Visualisez votre surface d'attaque avant les attaquants
ASM externe en continu et iASM cloud-native — découverte de sous-domaines, visualisation des chemins d'attaque IAM et cartographie MITRE ATT&CK. Sachez ce que vous possédez, ce qui est exposé et comment un attaquant pourrait tout enchaîner.
- Plateformes cloud
- 3
- Techniques MITRE cartographiées
- 200+
- Intervalle d'analyse
- En continu
- Graphe des chemins d'attaque
- En direct
Surface d'attaque externe et interne — les deux couvertes
La plupart des outils ASM ne voient que ce qu'un attaquant aperçoit depuis Internet. CATAAM ajoute une visibilité sur le cloud interne — car la plupart des violations exploitent des ressources cloud mal configurées, et non des failles de périmètre.
Gestion de la surface d'attaque externe
CATAAM surveille en continu votre infrastructure exposée — tout ce qu'un attaquant voit avant même d'atteindre votre périmètre. Les nouveaux sous-domaines, les enregistrements DNS mal configurés et les services exposés sont détectés et triés automatiquement.
- Découverte de sous-domaines via les journaux de transparence des certificats (crt.sh)
- Contrôles de santé DNS — validation des enregistrements SPF, DMARC, DNSSEC, MX
- Détection des ports ouverts et identification des services
- Interfaces d'administration exposées et points de terminaison non authentifiés
- Surveillance de la robustesse des chiffrements TLS et de l'expiration des certificats
- Cartographie des techniques MITRE ATT&CK pour chaque constatation
Internal Attack Surface Management (iASM)
iASM se connecte à vos fournisseurs cloud et cartographie chaque ressource interne, limite de permissions et chemin de déplacement latéral. Le graphe d'attaque rend les relations cloud complexes immédiatement compréhensibles, tant pour les équipes de sécurité que pour les dirigeants.
- Découverte automatique des actifs cloud : AWS EC2, RDS, S3, Lambda, VPC
- Inventaire des ressources Azure et GCP et posture de sécurité
- Analyse des politiques IAM — rôles surprivilégiés et chemins d'élévation de privilèges
- Visualisation des chemins d'attaque sous forme de graphe interactif à forces dirigées
- Audit de sécurité automatisé selon les CIS Benchmarks
- Détection des actifs non étiquetés et fantômes
De la connexion au graphe d'attaque en quelques minutes
CATAAM commence à cartographier votre surface d'attaque dès que vous connectez vos comptes cloud — sans agents, sans intégration complexe.
Connectez vos comptes cloud en quelques minutes
Intégrations AWS, Azure et GCP basées sur OAuth. CATAAM utilise des rôles IAM en lecture seule — aucun identifiant n'est stocké. La découverte des actifs commence immédiatement.
Découvrez l'intégralité de votre surface d'attaque
La découverte externe s'effectue via les journaux de transparence des certificats et des sondes DNS. La découverte interne énumère chaque ressource cloud sur tous les comptes connectés.
Visualisez les chemins d'attaque
Le graphe d'attaque interactif montre comment un attaquant pourrait se déplacer d'un point d'entrée externe à travers votre environnement cloud. Filtrez par tactique, type d'actif ou score de risque.
Priorisez et corrigez
Les constatations sont classées selon l'impact pour l'attaquant, et non selon le seul score CVSS. Chaque constatation inclut l'identifiant de technique MITRE ATT&CK, la référence CVE et une étape de remédiation précise.
Chaque constatation associée à MITRE ATT&CK
CATAAM associe automatiquement chaque constatation ASM à la technique MITRE ATT&CK pertinente — offrant à votre équipe une priorisation du point de vue de l'attaquant, et non de simples scores CVSS.
| Tactique | ID de technique | Technique | Exemple de constatation |
|---|---|---|---|
| Accès initial | T1190 | Exploitation d'une application exposée publiquement | Panneau d'administration exposé sur le port 8080 |
| Reconnaissance | T1596 | Recherche dans des bases de données techniques ouvertes | Sous-domaine énuméré via crt.sh |
| Accès aux identifiants | T1078 | Comptes valides | Utilisateur IAM avec accès console, sans MFA |
| Élévation de privilèges | T1548 | Abus d'un mécanisme de contrôle d'élévation | La politique IAM autorise iam:PassRole vers lambda |
| Exfiltration | T1530 | Données issues du stockage cloud | Bucket S3 avec accès public en lecture de liste |
| Évasion des défenses | T1562 | Affaiblissement des défenses | Journalisation CloudTrail désactivée dans la région |
Attack Surface Management — Foire aux questions
- Qu'est-ce que l'Attack Surface Management (ASM) et pourquoi est-ce important ?
- L'Attack Surface Management (ASM) consiste en la découverte, l'inventaire et l'évaluation de sécurité en continu de tous les actifs accessibles à d'éventuels attaquants. Contrairement aux analyses de vulnérabilités ponctuelles, l'ASM fonctionne en continu — car votre surface d'attaque change chaque fois que vous déployez un nouveau service, ajoutez un enregistrement DNS ou accordez une nouvelle permission IAM. L'ASM de CATAAM couvre à la fois votre périmètre externe (ce que les attaquants voient depuis Internet) et votre environnement cloud interne (ce que les attaquants peuvent atteindre une fois à l'intérieur).
- Qu'est-ce que l'Internal Attack Surface Management (iASM) et en quoi diffère-t-il du CSPM ?
- Le Cloud Security Posture Management (CSPM) vérifie si vos ressources cloud respectent les référentiels de sécurité — mauvaises configurations, violations de politiques, écarts par rapport aux CIS Benchmarks. L'Internal Attack Surface Management (iASM) va plus loin : il cartographie les chemins d'attaque entre les ressources pour montrer comment un attaquant pourrait enchaîner des mauvaises configurations individuelles jusqu'à une compromission totale. Là où le CSPM dit « ce rôle IAM est surprivilégié », l'iASM dit « ce rôle IAM surprivilégié peut être assumé par cette fonction Lambda, déclenchée par ce bucket S3 public — voici le rayon d'impact complet ».
- Comment CATAAM découvre-t-il les sous-domaines et les actifs externes ?
- CATAAM utilise la surveillance des journaux de transparence des certificats via crt.sh — la même technique qu'utilisent les testeurs d'intrusion professionnels — pour découvrir en continu tous les certificats TLS émis pour votre domaine. Chaque nouveau sous-domaine déclenche automatiquement des contrôles de santé DNS (SPF, DMARC, DNSSEC), des analyses de ports, l'identification de services et l'analyse des chiffrements TLS. Les résultats sont comparés à votre inventaire d'actifs connus afin de faire ressortir le shadow IT et les actifs oubliés.
- Comment CATAAM associe-t-il les constatations ASM à MITRE ATT&CK ?
- Chaque constatation dans CATAAM est automatiquement étiquetée avec l'identifiant de technique MITRE ATT&CK pertinent. Par exemple, une interface d'administration exposée correspond à T1190 (Exploitation d'une application exposée publiquement), tandis qu'un rôle IAM avec iam:PassRole correspond à T1548 (Abus d'un mécanisme de contrôle d'élévation). La catégorie de tactique (Accès initial, Élévation de privilèges, Exfiltration, etc.) est également affichée. Cela permet aux équipes de sécurité de prioriser les corrections selon l'impact pour l'attaquant plutôt que selon le seul score CVSS, et fournit aux auditeurs la preuve que les contrôles couvrent des vecteurs de menace précis.
- Comment l'iASM alimente-t-il les preuves de conformité GRC ?
- Les modules iASM et GRC de CATAAM sont entièrement intégrés. L'inventaire des actifs issu de l'iASM alimente automatiquement votre registre des actifs pour ISO 27001 A.8, SOC 2 CC6.1 et l'exigence 2 de PCI-DSS. Les constatations relatives aux chemins d'attaque alimentent les évaluations de risques pour la clause 6.1 d'ISO 27001 et la HIPAA §164.308(a)(1). Lorsque vous corrigez une constatation iASM, la preuve de remédiation est automatiquement liée au contrôle de conformité concerné — éliminant le travail en double.
- Quelles plateformes cloud l'iASM prend-il en charge ?
- L'iASM de CATAAM prend actuellement en charge AWS (EC2, RDS, S3, Lambda, IAM, CloudTrail, VPC, Security Groups), Microsoft Azure (VM, stockage, IAM, réseau) et Google Cloud Platform (GCE, GCS, IAM). La découverte multi-comptes et multi-régions est prise en charge pour les trois fournisseurs. Le graphe d'attaque visualise les chemins d'attaque inter-cloud lorsque les organisations exécutent des charges de travail sur plusieurs fournisseurs.
Prêt à cartographier l'intégralité de votre surface d'attaque ?
100 crédits iASM gratuits à l'inscription. Aucune carte bancaire requise.
WATCH
See your attack surface — full platform demo
A complete walkthrough, including external ASM and internal iASM.