Comment fonctionne Vulny
Vulny effectue un scan sûr et automatisé qui couvre trois choses à la fois : la sécurité, le SEO et la recherche IA (GEO). Vous saisissez une adresse de site web qui vous appartient, et Vulny la teste comme le feraient respectivement un attaquant, un moteur de recherche et un assistant IA — puis renvoie des découvertes priorisées avec un correctif en langage clair pour chacune. Voici ce qui se passe à chaque étape.
Comment fonctionne un scan de vulnérabilités externe ?
Un scan externe examine vos systèmes depuis l’Internet public, exactement comme le ferait un attaquant avant de s’introduire. Vulny découvre vos hôtes exposés sur Internet, trouve chaque port ouvert et identifie le service et la version derrière chacun — serveurs web, serveurs de messagerie, bases de données, services d’accès à distance et plus encore. Il confronte ensuite chaque service aux vulnérabilités connues, de sorte que vous voyez ce qu’un tiers pourrait atteindre et exploiter. Aucun identifiant ni agent n’est installé : le scan s’exécute entièrement depuis l’extérieur, c’est pourquoi vous pouvez en lancer un en quelques minutes sur n’importe quel domaine ou IP qui vous appartient. Cette vue de l’extérieur est la plus importante, car c’est exactement la surface que les attaquants sondent en premier — chaque service exposé, y compris le sous-domaine oublié ou la machine de pré-production dont personne ne se souvenait qu’elle était encore en ligne.
Que vérifie le scanner d’applications web ?
Chaque service web que Vulny trouve est testé pour les problèmes qui mènent le plus souvent à une compromission. Cela inclut les catégories du OWASP Top 10 — injection, contrôle d’accès défaillant, mauvaise configuration de sécurité et plus encore — ainsi que les fichiers sensibles exposés comme les sauvegardes, les répertoires .git et les fichiers de configuration ou d’environnement, les en-têtes de sécurité manquants ou faibles, et les pages par défaut qui ne devraient jamais être publiques. Les modèles de détection sont mis à jour en continu, donc le scanner continue de vérifier les failles web nouvellement divulguées, et pas seulement une liste figée du jour de sa mise en service. Chaque découverte revient avec sa gravité, l’URL concernée et un correctif en langage clair, afin qu’un développeur puisse la reproduire et la corriger sans avoir besoin d’un spécialiste de la sécurité. Les tests sont non destructifs : Vulny confirme l’existence d’une faille sans l’exploiter ni modifier vos données.
Qu’est-ce que le scan des shadow-API ?
Les shadow-API sont des points de terminaison qui existent mais ne figurent pas dans votre documentation — anciennes versions, routes d’administration oubliées ou services qu’une équipe a déployés sans prévenir personne. Ce sont des cibles de choix parce que personne ne les surveille. Vulny explore votre application pour découvrir les points de terminaison d’API documentés et non documentés, puis les fuzze en toute sécurité à la recherche de failles d’authentification et d’autorisation et de bugs d’injection, dont SSRF, LFI, SSTI et path traversal. Le résultat est une carte de votre véritable surface d’API — y compris les parties que vous aviez oubliées — et l’endroit où chacune est faible. Cela compte de plus en plus chaque année, car les attaquants compromettent de plus en plus les entreprises via les API plutôt que via le site web frontal, et vous ne pouvez pas défendre un point de terminaison dont vous ignorez l’existence.
Comment Vulny vérifie-t-il votre configuration TLS / SSL ?
Vulny inspecte la configuration des certificats et du chiffrement de chaque service qui utilise TLS. Il signale les certificats expirés, auto-signés ou émis par une autorité non fiable, ainsi que les configurations qui autorisent encore des versions de protocole obsolètes ou des chiffrements faibles vers lesquels un attaquant pourrait rétrograder. Une configuration TLS faible sape discrètement tout le reste, c’est pourquoi ces vérifications s’exécutent sur chaque port chiffré — pas seulement sur votre site principal — et vous indiquent exactement quoi changer. Un mauvais TLS produit rarement une erreur évidente, c’est pourquoi il passe inaperçu pendant des années : le site se charge toujours et le cadenas s’affiche toujours, mais la connexion peut être interceptée ou rétrogradée. Vulny met au jour ces faiblesses silencieuses en indiquant le certificat, le protocole ou le chiffrement précis à corriger.
Comment Vulny associe-t-il les vulnérabilités aux CVE ?
Une fois que Vulny connaît les logiciels et les versions que vous exécutez, il les confronte à une base de détection de 357,755+ tests de vulnérabilités. Chaque correspondance est enrichie de sa gravité CVSS, de son inscription ou non sur la liste CISA KEV des vulnérabilités connues pour être exploitées dans la nature, de sa probabilité d’exploitation EPSS et de tout code d’exploitation public. Ce contexte transforme une longue liste en une courte : au lieu de mille problèmes théoriques, vous obtenez la poignée qui est réellement dangereuse pour vous, classée en premier. La base se rafraîchit toutes les deux heures, de sorte que vous êtes revérifié contre des CVE flambant neufs le jour même de leur divulgation. Comme l’association utilise les versions précises identifiées par Vulny, elle évite les faux positifs qui affligent les scanners génériques, lesquels signalent un CVE sur chaque hôte exécutant à peu près le bon produit quelle que soit la version.
Comment fonctionne l’audit SEO ?
Dans le même passage, Vulny vérifie dans quelle mesure vos pages sont prêtes à se classer sur Google. Il charge chaque page comme le fait un moteur de recherche et examine les signaux qui déterminent la visibilité — de la facilité d’exploration et de la rapidité de la page à la clarté avec laquelle elle indique à Google de quoi il s’agit. Vous obtenez un seul score SEO avec les problèmes précis qui vous freinent et un correctif en langage clair pour chacun, afin de grimper dans les classements sans engager d’agence SEO. L’idée est simple : le site web le plus sécurisé du monde échoue tout de même si les clients ne le trouvent pas sur Google, donc la sécurité et la trouvabilité ont leur place dans un seul scan, pas dans deux outils.
Comment fonctionne l’audit de recherche IA (GEO) ?
Les acheteurs demandent de plus en plus des recommandations à ChatGPT, Perplexity et l’IA de Google plutôt que de faire défiler une page de résultats — et ces moteurs ne citent que les pages qu’ils peuvent lire et auxquelles ils font confiance. L’audit GEO (Generative Engine Optimisation) de Vulny vérifie si votre site est visible et citable par les assistants IA, puis évalue la probabilité que vous soyez cité et vous indique ce qu’il faut améliorer. C’est le front le plus récent pour être trouvé en ligne, et la plupart de vos concurrents ne le surveillent pas encore — c’est précisément pourquoi il est avantageux d’y remédier maintenant. Sécurité, SEO et recherche IA, un seul scan, un seul rapport.
Que trouve un scan typique ?
Un premier scan d’un site web de petite entreprise fait souvent ressortir une poignée de problèmes réels : un serveur web obsolète avec un CVE connu, quelques en-têtes de sécurité manquants, un dossier de sauvegarde ou .git exposé, et une configuration TLS qui autorise encore un ancien protocole. Chaque découverte s’accompagne de sa gravité, de l’hôte et du port concernés et d’un correctif en langage clair. Vous pouvez exporter l’ensemble de l’évaluation sous forme de rapport PDF personnalisé ou DOC modifiable — prêt pour un auditeur, un client ou vos propres ingénieurs. Surtout, les découvertes sont classées par risque réel plutôt que déversées en une liste indifférenciée, de sorte que vous consacrez votre temps aux un ou deux problèmes qu’un attaquant utiliserait réellement, et non à une centaine de notes de faible priorité.
Le scan est-il sûr et sans perturbation ?
Vulny est conçu pour être non destructif : il identifie et vérifie les faiblesses sans les exploiter, supprimer des données ou mettre des services hors ligne. Les scans tiennent compte du débit afin de ne pas surcharger vos serveurs, et vous ne pouvez scanner que les actifs qui vous appartiennent ou que vous êtes autorisé à tester — Vulny vérifie la propriété du domaine avant le premier scan de toute nouvelle cible. Cela permet de les exécuter en continu en arrière-plan plutôt que seulement pendant une fenêtre de maintenance planifiée. Vous obtenez la même profondeur de test qu’un attaquant tenterait, mais sans le risque pour la disponibilité ou l’intégrité des données qu’une véritable intrusion — ou un scanner imprudent — ferait courir, ce qui rend le scan permanent praticable au lieu d’être un événement annuel.
Voyez-le sur votre propre site
Lancez un scan pour la sécurité, le SEO et la recherche IA (GEO) — et obtenez un rapport PDF personnalisé, prêt pour l’ISO 27001.
Analyser mon site →