La NVD (National Vulnerability Database) du NIST est la source officielle américaine. CVE Find agrège ces données et ajoute une couche d'alertes personnalisées, de filtrage par produit et de scoring EPSS (probabilité d'exploitation réelle) que la NVD ne propose pas nativement. L'interface est disponible en français.

Le site cve.org, géré par MITRE, est la source officielle des identifiants CVE. Il est indispensable pour garantir l’unicité et la structure des entrées. Cependant, cve.org se concentre sur l’aspect administratif et ne fournit ni score EPSS, ni indicateurs d’exploitation, ni fonctionnalités de tri poussées.

Notre service CVE Find reprend ces données officielles, les enrichit avec des métriques complémentaires (KEV, EPSS, CVSS), et les présente dans une interface plus moderne, rapide et filtrable. C’est donc un outil de veille pratique, conçu pour un usage opérationnel et décisionnel au quotidien.

L'ISO 27001 définit les exigences pour un système de gestion de la sécurité de l'information (SGSI) et permet la certification. L'ISO 27002 est un guide de bonnes pratiques qui détaille l'implémentation des 93 contrôles de l'Annexe A. En résumé : 27001 dit « quoi faire », 27002 dit « comment le faire ».

Ce sont deux outils complémentaires :

• PhishTrainer agit par la pratique : il envoie de faux e-mails de phishing à vos collaborateurs et mesure qui clique, qui signale l'attaque. C'est l'approche comportementale — apprendre par l'expérience. Le tableau de bord donne le taux de clics, le taux de signalement et l'évolution dans le temps.
• Bexxo Academy agit par la connaissance : modules vidéo, quiz interactifs, jeux pédagogiques sur les cybermenaces. Accessible 24h/24 en ligne, complété par des sessions en présentiel à Ins (BE). Idéal pour l'intégration des nouveaux collaborateurs et la mise à jour des connaissances.

Les deux outils ensemble couvrent la boucle complète : sensibiliser → tester → mesurer → améliorer.

PhishTrainer et Bexxo Academy sont deux outils complémentaires : PhishTrainer teste (simulation d'attaques, identification des vulnérabilités, mesure du taux de clic), Bexxo Academy forme (modules e-learning, quiz, vidéos, sessions présentiel). Ils fonctionnent en synergie : les résultats de PhishTrainer identifient les équipes ou profils à risque, Bexxo Academy fournit les parcours de formation adaptés. Pour une protection efficace, Bexxo recommande d'utiliser les deux outils ensemble selon la méthode Simuler → Former → Mesurer.

Les trois forfaits se distinguent par leur profondeur d'analyse :

• Essentiel : 10 points de contrôle, cartographie de base du réseau, scan automatisé des vulnérabilités courantes, rapport simplifié — pour les PME débutant leur démarche de sécurisation.
• Avancé : 15 points de contrôle, tests manuels d'intrusion, analyse de la configuration des équipements actifs, rapport détaillé avec plan d'action priorisé.
• Premium : 20 points de contrôle, tests de pénétration internes et externes, simulation d'attaques, analyse complète de la segmentation et des accès, présentation des résultats à la direction.

Tous les forfaits incluent un suivi post-audit et une assistance à la mise en œuvre.

Les trois forfaits se distinguent par leur profondeur d'analyse :

• Essentiel : 10 points de contrôle, scan automatisé, rapport simplifié — pour les petits sites ou premiers audits.
• Avancé : 15 points de contrôle, tests manuels des failles courantes, analyse de l'authentification, rapport détaillé avec plan d'action priorisé.
• Premium : 20 points de contrôle, tests de pénétration approfondis, audit des API et de la base de données, vérification OWASP Top 10 complète, réunion de présentation incluse.

Tous les forfaits incluent un suivi post-audit et une assistance à la mise en œuvre.

La sensibilisation vise à diffuser une culture générale de la sécurité, accessible à tous les collaborateurs, quels que soient leur métier ou leur niveau technique. Elle couvre des sujets concrets : phishing, mots de passe, mobilité, réseaux sociaux, vigilance en télétravail, etc. L’objectif est de rendre chacun acteur de la sécurité dans ses usages quotidiens.

La formation technique, quant à elle, s’adresse à des profils plus spécialisés (équipes IT, devs, admins) et porte sur des compétences spécifiques comme le durcissement de systèmes, le développement sécurisé, ou la gestion des incidents. Elle demande souvent des prérequis et vise à renforcer la sécurité par la maîtrise technique.

La différence principale entre les tests black box, gray box et white box réside dans le niveau d'information fourni au testeur avant de commencer l’attaque simulée.

• En black box, l’attaquant n’a aucune connaissance préalable du système. Il agit comme un hacker externe et tente d’accéder aux ressources sans aucune aide. Ce type de test est réaliste pour simuler une attaque externe, mais il est souvent limité à ce que l’on peut deviner ou découvrir depuis l’extérieur.
• En gray box, le testeur dispose de quelques informations techniques ou accès partiels (comme un compte utilisateur). Cela reflète un scénario où l’attaquant a déjà infiltré une partie du système ou possède des connaissances internes, comme un ancien employé.
• En white box, toutes les informations sont fournies : code source, documentation technique, accès administrateur. Ce type de test permet d’avoir une vision complète et d’identifier des vulnérabilités profondes, souvent invisibles depuis l’extérieur.

Chaque approche a ses avantages, et le choix dépend des objectifs du test et du niveau de risque à couvrir.

Un scan de vulnérabilités est une analyse automatisée réalisée par un outil qui examine un système ou une application à la recherche de failles connues, généralement en comparant les versions logicielles ou en testant des configurations. Il est rapide, peu coûteux, mais produit souvent des résultats bruts ou incomplets, avec des faux positifs.

Un pentest, en revanche, va au-delà de la détection : il cherche à exploiter réellement les failles pour démontrer leur impact concret. Il s’agit d’un processus manuel et méthodique, qui valide les vulnérabilités détectées, en identifie de nouvelles, et fournit des scénarios d’attaque réalistes. Le pentest est donc beaucoup plus approfondi et contextuel, mais nécessite du temps, de l’expertise et une planification.

Isolez immédiatement les systèmes compromis du réseau, ne payez pas de rançon, documentez l'incident et contactez un spécialiste en cybersécurité. Bexxo offre un service de réponse aux incidents pour les entreprises suisses.

Si un incident de sécurité survient à cause d’un comportement à risque d’un employé mal informé, l’entreprise reste en grande partie responsable. La loi, et notamment la nLPD en Suisse et le RGPD en Europe, impose aux organisations de prendre les mesures nécessaires pour protéger les données et réduire les risques. Cela inclut la formation et la sensibilisation du personnel.

En cas de litige ou d’enquête, une entreprise incapable de démontrer qu’elle a mis en place des actions de prévention (comme des formations régulières, des campagnes de sensibilisation ou des rappels de bonnes pratiques) pourrait être jugée négligente. Cela peut entraîner des amendes, une atteinte à la réputation, et une perte de confiance de la part des clients et partenaires.

Bexxo / Tesweb SA détient trois certifications clés : le Label CyberSafe, distinguant les entreprises engagées dans une approche proactive de la cybersécurité ; le Swiss Label, certification de l'Union suisse des arts et métiers (usam) garantissant un ancrage 100 % suisse des produits et services (fondé en 1917, centenaire fêté en 2017) ; et une habilitation fédérale permettant d'intervenir sur des environnements classifiés — le plus haut niveau de rigueur en matière de confidentialité.

Les 5 fonctions du NIST Cybersecurity Framework sont : Identifier (comprendre les actifs et risques), Protéger (contrôles d'accès, chiffrement), Détecter (surveillance, alertes), Répondre (plan d'intervention, communication) et Récupérer (restauration, leçons apprises). Chaque fonction est évaluée sur un score de 0 à 4.

Au-delà du coût immédiat (100 000 CHF en moyenne pour une PME suisse), une cyberattaque entraîne quatre conséquences durables : (1) perte de confiance des clients — 87 % refusent de travailler avec une entreprise compromise (McKinsey) ; (2) atteinte à la réputation difficilement réversible ; (3) risques juridiques liés à la nLPD (amendes jusqu'à 250 000 CHF) ; (4) perte d'avantage concurrentiel si des données stratégiques ont été exfiltrées.