À Propos de ScanFortress

Transparence totale sur notre outil de diagnostic automatisé

⚠️ Avertissement Important

ScanFortress est un outil de diagnostic technique automatisé à visée pédagogique. Il ne constitue EN AUCUN CAS :

  • Un audit de sécurité qualifié (PASSI, ISO 27001, etc.)
  • Une validation de conformité réglementaire (DORA, NIS2, HDS, PCI-DSS)
  • Un test d'intrusion (pentest) manuel effectué par des experts
  • Une garantie d'absence de vulnérabilités sur votre infrastructure
  • Un conseil juridique ou une certification officielle

Les résultats fournis sont indicatifs et ne doivent pas être utilisés comme unique source de décision pour la sécurité de systèmes critiques ou réglementés.

🎯 Ce Que Nous Sommes

ScanFortress est un outil de diagnostic automatisé conçu pour détecter rapidement les problèmes de configuration évidents sur des sites web publics.

Nous effectuons un scan automatisé rapide qui teste exclusivement :

  • Les en-têtes HTTP de sécurité (CSP, X-Frame-Options, HSTS, etc.)
  • La configuration SSL/TLS (certificats, protocoles, chiffrements)
  • Les enregistrements DNS publics (SPF, DMARC, DNSSEC)
  • Les ports réseau ouverts visibles publiquement
  • Les cookies et leurs attributs de sécurité (Secure, HttpOnly, SameSite)
  • Les informations OSINT exposées publiquement
  • Les fichiers sensibles exposés et configurations web évidentes

Durée : Scan rapide et efficace
Profondeur : Surface publique uniquement, aucune intrusion
Outils : Scanners open-source (SSLyze, nmap, SpiderFoot, Nikto)

🔬 Méthodologie Technique

Scans Effectués (Plan Gratuit)

1. SSL/TLS (SSLyze)

Vérification des certificats, protocoles supportés, suites de chiffrement

2. En-têtes HTTP (curl)

Analyse de CSP, X-Frame-Options, HSTS, X-Content-Type-Options, etc.

3. DNS (dnspython)

Vérification SPF, DMARC, DNSSEC, enregistrements CAA

Scans Avancés (Plans Pro & Enterprise)

4. Ports Réseau (nmap)

Scan des 1000 ports les plus courants

5. Cookies (curl)

Vérification des attributs Secure, HttpOnly, SameSite

6. OSINT (SpiderFoot)

Découverte de sous-domaines, emails exposés, fuites de données publiques

7. Vulnérabilités Web (Nikto)

Détection de fichiers sensibles exposés, configurations dangereuses

Analyse IA (Plans Pro & Enterprise)

Recommandations Personnalisées (Claude AI)

Analyse contextuelle et priorisation des correctifs avec estimation de difficulté

✅ Ce Que Nous Faisons vs ❌ Ce Que Nous Ne Faisons PAS

✅ Ce Que Nous Faisons

  • Scan automatisé de la surface publique scan rapide
  • Détection des en-têtes de sécurité manquants
  • Vérification SSL/TLS de base (certificat, protocoles)
  • Analyse DNS publique (SPF, DMARC, DNSSEC)
  • Scan de ports réseau (top 1000)
  • Vérification cookies (attributs de sécurité)
  • OSINT de base (sous-domaines, expositions publiques)
  • Recommandations IA personnalisées (Pro+)
  • Pré-diagnostic avant audit qualifié

❌ Ce Que Nous Ne Faisons PAS

  • Tests d'intrusion manuels par experts (pentest)
  • Validation de conformité réglementaire (DORA, NIS2, HDS)
  • Analyse du code applicatif (injections SQL, XSS)
  • Tests de logique métier et authentification
  • Ingénierie sociale ou tests physiques
  • Audit d'infrastructure interne (non exposée)
  • Garantir l'absence de vulnérabilités
  • Remplacer un audit qualifié PASSI
  • Fournir une certification officielle

👥 Pour Qui ?

✓ Idéal Pour

  • 🏢
    TPE et micro-entreprises

    Moins de 10 employés, budget limité, sites vitrines

  • 👤
    Freelances et indépendants

    Développeurs, consultants, artisans du web

  • 🤝
    Associations et petites structures

    Sites informatifs, blogs, portfolios

  • 🎓
    Formation et sensibilisation

    Apprentissage des bonnes pratiques de sécurité

  • 🔍
    Pré-diagnostic avant audit qualifié

    Identifier les problèmes évidents avant d'investir dans un audit complet

  • 🛒
    E-commerce - surveillance entre audits

    Monitoring continu entre deux audits PCI-DSS, préparation avant audit de conformité

⚠️ Inadapté Pour

  • 🏦
    Institutions financières

    Banques, assurances → Audit TLPT obligatoire (DORA)

  • Opérateurs d'importance vitale

    Énergie, transports, santé → Conformité NIS2

  • 💳
    E-commerce - Remplacement de l'audit PCI-DSS

    ScanFortress ne remplace PAS l'audit PCI-DSS obligatoire, mais peut servir de pré-audit et monitoring entre audits annuels

  • 🏥
    Organismes de santé

    Hébergement données de santé → Certification HDS

  • 🔐
    Systèmes critiques

    Infrastructures sensibles → Audit PASSI obligatoire

⚠️ Ces organisations DOIVENT contacter un prestataire qualifié PASSI

→ Liste ANSSI des prestataires qualifiés PASSI

🛒 Cas Spécial : E-commerce et PCI-DSS

⚠️ Position Claire sur PCI-DSS

ScanFortress ne remplace PAS l'audit PCI-DSS obligatoire pour les sites e-commerce traitant des paiements par carte bancaire.

La conformité PCI-DSS requiert un audit annuel par un QSA (Qualified Security Assessor) certifié PCI SSC.

✅ Comment ScanFortress Peut Vous Aider

  • 1️⃣
    Pré-audit avant certification PCI-DSS

    Identifiez et corrigez les problèmes évidents (SSL/TLS, headers HTTP) avant l'audit PCI-DSS officiel pour réduire les coûts et gagner du temps

  • 2️⃣
    Surveillance continue entre audits

    L'audit PCI-DSS est annuel. Utilisez ScanFortress pour monitorer votre posture de sécurité les 11 autres mois

  • 3️⃣
    Détection rapide de régressions

    Après une mise à jour ou un déploiement, vérifiez si la configuration de sécurité est toujours correcte

  • 4️⃣
    Sensibilisation équipe technique

    Former les développeurs aux bonnes pratiques de sécurité web avec des résultats concrets et actionnables

💰 Économies Potentielles

Un audit PCI-DSS coûte entre 3 000€ et 15 000€ selon le niveau (SAQ, Level 1-4).

En arrivant bien préparé grâce à ScanFortress (29€/mois), vous pouvez :

  • Réduire le temps d'audit (facturation horaire auditor)
  • Éviter les échecs d'audit et repassages coûteux
  • Maintenir la conformité entre deux audits annuels

📋 Workflow Recommandé pour E-commerce

  1. Utiliser ScanFortress (Plan Pro) pour identifier les problèmes évidents
  2. Corriger les problèmes de configuration détectés
  3. Faire appel à un QSA certifié pour l'audit PCI-DSS officiel
  4. Monitorer avec ScanFortress (Plan Enterprise) les 11 mois suivants
  5. Renouveler l'audit PCI-DSS annuel

🎓 Quand Consulter un Professionnel Qualifié ?

ScanFortress ne remplace PAS un audit professionnel. Vous devriez consulter un prestataire qualifié PASSI si :

  • 🔹 Vous êtes soumis à des obligations réglementaires (DORA, NIS2, HDS, PCI-DSS, ISO 27001)
  • 🔹 Vous traitez des données sensibles (santé, finances, données personnelles à grande échelle)
  • 🔹 Vous avez subi une cyberattaque ou suspectez une compromission
  • 🔹 Vous gérez une infrastructure critique (> 50 employés, CA > 10M€, OIV/OSE)
  • 🔹 Vous avez besoin d'une certification officielle pour vos clients ou partenaires
  • 🔹 Vous voulez un test d'intrusion (pentest) réaliste avec rapport détaillé

📋 Tarifs Indicatifs d'Audits Qualifiés

  • Test d'intrusion (pentest) : 5 000 € - 25 000 € selon périmètre
  • Audit ISO 27001 complet : 15 000 € - 50 000 €
  • Audit DORA (secteur financier) : 50 000 € - 200 000 €+
  • Certification HDS (santé) : 20 000 € - 100 000 €

ScanFortress peut être utilisé comme pré-diagnostic avant d'investir dans un audit qualifié, pour identifier rapidement les problèmes évidents.

⚖️ Limitations et Responsabilités

Limitations Techniques

  • Scan automatisé - aucune analyse manuelle par des experts
  • Surface publique uniquement - aucun test sur infrastructure interne
  • Analyse rapide par scan - analyse rapide et superficielle
  • Faux positifs et faux négatifs possibles - nécessite validation humaine
  • Ne détecte que les problèmes de configuration évidents
  • Ne teste PAS les vulnérabilités applicatives (injections, XSS, CSRF, etc.)

Limitation de Responsabilité

ScanFortress est fourni "en l'état" sans garantie d'aucune sorte.

  • Les résultats sont indicatifs et ne constituent pas un conseil en sécurité
  • Nous ne garantissons PAS l'absence de vulnérabilités sur votre infrastructure
  • Nous déclinons toute responsabilité en cas de dommage résultant de l'utilisation de nos résultats
  • L'utilisateur reste seul responsable de la sécurité de son infrastructure
  • Les scans sont non-intrusifs mais peuvent être détectés par des systèmes de sécurité

📞 Contact et Ressources

Questions ?

Besoin d'aide pour interpréter vos résultats ou des questions sur notre service ?

Inscrivez-vous pour nous contacter

Rappel : ScanFortress est un outil de diagnostic automatisé à visée pédagogique. Pour une conformité réglementaire ou un audit approfondi, consultez un prestataire qualifié PASSI .