Comment cartographier votre surface d'attaque externe en 5 étapes
Avant de pouvoir protéger votre surface d'attaque, vous devez la connaître. La cartographie est l'étape zéro de tout programme de sécurité externe efficace. Ce guide détaille les 5 étapes pour réaliser une cartographie complète, que vous partiez de zéro ou que vous cherchiez à améliorer un inventaire existant.
Étape 1 : Définir vos seed assets (les points de départ)
La cartographie commence par vos seed assets : les éléments de base connus qui servent de points d'entrée pour la découverte.
Types de seed assets
| Type | Exemples | Pourquoi c'est important |
|---|---|---|
| Noms de domaine | company.com, company.fr, acqu-company.com | Point d'entrée principal |
| Plages IP | 185.x.x.0/24 | Infrastructure hébergée |
| Noms d'organisation | "Company SAS", "Company Group" | Pour WHOIS, ASN, certificats |
| ASN (Autonomous System Number) | AS12345 | Toutes les IPs de l'organisation |
| Marques et filiales | brand1.com, subsidiary.com | Surface élargie groupe |
Où trouver vos seed assets ?
- Registres WHOIS (recherche par organisation)
- Registres ARIN, RIPE, APNIC (plages IP par organisation)
- Bilan annuel, RCS, actes de société (noms d'éléments liés)
- Comptes LinkedIn de l'entreprise
Étape 2 : Découvrir tous les actifs liés
A partir de chaque seed asset, utilisez plusieurs techniques complémentaires :
2a. Énumération des sous-domaines
Certificate Transparency Logs
curl -s "https://crt.sh/?q=%.company.com&output=json" | jq '.[].name_value'
DNS passif (SecurityTrails, Shodan, VirusTotal)
# Avec subfinder
subfinder -d company.com -all -recursive -o subdomains.txt
Brute force DNS
# Avec massdns
massdns -r resolvers.txt -t A -o S wordlist.txt > results.txt
2b. Découverte des plages IP
# Recherche ASN
whois -h whois.radb.net '!gAS12345'
# Via BGP.he.net
https://bgp.he.net/search?search[search]=company
2c. Découverte via Shodan/Censys
# Shodan CLI
shodan search org:"Company Name" --fields ip_str,port,org
# Censys
censys search 'parsed.subject.organization: "Company Name"'
Étape 3 : Scanner les actifs découverts
Pour chaque actif découvert, réalisez un scan pour identifier :
Ports et services ouverts
# Scan rapide avec nmap
nmap -p 80,443,8080,8443,22,3389,21,25,3306 --open -iL targets.txt -oN results.txt
# Scan complet des ports courants
nmap -p 1-10000 --open target.com
Technologies et versions
# WhatWeb pour le fingerprinting
whatweb -a 3 https://target.com
# HTTPx pour les headers et technologies
httpx -l urls.txt -tech-detect -title -status-code
Certificats SSL
# Analyse du certificat
openssl s_client -connect target.com:443 < /dev/null 2>&1 | openssl x509 -noout -dates -subject
Étape 4 : Analyser et prioriser les risques
Créez un inventaire structuré avec les informations suivantes pour chaque actif :
| Champ | Description |
|---|---|
| Asset | URL, IP, FQDN |
| Type | Sous-domaine, IP publique, API... |
| Technologies | Serveur, CMS, frameworks |
| Ports ouverts | Liste des ports accessibles |
| Vulnérabilités | CVE associées, CVSS |
| Exposition | Niveau de criticité externe |
| Propriétaire | Équipe responsable |
| Statut | Légitime / À investiguer / À désactiver |
Matrice de priorisation
Score de risque = (CVSS × Poids exposition) + Bonus contexte
Poids exposition :
- Actif directement accessible depuis Internet : ×2
- Port critique (RDP, SSH) : +10
- CVE dans CISA KEV : +15
- Exploit public disponible : +10
Étape 5 : Automatiser avec un outil EASM
Les étapes 1-4 peuvent être réalisées manuellement pour une première cartographie. Mais la surface d'attaque évolue chaque jour. L'automatisation est indispensable.
Ce que Breach Atlas automatise :
- Découverte continue des nouveaux actifs (< 24h après leur création)
- Scan automatisé de tous les actifs découverts
- Croisement avec les bases CVE (NVD, CISA KEV)
- Priorisation automatisée P1/P2/P3
- Alertes en temps réel sur les nouvelles expositions
- Historique et évolution de votre surface dans le temps