EASM : L'Approche Souveraine de Beareye pour Cartographier votre Surface d'Attaque
En 2026, 83 % des organisations sont incapables d'identifier plus de 95 % de leurs actifs exposés sur Internet. L'External Attack Surface Management (EASM) est devenu le socle incontournable de toute stratégie de cybersécurité moderne : cartographie continue des actifs inconnus, détection des vulnérabilités exposées, réduction proactive du risque. Porté par un marché mondial de 1,55 milliard de dollars en croissance de 33,5 % par an, l'EASM s'impose comme une quasi-obligation réglementaire avec NIS2 et DORA. Mais dans un contexte où 63 % des RSSI français s'inquiètent de la souveraineté numérique, le choix d'une solution EASM française devient un enjeu stratégique. Découvrez comment Beareye répond à ces défis avec une approche souveraine, continue et alignée sur le cadre CTEM de Gartner.
14 min de lecture
1,55 Md$
Marché EASM mondial en 2024, croissance de 33,5 % par an
38%
Des brèches impliquent des actifs inconnus ou non gérés
3x
Moins de risque de brèche avec un programme CTEM (Gartner)
15 000+
Entités françaises concernées par NIS2 (vs 500 sous NIS1)
1. Qu'est-ce que l'EASM et pourquoi est-ce devenu indispensable ?
L'External Attack Surface Management (EASM) désigne la discipline de cybersécurité qui consiste à découvrir, inventorier et évaluer en continu l'ensemble des actifs numériques d'une organisation exposés sur Internet. Contrairement à un scanner de vulnérabilités classique qui ne vérifie que les cibles préalablement configurées, une solution EASM adopte le point de vue de l'attaquant : elle explore les domaines, sous-domaines, adresses IP, ressources cloud, API, certificats, instances SaaS et équipements IoT sans nécessiter de connaissance préalable de l'inventaire.
Pour illustrer la différence, une analogie simple s'impose : l'EASM parcourt toutes les rues d'un quartier en inspectant chaque bâtiment. Un scanner de vulnérabilités ne vérifie que les bâtiments dont on lui a fourni l'adresse. Un pentest, lui, tente d'entrer par effraction dans un bâtiment spécifique. Ces trois approches sont complémentaires, mais seul l'EASM couvre la dimension de découverte des inconnus.
1.1 Du produit isolé à la plateforme d'évaluation de l'exposition
Gartner a déclaré en 2024 que l'EASM en tant que catégorie produit isolée était "obsolète", prédisant que moins de 10 % des éditeurs resteraient des acteurs EASM purs d'ici fin 2025. Il ne s'agit pas d'un déclin mais d'une élévation stratégique. En novembre 2025, Gartner a publié son tout premier Magic Quadrant for Exposure Assessment Platforms (EAP), une nouvelle catégorie consolidant l'évaluation des vulnérabilités, la priorisation, l'EASM, le CAASM et l'évaluation automatisée des contrôles de sécurité.
Ce mouvement de consolidation confirme que les capacités EASM sont fondamentales, elles constituent le socle de découverte sur lequel se construisent les plateformes d'exposition modernes. Le marché EASM représentait 1,55 milliard de dollars en 2024 (Frost & Sullivan) et devrait atteindre 6,55 milliards de dollars d'ici 2029, avec un taux de croissance annuel de 33,5 %.
1.2 L'EASM au cœur du CTEM de Gartner
Le framework Continuous Threat Exposure Management (CTEM), introduit par Gartner en 2022 et classé n°2 des tendances technologiques stratégiques 2024, positionne l'EASM comme son premier cas d'usage prioritaire. Le cycle CTEM en cinq étapes, Scoping, Discovery, Prioritization, Validation, Mobilization, s'appuie sur l'EASM principalement pour la phase de Discovery. Gartner affirme que l'EASM est "fondamental pour le CTEM car il fournit une visibilité continue et améliorée sur les actifs que les organisations maîtrisent le moins".
Adoption CTEM en forte progression
Une enquête auprès de 247 organisations révèle que 29 % ont déjà déployé un programme CTEM et 46 % sont en cours de développement, soit 75 % de pénétration totale. Gartner prédit que les organisations priorisant leurs investissements sur un programme CTEM seront 3 fois moins susceptibles de subir une brèche d'ici 2026.
2. L'explosion de la surface d'attaque en 2026
La surface d'attaque externe s'étend simultanément sur toutes les dimensions. Les inventaires d'actifs numériques ont augmenté de 133 % en un an (Splunk 2025), et les organisations font face en moyenne à 15 000 expositions exploitables dont les CVE ne représentent que 1 % (XM Cyber). 43 % des DSI estiment que leur surface d'attaque croît de manière incontrôlable.
2.1 Shadow IT et applications non sanctionnées
65 % des applications SaaS déployées dans les entreprises ne sont pas approuvées par l'IT (Zluri). 42 % des applications d'une entreprise type relèvent du shadow IT (Productiv). Gartner prédit que d'ici 2027, 75 % des collaborateurs utiliseront des technologies hors du contrôle de la DSI. Lorsqu'une organisation déploie une solution EASM, elle découvre typiquement 20 à 50 % d'actifs supplémentaires par rapport à son inventaire connu.
2.2 Prolifération des API et cloud multi-environnements
82 % des organisations se décrivent comme API-first en 2025 (Postman), pourtant seulement 10 % documentent intégralement leurs API. 68 % des organisations ont des API fantômes exposées (Cequence Security), et 57 % ont subi une brèche liée à leurs API en deux ans. Côté cloud, 92 % des entreprises utilisent des stratégies multi-cloud, mais 32 % des actifs cloud restent non surveillés, cachant en moyenne 115 vulnérabilités chacun (Orca Security).
2.3 L'explosion des CVE et l'effondrement du temps d'exploitation
L'année 2024 a vu la publication de 40 000 CVE, soit une hausse de 43 % par rapport à 2023. Le rythme a encore accéléré en 2025 avec 131 CVE par jour. Mais le chiffre le plus alarmant concerne le temps d'exploitation : il est tombé à 5 jours en moyenne (Google Threat Intelligence), contre 32 jours auparavant. Pour les vulnérabilités critiques des équipements périphériques, le Verizon DBIR 2025 constate un délai médian de zéro jour entre publication et exploitation massive.
Exploitation avant publication
32,1 % des vulnérabilités référencées au KEV (CISA) en H1 2025 étaient exploitées avant ou le jour même de leur publication CVE. 80 % des exploits sont publiés avant l'attribution du CVE correspondant, avec un écart moyen de 23 jours. Le scan ponctuel est mort, seule la surveillance continue EASM permet de suivre ce rythme.
Rapport 2025
Exploitation de vulnérabilités
Abus de credentials
Phishing
Verizon DBIR
✓ 20 % (+34 % YoY)
22 % (#1)
16 %
IBM X-Force
✓ 30 % (ex-æquo #1)
30 % (ex-æquo #1)
En baisse
Mandiant M-Trends
✓ 33 % (#1)
16 % (#2)
14 %
CrowdStrike
✓ 52 % des vulns
35 % (cloud)
+442 % vishing
Le constat est unanime : l'exploitation de vulnérabilités sur les actifs exposés a convergé avec, voire dépassé, l'abus de credentials comme vecteur d'intrusion initial n°1. L'exploitation des équipements périphériques (VPN, pare-feux, routeurs) a bondi de 3 % à 22 % des brèches liées aux vulnérabilités en un an, soit une hausse de 8x.
3. Brèches françaises : la preuve par les faits
La France a connu en 2024 des incidents de cybersécurité d'une ampleur sans précédent. Chacun de ces cas illustre directement la nécessité d'une solution EASM capable de détecter les actifs exposés avant les attaquants.
3.1 France Travail : 43 millions de personnes exposées
En mars 2024, des attaquants ont compromis des comptes d'accès externes de conseillers CAP EMPLOI par ingénierie sociale, accédant aux données de 43 millions d'individus, l'ensemble des demandeurs d'emploi inscrits sur 20 ans. La CNIL a constaté que France Travail avait identifié les mesures de sécurité nécessaires dans ses AIPD mais ne les avait pas mises en œuvre dans la pratique. Sanction : 5 millions d'euros (janvier 2026).
3.2 Viamedis et Almerys : 33 millions de Français touchés
En janvier-février 2024, les deux plus grands opérateurs de tiers payant français ont été compromis à quelques jours d'intervalle. Les portails externes destinés aux professionnels de santé ont été attaqués via phishing et identifiants volés. Impact : 33 millions de citoyens français concernés, près de la moitié de la population.
3.3 Free : 24 millions d'abonnés et 42 millions d'euros d'amende
En octobre 2024, le deuxième opérateur télécom français a été compromis via un VPN avec une authentification insuffisante. 24 millions de contrats d'abonnés ont été exposés, dont 5 millions d'IBAN. La CNIL a infligé des amendes de 27 millions d'euros à Free Mobile et 15 millions d'euros à Free, soit un total de 42 millions d'euros, pour insuffisance d'authentification VPN et détection d'anomalies inefficace.
Point commun de ces brèches
France Travail, Viamedis/Almerys et Free partagent le même schéma : un actif externe mal sécurisé (portail, VPN, interface d'accès) exploité comme point d'entrée initial. Une solution EASM aurait détecté ces expositions en continu, interfaces sans MFA, VPN mal configurés, portails accessibles publiquement, avant que les attaquants ne les exploitent.
3.4 Panorama complet de la menace française
Le baromètre CESIN 2026 (11ᵉ édition, 397 répondants) confirme cette tendance : 40 % des entreprises françaises ont subi au moins une cyberattaque significative en 2025. Les vecteurs principaux restent le phishing (55 %), l'exploitation de failles (41 %) et les attaques indirectes via tiers (35 %, et 43 % pour les grandes entreprises). Le vol de données est désormais la conséquence n°1 des attaques à 52 %. Côté hôpitaux, la part des incidents gérés par l'ANSSI est passée de 2,87 % en 2020 à 11,4 % en 2023.
4. NIS2, DORA, ANSSI : l'EASM comme obligation réglementaire
Le cadre réglementaire européen et français fait de l'EASM une quasi-obligation pour la majorité des organisations. Trois piliers convergent pour imposer la cartographie continue de la surface d'attaque.
4.1 NIS2, Loi Résilience : 15 000 entités concernées
La transposition de NIS2 en droit français s'effectue via le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Après adoption au Sénat en mars 2025 et examen à l'Assemblée nationale en septembre 2025, la promulgation est attendue au T1 2026. L'expansion du périmètre est massive : de ~500 entités sous NIS1 à 15 000-18 000 entités sous NIS2, incluant ~1 500 collectivités territoriales.
L'article 21 de NIS2 contient de multiples dispositions exigeant directement des capacités EASM : analyse des risques et politiques de sécurité (21.2.a), traitement et divulgation des vulnérabilités (21.2.e), évaluation de l'efficacité (21.2.f), gestion des actifs (21.2.i), et sécurité de la chaîne d'approvisionnement (21.2.d). Les sanctions atteignent 10 millions d'euros ou 2 % du CA mondial pour les Entités Essentielles.
4.2 DORA : déjà applicable pour le secteur financier
Le Digital Operational Resilience Act est directement applicable depuis le 17 janvier 2025. Supervisé par l'ACPR et l'AMF en France, DORA exige une cartographie exhaustive des actifs TIC, des évaluations régulières de vulnérabilités, des tests de pénétration pilotés par la menace (TLPT), et une surveillance continue des prestataires TIC tiers. DORA impose une notification d'incident sous 4 heures, plus strict que les 24 heures de NIS2. La maturité cyber du secteur financier français atteint 62,5 % (Wavestone), la plus élevée tous secteurs confondus.
4.3 L'ANSSI appelle explicitement à la gestion de la surface d'attaque
Le Panorama de la cybermenace 2024 de l'ANSSI rapporte 4 386 événements de sécurité (+15 %) et précise que plus de 50 % des opérations de cyberdéfense de l'agence impliquaient l'exploitation de vulnérabilités sur des équipements de bordure. La recommandation est explicite : "durcir et maintenir en condition de sécurité les systèmes informatiques (pare-feux, passerelles VPN, etc.) afin de réduire la surface d'attaque."
NIS2
Gestion des actifs
Article 21.2.i, inventaire et cartographie obligatoire des actifs numériques. Sanctions jusqu'à 10 M€ ou 2 % du CA.
DORA
Cartographie TIC
Cartographie exhaustive des actifs TIC, évaluation continue des vulnérabilités, notification d'incident sous 4 heures.
CRA
Signalement 24h
Dès septembre 2026, signalement à l'ENISA sous 24 heures des vulnérabilités activement exploitées. Application complète en décembre 2027.
Point critique : la certification ISO 27001 ne vaut pas conformité NIS2, l'ANSSI précise qu'elle ne couvre que 2 des 20 objectifs de sécurité. L'investissement de mise en conformité est estimé entre 450 000 et 880 000 € pour les Entités Essentielles, plus environ 10 % annuellement.
5. Pourquoi choisir une solution EASM française ?
La question de la souveraineté numérique n'est plus un débat théorique, elle est devenue un critère de sélection concret pour les RSSI et DSI français. Le baromètre CESIN 2026 révèle que 63 % des répondants expriment des préoccupations sur la souveraineté et le cloud de confiance (+11 points), tandis que 48 % identifient le risque lié aux lois extraterritoriales.
5.1 Le CLOUD Act : un risque structurel
Le CLOUD Act américain permet aux autorités US d'accéder aux données gérées par des entreprises américaines, quel que soit le lieu d'hébergement. La CNIL a rappelé à plusieurs reprises que des datacenters situés en Europe mais opérés par des fournisseurs américains ne protègent pas juridiquement les données des demandes judiciaires américaines. Or, la majorité des solutions EASM dominantes du marché, CrowdStrike Falcon Surface, Palo Alto Cortex Xpanse, Microsoft Defender EASM, Mandiant ASM, sont des solutions américaines.
83 % des dépenses numériques européennes vont à des acteurs étrangers, soit 264 milliards d'euros par an (Cigref 2025). 70 % du marché cloud européen est contrôlé par des fournisseurs non européens. Pour une solution EASM qui, par nature, cartographie l'intégralité des actifs exposés d'une organisation, IP, domaines, vulnérabilités, configurations, la question de qui opère cette solution et sous quelle juridiction est critique.
5.2 L'écosystème EASM français en plein essor
La France dispose d'un écosystème dynamique d'acteurs EASM souverains. Les startups françaises en cybersécurité ont levé 289 millions d'euros entre juin 2024 et mai 2025 (Wavestone/Bpifrance). Le baromètre NumSpot 2025 (Ifop) confirme que 43 % des décideurs du secteur public veulent éviter les lois extra-européennes et 40 % considèrent la qualification SecNumCloud comme la garantie ultime de confiance.
Critère
Solution EASM internationale
Solution EASM française
Juridiction des données
✗ Soumise au CLOUD Act
✓ Droit français et européen
Hébergement
~ Datacenters UE possibles
✓ France
Conformité RGPD
~ Garanties contractuelles
✓ Conforme nativement
Support et proximité
✗ Équipes anglophones
✓ Expertise locale, support FR
Connaissance réglementaire
~ Vision globale
✓ NIS2/DORA/ANSSI natif
6. L'approche EASM de Beareye : souveraine, continue, actionnable
Beareye propose une approche EASM qui répond simultanément aux enjeux techniques, réglementaires et souverains des organisations françaises. Conçue pour s'intégrer nativement dans le framework CTEM de Gartner, la plateforme couvre les cinq phases du cycle de gestion continue de l'exposition aux menaces.
6.1 Découverte continue et exhaustive
La plateforme Beareye opère une découverte outside-in permanente de l'ensemble de la surface d'attaque : énumération DNS, logs de transparence de certificats, données WHOIS/BGP, API de fournisseurs cloud, OSINT et crawling web. Cette approche permet de détecter les 20 à 50 % d'actifs inconnus que les organisations découvrent typiquement lors du déploiement d'une solution EASM, shadow IT, sous-domaines oubliés, instances cloud non documentées, API fantômes.
6.2 Priorisation contextuelle intelligente
Plutôt que de submerger les équipes avec des milliers d'alertes, Beareye intègre une priorisation contextuelle combinant scores EPSS, catalogue KEV de la CISA, intelligence sur les exploits actifs et contexte métier spécifique à l'organisation. Le rapport IBM 2025 rappelle que le coût moyen d'une brèche mondiale est de 4,44 millions de dollars et que 38 % des brèches impliquent des actifs non gérés, exactement l'angle mort que l'EASM adresse.
6.3 Souveraineté et conformité natives
En tant que solution EASM française, Beareye offre des garanties que les acteurs internationaux ne peuvent pas fournir : hébergement en France, immunité vis-à-vis du CLOUD Act, conformité native au RGPD, alignement direct avec les référentiels ANSSI, et support technique francophone. Dans un contexte où l'externalisation EASM a bondi à 22 % (contre 16 % l'année précédente selon le CESIN), disposer d'un partenaire souverain est un avantage compétitif et réglementaire.
L'avantage Beareye pour les RSSI français
En choisissant une solution EASM française comme Beareye, les organisations cochent simultanément trois cases critiques : visibilité technique sur l'ensemble de la surface d'attaque, conformité réglementaire NIS2/DORA/RGPD, et souveraineté numérique sans compromis sur les performances. Le risque cyber est suivi au niveau COMEX/CODIR dans 9 organisations sur 10, Beareye fournit les tableaux de bord décisionnels qui alimentent cette gouvernance.
Points clés à retenir
L'EASM est devenu le socle fondamental de la gestion de l'exposition, Gartner le positionne comme premier cas d'usage du framework CTEM
38 % des brèches impliquent des actifs inconnus ou non gérés, et l'exploitation des équipements périphériques a bondi de 8x en un an
Les brèches françaises majeures de 2024 (France Travail, Free, Viamedis) ont toutes exploité des actifs externes mal sécurisés
NIS2 (15 000+ entités), DORA et l'ANSSI imposent explicitement la cartographie des actifs et la réduction de la surface d'attaque
63 % des RSSI français s'inquiètent de la souveraineté, une solution EASM française élimine le risque CLOUD Act
Beareye combine découverte continue, priorisation contextuelle, intégration CTEM et souveraineté native pour les organisations françaises
FAQ
Questions fréquentes
L'EASM (External Attack Surface Management) est une discipline de cybersécurité qui consiste à découvrir, inventorier et évaluer en continu tous les actifs numériques d'une organisation exposés sur Internet. Contrairement aux scanners classiques, l'EASM adopte le point de vue de l'attaquant pour identifier les actifs inconnus, shadow IT, sous-domaines oubliés, API non documentées, services cloud non répertoriés. Le marché EASM représente 1,55 milliard de dollars en 2024 et croît de 33,5 % par an.
Une solution EASM française offre des garanties critiques : immunité vis-à-vis du CLOUD Act américain, hébergement des données en France, conformité native au RGPD, et alignement direct avec les référentiels ANSSI. Avec 63 % des RSSI français préoccupés par la souveraineté numérique et 48 % identifiant le risque extraterritorial, le choix d'un acteur souverain comme Beareye élimine un risque juridique structurel tout en maintenant le niveau technique requis.
Si le terme "EASM" n'apparaît pas explicitement dans NIS2 ou DORA, les exigences qu'ils imposent rendent ces capacités quasi-obligatoires. L'article 21 de NIS2 exige la gestion des actifs (21.2.i), le traitement des vulnérabilités (21.2.e) et la sécurité de la chaîne d'approvisionnement (21.2.d). DORA impose une cartographie exhaustive des actifs TIC. L'ANSSI recommande explicitement de "réduire la surface d'attaque" des équipements de bordure. Une solution EASM est le moyen le plus direct de répondre à ces obligations.
Ces trois approches sont complémentaires. L'EASM découvre tous les actifs exposés sans connaissance préalable de l'inventaire, y compris les inconnus. Le scanner de vulnérabilités ne vérifie que les cibles préalablement configurées. Le pentest tente d'exploiter activement les failles d'un périmètre défini. Seul l'EASM couvre la découverte des actifs inconnus, opère en continu (vs ponctuel pour le pentest), et est non intrusif. Les organisations découvrent typiquement 20 à 50 % d'actifs supplémentaires lors du déploiement d'un EASM.
Gartner positionne l'EASM comme le premier cas d'usage prioritaire du CTEM (Continuous Threat Exposure Management). Le cycle CTEM comprend 5 étapes : Scoping, Discovery, Prioritization, Validation et Mobilization. L'EASM est la technologie principale de la phase Discovery et contribue au Scoping. Gartner prédit que les organisations adoptant le CTEM seront 3 fois moins susceptibles de subir une brèche. Beareye couvre les 5 phases en intégrant découverte, priorisation contextuelle et workflows de remédiation.
L'ANSSI estime l'investissement de mise en conformité NIS2 entre 450 000 et 880 000 euros pour les Entités Essentielles, plus environ 10 % annuellement pour le maintien. La certification ISO 27001 ne suffit pas, l'ANSSI indique qu'elle ne couvre que 2 des 20 objectifs de sécurité NIS2. Les sanctions en cas de non-conformité atteignent 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Le déploiement d'une solution EASM comme Beareye adresse directement plusieurs objectifs NIS2, optimisant le ratio coût/conformité.
Passez à l'action
Découvrez ce que les attaquants voient de votre organisation
83 % des organisations ne connaissent pas l'ensemble de leurs actifs exposés. Avec Beareye, obtenez une cartographie complète et continue de votre surface d'attaque, en souveraineté totale. Nos experts vous accompagnent de la découverte initiale à la mise en conformité NIS2 et DORA.
