Les 5 composantes d'une surface d'attaque externe en 2025
Quand les équipes sécurité pensent à leur surface d'attaque externe, elles pensent d'abord aux domaines et aux adresses IP. C'est nécessaire — mais loin d'être suffisant. En 2025, une surface d'attaque externe complète se décompose en 5 composantes distinctes, chacune avec ses propres risques et ses propres méthodes de cartographie.
Composante 1 : L'infrastructure réseau exposée
La première composante, la plus visible, comprend tout ce qui est directement accessible sur Internet :
- Domaines et sous-domaines (y compris les oubliés depuis des années)
- Adresses IP publiques et plages réseau
- Services exposés : HTTP/S, RDP, SSH, FTP, bases de données
- Infrastructures cloud : buckets S3 ouverts, instances EC2, fonctions Lambda
Risque principal : Les services exposés non nécessaires représentent 43% des points d'entrée des ransomwares (Sophos 2024).
Composante 2 : Les applications et APIs
La deuxième composante est souvent sous-estimée :
- Applications web : portails clients, espaces RH, outils métier
- APIs REST et GraphQL publiques ou semi-publiques
- Webhooks et endpoints d'intégration
- Applications mobiles qui exposent des endpoints backend
Problème fréquent : Des APIs développées pour un usage interne se retrouvent exposées sur Internet sans authentification après une migration cloud.
Composante 3 : Les certificats et la PKI
Les certificats SSL/TLS sont un vecteur de risque méconnu :
- Certificats expirés : les navigateurs affichent des erreurs, les utilisateurs cliquent « continuer »
- Certificats avec algorithmes faibles (SHA-1, RSA 1024 bits)
- Certificats mal configurés : wildcard excessifs, SANs non maîtrisés
- Transparence des certificats : les journaux CT révèlent vos sous-domaines aux attaquants
Composante 4 : L'empreinte numérique et les fuites
Cette composante est invisible depuis l'intérieur mais criante depuis l'extérieur :
- Credentials exposés : emails et mots de passe dans des bases de données compromises
- Code source public : repositories GitHub avec tokens, clés API ou mots de passe
- Documents sensibles : fichiers PDF, Excel indexés par Google contenant des infos internes
- Métadonnées : informations techniques dans les headers HTTP, les fichiers robots.txt
Composante 5 : Le shadow IT et les actifs tiers
La composante la plus difficile à maîtriser :
- Shadow IT : applications utilisées sans validation IT (SaaS, GenAI)
- Actifs des filiales : les acquisitions apportent leur propre surface d'attaque
- Tiers et fournisseurs : un fournisseur compromis peut servir de pivot
- Domaines similaires : typosquatting, domains de phishing ciblant vos clients
Comment l'EASM couvre les 5 composantes
| Composante | Méthode de découverte | Profil de scan |
|---|---|---|
| Infrastructure réseau | Scan actif + passif | Full Scan, CVE |
| Applications et APIs | Crawl web | OWASP Top 10 |
| Certificats | Monitoring CT logs | Crawl Only |
| Empreinte numérique | OSINT, HaveIBeenPwned | Credential monitoring |
| Shadow IT / Tiers | DNS pivoting | Discovery scan |
Conclusion
Maîtriser sa surface d'attaque externe, c'est surveiller ces 5 composantes simultanément et en continu. Une solution EASM comme Breach Atlas automatise cette surveillance de bout en bout, sans angle mort.
Mots-clés : composantes surface attaque externe, EASM composantes, APIs exposées risques, shadow IT surface attaque, certificats SSL risques, empreinte numérique sécurité