Comprendre vos vulnérabilités
Comment lire, prioriser et traiter les vulnérabilités détectées par Scanyze
Comprendre vos vulnérabilités
Quoi
Une vulnérabilité (parfois appelée finding) est un problème de sécurité détecté par un module Scanyze : un service exposé avec une faille connue, une mauvaise configuration HTTPS, un secret oublié dans le code, un partage cloud trop ouvert. Cette page vous aide à les traiter méthodiquement.
Pour qui
Tous les utilisateurs qui se retrouvent face à une longue liste de vulnérabilités et ne savent pas par où commencer.
Pourquoi
Une organisation moyenne reçoit des centaines, parfois des milliers de vulnérabilités au premier scan. Sans méthode, on tente de tout corriger en parallèle, on se décourage, et rien n'avance. Cette page vous donne un cadre simple.
Comment
Étape 1 — Trier par gravité
Allez dans Vulnérabilités dans le menu de gauche. Triez par gravité décroissante. Concentrez-vous d'abord sur :
- Les critiques — risque immédiat d'attaque réussie
- Les élevées — risque sérieux à court terme
- Les moyennes — risque à moyen terme
Ne touchez pas aux faibles et aux informations tant que le reste n'est pas traité.
Étape 2 — Filtrer par module
Selon votre rôle, certaines vulnérabilités sont plus pertinentes que d'autres :
- Pour le RSSI : vue d'ensemble, sans filtre
- Pour l'équipe IT : filtrer sur EASM et Cloud
- Pour les développeurs : filtrer sur Code
- Pour le DPO ou auditeur : filtrer sur Compliance
Étape 3 — Examiner chaque vulnérabilité
Cliquez sur une vulnérabilité pour ouvrir sa fiche. Lisez dans cet ordre :
- Le titre — résumé en une phrase
- La gravité et le score — à quel point c'est sérieux
- Où — sur quel élément le problème a été détecté
- La description — explication en français
- La preuve — donnée brute qui démontre le problème
- La recommandation — comment corriger
Étape 4 — Décider du traitement
Pour chaque vulnérabilité, vous avez le choix :
| Statut | Quand l'utiliser |
|---|---|
| Confirmée | Vous avez vérifié, c'est bien un vrai problème, vous comptez le traiter |
| Faux positif | L'outil s'est trompé, ce n'est pas réellement une faille |
| Risque accepté | Vous reconnaissez le problème mais ne le corrigerez pas (avec justification) |
| Corrigée | Vous avez appliqué le correctif |
| Ne sera pas corrigée | Décision documentée de ne rien faire |
Pour les statuts "Risque accepté" et "Ne sera pas corrigée", ajoutez toujours un commentaire de justification. Cela protège votre équipe en cas d'audit ou d'incident.
Étape 5 — Assigner et planifier
Vous pouvez assigner une vulnérabilité à un membre de votre équipe avec une date butoir. La personne assignée reçoit une notification et la vulnérabilité apparaît dans son tableau de bord.
Pour les organisations qui utilisent Jira, Linear ou Asana, des intégrations permettent de créer automatiquement un ticket dans votre outil de gestion.
Étape 6 — Marquer comme corrigée
Une fois la correction appliquée, marquez la vulnérabilité comme "Corrigée". Au prochain scan, Scanyze vérifiera automatiquement que le problème ne réapparaît pas. Si le scan retrouve la même vulnérabilité, son statut repasse à "Ouverte" avec une alerte.
Lecture du résultat
Champs d'une fiche vulnérabilité
| Champ | Signification |
|---|---|
| Titre | Résumé court du problème |
| Description | Explication en français |
| Où | Cible, sous-domaine, fichier, ressource concernée |
| Gravité | Critique / Élevée / Moyenne / Faible / Information |
| Score | Note technique (généralement de 0 à 10) |
| Module | Quel scanner a détecté le problème |
| Preuve | Donnée brute qui démontre le problème |
| Recommandation | Action à entreprendre |
| Statut | Ouverte / Confirmée / Faux positif / Risque accepté / Corrigée / Ne sera pas corrigée |
| Analyse IA | (optionnel) Explication contextualisée fournie par l'IA |
Analyse IA
Sur les vulnérabilités complexes, vous pouvez demander une analyse IA qui produit :
- Une explication adaptée à votre contexte
- Un scénario d'exploitation réaliste
- Une recommandation enrichie
- Un niveau de risque ajusté
Voir GPU vs IA Premium pour choisir le moteur.
Cas d'usage
Première vague après un scan initial
Vous venez de lancer votre tout premier scan. Vous obtenez 187 vulnérabilités. Au lieu de paniquer :
- Vous filtrez sur Critique : 4 résultats. Vous les corrigez en priorité dans la semaine.
- Vous filtrez sur Élevée : 19 résultats. Vous les répartissez sur 3 semaines.
- Vous filtrez sur Moyenne : 64 résultats. Vous prévoyez une revue mensuelle.
- Vous laissez les faibles et informations pour plus tard.
Suivi mensuel d'une équipe
Tous les premiers du mois, vous lancez un scan complet de toutes vos cibles. Vous comparez avec le mois précédent : combien de vulnérabilités corrigées, combien de nouvelles, combien de faux positifs marqués. Cela donne le rythme de l'équipe.
Justification d'un risque accepté
Vous identifiez une vulnérabilité moyenne sur un service interne dont la mise à jour casserait votre application métier. Vous marquez "Risque accepté" avec le commentaire : "Mise à jour planifiée Q3 avec migration applicative — risque temporaire mitigé par accès limité au réseau interne". En cas d'audit, vous avez la trace.