Les 5 composantes d’une surface d’attaque externe en 2025

Beaucoup d'organisations réduisent leur surface d'attaque à leur site web principal. C'est une erreur fatale. En réalité, la surface d'attaque externe d'une entreprise moderne comprend 5 grandes composantes que les attaquants explorent systématiquement.

Composante 1 : Les actifs réseau exposés

Il s'agit de la couche la plus visible depuis Internet :

Adresses IP publiques : serveurs web, serveurs mail, passerelles VPN
Plages IP (ASN) : blocs d'adresses enregistrés à votre nom
Ports et services : RDP (3389), SSH (22), RDP, Telnet, FTP
Protocoles exposés : SMTP, IMAP, SMB accessibles depuis Internet

⚠️ Fait : Shodan indexe en moyenne 11 nouveaux services vulnérables par organisation et par mois.

Composante 2 : Les actifs web et applicatifs

La composante la plus complexe à maîtriser :

Type d'actif	Exemples	Risques principaux
Domaines principaux	example.com, example.fr	Phishing, typosquatting
Sous-domaines	api.example.com, old.example.com	Subdomain takeover, contenus obsolètes
Applications web	CRM, ERP, portails RH	Injection, auth bypass
APIs	REST, GraphQL, SOAP	Exposition de données, BOLA
Certificats SSL	Tous les certificats émis	Expiration, autorités douteuses

Le problème des sous-domaines oubliés

Une organisation de taille moyenne possède en moyenne 300 à 500 sous-domaines actifs. Lors d'une migration ou d'un changement de prestataire, les anciens enregistrements DNS ne sont pas toujours supprimés, créant des risques de subdomain takeover.

Composante 3 : Les services cloud et SaaS

La migration cloud a démultiplié la surface d'attaque :

Buckets S3 / Blob Azure / GCS mal configurés (accidentellement publics)
Instances cloud sans protection adéquate (groupes de sécurité trop permissifs)
Tenants SaaS : Salesforce, HubSpot, Notion avec des données sensibles
Repositories GitHub/GitLab : code source public contenant des secrets
Identifiants cloud exposés dans des repos, des logs ou des images Docker

📊 68 % des violations de données dans le cloud sont dues à des erreurs de configuration (IBM Cost of a Data Breach 2024).

Composante 4 : Les actifs tiers et la supply chain

Vos fournisseurs étendent votre surface d'attaque :

Prestataires IT avec accès à vos systèmes (VPN tiers, RDP distants)
Fournisseurs SaaS hébergeant vos données
CDN et services de livraison pouvant être détournés
Partenaires B2B avec des interconnexions réseau
Filiales et sociétés rachetées avec leur propre infrastructure

Le cas SolarWinds (2020) et MOVEit (2023) ont illustré comment une compromission fournisseur peut affecter des milliers d'organisations.

Composante 5 : Les données exposées et credentials

Souvent négligée, cette composante est pourtant la plus exploitée :

Credentials compromis : comptes professionnels dans des bases de données de fuites
Secrets dans le code : clés API, tokens AWS, mots de passe dans des commits GitHub
Données dans des pastes : Pastebin, GitHub Gist avec des informations internes
Emails d'entreprise dans des breaches connues (Have I Been Pwned)
Documents sensibles indexés par Google : fichiers Excel, PDF avec données confidentielles

La matrice de priorisation EASM

Composante	Impact potentiel	Fréquence d'exploitation	Priorité
Actifs réseau	⭐⭐⭐⭐⭐	⭐⭐⭐	P1
Applications web	⭐⭐⭐⭐⭐	⭐⭐⭐⭐⭐	P1
Cloud/SaaS	⭐⭐⭐⭐	⭐⭐⭐⭐	P1
Supply chain	⭐⭐⭐⭐⭐	⭐⭐	P2
Credentials/Data	⭐⭐⭐⭐	⭐⭐⭐⭐⭐	P1

Comment Breach Atlas couvre ces 5 composantes

Breath Atlas effectue une surveillance complète de l'ensemble de ces composantes :

Scan réseau continu : détection des nouveaux services exposés
DNS monitoring : alertes en cas de nouveau sous-domaine ou modification
Cloud posture : détection des ressources mal configurées
Supply chain tracking : cartographie des tiers critiques
Credential monitoring : détection des comptes compromis dans les breaches

Mots-clés : composantes surface d'attaque, actifs exposés internet, EASM 2025, sous-domaines vulnérables, cloud attack surface, credentials compromis