FAQ
Quelle est la différence entre CVE Find et la base NVD du NIST ?
La NVD (National Vulnerability Database) du NIST est la source officielle américaine. CVE Find agrège ces données et ajoute une couche d'alertes personnalisées, de filtrage par produit et de scoring EPSS (probabilité d'exploitation réelle) que la NVD ne propose pas nativement. L'interface est disponible en français.
Quelle est la différence entre CVE Find et le site officiel cve.org ?
Le site cve.org, géré par MITRE, est la source officielle des identifiants CVE. Il est indispensable pour garantir l’unicité et la structure des entrées. Cependant, cve.org se concentre sur l’aspect administratif et ne fournit ni score EPSS, ni indicateurs d’exploitation, ni fonctionnalités de tri poussées.
Notre service CVE Find reprend ces données officielles, les enrichit avec des métriques complémentaires (KEV, EPSS, CVSS), et les présente dans une interface plus moderne, rapide et filtrable. C’est donc un outil de veille pratique, conçu pour un usage opérationnel et décisionnel au quotidien.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
L'ISO 27001 définit les exigences pour un système de gestion de la sécurité de l'information (SGSI) et permet la certification. L'ISO 27002 est un guide de bonnes pratiques qui détaille l'implémentation des 93 contrôles de l'Annexe A. En résumé : 27001 dit « quoi faire », 27002 dit « comment le faire ».
Quelle est la différence entre PhishTrainer et Bexxo Academy ?
Ce sont deux outils complémentaires :
- PhishTrainer agit par la pratique : il envoie de faux e-mails de phishing à vos collaborateurs et mesure qui clique, qui signale l'attaque. C'est l'approche comportementale — apprendre par l'expérience. Le tableau de bord donne le taux de clics, le taux de signalement et l'évolution dans le temps.
- Bexxo Academy agit par la connaissance : modules vidéo, quiz interactifs, jeux pédagogiques sur les cybermenaces. Accessible 24h/24 en ligne, complété par des sessions en présentiel à Ins (BE). Idéal pour l'intégration des nouveaux collaborateurs et la mise à jour des connaissances.
Les deux outils ensemble couvrent la boucle complète : sensibiliser → tester → mesurer → améliorer.
Quelle est la différence entre PhishTrainer et Bexxo Academy ?
PhishTrainer et Bexxo Academy sont deux outils complémentaires : PhishTrainer teste (simulation d'attaques, identification des vulnérabilités, mesure du taux de clic), Bexxo Academy forme (modules e-learning, quiz, vidéos, sessions présentiel). Ils fonctionnent en synergie : les résultats de PhishTrainer identifient les équipes ou profils à risque, Bexxo Academy fournit les parcours de formation adaptés. Pour une protection efficace, Bexxo recommande d'utiliser les deux outils ensemble selon la méthode Simuler → Former → Mesurer.
Quelle est la différence entre les forfaits Essentiel, Avancé et Premium ?
Les trois forfaits se distinguent par leur profondeur d'analyse :
- Essentiel : 10 points de contrôle, cartographie de base du réseau, scan automatisé des vulnérabilités courantes, rapport simplifié — pour les PME débutant leur démarche de sécurisation.
- Avancé : 15 points de contrôle, tests manuels d'intrusion, analyse de la configuration des équipements actifs, rapport détaillé avec plan d'action priorisé.
- Premium : 20 points de contrôle, tests de pénétration internes et externes, simulation d'attaques, analyse complète de la segmentation et des accès, présentation des résultats à la direction.
Tous les forfaits incluent un suivi post-audit et une assistance à la mise en œuvre.
Quelle est la différence entre les forfaits Essentiel, Avancé et Premium ?
Les trois forfaits se distinguent par leur profondeur d'analyse :
- Essentiel : 10 points de contrôle, scan automatisé, rapport simplifié — pour les petits sites ou premiers audits.
- Avancé : 15 points de contrôle, tests manuels des failles courantes, analyse de l'authentification, rapport détaillé avec plan d'action priorisé.
- Premium : 20 points de contrôle, tests de pénétration approfondis, audit des API et de la base de données, vérification OWASP Top 10 complète, réunion de présentation incluse.
Tous les forfaits incluent un suivi post-audit et une assistance à la mise en œuvre.
Quelle est la différence entre sensibilisation et formation technique ?
La sensibilisation vise à diffuser une culture générale de la sécurité, accessible à tous les collaborateurs, quels que soient leur métier ou leur niveau technique. Elle couvre des sujets concrets : phishing, mots de passe, mobilité, réseaux sociaux, vigilance en télétravail, etc. L’objectif est de rendre chacun acteur de la sécurité dans ses usages quotidiens.
La formation technique, quant à elle, s’adresse à des profils plus spécialisés (équipes IT, devs, admins) et porte sur des compétences spécifiques comme le durcissement de systèmes, le développement sécurisé, ou la gestion des incidents. Elle demande souvent des prérequis et vise à renforcer la sécurité par la maîtrise technique.
Quelle est la différence entre un pentest black box, gray box et white box ?
La différence principale entre les tests black box, gray box et white box réside dans le niveau d'information fourni au testeur avant de commencer l’attaque simulée.
- En black box, l’attaquant n’a aucune connaissance préalable du système. Il agit comme un hacker externe et tente d’accéder aux ressources sans aucune aide. Ce type de test est réaliste pour simuler une attaque externe, mais il est souvent limité à ce que l’on peut deviner ou découvrir depuis l’extérieur.
- En gray box, le testeur dispose de quelques informations techniques ou accès partiels (comme un compte utilisateur). Cela reflète un scénario où l’attaquant a déjà infiltré une partie du système ou possède des connaissances internes, comme un ancien employé.
- En white box, toutes les informations sont fournies : code source, documentation technique, accès administrateur. Ce type de test permet d’avoir une vision complète et d’identifier des vulnérabilités profondes, souvent invisibles depuis l’extérieur.
Chaque approche a ses avantages, et le choix dépend des objectifs du test et du niveau de risque à couvrir.
Quelle est la différence entre un pentest et un scan de vulnérabilités ?
Un scan de vulnérabilités est une analyse automatisée réalisée par un outil qui examine un système ou une application à la recherche de failles connues, généralement en comparant les versions logicielles ou en testant des configurations. Il est rapide, peu coûteux, mais produit souvent des résultats bruts ou incomplets, avec des faux positifs.
Un pentest, en revanche, va au-delà de la détection : il cherche à exploiter réellement les failles pour démontrer leur impact concret. Il s’agit d’un processus manuel et méthodique, qui valide les vulnérabilités détectées, en identifie de nouvelles, et fournit des scénarios d’attaque réalistes. Le pentest est donc beaucoup plus approfondi et contextuel, mais nécessite du temps, de l’expertise et une planification.
Quelle est la première chose à faire en cas de cyberattaque ?
Isolez immédiatement les systèmes compromis du réseau, ne payez pas de rançon, documentez l'incident et contactez un spécialiste en cybersécurité. Bexxo offre un service de réponse aux incidents pour les entreprises suisses.
Quelle est la responsabilité de l’entreprise en cas d’incident causé par un employé mal informé ?
Si un incident de sécurité survient à cause d’un comportement à risque d’un employé mal informé, l’entreprise reste en grande partie responsable. La loi, et notamment la nLPD en Suisse et le RGPD en Europe, impose aux organisations de prendre les mesures nécessaires pour protéger les données et réduire les risques. Cela inclut la formation et la sensibilisation du personnel.
En cas de litige ou d’enquête, une entreprise incapable de démontrer qu’elle a mis en place des actions de prévention (comme des formations régulières, des campagnes de sensibilisation ou des rappels de bonnes pratiques) pourrait être jugée négligente. Cela peut entraîner des amendes, une atteinte à la réputation, et une perte de confiance de la part des clients et partenaires.
Quelles certifications garantissent la fiabilité de Bexxo ?
Bexxo / Tesweb SA détient trois certifications clés : le Label CyberSafe, distinguant les entreprises engagées dans une approche proactive de la cybersécurité ; le Swiss Label, certification de l'Union suisse des arts et métiers (usam) garantissant un ancrage 100 % suisse des produits et services (fondé en 1917, centenaire fêté en 2017) ; et une habilitation fédérale permettant d'intervenir sur des environnements classifiés — le plus haut niveau de rigueur en matière de confidentialité.
Quelles sont les 5 fonctions du NIST CSF ?
Les 5 fonctions du NIST Cybersecurity Framework sont : Identifier (comprendre les actifs et risques), Protéger (contrôles d'accès, chiffrement), Détecter (surveillance, alertes), Répondre (plan d'intervention, communication) et Récupérer (restauration, leçons apprises). Chaque fonction est évaluée sur un score de 0 à 4.
Quelles sont les conséquences durables d'une cyberattaque pour une entreprise ?
Au-delà du coût immédiat (100 000 CHF en moyenne pour une PME suisse), une cyberattaque entraîne quatre conséquences durables : (1) perte de confiance des clients — 87 % refusent de travailler avec une entreprise compromise (McKinsey) ; (2) atteinte à la réputation difficilement réversible ; (3) risques juridiques liés à la nLPD (amendes jusqu'à 250 000 CHF) ; (4) perte d'avantage concurrentiel si des données stratégiques ont été exfiltrées.