Comprendre la note de sécurité
Comment Scanyze calcule votre note de sécurité et comment l'améliorer
Comprendre la note de sécurité
Quoi
La note de sécurité est un chiffre sur 100 qui résume l'état de votre exposition. Plus il est haut, mieux vous êtes protégé. C'est le chiffre que vous présentez à votre direction pour montrer la posture globale.
Pour qui
Tous les utilisateurs qui voient ce chiffre apparaître en haut de leur tableau de bord et veulent comprendre ce qu'il signifie réellement.
Pourquoi
Sans note unique, on se perd dans des centaines de vulnérabilités sans savoir comment communiquer. La note de sécurité offre un repère simple, comparable dans le temps et entre organisations.
Comment elle est calculée
La note globale est une moyenne pondérée des notes des modules que vous avez activés. Chaque module compte différemment selon son importance et selon votre plan.
Pondération typique
| Module | Poids dans la note globale |
|---|---|
| Surface d'attaque externe (EASM) | environ 40 % |
| Sécurité du cloud (Microsoft 365, Google, etc.) | environ 25 % |
| Vulnérabilités confirmées (toutes sources) | environ 20 % |
| Présence sur le dark web | environ 10 % |
| Sécurité du code | environ 5 % |
Si vous n'avez pas activé un module, son poids est redistribué sur les autres.
Comment chaque module contribue
Surface d'attaque externe (EASM)
Une moyenne des sous-notes par catégorie :
- Configuration HTTPS et TLS
- Sécurité des e-mails (SPF, DKIM, DMARC)
- Configuration DNS
- Vulnérabilités connues sur les services exposés
- En-têtes de sécurité HTTP
Une mauvaise configuration de votre courrier électronique tire la note vers le bas même si tout le reste est parfait.
Cloud
Une note basée sur les bonnes pratiques de sécurité de chaque plateforme cloud connectée. Plus de comptes administrateurs sans authentification multifacteur, plus de partages publics non contrôlés, plus de comptes inactifs : la note baisse.
Vulnérabilités confirmées
Le nombre de vulnérabilités ouvertes pondérées par leur gravité. Une critique pèse beaucoup plus qu'une faible.
Les vulnérabilités marquées "corrigées" sortent du calcul. Celles marquées "risque accepté" ou "faux positif" comptent moins.
Dark web
Une pénalité proportionnelle au nombre de fuites récentes touchant votre domaine. Les fuites historiques (plus de 5 ans) pèsent peu, les fuites récentes (moins d'un an) pèsent beaucoup.
Code
La moyenne des notes de sécurité de vos dépôts de code. Un dépôt avec des secrets exposés et des vulnérabilités critiques tire la note vers le bas.
Lecture de la note
| Tranche | Couleur | Interprétation |
|---|---|---|
| 90 - 100 | Vert foncé | Excellente posture. Maintenez. |
| 75 - 89 | Vert | Bonne posture. Quelques optimisations possibles. |
| 50 - 74 | Jaune | Posture moyenne. Plan d'action à mettre en œuvre. |
| 30 - 49 | Orange | Posture faible. Risques importants. |
| 0 - 29 | Rouge | Posture critique. Action immédiate nécessaire. |
Comment améliorer votre note
Court terme (quelques jours)
- Corriger les vulnérabilités critiques et élevées existantes
- Activer l'authentification multifacteur sur tous les comptes administrateurs
- Désactiver les protocoles HTTPS obsolètes (TLS 1.0, 1.1)
- Configurer SPF, DKIM, DMARC sur votre domaine de messagerie
Ces actions ont l'effet le plus visible sur la note dans le temps le plus court.
Moyen terme (quelques semaines)
- Inventorier et fermer les sous-domaines inutiles
- Mettre à jour les services exposés vers les versions corrigées
- Forcer la rotation des mots de passe des comptes apparaissant dans les fuites dark web
- Renforcer les politiques de partage dans Microsoft 365 / Google Workspace
Long terme (quelques mois)
- Mettre en place une revue régulière des vulnérabilités (hebdomadaire, mensuelle)
- Former les équipes aux bonnes pratiques de sécurité
- Atteindre la conformité d'un cadre de référence (ISO 27001, SOC 2)
- Réaliser un pentest annuel pour valider votre robustesse
Cas d'usage
Tableau de bord pour la direction
Vous présentez l'évolution de votre note à votre comité de direction tous les trimestres. Le graphique montre une progression : 52 → 67 → 78 → 84. La direction comprend que les investissements en sécurité produisent des résultats.
Objectif annuel
Vous fixez en début d'année un objectif : passer de 65 à 85 sur l'année. La note sert de KPI pour piloter la stratégie sécurité.
Comparaison avant/après
Vous voulez justifier l'achat d'un nouvel outil ou la mise en place d'une nouvelle politique. Vous prenez une capture de la note avant, vous mettez en œuvre, et vous comparez 3 mois plus tard.