSI et NIS2, elle offre une visibilité continue sur la surface d'exposition externe et le risque tiers, sans compromis sur la souveraineté des données. La combinaison EASM et TPRM intégrée répond directement aux exigences des articles 21(2)(i) de NIS2 et 8(2) de DORA.