Qu’est-ce que l’EASM (External Attack Surface Management) ?

Les opérations qui permettent d’identifier, cartographier et surveiller en continu les actifs numériques visibles depuis l’extérieur, afin de prévenir les intrusions avant qu’elles ne se produisent, portent le nom de Gestion de l’Exposition Externe, ou à internet, en anglais : EASM (External Attack Surface Management). 

Dans une actualité où la menace cyber n’est plus une éventualité mais une réalité quotidienne, les établissements sanitaires, médico-sociaux et les SDIS (Services Départementaux d’Incendie et de Secours) doivent comme toutes les organisations exposées se poser une question essentielle : « Que voit un attaquant lorsqu’il regarde ce que notre organisation présente sur Internet ? »  

Une partie importante des efforts de cybersécurité est focalisée sur ce qui se passe à l’intérieur : mise à jour des logiciels, gestion des droits d’accès. Mais une grande partie des causes du risque vient de ce qui est exposé à l’extérieur : un site web mal sécurisé, un serveur oublié sur Internet, une API non protégée. Ces éléments forment ce qu’on appelle la « surface d’attaque externe ».  

C’est ici qu’intervient l’EASM, la gestion de la surface d’attaque externe. Cette pratique de la cybersécurité est un fondamental qui permet de prendre du recul, d’analyser objectivement tout ce que votre structure expose à Internet, volontairement ou non. Elle permet surtout d’agir avant qu’un attaquant ne le fasse.  

Qu’est-ce que l’EASM ?

Avant de pouvoir sécuriser ce qui est exposé à Internet, encore faut-il en avoir pleinement connaissance. C’est précisément l’objectif de l’EASM : offrir une visibilité claire, complète et en temps réel de tout ce que votre organisation rend accessible depuis l’extérieur, parfois sans le savoir.

Activités essentielles de l’EASM

L’EASM consiste à détecter, analyser, surveiller et sécuriser tous les composants numériques exposés à Internet par une organisation. Cela comprend les serveurs web, les applications, et leurs noms de domaine, les interfaces de programmation (API), les certificats (SSL de chiffrement des échanges), les services cloud, les adresses IP, les ports ouverts, etc.

L’idée est simple : pour pouvoir se défendre, il faut savoir ce que l’on expose. Or, dans le quotidien des établissements, des éléments numériques sont déployés sans être correctement référencés, sécurisés ou même connus du service informatique central. C’est ce qu’on appelle dans ce dernier cas le shadow IT.

L’EASM a pour but de répondre à ce défi. Il s’appuie sur des outils et des méthodes automatisés pour cartographier cette surface d’attaque externe en continu, et générer des alertes en cas d’évolution inattendue ou de vulnérabilité critique détectée.

Ce que l’EASM apporte aux moyens de contrôle de la cybersécurité

Contrairement aux audits de sécurité ponctuels, qui offrent une photographie à un instant T, l’EASM fonctionne en mode continu. Il surveille jour après jour les changements dans l’exposition de votre organisation, détecte de nouveaux actifs mis en ligne, identifie les failles potentielles avant qu’elles ne soient exploitées. Ce fonctionnement en temps réel représente un véritable changement de paradigme dans la gestion du risque cyber.

Autre particularité, l’EASM fournit une vision externe. Là où d’autres outils de sécurité scrutent l’intérieur du système d’information, l’EASM se place dans la peau d’un attaquant potentiel. Que voit-on depuis l’extérieur ? Qu’est-ce qui est accessible sans authentification ? Quelles versions de logiciels ou de services sont visibles et exploitables ? Cette approche permet d’anticiper plutôt que de réagir.

Les composantes fondamentales du processus d’EASM

La gestion efficace de la surface d’attaque externe repose sur un processus structuré en plusieurs étapes clés. Il s’agit d’abord de découvrir précisément ce qui est exposé, puis d’évaluer les vulnérabilités associées. Ces deux premiers piliers forment la base d’une démarche EASM robuste pour mettre en place une surveillance continue capable de détecter et alerter en temps réel les établissements face aux menaces potentielles, et leur permettre de remédier à la situation.

La découverte des actifs exposés

La première étape d’une démarche EASM consiste à réaliser une cartographie complète des actifs numériques visibles depuis Internet (2). Cette phase de découverte s’appuie sur des outils de scan automatisés. Ceux-ci vont interroger les bases de données DNS (Domain Name System) (3), explorer les sous-domaines, identifier les adresses IP publiques associées à l’organisation, analyser les certificats SSL et détecter les ports ouverts ou les services en écoute.

Il est courant de découvrir des actifs totalement oubliés : un ancien extranet non désactivé, une base de données de test restée accessible, une interface de gestion laissée en ligne après une maintenance. Ces éléments constituent des points d’entrée possibles pour un attaquant.

L’évaluation de l’exposition et des vulnérabilités

Une fois les actifs identifiés, il faut les évaluer. Cela passe par l’analyse des versions de logiciels utilisées, la détection de failles connues (CVE – Common Vulnerabilities and Exposures), l’identification de ports ouverts inutiles ou de services exposés sans authentification. Ces démarches, et notamment l’analyse de vulnérabilités, font l’objet de guides méthodologiques émis par l’Agence Nationale de la Sécurité des Systèmes d’Information [ANSSI] (4).

L’évaluation ne s’arrête pas aux aspects techniques. Elle prend aussi en compte le contexte métier. Un serveur exposé qui héberge des données de santé ou qui alimente une interface de secours opérationnelle représente un risque plus critique qu’un simple site vitrine.

L’EASM permet ainsi de prioriser les risques à traiter : tous les éléments exposés ne représentent pas le même niveau de sensibilité. Il est donc indispensable de savoir où concentrer les efforts de sécurisation.

Priorités de l’EASM en établissements de santé

Dans le cadre des établissements de santé, un EASM doit prioriser la sécurité des données sensibles et la continuité des soins, exposés via ces supports :

• Les serveurs web et applications accessibles publiquement, tels que les portails patients ou plateformes de téléconsultation, très réglementées, qui hébergent souvent des données de santé critiques (5) ;
• Les interfaces de connexion ou d’administration à distance (VPN, Virtual Private Network, un réseau privé virtuel sécurisé permettant un accès distant ; RDP, Remote Desktop Protocol, protocole d’accès à un bureau à distance ; SSH, Secure Shell, protocole sécurisé d’accès à distance en ligne de commande). Si elles sont mal protégées, celles-ci peuvent entraîner une compromission totale du système d’information ;
• Les bases de données et serveurs de stockage, particulièrement sensibles car ils contiennent des informations médicales et administratives confidentielles ;
• Les API (Interfaces de Programmation d’Applications), utilisées pour interconnecter les systèmes hospitaliers. Elles peuvent constituer des points d’entrée vulnérables si mal sécurisées ;
• Les certificats SSL et configurations réseau, dont l’analyse garantit que les communications sont bien chiffrées et que les ports ouverts ne laissent pas de services vulnérables ou non sécurisés accessibles ;
• Le shadow IT, c’est-à-dire, pour rappel, les ressources numériques déployées sans contrôle de la Direction des Systèmes d’Information (DSI), qui peuvent présenter des failles non visibles mais critiques.

Priorités spécifiques à un SDIS pour l’EASM

Dans un SDIS, la priorité est donnée à la continuité opérationnelle des secours et à la protection des infrastructures critiques qui assurent la coordination des interventions d’urgence. Ainsi, l’EASM doit se concentrer en premier lieu sur :

• Les systèmes de communication et de dispatching accessibles depuis l’extérieur (centres d’appel, plateformes d’alerte, logiciels de gestion des interventions).
• Les accès distants sécurisés (VPN, RDP, SSH) utilisés par les équipes pour accéder aux systèmes depuis différents sites ou véhicules, qui sont des points d’entrée sensibles s’ils sont mal protégés.
• Les serveurs hébergeant des données sensibles, notamment les informations sur les interventions, les ressources matérielles, et les données personnelles des agents, qui doivent rester strictement confidentielles.
• Les équipements IoT (Internet des Objets) et systèmes embarqués dans les véhicules ou infrastructures, qui peuvent être exposés et servir de point d’entrée aux attaques si non correctement surveillés.
• Les interfaces web publiques telles que les sites d’information ou portails citoyens, qui doivent être sécurisés pour éviter les attaques de déni de service (DDoS). Celles-ci peuvent nuire à la crédibilité et la communication du service.
• Le shadow IT, car les équipes opérationnelles peuvent déployer des outils sans passer par la DSI, ce qui crée des failles invisibles et non contrôlées.

La surveillance continue et les alertes

Le troisième et dernier pilier de l’EASM est la surveillance en continu. Les environnements numériques évoluent sans cesse. Un nouveau service peut être mis en ligne par une équipe métier sans coordination avec l’IT. Un certificat peut expirer, un mot de passe être compromis, une vulnérabilité zero-day (faille non encore corrigée) apparaître du jour au lendemain.

L’EASM déclenche des alertes systématiques en cas de détection d’un changement significatif, d’un nouveau point d’exposition ou d’une faille critique. Ces alertes doivent être intégrées dans le processus opérationnel de cybersécurité de l’établissement, avec des mécanismes de remédiation adaptés.

Mettre en œuvre une stratégie EASM dans son établissement

Étape 1 : réaliser une cartographie initiale

La première étape consiste à effectuer un état des lieux complet. Cette cartographie doit être faite à la fois de manière déclarative (ce que les équipes IT savent déjà) et outillée (ce que les outils de découverte et de scan révèlent).

Étape 2 : mettre en place une surveillance continue

La cartographie ne suffit pas. Il faut ensuite définir et configurer le dispositif qui permet de surveiller en permanence et d’analyser au besoin l’évolution des actifs exposés. Ce dispositif doit générer des alertes claires, exploitables, avec des niveaux de criticité. Ces niveaux dépendent d’échelles de 3 à 5 niveaux, en fonction des méthodologies utilisées (comme la très connue Common Vulnerability Scoring System SIG de l’organisation américaine First) (8). Il est crucial que ces alertes soient traitées rapidement : une faille critique laissée ouverte plusieurs jours est une brèche majeure. Cela implique donc une intégration avec les processus existants.

Étape 3 : formaliser les réponses et la remédiation

Car il ne suffit pas d’identifier les risques et d’alerter : Il faut aussi être en mesure de corriger rapidement. Pour cela, chaque organisation doit se doter d’une procédure de remédiation adaptée aux assets impliqués et connue de tous les acteurs concernés. Une telle procédure garantit que les vulnérabilités détectées ne restent pas ouvertes plusieurs jours, voire semaines, faute de coordination ou de clarté dans la répartition des rôles. Elle prévoit des processus minimums clairs : Qui intervient ? Sous quel délai ? Sous quelle autorité et avec quel reporting ?

Conclusion : l’EASM, une évidence stratégique

L’EASM n’est pas un luxe. C’est une brique de sécurité proactive fondamentale. Pour les organisations exposées, la gestion de la surface d’attaque externe est une condition de maitrise numérique.

Dans un contexte où la pression de la menace augmente, la capacité à voir ce que l’on expose est un facteur déterminant de sécurité, de continuité, de conformité et de confiance.

Sources officielles

1. Cyberdico de l’ANSSI
2. Guide ANSSI pour cartographier les SI
3. Traitement de données de santé à caractère personnel dans le RGPD
4. Recommandations ANSSI relatives aux DNS
5. Guide ANSSI sur la recherche des vulnérabilités publiques et génériques
6. Téléconsultation : réglementation et référentiel
7. Common Vulnerability Scoring System SIG de l’organisation américaine First
8. PSSI (Politique de Sécurité des Systèmes d’Information)