Skip to content
Tutoriel

Construire un programme de gestion de la surface d’attaque en 90 jours

Déployer l'EASM ne s'improvise pas. Un programme efficace se construit en 3 phases de 30 jours. Découvrez la roadmap complète : des premières découvertes à la maturité opérationnelle.

Thomas Leroy
Thomas Leroy
3 mars 20259 min
Construire un programme de gestion de la surface d’attaque en 90 jours

Construire un programme EASM en 90 jours

Déployer une solution EASM sans méthodologie, c'est comme acheter un scanner médical sans former les radiologues. Voici la roadmap en 3 sprints de 30 jours.

Sprint 1 (J1-J30) : Fondations et découverte initiale

Semaine 1-2 : Mise en place

Objectifs :

  • Connecter votre solution EASM à vos domaines
  • Définir le périmètre initial (domaines, plages IP, filiales)
  • Configurer les intégrations de base
  • Effectuer le premier scan de découverte

Semaine 3-4 : Analyse et baseline

Objectifs :

  • Analyser les résultats de la découverte initiale
  • Identifier les actifs inconnus et les shadow assets
  • Établir une baseline de votre surface d'attaque
  • Prioriser les vulnérabilités critiques (CVSS 9+)

Insight typique J30 : Les organisations découvrent en moyenne 30 à 40% d'actifs inconnus lors de cette phase.

Sprint 2 (J31-J60) : Remédiation et processus

Priorités de remédiation

PrioritéTypeDélai cible
P1CVE exploitées activement24-48h
P2Certificats SSL expirés7 jours
P3Services exposés inutiles14 jours
P4Vulnérabilités CVSS 7-830 jours

Process à formaliser

  • Workflow de traitement des alertes
  • Intégration avec la gestion des incidents
  • Règles de priorisation métier
  • Procédure d'exception faux positifs

Livrable : Manuel opérationnel EASM v1.0

Sprint 3 (J61-J90) : Automatisation et reporting

Programme de scans récurrents

Quotidien   -> Découverte d'actifs (Crawl Only)
Hebdo       -> Vulnérabilités critiques (CVE Critical/High)
Mensuel     -> Audit complet (OWASP Top 10)
Trimestriel -> Conformité (PCI Checks)

Rapports à mettre en place

  1. Rapport hebdo (pour les équipes sécurité) : nouvelles vulns, remédiations
  2. Rapport mensuel CISO : tendances, KPIs, ROI mesuré
  3. Rapport trimestriel conformité : preuves NIS2/ISO 27001

KPIs à suivre après 90 jours

KPIJ0Objectif J90
Actifs inventoriésNN + 30%
Vulns critiques ouvertesXX x 0.3
MTTD nouvelles expositionsInconnu< 24h
MTTR vulns critiquesInconnu< 48h

Ce que vous aurez accompli à J90

  • Inventaire complet de votre surface d'attaque
  • Vulnérabilités critiques remédiées
  • Surveillance continue opérationnelle
  • Reporting adapté à chaque audience
  • Base conformité NIS2/ISO 27001

Conclusion

90 jours suffisent pour passer d'une exposition non maîtrisée à un programme EASM opérationnel. La clé est la progression itérative : découvrir, remédier, automatiser.

Mots-clés : programme EASM, déploiement EASM 90 jours, roadmap gestion surface attaque, mise en place EASM

← Retour au blog