Scan interne vs. externe : pourquoi vous avez besoin des deux perspectives

Écrit par ExposIQ | mars 17, 2026

De nombreuses entreprises se fient exclusivement aux scans de sécurité externes ou pensent que leur pare-feu offre une protection suffisante. Mais la réalité montre que les cyberattaques empruntent aujourd’hui plusieurs vecteurs simultanément. Quiconque ne scanne que depuis l’extérieur passe à côté des risques présents dans le réseau interne. Et quiconque ne regarde que l’intérieur ignore ce que les attaquants voient depuis l’extérieur. Pour une stratégie de sécurité efficace, vous avez besoin des deux perspectives.

Qu’est-ce que le scanning externe ?

Le scanning externe consiste à examiner vos systèmes accessibles publiquement du point de vue d’un attaquant. Cela comprend les serveurs web, les serveurs de messagerie, les passerelles VPN, les entrées DNS, les services cloud et tous les autres services visibles depuis Internet.

Un scan externe répond à la question centrale : Que voit un attaquant lorsqu’il observe votre entreprise depuis l’extérieur ?

Résultats typiques des scans externes :

  • Ports ouverts et services qui ne devraient pas être exposés
  • Versions logicielles obsolètes présentant des vulnérabilités connues (p. ex. serveurs Exchange non patchés)
  • Certificats SSL/TLS mal configurés
  • Interfaces d’administration exposées (admin WordPress, panneaux de base de données, bureau à distance)
  • Informations divulguées dans les entrées DNS, les en-têtes HTTP ou les messages d’erreur
  • Vulnérabilités dans les passerelles VPN et les solutions d’accès à distance

Les scans externes constituent le point de départ logique, car ils montrent où votre surface d’attaque est la plus étendue. Chaque service accessible depuis Internet est un point d’entrée potentiel.

Qu’est-ce que le scanning interne ?

Le scanning interne examine votre réseau de l’intérieur. Un agent ou un scanner est déployé au sein de votre réseau local pour vérifier les systèmes, services et configurations qui ne sont pas visibles depuis l’extérieur.

Un scan interne répond à une autre question tout aussi importante : Que se passe-t-il si un attaquant se trouve déjà dans votre réseau ?

Ce scénario n’est en aucun cas hypothétique. Une attaque de phishing réussie, un terminal compromis ou une clé USB infectée suffisent pour donner un pied-à-terre à un attaquant. À partir de ce moment commence la phase dite de Lateral Movement : l’attaquant se déplace latéralement dans le réseau, cherche d’autres systèmes vulnérables et tente d’escalader ses privilèges.

Résultats typiques des scans internes :

  • Postes de travail et serveurs non patchés dans le réseau local
  • Partages SMB ouverts contenant des données sensibles sans contrôle d’accès
  • Firmwares d’imprimantes obsolètes ou appareils IoT avec mots de passe par défaut
  • Absence de segmentation réseau entre les départements
  • Services internes sans authentification (bases de données, interfaces de gestion)
  • Mauvaises configurations d’Active Directory telles que des comptes disposant de privilèges excessifs

Pourquoi un pare-feu ne suffit pas

L’architecture de sécurité classique de nombreuses PME repose sur un simple modèle de périmètre : un pare-feu sépare le réseau interne « sûr » de l’Internet « non sûr ». Ce modèle présente des faiblesses fondamentales.

Premièrement : le pare-feu ne protège pas contre les menaces déjà présentes dans le réseau. Un collaborateur qui clique sur un lien de phishing contourne entièrement le pare-feu. L’attaquant opère désormais à l’intérieur de la zone « sécurisée ».

Deuxièmement : de nombreuses PME disposent de réseaux plats sans segmentation. Si un attaquant compromet un seul système, il peut potentiellement accéder à tous les autres systèmes du même réseau, du serveur comptable au contrôle de production.

Troisièmement : les services cloud, les connexions VPN et le télétravail dissolvent le périmètre classique. La frontière entre « interne » et « externe » devient floue. Les collaborateurs accèdent aux ressources de l’entreprise depuis partout, et les données se trouvent aussi bien localement que dans le cloud.

Exemples pratiques : quand une seule perspective ne suffit pas

Scénario 1 : le serveur de test oublié

Une PME exploite une boutique en ligne. Le scan externe montre que tout est en ordre : le site web est à jour, le SSL est correctement configuré. Cependant, le scan interne révèle qu’un ancien serveur de test avec une version Apache obsolète fonctionne encore dans le même réseau. Ce serveur n’est pas accessible depuis l’extérieur, mais si un attaquant pénètre le réseau via du phishing, il peut utiliser ce serveur comme tremplin pour atteindre le système de production.

Scénario 2 : le panneau d’administration exposé

Un scan externe découvre que l’interface d’administration d’un système NAS est accessible publiquement via le port 5000. Le prestataire informatique l’avait ouvert pour la maintenance à distance et ne l’avait pas refermé. Sans scan externe, cela serait resté non détecté : de l’intérieur, tout semble normal.

Scénario 3 : Lateral Movement après phishing

Un collaborateur attrape un infostealer via un e-mail de phishing. L’attaquant a désormais accès à un terminal. Un scan interne aurait préalablement montré que plusieurs systèmes du réseau avaient encore SMBv1 activé, un protocole présentant des vulnérabilités connues comme EternalBlue. L’attaquant exploite précisément cette vulnérabilité pour se propager du poste de travail compromis au serveur de fichiers.

C’est la combinaison qui fait la différence

Le scanning externe et interne se complètent mutuellement. Ensemble, ils fournissent une image complète de votre posture de sécurité :

  1. Les scans externes identifient votre surface d’attaque et montrent où les attaquants pourraient s’introduire
  2. Les scans internes montrent jusqu’où un attaquant pourrait aller s’il se trouvait déjà dans le réseau
  3. La combinaison permet une évaluation réaliste des risques et une priorisation ciblée des mesures

Ce n’est que lorsque vous connaissez les deux perspectives que vous pouvez prendre des décisions éclairées : quelles vulnérabilités doivent être corrigées immédiatement ? Où faut-il une segmentation supplémentaire ? Quels systèmes sont particulièrement exposés ?

Comment cela fonctionne avec ExposIQ

ExposIQ prend en charge les deux perspectives de scanning au sein d’une seule plateforme :

Scanning externe (basé sur le cloud) : ExposIQ scanne automatiquement vos systèmes accessibles publiquement depuis le cloud. Avec plus de 35 moteurs de scan et 11’700 templates Nuclei, les serveurs web, serveurs de messagerie, passerelles VPN et services cloud sont vérifiés contre les vulnérabilités connues. Les scans sont exécutés régulièrement et sans installation : il vous suffit d’indiquer vos domaines et plages d’adresses IP.

Scanning interne (basé sur un agent) : pour la perspective interne, ExposIQ propose un agent installable. Celui-ci est déployé sur un système de votre réseau local et scanne depuis là tous les systèmes accessibles. Ainsi, les vulnérabilités qui restent cachées depuis l’extérieur deviennent visibles : postes de travail non patchés, partages ouverts, services internes obsolètes.

Tous les résultats convergent dans un tableau de bord unifié. Chaque vulnérabilité est évaluée avec le score EPSS (probabilité d’exploitation active) et mappée sur les techniques MITRE ATT&CK. Ainsi, vous ne voyez pas seulement ce qui est vulnérable, mais aussi quel risque existe réellement.

Recommandation pour les PME

Si vous ne réalisez aujourd’hui que des scans externes, vous faites un premier pas important. Mais vous ne voyez que la moitié de la réalité. Complétez votre stratégie de sécurité par du scanning interne pour identifier les risques de Lateral Movement et valider votre segmentation réseau.

Ne commencez pas par essayer de tout résoudre en même temps. Une approche pragmatique :

  1. Commencez par des scans externes pour comprendre votre surface d’attaque publique
  2. Corrigez d’abord les vulnérabilités externes critiques
  3. Complétez avec des scans internes pour vérifier votre réseau de l’intérieur
  4. Priorisez en fonction de l’image de risque combinée
  5. Répétez régulièrement : votre paysage informatique évolue en permanence

Avec ExposIQ, les PME suisses peuvent couvrir les deux perspectives en une seule plateforme, hébergée dans des centres de données suisses et disponible dès CHF 99 par mois. Découvrez la différence que fait une vue d’ensemble complète : exposiq.ch

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.