Comment planifier vos scans de sécurité EASM pour une couverture optimale
La sécurité n'est pas un état — c'est un processus. Un scan de sécurité effectué une fois par trimestre laisse 89 jours de vulnérabilités non détectées. Les attaquants, eux, scannent en continu. Voici comment mettre en place un programme de scans récurrents efficace.
Pourquoi la planification des scans est critique
Les chiffres qui montrent le problème
- Temps moyen entre découverte et exploitation d'une CVE : 15 jours (Qualys 2024)
- Durée moyenne de persistence d'un attaquant avant détection : 197 jours (IBM 2024)
- Nouvelles CVE publiées par semaine : ~350 en moyenne
Un programme de scans bien planifié réduit drastiquement votre fenêtre d'exposition.
Les 4 fréquences recommandées
Quotidien — Découverte d'actifs
Votre surface d'attaque change chaque jour : nouveaux sous-domaines, nouvelles APIs, nouvelles instances cloud. Un scan de découverte quotidien garantit qu'aucun actif n'échappe à votre surveillance.
Profil recommandé : Crawl Only ou Full Scan léger Durée typique : 30-60 minutes Alerte : Nouveau sous-domaine ou service ouvert
Hebdomadaire — Vulnérabilités critiques
~350 CVE sont publiées par semaine. Un scan hebdomadaire sur vos actifs exposés garantit une réponse rapide aux nouvelles menaces avant qu'elles soient exploitées.
Profil recommandé : Critical / High Risk Durée typique : 2-4 heures Alerte : CVE critique détectée sur actif exposé
Mensuel — Audit complet
Un audit mensuel complet couvre l'intégralité de votre surface d'attaque avec tous les profils. C'est le filet de sécurité qui capture ce que les scans ciblés auraient manqué.
Profil recommandé : Full Scan ou OWASP Top 10 Durée typique : 4-12 heures selon la surface Alerte : Toute nouvelle vulnérabilité CVSS 7+
Trimestriel — Conformité réglementaire
Pour les organisations soumises à des obligations réglementaires (ISO 27001, NIS2, PCI DSS), un scan trimestriel dédié à la conformité génère les preuves d'audit nécessaires.
Profil recommandé : PCI Checks ou Sans Top 25 Durée typique : Journée complète Livrable : Rapport de conformité signé
Matrice de planification par taille d'organisation
Programme PME (< 250 employés)
| Fréquence | Profil | Cibles | Objectif |
|---|---|---|---|
| Quotidien | Crawl Only | Domaine principal | Découverte |
| Hebdomadaire | Critical/High | Tous actifs | CVE critiques |
| Mensuel | Full Scan | Surface complète | Audit global |
Programme ETI (250-5000 employés)
| Fréquence | Profil | Cibles | Objectif |
|---|---|---|---|
| Quotidien | Crawl + Full léger | Domaines + IPs | Découverte |
| Hebdomadaire | Critical/High + OWASP | Actifs critiques | CVE + Web |
| Mensuel | Full Scan | Surface complète | Audit global |
| Trimestriel | PCI/NIS2 | Infrastructure | Conformité |
Programme Grand Groupe (> 5000 employés)
Ajouter : scans filiales, scan supply chain, scans DORA pour le secteur financier.
Les profils de scan EASM expliqués
| Profil | Ce qu'il détecte | Quand l'utiliser |
|---|---|---|
| Crawl Only | Actifs, technos, ports | Découverte continue |
| CVE Critical/High | Vulnérabilités CVSS 7+ | Surveillance hebdo |
| OWASP Top 10 | XSS, SQLi, CSRF, auth | Apps web |
| Full Scan | Tout | Audit mensuel |
| PCI Checks | Vulnérabilités paiement | Conformité |
| Sans Top 25 | Failles développement | Apps métier |
Bonnes pratiques de planification
Horaires recommandés
Conseil : Planifiez les scans intensifs la nuit (2h-5h) pour minimiser l'impact sur les performances de vos services de production.
- Scans de découverte : n'importe quelle heure (très léger)
- Scans weekly : nuit du dimanche au lundi
- Full scan mensuel : première nuit du mois
- Scan conformité : fin de trimestre (avant les audits)
Gestion des alertes
- Configurez des niveaux de notification différents selon la criticite
- P1 (CVSS 9+) : alerte immédiate (SMS, téléphone d'astreinte)
- P2 (CVSS 7-8) : ticket Jira automatique
- P3-P4 : rapport hebdomadaire
Configuration dans Breach Atlas
- Aller dans Scans Planifiés depuis le menu principal
- Cliquer sur + Nouveau scan planifié
- Choisir le profil et les cibles (domaines, plages IP)
- Définir la fréquence et l'heure d'exécution
- Configurer les canaux d'alerte (email, Slack, webhook)
- Activer le rapport automatique après chaque scan
FAQ — Planification des scans EASM
Q : Les scans peuvent-ils impacter mes applications de production ? Avec les profils Crawl Only et Light Scan, l'impact est négligeable. Les Full Scans peuvent générer un tràfic signéficatif — planifiez-les en heures creuses.
Q : Faut-il prévenir son hébergeur avant de scanner ? Oui, pour les scans actifs intensifs. La plupart des hébergeurs demandent une notification préalable pour distinguer les scans légitimes des attaques.
Q : Quelle est la différence entre scan passif et scan actif ? Le scan passif collecte des informations sans interagir avec les systèmes (DNS, WHOIS, certificats). Le scan actif envoie des requêtes directement aux systèmes cibles.
Conclusion
La sécurité est un processus, pas un état. Un programme de scans bien planifié transforme votre posture de réactive à proactive et réduit votre fenêtre d'exposition de 89 jours à moins de 24 heures.
Mots-clés : planification scans sécurité, EASM scans récurrents, programme scan vulnérabilités, fréquence scan sécurité, scan OWASP PCI NIS2, Breach Atlas scans planifiés