Lexique · sécurité
Surface d'attaque
Aussi appelé : Attack surface, Surface d'exposition.
La surface d'attaque désigne l'ensemble des points par lesquels un attaquant pourrait tenter de pénétrer ou de compromettre un système : pages et services exposés, formulaires, API, dépendances tierces, comptes et accès. Plus elle est large, plus le système est exposé.
La surface d'attaque d'un système, c'est la somme de tous ses points d'entrée potentiels — tout ce par quoi une menace pourrait passer. On y trouve les éléments évidents (pages publiques, formulaires, API exposées, interfaces d'administration) mais aussi les plus discrets : bibliothèques tierces embarquées dans le code, services ouverts sur le réseau, comptes utilisateurs, clés d'accès, voire l'humain lui-même, ciblé par le phishing. Raisonner en surface d'attaque, c'est cartographier ce qui est exposé avant de chercher à le protéger.
Le principe directeur de la sécurité défensive consiste à réduire cette surface au minimum nécessaire. Chaque fonctionnalité, chaque port ouvert, chaque dépendance ajoutée, chaque droit d'accès accordé agrandit la surface — et donc le risque. À l'inverse, désactiver ce qui ne sert pas, limiter les accès au strict besoin (principe du moindre privilège) et tenir les composants à jour réduisent mécaniquement les occasions d'intrusion.
C'est aussi pourquoi certains choix d'architecture sont, en eux-mêmes, des décisions de sécurité. Un site statique, par exemple, n'expose ni base de données ni serveur applicatif tournant en permanence : sa surface d'attaque est réduite à presque rien, là où un CMS dynamique multiplie les points d'entrée à maintenir et à patcher.
Pour une TPE/PME, l'enjeu n'est pas de viser une sécurité parfaite, mais de ne pas offrir de cibles faciles aux attaques automatisées qui balaient le web en continu. Recenser sa surface d'attaque — ce qui est exposé, accessible, à jour ou non — est la première étape concrète d'une démarche de protection réaliste et proportionnée.
Notre prestation
Audit technique
Évaluation indépendante de votre stack — code, sécurité, dette, scaling, coûts. Rapport actionnable, pas un PDF qui dort.
Pour aller plus loin
Cybersécurité des TPE-PME : les bonnes pratiques
Parcourez les conseils de l'ANSSI concernant la cybersécurité des TPE et PME.
Questions fréquentes
Comment réduire la surface d'attaque d'un système ?
En supprimant ce qui n'est pas nécessaire : désactiver les services et ports inutilisés, limiter les accès au strict besoin (moindre privilège), tenir les dépendances à jour, et privilégier des architectures sobres. Chaque élément retiré est un point d'entrée en moins pour un attaquant.
Un site statique a-t-il une surface d'attaque plus faible ?
Oui, nettement. Un site statique sert des fichiers déjà construits, sans base de données ni serveur applicatif exposé en permanence. Il n'y a pas de CMS à pirater ni de plugin à patcher en urgence : la surface d'attaque est réduite à presque rien, ce qui en fait un choix sécurisant pour les sites vitrines et éditoriaux.
La surface d'attaque concerne-t-elle aussi les TPE/PME ?
Absolument. La plupart des attaques sont automatisées et ne visent personne en particulier : elles cherchent des failles faciles partout. Une petite structure dont la surface d'attaque est mal maîtrisée (composants obsolètes, accès trop larges, services oubliés) est une cible plus facile qu'un grand groupe. Recenser ce qui est exposé est donc utile à toute organisation.