Foire aux questions

SecuScan est une plateforme SaaS complète de gestion des vulnérabilités conçue spécifiquement pour les PME québécoises. Elle combine trois modules:

• Scan Externe (EASM): Analyse de votre surface d'attaque publique avec 5 outils de sécurité (Nuclei, Nmap, Subfinder, testssl.sh, HIBP)
• Agents Déployables: Surveillance continue de vos endpoints (serveurs, workstations) avec analyse CVE et IA Claude
• Scan de Code: Détection de secrets et vulnérabilités dans votre code source (add-on payant)

Oui! SecuScan offre deux options gratuites:

• Plan Free permanent: 1 cible, 2 scans/mois, idéal pour tester la plateforme
• Essai gratuit 14 jours: Accès complet à tous les plans payants (Starter ou Pro) sans carte de crédit

À la fin de l'essai, vous basculez automatiquement sur le plan Free. Vous pouvez upgrader à tout moment.

Si vous atteignez vos limites mensuelles (nombre de scans, cibles ou agents):

• Vous recevrez une notification avant d'atteindre 80% de votre quota
• Les scans automatiques seront mis en pause jusqu'au mois suivant
• Vous pouvez upgrader immédiatement pour continuer
• Pas de frais surprise - nous ne facturons jamais d'overage sans votre accord

Les agents SecuScan sont des binaires légers (5-7MB) que vous installez sur vos serveurs:

1. Installation: Téléchargez le binaire pour votre OS (Linux, macOS, Windows)
2. Configuration: Ajoutez votre API key SecuScan dans les variables d'environnement
3. Exécution: Mode daemon (surveillance continue) ou one-shot (scans ponctuels)
4. Collecte: L'agent inventorie packages, services, ports ouverts
5. Analyse: Matching CVE local + envoi au cloud pour analyse IA Claude
6. Dashboard: Visualisez tous vos agents depuis l'interface web centralisée

Les agents communiquent uniquement en HTTPS TLS 1.2+ vers notre API. Aucune donnée sensible n'est transmise.

La sécurité est notre priorité absolue:

• Hébergement: Infrastructure Kubernetes managée OVH au Canada
• Chiffrement: TLS 1.3 en transit, AES-256-GCM au repos
• Isolation: Multi-tenant avec Row-Level Security PostgreSQL (isolation complète)
• Secrets: Clés SSH et API keys chiffrées avant stockage
• Conformité: Loi 25 du Québec, CIS Benchmarks, NIST
• Monitoring: Logs d'audit complets, détection d'anomalies
• Backup: Sauvegardes quotidiennes avec rétention 30 jours

SecuScan s'appuie sur des outils open-source reconnus de l'industrie:

• Nuclei: 4000+ templates de vulnérabilités connues (CVE, OWASP)
• Nmap: Scan de ports TCP/UDP, détection de services et OS
• Subfinder: Énumération passive de sous-domaines
• httpx: Sondage HTTP/HTTPS avec technologie detection
• testssl.sh: Audit SSL/TLS approfondi (protocols, ciphers, certificats)
• HIBP API: Have I Been Pwned pour détection de fuites de données

Tous les scans sont agrégés et corrélés pour éliminer les faux positifs.

SecuScan utilise Claude Sonnet 4.5 d'Anthropic pour une analyse contextuelle:

• Input: Vulnérabilités détectées + inventaire système complet
• Analyse: Claude évalue l'impact réel dans votre contexte spécifique
• Output:
  • Résumé exécutif en français clair (2-3 phrases)
  • Actions prioritaires (3-5) avec commandes prêtes à exécuter
  • Évaluation du risque métier (impact + likelihood)
  • Détection problèmes de conformité (CIS, NIST, PCI-DSS)
  • Recommandations stratégiques long-terme

L'analyse IA est optionnelle et peut être désactivée. Disponible sur les plans Pro et Enterprise.

Vous pouvez annuler à tout moment sans pénalité:

1. Connectez-vous à votre compte SecuScan
2. Allez dans Paramètres > Facturation
3. Cliquez sur "Annuler l'abonnement"
4. Confirmez (vous conservez l'accès jusqu'à la fin de la période payée)

Après annulation, vous basculez automatiquement sur le plan Free. Vos données sont conservées 90 jours.

Oui! SecuScan offre une API REST complète documentée:

• Authentification: JWT Bearer token ou API keys
• Endpoints: Gestion cibles, lancement scans, récupération résultats, webhooks
• Limites: 1000 calls/jour (Starter), illimité (Pro/Enterprise)
• Documentation: OpenAPI 3.0 avec exemples cURL, Python, JavaScript
• Webhooks: Notifications temps réel vers vos systèmes (Slack, Teams, PagerDuty)

Consultez la documentation API complète.

Oui, avec les agents déployables:

• Installez un agent sur un serveur de votre réseau interne
• L'agent scanne localement et envoie les résultats chiffrés
• Aucun accès entrant requis (firewall-friendly)
• Idéal pour applications legacy, bases de données internes, etc.

Pour les scans externes (EASM), seuls les assets publiquement accessibles peuvent être scannés.

Oui, SecuScan est conçu pour aider les PME à respecter la Loi 25:

• Hébergement: Données stockées exclusivement au Canada (datacenter OVH à Beauharnois, QC)
• Protection: Chiffrement, contrôles d'accès, logs d'audit
• Transparence: Politique de confidentialité claire, DPA disponible
• Droits: Export de données, suppression, portabilité
• Notifications: Alertes automatiques en cas d'incident de sécurité

SecuScan vous aide également à identifier les failles de sécurité qui pourraient causer une violation de la Loi 25.

Oui! Nous offrons:

• 30% de réduction pour les OBNL et organismes éducatifs enregistrés
• 50% de réduction pour les projets open-source à fort impact
• Plan gratuit étendu pour les étudiants et chercheurs en sécurité

Contactez-nous à sales@secuaas.dev avec votre preuve de statut.

L'add-on Analyse IA Avancée (+49$/mois) utilise Claude Opus avec Extended Thinking pour une analyse de sécurité approfondie:

• Extended Thinking: Raisonnement step-by-step visible pour comprendre comment l'IA arrive à ses conclusions
• Analyse cross-fichier: Détection de vulnérabilités qui traversent plusieurs fichiers et modules
• Business logic bugs: Identification de failles dans la logique métier, pas seulement les patterns techniques
• Score CVSS automatique: Calcul CVSS v3.1 par l'IA avec justification détaillée de chaque métrique
• Race conditions: Détection de timing attacks et problèmes de concurrence

Disponible en add-on sur les plans Starter et Pro. Inclus dans le plan Enterprise.

Le Fuzzing Autonome (+149$/mois) est un système de tests de sécurité automatisés:

1. Analyse du code: L'IA analyse votre code source pour identifier les points d'entrée et les surfaces d'attaque
2. Génération de payloads: Des payloads ciblés sont générés par l'IA, adaptés à votre stack technique
3. Exécution isolée: Les tests s'exécutent dans des pods Kubernetes isolés et sécurisés (sandbox)
4. Détection: Crashes, buffer overflows, injections, et vulnérabilités zero-day sont identifiés
5. Rapport: Exploits PoC automatiques avec patches recommandés

Langages supportés: Go, C/C++, Python, Java, Rust. Campagnes: 5/mois (Starter), 10/mois (Pro), illimité (Enterprise).

Les add-ons sont des modules optionnels que vous ajoutez à votre plan existant:

• Analyse IA Avancée (+49$/mois): Claude Opus + Extended Thinking pour analyse approfondie
• Fuzzing Autonome (+149$/mois): Tests automatisés avec payloads IA dans des environnements isolés
• Analyse Historique (+29$/mois): Tendances, prédictions IA et corrélation cross-repository

Tous les add-ons sont facturés mensuellement et peuvent être ajoutés/retirés à tout moment. Le plan Enterprise inclut tous les add-ons sans frais supplémentaires.

Absolument! SecuScan est une solution québécoise:

• Interface 100% en français
• Support client en français (email, chat, téléphone)
• Documentation et tutoriels en français
• Rapports générés en français
• Analyses IA Claude en français

Horaires de support: Lun-Ven 9h-17h EST (Pro), 24/7 (Enterprise)

La fréquence recommandée dépend de votre profil de risque:

• Quotidien: Sites e-commerce, applications critiques, infrastructures PCI-DSS
• Hebdomadaire: Applications web standard, sites corporatifs
• Mensuel: Sites vitrines, infrastructures stables

Avec les agents déployables, nous recommandons un heartbeat toutes les 6-12 heures pour détecter rapidement les nouvelles vulnérabilités.

SecuScan permet de planifier des scans automatiques à la fréquence de votre choix.