Question 1

SecuScan remplace-t-il un scanner traditionnel type Tenable ou Qualys?

Accepted Answer

Pour les PME québécoises et la majorité des MSP, oui. SecuScan combine EASM (cartographie externe), SAST (analyse code) et reporting auditable dans une seule plateforme hébergée au Canada — hors juridiction Cloud Act et FISA. Pour les grandes entreprises avec besoins SCADA/OT spécifiques, SecuScan complète plutôt qu'il ne remplace.

Question 2

Mes données sortent-elles du Canada?

Accepted Answer

Non. Toute la donnée client — scans, findings, agents endpoint, modèles IA d'analyse — est hébergée chez OVH à Beauharnois (Québec). Aucun appel à des API IA tierces (OpenAI, Anthropic, Google) pour les analyses sensibles : nous opérons nos propres GPU au Canada.

Question 3

Comment SecuScan se compare-t-il à Snyk ou Detectify?

Accepted Answer

Snyk est centré dépendances open source (SCA). Detectify est centré EASM. SecuScan combine les deux + SAST + agents endpoint + pentesting IA dans une plateforme unique souveraine, hébergée au Canada hors juridiction US (Cloud Act, FISA). Voir /secuscan/alternatives pour comparatifs détaillés.

Question 4

Quels langages SecuScan supporte-t-il pour le SAST?

Accepted Answer

Python, Go, JavaScript/TypeScript, Java, Rust, PHP, Ruby via Semgrep + outils spécialisés (Bandit, gosec, njsscan, Trivy pour conteneurs, Gitleaks pour secrets).

Question 5

L'agent endpoint nécessite-t-il un déploiement complexe?

Accepted Answer

Non. Un binaire unique (~20 MB) déployable via package manager (apt, brew, choco) ou MSI/PKG. L'agent s'enregistre via un token de provisioning à usage unique. Pas de dépendance externe runtime.

Question 6

Combien de temps pour le premier scan?

Accepted Answer

Moins de 5 minutes pour un domaine standard (DNS + ports + technologies + CVE base). Les scans approfondis (pentest IA, SAST complet) prennent 30-60 minutes selon le périmètre.

Question 7

Puis-je intégrer SecuScan à mon SIEM existant?

Accepted Answer

Oui. Webhooks signés HMAC-SHA256 vers tout endpoint HTTP, format JSON normalisé, ou exports CEF/Syslog pour Splunk, Elastic SIEM, Microsoft Sentinel.

Question 8

Quelle est la politique de rétention des findings?

Accepted Answer

Par défaut 24 mois (suffisant pour audit standard PME/MSP). Configurable jusqu'à 7 ans pour secteurs réglementés (Loi 25 / PIPEDA / PCI-DSS). Suppression sur demande dans 30 jours.

Question 9

SecuScan fournit-il des rapports prêts pour un commissaire à la protection des renseignements personnels?

Accepted Answer

Oui. Templates de rapports auditables (PDF + DOCX), avec classification des incidents, mesures de mitigation et journal d'auditabilité. Pour les organismes soumis à la Loi 25 / PIPEDA, mappage des constatations vers les articles pertinents disponible en sous-page Documentation.

Question 10

Le code source est-il auditable?

Accepted Answer

Sur entente client (NDA), les composants critiques sont audités sur place. Les modèles IA et la couche d'orchestration sont sous licence propriétaire SecuAAS.

Question 11

Y a-t-il un programme MSP/distributeur?

Accepted Answer

Oui. 3 tiers : Référence (15%), Revendeur (20%), MSP (40%) avec console multi-tenant. Voir /partenaires.

Question 12

Quelles sont les limites de scan?

Accepted Answer

Aucune limite stricte sur le nombre d'actifs. Fair use à 1000 cibles concurrentes par tenant. Au-delà : plan Enterprise avec dédiés.

Questions fréquentes sur SecuScan