Scans de vulnérabilités managés

XMCO vous propose une offre de scans de vulnérabilité pilotés et managés afin de répondre à vos besoins de détection de vulnérabilités sur vos périmètres de toutes tailles.

Nous ajoutons notre expertise aux résultats délivrés par les leaders de l’industrie (Tenable, Qualys, Outpost24, Burp Enterprise, Acunetix) afin de vous apporter des résultats clairs, qualitatifs et contextualisés.

Du scan réseau jusqu’au scan applicatif, XMCO s’occupe de tout :

  • Souscription des licences
  • Configuration et planification des scans
  • Analyse des résultats
  • Élimination des faux positifs et tests manuels complémentaires
  • Fourniture d’un livrable adapté à vos besoins (Excel, CSV, PPT, fichier à importer dans vos outils de ticketing)

Les résultats délivrés permettront à vos équipes de suivre et de corriger efficacement les vulnérabilités identifiées sur vos périmètres.

Notre approche

  1. Nous définissons avec vous les périmètres à scanner, les plages horaires, la configuration (nombre de requêtes, intensité des tests, contrôles à réaliser, comptes pour les parties authentifiées si nécessaire, chemin à inclure ou exclure, etc.), la fréquence des scans ainsi que les types de tests effectués (réseau, applicatif, ASV).
  2. Les vulnérabilités identifiées sont ensuite triées et classées par catégorie afin de minimiser le nombre de remontées et ainsi d’optimiser le temps de travail nécessaire à vos équipes pour y remédier.
  3. Nos équipes vérifient ensuite chacune de ces vulnérabilités manuellement afin de supprimer tout faux positif et ne remonter que les résultats les plus pertinents pour la sécurité de vos périmètres.
  4. XMCO apporte ensuite son expertise en requalifiant les vulnérabilités selon leur exploitabilité réelle et le contexte applicatif. Une description détaillée et des recommandations claires et spécifiques à vos assets accompagnent chaque vulnérabilité remontée.
  5. Nous proposons ensuite de vous livrer les résultats en français ou en anglais et dans  de nombreux formats afin de respecter au mieux les habitudes de vos équipes (Portail XMCO, fichiers Excel / CSV, fichiers d’import compatible avec vos outils de ticketing et de suivi (ServiceNow, Jira, Redmine).

Évaluations PCI DSS trimestrielles

XMCO propose également d’effectuer les scans ASV (Approved Scanning Vendor) trimestriels nécessaires à la certification PCI DSS.

Dans ce cas, nos équipes vérifient les vulnérabilités identifiées et les remettent en contexte afin de déterminer lesquelles représentent une potentielle non-conformité avec le standard.

Si aucune non-conformité avérée n’est identifiée, les résultats sont soumis pour la certification. Lors de la soumission, nos experts justifient chacune des non-conformités identifiées par le scanner ASV qui s’avèrerait être un faux positif ou qui, remise en contexte, ne représente aucun risque. Une fois les résultats des scans validés et certifiés, nous vous délivrons les attestations.

En cas de non-conformité bloquante ou vulnérabilité avec un risque avéré, nous délivrons chacun des éléments identifiés avec des préconisations détaillées afin de permettre leur correction. Nous réalisons ensuite le contre-audit des corrections apportées afin d’obtenir l’attestation.