5 scanners intégrés

Scanner de vulnérabilité : comment protéger votre site web

Un scanner de vulnérabilité teste automatiquement votre site web contre les failles connues. Découvrez les différents types d'outils et comment notre audit les combine pour une couverture maximale.

Scanner mon site → 99€ HT Voir nos 5 scanners
Définition

Qu'est-ce qu'un scanner de vulnérabilité ?

Un scanner de vulnérabilité est un logiciel qui analyse automatiquement un système informatique — site web, serveur, application — pour identifier les failles de sécurité exploitables. Il compare les composants détectés (versions logicielles, configurations, endpoints exposés) contre des bases de vulnérabilités connues (CVE, OWASP, NVD) et produit un rapport listant les risques par ordre de sévérité.

Scan passif vs scan actif

Il existe deux approches complémentaires. Le scan passif observe le trafic et les réponses du serveur sans injecter de données : il vérifie les headers HTTP, les versions exposées, les certificats SSL et les configurations visibles. Le scan actif va plus loin en envoyant des requêtes spécifiquement conçues pour tester la résistance du système : injections SQL, payloads XSS, tentatives de contournement d'authentification. Notre audit combine les deux approches pour une détection exhaustive.

Ce qu'un scanner détecte

Ce qu'un scanner ne détecte pas

C'est pourquoi les organisations les plus matures combinent scan automatisé et pentest manuel pour couvrir l'ensemble du spectre de risques.

28 000+
CVE publiées en 2025 dans la base NVD
85%
des failles exploitées avaient un correctif disponible
7
moteurs d'analyse combinés dans chaque audit Audit-Secu
Catégories

Les types de scanners de vulnérabilité

Chaque catégorie de scanner couvre un périmètre différent. Un audit complet nécessite d'en combiner plusieurs pour ne laisser aucun angle mort.

🕸

Scanners web dynamiques (DAST)

Testent l'application en fonctionnement en envoyant des requêtes HTTP forgées. Ils simulent le comportement d'un attaquant externe sans accès au code source.

Ex : OWASP ZAP, Burp Suite, Acunetix
Détecte : XSS, injection SQL, CSRF, mauvaises configurations HTTP, headers manquants, failles d'authentification

Scanners de CVE

Vérifient les versions des composants détectés contre les bases de vulnérabilités connues (NVD, MITRE). Identifient les logiciels pour lesquels un exploit public existe.

Ex : Nuclei, Nessus, OpenVAS/Greenbone
Détecte : composants vulnérables connus, versions obsolètes, exploits publics, CVE critiques avec score CVSS
📦

Scanners CMS spécialisés

Conçus pour une plateforme précise, ils analysent en profondeur les plugins, thèmes, utilisateurs et configurations spécifiques au CMS ciblé.

Ex : WPScan (WordPress), JoomScan (Joomla), CMSeeK (180+ CMS)
Détecte : plugins vulnérables, thèmes obsolètes, utilisateurs énumérés, fichiers sensibles, configurations par défaut
🌐

Scanners réseau

Analysent l'infrastructure sous-jacente : ports ouverts, services exposés, protocoles vulnérables. Ils ciblent la couche réseau plutôt que l'application web.

Ex : Nmap, Greenbone/OpenVAS, Qualys
Détecte : ports ouverts non nécessaires, services mal configurés, protocoles obsolètes (SSLv3, TLS 1.0), certificats expirés
📝

Scanners de code (SAST)

Analysent le code source directement pour trouver les failles avant déploiement. Ils nécessitent un accès au code et s'intègrent dans la CI/CD.

Ex : SonarQube, Semgrep, Checkmarx
Détecte : injections, fuites de secrets, dépendances vulnérables, mauvaises pratiques de codage — non applicable en scan externe
Comparatif

Comparatif des outils populaires

Les scanners de vulnérabilité vont du gratuit open source aux suites commerciales à plusieurs milliers d'euros par an. Voici les principaux acteurs du marché en 2026.

▶ Outils gratuits / open source

OWASP ZAP

Scanner web DAST
Gratuit (open source)
Scanner web de référence. Spider automatique, scan actif, détection OWASP Top 10. Interface graphique ou API. Nécessite une configuration fine pour éviter les faux positifs.

Nuclei

Scanner CVE / Templates
Gratuit (open source)
Moteur de templates ultra-rapide par ProjectDiscovery. Plus de 7 000 templates communautaires pour détecter les CVE connues, misconfigurations et expositions. Ligne de commande uniquement.

Nmap

Scanner réseau
Gratuit (open source)
L'outil de référence pour la découverte réseau et l'audit de ports. Détecte les services exposés, les versions et les vulnérabilités via scripts NSE. Indispensable mais limité au périmètre réseau.

WPScan

Scanner WordPress
Gratuit (version communautaire)
Scanner spécialisé WordPress : énumération de plugins, thèmes, utilisateurs. Version gratuite limitée à 25 requêtes API/jour. Enrichissement CVE via Wordfence Intelligence.

▶ Suites commerciales

Nessus Professional

Scanner vulnérabilité complet
~3 500 €/an
Scanner historique de Tenable. Couverture large (réseau + web + compliance). Interface web intuitive. Rapports détaillés. Nécessite une licence par scanner déployé.

Qualys VMDR

Plateforme cloud
~5 000 €/an
Plateforme SaaS de gestion des vulnérabilités. Scan continu, priorisation par risque, intégration ITSM. Orienté grandes entreprises avec inventaire d'actifs automatisé.

Burp Suite Pro

Scanner web DAST
~450 €/an
L'outil des pentesters professionnels par PortSwigger. Scanner automatique puissant, proxy d'interception, extensions. Excellent pour les tests manuels avancés, moins pour l'automatisation.

Acunetix

Scanner web DAST
~4 500 €/an
Scanner web spécialisé par Invicti. Détection avancée XSS/SQLi, crawling JavaScript, intégration CI/CD. Bonne couverture OWASP Top 10 mais limité au périmètre web applicatif.

Notre approche : plutôt que de payer des milliers d'euros en licences annuelles, notre audit combine 4 outils professionnels (OWASP ZAP, Nuclei, WPScan, CMSeeK) pour 99 € HT par audit, sans abonnement. Le rapport unifié corrèle les résultats de tous les scanners avec dédoublonnage intelligent. Voir nos tarifs →

Notre arsenal

Nos 4 scanners intégrés

Chaque audit Audit-Secu orchestre automatiquement ces 4 moteurs d'analyse en parallèle. Les résultats sont fusionnés, dédoublonnés et classés par sévérité CVSS dans un rapport unique.

DAST

OWASP ZAP

Scanner d'application web de référence. Effectue un spider automatique du site puis lance un scan actif qui teste chaque endpoint contre les vulnérabilités OWASP Top 10.
Détecte : injection SQL, XSS réfléchi et stocké, CSRF, headers de sécurité manquants, cookies non sécurisés, redirections ouvertes, directory listing
CVE

Nuclei

Moteur de templates CVE ultra-rapide par ProjectDiscovery. Utilise 7 000+ templates communautaires et nos templates propriétaires pour détecter les vulnérabilités connues.
Détecte : CVE publiées avec score CVSS, expositions de fichiers sensibles, panneaux d'administration exposés, misconfigurations, mode debug activé
CMS

WPScan

Scanner spécialisé WordPress enrichi par Wordfence Intelligence (50 000+ CVE). Analyse exhaustive des plugins, thèmes et utilisateurs avec vérification des versions contre les bases CVE.
Détecte : plugins vulnérables, thèmes obsolètes, utilisateurs énumérés, XML-RPC exposé, fichiers sensibles (wp-config.php, backups), plugins supprimés de wordpress.org
Détection

CMSeeK

Détecte automatiquement le CMS utilisé parmi 180+ plateformes (WordPress, PrestaShop, Joomla, Drupal, Magento, Shopify, Wix, etc.) et route vers le scanner spécialisé approprié.
Détecte : type de CMS, version installée, thème actif, technologies sous-jacentes. Déclenche automatiquement les scanners CMS dédiés pour une analyse approfondie
Multi-CMS

Scanners CMS dédiés

Déclenchés automatiquement par CMSeeK, ces scanners spécialisés analysent en profondeur chaque plateforme : PrestaShop (Nuclei + Friends of Presta), Joomla (JoomScan + Nuclei), Drupal (Drupwn + Security Advisories), Magento, Shopify, Wix et plus.
Détecte : CVE spécifiques au CMS, modules vulnérables, tokens exposés, fichiers de configuration accessibles, versions en fin de vie (EOL)
Voir le détail complet de notre méthodologie →
Comparaison

Gratuit vs payant : que choisir ?

Le choix dépend de votre niveau d'expertise, du temps disponible et de la couverture souhaitée. Voici les trois options concrètes.

Scanner gratuit

0 €
Configuration manuelle requise
  • 1 outil à la fois (ZAP ou Nuclei)
  • Couverture partielle (web OU CVE)
  • Pas de corrélation entre sources
  • Rapport brut, non priorisé
  • Expertise technique nécessaire
  • Pas de scoring unifié

Audit-Secu

99 € HT
Par audit, sans abonnement
  • 5 moteurs combinés en parallèle
  • Couverture complète (web + CVE + CMS + réseau)
  • Dédoublonnage et corrélation intelligents
  • Rapport professionnel avec remédiations
  • Score CVSS unifié (A à F)
  • Livré en moins de 2 heures par email

Suite commerciale

3 000–10 000 €
Par an, licence à renouveler
  • 1 à 3 outils selon la licence
  • Bonne couverture dans leur périmètre
  • Support éditeur et mises à jour
  • Intégration CI/CD avancée
  • Formation nécessaire
  • Engagement annuel obligatoire

99 € HT pour combiner 5 outils professionnels, sans abonnement. Vous obtenez la couverture d'une suite commerciale au prix d'un scan unique, avec un rapport actionnable livré en moins de 2 heures. Idéal pour les PME, indépendants et agences qui veulent un audit ponctuel sans investir dans des licences annuelles. Voir les tarifs détaillés →

FAQ

Questions fréquentes — Scanner de vulnérabilité

Un scanner de vulnérabilité est un outil automatisé qui teste votre site contre des bases de failles connues (CVE, OWASP Top 10, misconfigurations). Il détecte rapidement les vulnérabilités techniques documentées. Un pentest (test d'intrusion) va plus loin : un expert humain tente activement de contourner vos défenses, exploite les failles logiques et les enchaînements de vulnérabilités qu'un scanner seul ne peut pas identifier. Notre audit à 99 € HT combine 5 moteurs d'analyse pour une couverture maximale en mode automatisé. Pour aller plus loin, découvrez notre comparatif pentest automatisé vs manuel.
Un scanner gratuit individuel couvre un périmètre limité : OWASP ZAP détecte les failles web (XSS, injection SQL) mais pas les CVE spécifiques à votre CMS. Nuclei trouve les CVE connues mais ne teste pas les failles dynamiques. WPScan est excellent pour WordPress mais inutile sur PrestaShop. Pour une couverture réelle, il faut combiner plusieurs outils et corréler les résultats — ce qui demande du temps, de l'expertise et une infrastructure dédiée. Notre audit fait exactement cela pour 99 € HT : 5 moteurs combinés avec dédoublonnage intelligent et rapport unifié.
La durée dépend de la taille du site et du nombre de pages à analyser. En moyenne, notre audit complet (5 scanners en parallèle) prend entre 10 et 30 minutes. Le rapport unifié est généré automatiquement et envoyé par email en moins de 2 heures après le lancement. À titre de comparaison, configurer et lancer manuellement un seul scanner comme Nessus ou Qualys peut prendre plusieurs heures si vous n'êtes pas familier avec l'outil — sans compter le temps d'analyse des résultats bruts.
Oui. Nos scanners sont calibrés pour ne pas impacter les performances de votre site. Les tests sont non-destructifs : aucune donnée n'est modifiée, aucun fichier n'est altéré. Le scan web (ZAP) utilise un mode contrôlé qui limite le nombre de requêtes par seconde pour éviter toute surcharge. Les templates CVE (Nuclei) vérifient la présence de vulnérabilités sans les exploiter. Vous pouvez lancer un audit en production en toute sécurité. L'ensemble de l'infrastructure est hébergé en France et vos données restent confidentielles.
Passez à l'action

Scannez votre site avec 5 outils professionnels

99€ HT
5 moteurs combinés · Rapport en moins de 2h · Sans abonnement
Scanner mon site → 99€ HT
Voir un exemple de rapport → Automatisé vs manuel → OWASP Top 10 →