FAQ - Réponses à vos questions

LocateRisk est une entreprise allemande spécialisée dans la cybersécurité qui combine dans une seule plateforme l'évaluation automatisée des risques informatiques, la gestion des surfaces d'attaque externes (EASM) et la gestion des risques fournisseurs (VRM). Notre solution évalue et surveille les infrastructures informatiques externes, identifie les failles de sécurité, fournit des recommandations d'action et permet de vérifier la conformité des partenaires commerciaux – de manière entièrement automatisée, non invasive et conforme au RGPD.

LocateRisk est fourni par plus de 1 000 organisations privées et publiques dans la région DACH, notamment des PME, des groupes, des communes, des associations, des fournisseurs d'énergie, des organismes de santé, des compagnies d'assurance, des sociétés financières et des prestataires de services informatiques. Même les secteurs réglementés tels que Infrastructures critiques, Les entreprises proches de KRITIS et les opérateurs de services essentiels utilisent LocateRisk pour gagner en transparence sur les risques et soutenir efficacement les normes de sécurité telles que NIS2 ou ISO 27001.

Les groupes d'utilisateurs types sont :

• Responsables informatiques et RSSI
• Direction et gestion
• Achats et protection des données
• Prestataires informatiques, MSP et consultants

LocateRisk regroupe plusieurs fonctions liées à la sécurité au sein d'une seule et même plateforme.

1. Gestion des surfaces d'attaque externes (EASM) :
Surveillance et évaluation continues de votre propre infrastructure informatique visible de l'extérieur afin d'identifier les actifs et les vulnérabilités non détectés.
Plus d'informations sur le Gestion de la surface d'attaque externe

2. Gestion des risques fournisseurs (VRM) :
Évaluation automatisée de la sécurité des fournisseurs à l'aide d'un scan et de questionnaires numériques. Vous obtenez un score de sécurité standardisé et objectif qui rend les risques de votre chaîne d'approvisionnement transparents. Cela vous permet de gagner jusqu'à 75 % de temps par rapport aux procédures manuelles.
Plus d'informations sur le Gestion du risque vendeur

3. SecurePlus – Cartographie de la conformité :
SecurePlus permet la comparaison automatisée des vulnérabilités identifiées avec les exigences réglementaires telles que NIS2, ISO 27001, TISAX, GDPR, PCI DSS ou NIST. Le pack est complété par un assistant IA pour une évaluation plus rapide des risques et une détection du cybersquatting pour la protection contre le phishing. Cela facilite considérablement la préparation des audits et aide les entreprises à identifier et à gérer les risques de conformité à un stade précoce.
Plus d'informations sur SecurePlus

LocateRisk aide les entreprises à mettre en œuvre la directive NIS2 en fournissant régulièrement Risques et points faibles visibles les attribue aux obligations NIS2 pertinentes et fournit les preuves correspondantes. Avec EASM, VRM et la cartographie automatisée de la conformité, la plateforme répond aux exigences centrales telles que l'analyse des risques, la gestion des vulnérabilités et l'audit de la chaîne d'approvisionnement. rapide, objectif et documentable.

LocateRisk combine des analyses de risques externes, des évaluations de fournisseurs et une cartographie de la conformité au sein d'une plateforme unique hébergée dans l'UE. L'analyse est non invasive, facile à comprendre et spécialement conçue pour répondre aux normes de sécurité européennes telles que NIS2 ou ISO 27001. Les entreprises obtiennent ainsi plus rapidement des résultats exploitables et des preuves pour les audits, sans mise en œuvre complexe et en totale conformité avec le RGPD.

Non, Le scan n'est pas invasif et mise davantage sur des développements propres que sur des scanners de sécurité potentiellement invasifs.

En tant qu'entreprise allemande, nous accordons une grande importance à la souveraineté des données et au respect du RGPD. L'hébergement de la plateforme LocateRisk et le traitement primaire des données s'effectuent exclusivement au sein de l'UE, dans des centres de données certifiés ISO 27001 (par exemple Hetzner, Scaleway). Nous répondons ainsi aux normes européennes strictes en matière de sécurité et de protection des données.

Non, LocateRisk n'a pas pour objectif de traiter des données à caractère personnel. La plateforme effectue une analyse de sécurité purement externe et non invasive et évalue exclusivement les informations techniques accessibles au public concernant l'infrastructure de l'entreprise (par exemple, les configurations, les certificats, les ports ouverts). Elle n'accède pas aux systèmes internes, aux bases de données clients ou aux données confidentielles des employés.

Le coût d'une analyse LocateRisk dépend de la fréquence des analyses et du nombre d'employés de l'organisation à contrôler. L'inventaire informatique et la vue d'ensemble de la gestion sont gratuits.

Le premier scan gratuit fournit :

• Une démonstration gratuite du résultat de l'évaluation.
• Un aperçu de la Les 5 principales vulnérabilités.
• La synthèse de gestion à transmettre à la direction ou au prestataire informatique.

Cela permet aux organisations d'obtenir un aperçu général approfondi sur leur situation en matière de cybersécurité – rapidement, objectivement et sans installation.

Le domaine principal de l'organisation à contrôler est nécessaire, ainsi que d'autres domaines facultatifs (par exemple, les pages d'accueil des produits). Pour l'évaluation de la sécurité informatique sous forme d'aperçu de gestion, une concertation verbale suffit. Pour les analyses détaillées, les benchmarks ou la surveillance permanente, un consentement documenté est nécessaire.

La gestion des surfaces d'attaque externes (EASM) de LocateRisk est une solution automatisée, analyse de sécurité non invasive de l'ensemble de l'infrastructure informatique d'une entreprise visible de l'extérieur. La plateforme détecte automatiquement les actifs numériques, identifie les vulnérabilités dans neuf catégories, surveille en permanence les changements et fournit des recommandations d'action fondées pour réduire les risques et les surfaces d'attaque, sans aucune installation.

L'accessibilité de MySQL et du bureau à distance, l'absence d'entrées SPF, les failles de sécurité dues à l'absence de correctifs, SSLv3, TLS1.0, les cookies de suivi sans le consentement de l'utilisateur, etc.

En général, les équipes informatiques des entreprises auditées corrigent elles-mêmes les points faibles. Les produits payants incluent un entretien d'une heure. Si une assistance supplémentaire est requise, nous nous ferons un plaisir de recommander un prestataire de services approprié de notre réseau de partenaires.

Les scans EASM peuvent flexible et automatisé être effectuées – selon les besoins en matière de sécurité : quotidiennement, hebdomadairement, mensuellement ou trimestriellement. Au cours des 4 premières semaines suivant le lancement, vous disposez également d'un nombre illimité de nouvelles analyses.

LocateRisk évalue les vulnérabilités à l'aide du score CVSS et complète cette évaluation par la valeur EPSS, qui estime la probabilité d'une attaque réelle. Les équipes informatiques obtiennent ainsi une vue d'ensemble hiérarchisée qui ne repose pas uniquement sur la criticité technique, mais également sur la probabilité réelle d'exploitation.

La gestion intégrée des tâches garantit que les vulnérabilités détectées peuvent être rapidement déléguées aux responsables concernés. Les systèmes peuvent être regroupés, filtrés et validés de manière ciblée, sans partage d'informations inutiles. Le processus de sécurisation reste ainsi structuré et facilement compréhensible.

LocateRisk compare automatiquement chaque nouvelle analyse aux résultats précédents. La plateforme détecte immédiatement l'apparition de nouveaux systèmes, la disparition d'anciens systèmes ou les modifications de configurations et de risques. Selon les paramètres définis, les responsables peuvent être automatiquement avertis en cas d'écarts critiques.

Oui. LocateRisk peut fusionner les données EASM externes avec les analyses de vulnérabilité internes. Compatible avec les exportations de données provenant de :

• Nessus / Greenbone / OpenVAS
• Qualys
• PingCastle (Active Directory)
• Rapports de tests d'intrusion via importation CSV

Des analyses externes et internes apparaissent clairement présentées dans une interface commune – y compris un score séparé pour les résultats internes.

LocateRisk propose différentes options de rapport :

• Rapport de gestion (résumé compréhensible)
• Rapport détaillé pour les équipes informatiques (y compris les détails des vulnérabilités)
• Plan d'action / liste des tâches (Excel)
• Exportation CSV de toutes les données
• Rapports PDF par filtre/catégorie
• Connexion API pour les systèmes SIEM, SOAR, SOC ou de ticketing (par exemple ServiceNow, Splunk, Sentinel)

SecurePlus est un pack d'extension optionnel pour LocateRisk qui complète les analyses de sécurité informatique par un mappage automatisé de la conformité, un assistant basé sur l'IA et une détection du cybersquatting. Il facilite la vérification des normes de sécurité, augmente la vitesse de réaction en cas de vulnérabilités et réduit considérablement les efforts d'audit.

SecurePlus compare en permanence les vulnérabilités identifiées aux exigences réglementaires applicables. Parmi les normes prises en charge figurent notamment NIS2, ISO 27001, TISAX, RGPD, PCI DSS, NIST, CIS Controls, MITRE ATT&CK, OWASP ainsi que la norme BSI IT-Grundschutz et la norme DIN SPEC 27076.

L'AI Helper fournit directement dans l'analyse des explications utiles sur les vulnérabilités et les systèmes. Il explique les aspects techniques, aide à évaluer les risques et donne des recommandations concrètes et pratiques pour y remédier. Cela accélère la prise de décision et aide les équipes à agir de manière prioritaire et efficace. Les données sous-jacentes sont traitées de manière exclusivement anonymisée dans le service Microsoft Azure OpenAI en Suède.

SecurePlus surveille les domaines nouvellement enregistrés ou dont le nom est similaire, qui pourraient indiquer un abus potentiel, par exemple les domaines contenant des fautes de frappe ou les variantes qui ressemblent au domaine de votre marque ou de votre entreprise. Dès que de tels domaines apparaissent ou obtiennent des certificats, ils sont automatiquement signalés. Cela permet de détecter à un stade précoce les risques de phishing.

SecurePlus facilite considérablement les processus d'audit, car les écarts de conformité sont automatiquement documentés et accompagnés de justifications compréhensibles. Les entreprises obtiennent des preuves claires pour les audits externes et les certifications et sont préparées de manière optimale aux audits grâce à une surveillance continue. Cela réduit considérablement la charge de travail manuelle pour les services informatiques, de conformité et d'audit interne.

La gestion des risques fournisseurs (VRM) de LocateRisk permet aux entreprises d'évaluer de manière efficace, objective et évolutive la sécurité informatique de leurs fournisseurs, prestataires de services et partenaires. La plateforme combine des analyses techniques des vulnérabilités avec des questionnaires de conformité numériques et présente tous les résultats de manière claire dans un tableau de bord centralisé.

Chaque fournisseur peut être évalué tant sur le plan technique qu'organisationnel. Le contrôle technique est effectué à l'aide d'un scan automatisé des vulnérabilités de l'environnement informatique externe, tandis que des questionnaires numériques vérifient le respect des exigences de conformité (par exemple NIS2, ISO 27001, RGPD). Les deux résultats sont pris en compte dans les scores de risque et de conformité. Cela permet d'obtenir une image complète de la sécurité de chaque partenaire commercial – transparente, comparable et actualisable à tout moment.

Les fournisseurs sont invités via la plateforme LocateRisk et reçoivent un e-mail contenant un lien d'inscription. Après s'être inscrits, ils saisissent les données de leur entreprise et décident des résultats d'analyse qu'ils souhaitent partager. Si un questionnaire leur est attribué, celui-ci apparaît automatiquement dans leur compte fournisseur et peut être rempli directement. Les résultats ne sont visibles par le fabricant qu'une fois la configuration terminée.

Grâce à des flux de travail automatisés, des questionnaires intégrés, des indicateurs standardisés et la gestion centralisée de toutes les données fournisseurs, VRM réduit considérablement le temps consacré aux contrôles. D'après les commentaires des clients, le gain de temps par rapport aux procédures manuelles est de jusqu'à 75 % réduire.

LocateRisk se prépare actuellement à la certification ISO 27001. Notre système de gestion de la sécurité de l'information (ISMS) existant est déjà conforme aux exigences de la norme ISO 27001.

Oui. LocateRisk est une entreprise allemande qui aligne systématiquement ses processus sur les exigences du RGPD. Tous les systèmes sont hébergés au sein de l'UE et le traitement des données s'effectue sur la base d'informations non invasives, accessibles au public ou de consentements explicites.

Les analyses des points faibles s'appuient exclusivement sur informations techniques accessibles au public par exemple les certificats, les en-têtes HTTP, les enregistrements DNS ou les caractéristiques de configuration. aucune donnée à caractère personnel scanné.

LocateRisk mène analyses exclusivement non invasives basées sur des informations accessibles au public. Aucun mécanisme de protection n'est contourné, aucun système n'est compromis et aucun accès approfondi n'est effectué. Pour les analyses de fournisseurs ou de tiers, un consentement documenté est nécessaire, qui est obtenu et consigné de manière transparente dans le cadre du processus VRM. Cette procédure est conforme à la situation juridique actuelle relative à l'article 202c du code pénal allemand (StGB).