# Advanced Vulnerability Assessment

## Description

Advanced Vulnerability Assessment (AVA) est une combinaison d'un audit de vulnérabilité du système et d'un audit de vulnérabilité de l'application pour une vue à 360° de votre niveau de sécurité.

Le service AVA est géré par un ingénieur en cybersécurité qui effectue une série de tests de sécurité sur les cibles sélectionnées et vous fournit un rapport d'audit complet et détaillé. Pour chaque vulnérabilité identifiée, le rapport fournit : la criticité, la description, le vecteur d'attaque, l'impact potentiel et la solution.

Le service AVA est basé sur deux solutions d'audit de vulnérabilité complémentaires et leaders sur le marché :

* **Qualys Vulnerability Management** pour les vulnérabilités des systèmes, des infrastructures et des logiciels intermédiaires (CVE)
  * Analyse des vulnérabilités des adresses IP publiques et privées de tous les composants de votre application.
* **Acunetix** pour les vulnérabilités des applications web (OWASP Top 10)
  * Solution de test dynamique de la sécurité des applications (DAST)
  * Scan non authentifié : test de la résistance des formulaires d'authentification, des formulaires d'inscription, des réinitialisations de mot de passe, etc.
  * Analyse authentifiée : exploitation des fonctions internes de l'application, partitionnement des données, élévation des privilèges, etc.
  * Analyse de l'API : Types d'API pris en charge : SOAP/XML, REST, GraphQL

Identifiez et corrigez vos failles de sécurité avant que d'autres ne les exploitent !

<figure><img src="/files/u2jeipykYp8L96AGXQGP" alt=""><figcaption></figcaption></figure>

## Démarrage rapide <a href="#advancedvulnerabilityassessment-demarragerapide" id="advancedvulnerabilityassessment-demarragerapide"></a>

La première étape consiste à évaluer le périmètre en demandant un test de sécurité.\
Ce périmètre doit inclure tous les serveurs qui interagissent avec le service d'application.

Dans cet exemple, il s'agira de :

* Tous les serveurs exposés sur le frontend.
* Tous les serveurs qui calculent le service dans le backend.
* Tous les serveurs connexes, comme les serveurs BDD.

<figure><img src="/files/GxMnyk8SVrIS09Nd6gp4" alt=""><figcaption><p>Exemple</p></figcaption></figure>

## Déroulement

Le service est divisé en deux étapes :

1. Scanner de vulnérabilité du système et de l'infrastructure : Vous devez identifier tous les serveurs actifs du service.
2. Un scanner d'application web : l'URL de l'application + un profil de scan doit être livré.

Toutes ces informations doivent être remplies dans un document intitulé "Questionnaire de qualification technique" pour vous aider à identifier le champ d'application.

## Rapports

Trois rapports seront envoyés :

* Un rapport de cegedim.cloud qui résume toutes les informations et fournit des recommandations sur le statut de sécurité du produit
* Un rapport de Qualys Scanner avec toutes les vulnérabilités du système
* Un rapport de Acunetix avec toutes les vulnérabilités des applications web


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://academy.cegedim.cloud/francais/securite/advanced-vulnerability-assessment.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.