Retour d’expérience : comment Colas surveille son exposition en ligne dans le monde entier

Présent dans une cinquantaine pays, le groupe de BTP a vu sa surface d’attaque augmenter au fil des acquisitions. Pour disposer d’une vision exhaustive de ses actifs exposés en ligne et prioriser la remédiation des vulnérabilités, il a retenu la startup française Patrowl.

C’est le revers de la médaille. Les sociétés en forte croissance voient leur surface d’exposition au risque augmenter proportionnellement. C’est le cas de Colas, filiale du groupe Bouygues. Se présentant comme le leader mondial de la construction et de l’entretien des infrastructures de transport et d’aménagements urbain, l’entreprise de BTP a connu un développement continu depuis plus de plus cent ans.

Colas doit son nom à une innovation datant de 1922 et qui allait révolutionner la façon de construire les routes : le Cold Asphalt. Depuis, le groupe a fait du chemin, réalisant, en 2024, un chiffre d’affaires de près de 16 milliards d’euros dont 59 % hors de France. Le groupe emploie 64 000 collaborateurs dans une cinquantaine de pays en Amérique du Nord, en Europe ou en Australie. Pour conduire annuellement quelque 45 000 chantiers dans le monde, ses équipes sont réparties dans une myriade d’entreprises locales.

Colas fait régulièrement l’acquisition de nouvelles sociétés qui conservent leur nom pour des raisons de visibilité locale. Cette politique soutenue de croissance externe a fait exploser le nombre d’« assets » en ligne comme des domaines, des sous-domaines ou des adresses IP. Chaque pays disposant d’une certaine autonomie pour, par exemple, créer un site web à l’occasion de l’ouverture d’un chantier, ces actifs n’étaient pas toujours connus de l’équipe de cybersécurité basée au siège en France, composée d’une vingtaine de personnes.

Établir une cartographie exhaustive des actifs

Pour corriger cet angle mort, Colas décide, en 2023, de se doter d’un outil lui permettant d’avoir une vision exhaustive de son exposition en ligne. L’entreprise retient la solution de Patrowl, une startup française spécialisée dans la gestion de la surface d’attaque externe (EASM, External Attack Surface Management) et le pentest continu. Patrowl a remporté le grand prix de la startup INCYBER en 2025. La démonstration auquel s’est prêtée la startup lors de la phase de sélection a fait apparaître un périmètre de quelque 10 000 assets, dont 2 000 domaines et sous-domaines, le reste correspondant aux IP sous-jacentes.

Cette première cartographie a permis de faire remonter des actifs qui n’étaient pas connus des solutions de sécurité existantes et pouvaient potentiellement présenter des vulnérabilités (ports ouverts, DNS, etc.). « Dans un premier temps, Patrowl nous a permis de recenser les actifs manquants afin de les intégrer dans notre CMDB », se rappelle Hervé Sicard, Cyber Operations Officer chez Colas Digital Solutions. Ce dernier a ensuite contacté les responsables informatiques locaux afin de s’assurer de la fiabilité des données remontées. « Il y a eu très peu de faux positifs, Patrowl avait déjà opéré la qualification ».

« Dès la deuxième année, nous avons pu maîtriser les risques associés à ces actifs grâce à des échantillonnages ciblés pour mieux surveiller les ressources à risque, telles que des bases de données ou des systèmes d’authentification SSO », poursuit Hervé Sicard. Le projet est, par ailleurs, entré dans sa phase opérationnelle. « Chaque nouvelle acquisition fait désormais l’objet d’une mise à jour dans Patrowl. Ce qui nous permet de suivre l’évolution de notre surface d’exposition ».

Une soixantaine de vulnérabilités critiques

L’évaluation du risque est un enjeu clé. « La remontée d’une centaine de vulnérabilités ne peut aboutir qu’à enterrer le dossier, estime Hugues Morana, directeur de Colas Digital Solutions, cité dans un communiqué de presse. Il n’existe pas d’équipe de sécurité capable de prendre en charge une telle masse de travail. D’autant qu’en général la plupart des vulnérabilités détectées sont tout à fait mineures, mais encore faut-il le savoir. »

Entre mars 2023 et décembre 2025, Patrowl a relevé une soixantaine de vulnérabilités critiques. La qualification des vulnérabilités se fait sur la base de critères à pondérer. « Ce qui permet d’ajuster la note de criticité mais aussi de gérer des assets par zone géographique », complète Hervé Sicard. La plateforme ne se contente pas de remonter des alertes, elle décrit précisément les vulnérabilités et propose des actions de remédiation. « Dès qu’une vulnérabilité est détectée, je dispose d’un document d’export récapitulant le sujet et la remédiation à appliquer. Je peux alors l’envoyer aux correspondants informatiques locaux afin qu’ils procèdent à la correction. »

L’éditeur venant seconder les équipes en place, la relation avec ce dernier est clé aux yeux du Cyber Operations Officer. Il salue sa réactivité et la possibilité d’échanger avec un interlocuteur dédié. « Patrowl tient compte des remarques de ses clients et cela se ressent dans sa « roadmap ». Nous avons ainsi pu donner notre avis sur la prémaquette de la nouvelle interface. »

La nationalité de la startup est également un plus alors que l’enjeu de souveraineté revêt un intérêt croissant dans le contexte géopolitique actuel. Colas fait d’ailleurs appel à un outil de GRC (Gouvernance, risque et conformité) édité par un autre fournisseur français, Tenacy, au sein duquel sont intégrées les données issues de Patrowl.

Alors que le BTP pourrait apparaître comme moins exposé que d’autres secteurs, en raison de sa plus faible digitalisation, la taille de Colas et son appartenance au groupe Bouygues peuvent concourir à être la cible d’acteurs malveillants. Au-delà du risque de violation de données, il y a un enjeu réputationnel. Un site web institutionnel peut voir ses pages effacées ou remplacées, renvoyant vers des jeux d’argent en ligne ou du contenu pour adultes. Ce qui porterait préjudice à l’image de marque du groupe.