La plupart des entreprises suisses ne connaissent pas entièrement leur surface d’attaque numérique. Des sous-domaines oubliés, des ressources cloud hors du contrôle de l’IT et le Shadow IT créent des angles morts que les attaquants exploitent méthodiquement. Dans cet article, nous expliquons ce que signifie External Attack Surface Management (EASM), pourquoi la surface d’attaque externe croît plus vite que les budgets de sécurité et quelles étapes concrètes les CISO et les conseils d’administration devraient désormais prioriser.
📑 Sommaire
Qu’est-ce que External Attack Surface Management? · Votre surface d’attaque numérique a des angles morts: Shadow IT, cloud et actifs oubliés · Contexte des menaces en Suisse: chiffres et incidents · Comment l’EASM rend la surface d’attaque numérique visible · Pourquoi la gestion classique des vulnérabilités ne suffit plus · Recommandations d’action pour les CISO et les conseils d’administration · Questions fréquentes
Qu’est-ce que External Attack Surface Management? Définition et mise en perspective
External Attack Surface Management (EASM) désigne une démarche visant à détecter, classer et surveiller en continu la surface d’attaque numérique d’une entreprise. Elle couvre notamment les serveurs web, les API, les instances cloud, les passerelles de messagerie, les accès VPN, les sous-domaines, les plages IP et, de plus en plus, les appareils IoT. Point décisif: l’EASM opère depuis l’extérieur, donc du point de vue d’un attaquant potentiel. Par conséquent, il met aussi au jour des actifs que l’IT interne ignore.
Contrairement à la gestion classique des vulnérabilités, qui analyse des systèmes connus, l’EASM répond à une question plus fondamentale: quelle infrastructure numérique mon entreprise possède-t-elle réellement et laquelle est exposée? Or, à l’heure où les organisations élargissent leur paysage IT par la migration vers le cloud, les acquisitions et des équipes décentralisées, cette question devient centrale.
La surface d’attaque externe comprend tout ce qu’un attaquant peut voir depuis Internet
Pourquoi l’EASM est pertinent pour toute entreprise suisse
La Suisse figure parmi les économies les plus interconnectées au monde. Les services financiers, la pharma, l’industrie, le secteur public et un tissu dynamique de PME exploitent une infrastructure numérique toujours plus complexe. Or, selon Check Point, la Suisse a enregistré au premier trimestre 2025 la plus forte hausse relative des cyberattaques dans le monde: +113 % sur un an, avec en moyenne 1’279 attaques par semaine et par organisation.
L’équation est simple: plus la surface d’attaque numérique est vaste et peu contrôlée, plus les attaquants disposent de points d’entrée. L’EASM rend ces points d’entrée visibles, donc plus tôt qu’une compromission.
Votre surface d’attaque numérique a des angles morts: Shadow IT, cloud et actifs oubliés
Le principal défi, lorsqu’il s’agit d’identifier votre surface d’attaque numérique, ne consiste pas à protéger des systèmes connus. Il s’agit, bien plutôt, de trouver ceux qui ne le sont pas. Dans presque toute organisation, des actifs numériques échappent au contrôle formel de l’IT. Les causes varient, cependant les conséquences convergent: chaque actif inconnu constitue un point d’entrée potentiel et accroît votre cyber-risque.
Shadow IT: quand les métiers créent leur propre infrastructure
Des équipes marketing qui mettent en place, de manière autonome, des landing pages chez des fournisseurs cloud. Des développeurs qui créent des environnements de test dans AWS ou Azure et ne les éteignent pas après le projet. Des départements qui utilisent des services SaaS sans validation de l’IT. Tout cela alimente un Shadow IT en croissance, absent du registre central des actifs. Les études montrent que les entreprises disposent, en moyenne, de 30 à 40 % d’actifs accessibles de l’extérieur en plus de ce que leur département IT a documenté. Or ces systèmes «oubliés» ne sont ni patchés ni surveillés. Ils deviennent donc particulièrement vulnérables.
Prolifération du cloud: les erreurs de configuration comme problème chronique
Les environnements cloud sur AWS, Microsoft Azure et Google Cloud Platform croissent de façon organique. De nouveaux services sont provisionnés rapidement, toutefois les configurations de sécurité ne sont pas toujours appliquées avec rigueur. Des buckets de stockage accessibles publiquement, des bases de données exposées et des interfaces d’administration non protégées ne sont pas rares. Selon les principaux fournisseurs de sécurité cloud, jusqu’à 80 % des incidents dans le cloud proviennent d’erreurs de configuration, et non de méthodes d’attaque sophistiquées. L’attaquant n’a donc souvent pas besoin d’être expert. Il lui suffit de chercher systématiquement des portes ouvertes.
Systèmes oubliés et orphelins: des héritages qui coûtent cher
Les fusions, les acquisitions et les réorganisations laissent des traces numériques. D’anciens webshops, des portails remplacés, des serveurs de test issus de projets de migration et des domaines d’ex-filiales restent souvent actifs pendant des années, sans responsable clairement identifié. S’y ajoutent des certificats SSL qui expirent et déclenchent des alertes dans le navigateur, des installations CMS obsolètes avec des vulnérabilités connues et des endpoints API toujours accessibles après la clôture d’un projet. Ces héritages attirent particulièrement les attaquants, car ils présentent en général la maturité de sécurité la plus faible.
Contexte des menaces en Suisse: pourquoi analyser votre surface d’attaque numérique dès maintenant
La Suisse se trouve dans le viseur de la cybercriminalité internationale, et les chiffres parlent d’eux-mêmes. Les évolutions suivantes montrent pourquoi la maîtrise de sa propre surface d’attaque numérique est, aujourd’hui, décisive.
+113 % de cyberattaques en Suisse au T1 2025 par rapport à l’an passé: la plus forte hausse relative au monde selon Check Point Research. En moyenne, 1’279 tentatives d’attaque par semaine et par organisation ont été enregistrées.
222 notifications obligatoires au BACS durant la première année de l’obligation de déclaration pour les infrastructures critiques (depuis le 1er avril 2025). Cela représente presque une annonce par jour, et le chiffre réel est probablement plus élevé.
175 cyber-incidents confirmés en Suisse rien qu’en 2024, traçables via des sites de fuite du Darknet et des forums clandestins. Les secteurs les plus touchés: biens de consommation, technologie, industrie manufacturière et services financiers.
58 organisations suisses ont été confirmées comme victimes de Ransomware en 2025. Les groupes les plus actifs en Suisse sont actuellement Akira, Qilin et Play.
Il existe un lien direct avec la surface d’attaque numérique: les groupes de Ransomware et leurs fournisseurs, appelés Initial Access Broker, recherchent de manière ciblée des systèmes exposés, des accès RDP ouverts, des passerelles VPN non patchées et des applications web oubliées. Ainsi, une surface d’attaque non maîtrisée n’est pas une faiblesse théorique. Elle constitue, au contraire, la porte d’entrée la plus fréquente lors d’incidents réels.
Un exemple parlant des conséquences d’un contrôle externe insuffisant est fourni par l’incident Xplain de 2023: chez le prestataire informatique bernois pour des autorités fédérales, 1,3 million de fichiers ont été dérobés par le groupe Play. 65’000 documents concernaient l’administration fédérale, dont des pièces classifiées. L’affaire a déclenché un examen approfondi de tous les contrats IT des fournisseurs de la Confédération et a durablement érodé la confiance.
Comment l’EASM rend la surface d’attaque numérique visible: de la découverte à la priorisation
External Attack Surface Management moderne fonctionne en quatre phases successives. Ensemble, elles forment un cycle continu. De ce fait, la surface d’attaque numérique devient visible, évaluable et pilotable.
Phase 1, Discovery (découverte): les solutions EASM scannent l’ensemble d’Internet à la recherche d’actifs pouvant être rattachés à votre entreprise. Cela inclut les entrées DNS, les données WHOIS, les certificats SSL, les IP ranges, les services cloud et les dépôts de code publics. Le point clé est le suivant: des actifs absents de l’inventaire officiel sont également détectés, par exemple via le reverse DNS lookup, les logs de transparence des certificats et l’apprentissage automatique pour l’attribution.
Phase 2, inventaire et attribution: tous les actifs détectés sont rattachés à l’entreprise, catégorisés (serveur web, passerelle mail, API, IoT, etc.) puis inventoriés. Par ailleurs, les solutions avancées identifient aussi les fournisseurs cloud, les lieux d’hébergement et les dépendances techniques.
Phase 3, évaluation du risque et priorisation: chaque actif est évalué selon son exposition. Y a-t-il des vulnérabilités connues? Le logiciel est-il obsolète? Les configurations sont-elles erronées? Les standards de sécurité sont-ils respectés? Ensuite, cette évaluation est enrichie d’une forme de Threat Intelligence, donc de l’analyse des vecteurs effectivement exploités. Enfin, la priorisation tient compte de la criticité métier.
Phase 4, monitoring et alerting: la surface d’attaque évolue chaque jour. C’est pourquoi l’EASM opère en continu et alerte en cas de nouvelle exposition, d’évolution du niveau de risque ou d’apparition d’actifs dans des contextes de menace, par exemple sur des places de marché du Darknet ou dans des logs d’Infostealer.
La valeur de cette approche réside dans la perspective externe: l’EASM ne montre pas comment vous percevez votre IT, mais comment un attaquant voit votre surface d’attaque numérique. Or cette perspective est indispensable au pilotage stratégique de votre cyber-risque.
Pourquoi la gestion classique des vulnérabilités ne suffit plus
De nombreuses entreprises s’appuient sur des processus éprouvés: scans réguliers, Penetration Test et gestion des correctifs. Ces instruments restent importants. Cependant, ils présentent un angle mort structurel: ils ne peuvent analyser que ce qui est connu.
Approches classiques vs EASM: quatre différences décisives
Périmètre: la gestion classique des vulnérabilités scanne des IP ranges et des hôtes définis. L’EASM explore l’ensemble d’Internet à la recherche de votre entreprise et découvre aussi des actifs inconnus.
Perspective: les scanners de vulnérabilités fonctionnent en interne (inside-out). L’EASM opère en externe (outside-in), donc du point de vue de l’attaquant.
Fréquence: les Penetration Test ont lieu à des intervalles plutôt longs. En revanche, le monitoring EASM fonctionne en continu, donc quotidiennement ou en temps réel.
Couverture: les outils internes ne couvrent que l’infrastructure gérée. L’EASM inclut aussi le Shadow IT, les ressources cloud sans rattachement central, les héritages liés aux fusions et acquisitions, ainsi que les services hébergés à l’externe.
Cela ne signifie pas que l’EASM remplace les outils de sécurité classiques. Au contraire, il les complète par une dimension décisive: une vision complète de la surface d’attaque numérique externe de votre entreprise. Dès lors qu’une organisation sait quels actifs sont exposés, elle peut prioriser avec discernement ceux qui doivent être sécurisés en premier.
Recommandations d’action pour les CISO et les conseils d’administration
La maîtrise de la surface d’attaque numérique n’est pas une tâche purement technique. Elle touche à la gouvernance, aux choix budgétaires et à la manière dont une entreprise pilote son cyber-risque. Les mesures suivantes devraient donc être priorisées dès maintenant.
Mesures recommandées, de l’inventaire à l’intégration au niveau du conseil d’administration
1) Établir une cartographie complète initiale de la surface d’attaque externe: réalisez une première phase de Discovery EASM. Ensuite, comparez les résultats avec votre inventaire connu. L’écart entre systèmes connus et systèmes inconnus accessibles depuis l’extérieur donne un premier indicateur de l’ampleur du problème.
2) Traiter systématiquement le Shadow IT et le cloud: mettez en place un processus où les nouvelles ressources cloud ne sont provisionnées qu’avec enregistrement central. Impliquez les métiers. Non pas comme instance de contrôle, mais comme partenaires d’un self-service sécurisé. Par ailleurs, les outils EASM aident à révéler le Shadow IT existant et à le surveiller en continu.
3) Prioriser les risques, pas seulement les lister: toutes les expositions ne se valent pas. Utilisez des solutions qui priorisent les vulnérabilités selon le contexte, à partir de la criticité des actifs, de l’exploitabilité active et de la Threat Intelligence. Ainsi, vous réduisez l’alert fatigue et concentrez vos ressources sur l’essentiel.
4) Préférer un monitoring continu aux audits ponctuels: la surface d’attaque numérique change chaque jour. Les Pentest annuels et les scans trimestriels ne suffisent plus. Investissez donc dans un monitoring EASM continu, capable de détecter et de signaler les changements en temps réel.
5) Ancrer la surface d’attaque comme sujet au conseil d’administration: appuyez-vous sur des données EASM et sur des Security Ratings pour présenter la situation de cyber-risque dans une langue compréhensible. Des indicateurs comme le nombre d’actifs exposés, l’évolution du risque dans le temps et un benchmarking sectoriel permettent des décisions informées au niveau de la direction.
6) Se préparer aux obligations de notification: depuis le 1er avril 2025, la Suisse impose une obligation de déclaration en 24 heures pour les cyberattaques visant des infrastructures critiques. Une vision complète de votre surface d’attaque numérique constitue la condition pour détecter rapidement un incident, le qualifier et le déclarer dans les délais.
Conclusion
La surface d’attaque numérique de votre entreprise est très probablement plus large que vous ne l’imaginez. Le Shadow IT, la prolifération du cloud et les systèmes orphelins créent des angles morts que les attaquants recherchent puis exploitent. Dans une Suisse qui a connu en 2025 la plus forte hausse mondiale des cyberattaques et où les exigences réglementaires se sont durcies avec l’obligation de déclaration, la maîtrise de la surface d’attaque externe n’est plus une option. C’est une nécessité.
External Attack Surface Management apporte la perspective externe que les instruments classiques ne peuvent pas offrir. Il rend visible ce que voient les attaquants. Par conséquent, il vous permet de prendre des décisions solides et priorisées au niveau du CISO et du conseil d’administration.
Mieux connaître votre surface d’attaque externe
Vous souhaitez savoir quelle est l’ampleur réelle de votre surface d’attaque externe et où se situent les principaux risques? En tant que partenaire de conseil en intelligence du cyber-risque, nous vous accompagnons dans une première analyse EASM, dans l’évaluation de votre exposition et dans la mise en place d’une stratégie de monitoring durable.
🎯 Points clés pour les décideurs
Résumé pour le conseil d’administration, la direction et le CISO:
✓ La surface d’attaque numérique est plus grande que prévu: 30 à 40 % des actifs accessibles depuis l’extérieur ne sont généralement pas connus de l’IT.
✓ La Suisse est une cible: +113 % de cyberattaques au T1 2025, 222 notifications obligatoires la première année de l’obligation BACS, 58 victimes de Ransomware confirmées en 2025.
✓ L’EASM complète, il ne remplace pas: External Attack Surface Management comble la lacune que la gestion classique des vulnérabilités et le Pentesting laissent ouverte.
✓ Continu plutôt que ponctuel: les audits annuels ne suffisent plus, car la surface d’attaque change chaque jour.
✓ Un sujet de conseil d’administration: les données EASM et les Security Ratings créent un langage commun entre la sécurité IT et la direction de l’entreprise.
Questions fréquentes: FAQ sur External Attack Surface Management
Qu’est-ce que External Attack Surface Management (EASM)?
External Attack Surface Management désigne la détection, l’inventaire et la surveillance continus de tous les actifs numériques accessibles depuis Internet d’une entreprise. L’EASM opère du point de vue d’un attaquant et met au jour des systèmes inconnus comme le Shadow IT, des sous-domaines oubliés et des ressources cloud, tout en évaluant leur risque.
Quelle est la différence entre l’EASM et la gestion classique des vulnérabilités?
La gestion des vulnérabilités scanne des systèmes connus et gérés afin d’identifier des failles. L’EASM franchit une étape supplémentaire: il découvre d’abord tous les actifs accessibles depuis l’extérieur, y compris ceux qui sont inconnus, puis il évalue leur risque. Ainsi, l’EASM complète la gestion des vulnérabilités par une perspective «outside-in» et comble une lacune critique de l’architecture de sécurité.
L’EASM est-il pertinent aussi pour les PME suisses?
Oui. Les PME disposent souvent d’une surface d’attaque externe étonnamment vaste, qu’il faut surveiller avec des ressources IT limitées. Par conséquent, les PME suisses sont de plus en plus ciblées par des attaques de Ransomware, car les attaquants y anticipent des mesures de protection plus faibles. L’EASM permet d’identifier les principales expositions à un effort raisonnable, puis de les traiter de manière ciblée.
Quel est le lien entre l’EASM et l’obligation de déclaration en Suisse?
Depuis le 1er avril 2025, les opérateurs d’infrastructures critiques doivent déclarer les cyberattaques au BACS dans un délai de 24 heures. Une visibilité complète sur sa propre surface d’attaque numérique est nécessaire pour détecter rapidement un incident, le qualifier et le déclarer dans les délais. Sans EASM, la base d’une Incident Detection efficace fait souvent défaut, notamment lorsque les actifs touchés n’étaient pas connus de l’IT.
