Scanner de vulnérabilités
Un scanner de vulnérabilités confronte automatiquement vos systèmes à une base de failles connues, CVE et défauts de configuration, et produit une liste priorisée.
Un scanner de vulnérabilités est un outil qui teste automatiquement des systèmes contre une base de failles connues. Il identifie les logiciels et leurs versions, les confronte aux CVE publiées, vérifie une série de défauts de configuration classiques, certificats expirés, services obsolètes, en-têtes manquants, et produit une liste de findings généralement priorisée par score CVSS. C’est l’outil de base de la gestion des vulnérabilités, et son grand mérite est de passer à l’échelle : des milliers d’hôtes couverts en continu, pour un coût marginal.
Ses limites sont tout aussi structurelles. Un scanner ne trouve que ce qu’il connaît : il ne voit ni les failles de logique métier, ni les enchaînements de vulnérabilités, ni les défauts propres à votre application. Il produit aussi des faux positifs qu’il faut trier, et un rapport de scan brut n’a jamais dit si une faille était réellement exploitable dans votre contexte.
Le scanner est donc un complément du test d’intrusion, pas son remplaçant : l’un balaie large et souvent, l’autre creuse profond et prouve. Notre article pentest ou scan de vulnérabilités explique quand utiliser l’un, l’autre, ou les deux.