A la recherche d’un scanner de vulnérabilité pour vos sites et applications web ?
Découvrez cette étude comparative pour mieux comprendre les différences qui opposent ces deux solutions
et faire le bon choix entre HTTPCS Security et Detectify.
HTTPCS gère les contenus web dynamiques dernière génération grâce à son Robot Headless qui parcourt l'intégralité de l'application
Cartographie à 100 % avec un processus Headless
HTTPCS Security assure les tests nécessitant une authentification (Grey Box) et permet de gérer les authentifications complexes comme le SSO (Single Sign On)
Possibilité de tester en Grey Box
Les audits de sécurité de HTTPCS sont effectués de manière quotidienne et automatique sans aucune intervention humaine. Les rapports détaillés permettent de prendre connaissance des failles de sécurité exploitables.
Possibilité de planifier un scan.
La fonctionnalité de simulation d'attaques remonte uniquement les failles réellement exploitables. Elle permet de comprendre les risques encourus.
Aucun simulateur de faille
Grace â son simulateur, HTTPCS offre une garantie 0 faux positif à ses utilisateurs. Cette garantie implique un gain de temps considérable pour les équipes techniques, qui n'ont pas à gérer les failles non exploitables.
Aucune garantie
Les failles sont classées intelligemment et automatiquement selon le niveau de criticité. L'équipe technique voit ainsi d'un seul coup d'œil les vulnérabilités à traiter en priorité.
Prioritisation des failles selon le niveau de criticité
Des indications et correctifs à appliquer pour chaque faille sont fournis et détaillés pour chaque support
Aucun dispositif d'aide à la correction des failles
Les failles corrigées sont détectées puis déplacées dans un espace dédié aux audits automatisés.
Pas de détection automatique des failles corrigées
Nos équipes de pentesteurs détectent tous les types de failles ( Top 10 OWASP, CVE, attaques 0 Day et bien d'autres !)
CVE, OWASP et 0 day
HTTPCS Security s'intègre au sein de la suite complète de CyberSécurité HTTPCS. L'utilisateur retrouve ainsi facilement l'ensemble des modules auxquels il a souscrit dans une seule console.
Toutes les solutions HTTPCS intègrent le Machine Learning. Les robots intelligents évoluent continuellement au fil des audits et deviennent plus performants.
L'obtention des logs détaillés au format HTTP Archive (HAR) est disponible en option.
Rapports au format HAR indisponibles
Une API performante est mise à disposition pour que les utilisateurs puissent interconnecter leurs outils.
Mise à disposition d'une API
HTTPCS fournit à ses utilisateurs ne présentant aucune faille un sceau de certification. Cliquable et facile à installer, il permet à l'entreprise de rassurer ses visiteurs.
La console HTTPCS est 100% SaaS, aucune installation n'est donc nécessaire. La console conserve le plus haut niveau de performance pour assurer une parfaite cybersécurité de ses utilisateurs.
Interface 100% SaaS
La console utilisateur HTTPCS permet aux entreprises possédant un grand nombre de sites web ou d’applications de mettre celles-ci dans des « catégories » prédéfinies pour en faciliter la gestion
Système de catégorie indisponible
Il est possible d'ajouter, de limiter ou de supprimer un utilisateur en quelques clics. Le management d'une large équipe de travail est facilité.
10 utilisateurs maximum
Les rapports sont rapidement exportables au format PDF.
Rapports au format PDF disponibles
L'interface de la console est disponible en plusieurs en langues (Français, Anglais, Espagnol, Italien et Portugais).
Interface en français indisponible
L'interface de la console HTTPCS est très simple, intuitive et agréable à utiliser, il n'y a ni frais ou délai d'installation, ni formation à suivre pour vos employés.
Interface ergonomique et intuitive.
La conservation des données (logs et rapports effectués) est illimitée chez HTTPCS, ce qui permet de réaliser des études statistiques sur le long terme.
Données conservées pendant un an
Le tarif affiché inclus l'ensemble des frais. Il n'y a pas de coût additionnel au moment de l'achat (frais de mise en route, coût de formation …)
Le support technique HTTPCS est disponible en 7 langues, Français et Anglais compris.
Support en français indisponible
Le support technique HTTPCS est disponible aux heures de bureau pour la version Plus et en continu (24h/24, 7j/7) pour la version Full.
Support aux heures de bureau
Le support peut être contacté en ligne, par email, et téléphone. Une FAQ est également disponible sur le site.
email, chat en ligne, téléphone, FAQ
Leader européen de la Cybersécurité, HTTPCS est une entreprise made in France. HTTPCS protège donc vos données conformément au RGPD et met à votre disposition des interlocuteurs physiques francophones.
Entreprise suédoise, pas de bureau en France
Headless
La navigation Headless permet de cartographier à 100 % le contenu d’une application web. Cette technologie est indispensable lorsqu’on souhaite détecter un maximum de failles, car elle se rapproche au maximum des actions que peut faire un internaute : « scroller » une page, cliquer sur des boutons, remplir des formulaires dynamiques...
Dans le cas de ces deux solutions, HTTPCS, tout comme Detectify, propose un scanner de faille doté d’une technologie « Headless ».
Headless
Headless
Failles et Grey Box
Contrairement au test Black Box où le robot ne peut pas aller scanner au-delà d’une étape d’authentification, le test en Grey Box, lui, le permet.
Ainsi, en mode Grey Box, le robot dispose alors d’identifiants et mots de passe lui permettant d’aller détecter un maximum de failles au sein de l’application web auditée.
Detectify et HTTPCS gèrent tout deux les tests en mode Grey Box.
Les deux scanners d’applications sont capables de repérer les failles présentes dans les principaux dictionnaires de failles, que ce soit les vulnérabilités de l’OWASP ou des CVE.
Les failles « zéro-day », quant à elles, sont prises en compte uniquement par HTTPCS, qui les implémente manuellement au quotidien pour une amélioration continue de son robot. Ces failles Zéro-Day vont plus loin que l’OWASP ou les CVE car elles n’ont jamais fait l’objet d’une correction publique.
Failles et Grey Box
Failles et Grey Box
Faux positifs
Un faux positif correspond au résultat positif d’un test qui devrait être « négatif ». Dans le cas de la détection de faille, un faux positif est une faille dite « exploitable » alors qu’elle ne l’est pas. L’utilisateur va recevoir une alerte lui indiquant la présence d’une faille et devra alors vérifier manuellement si la faille est exploitable ou non.
Le retraitement manuel de chaque faille pour s’assurer de son exploitabilité peut se révéler être une perte de temps considérable pour les équipes techniques.
La prise en compte et le traitement des faux positifs varient d’un scanner de vulnérabilité à l’autre.
Detectify traite les faux positifs « manuellement ». La solution permet de faire remonter à son support des faux positifs afin qu’ils ne soient plus détectés comme des failles. Pour chaque faux positif, l’utilisateur va devoir alerter manuellement le support Detectify.
Contrairement à Detectify, HTTPCS garantit un taux de faux positif égal à 0. Pour rendre cela possible, le Scanner de Faille HTTPCS teste la faille détectée en amont et vérifie son exploitabilité grâce à son simulateur de faille intégré.
Cette garantie, unique sur le marché des scanners de vulnérabilité, permet de faire la différence et amène HTTPCS à un niveau supérieur face à ses concurrents.
Faux positifs
Faux positifs
Solutions et spécificités
Detectify est un scanner d’application web et de site classique, il ne se différencie pas au niveau de ses fonctions inhérentes. Il permet cependant diverses intégrations avec Slack, Jira, Zapier ou encore Trello. Ces intégrations s’insèrent parfaitement dans sa stratégie et son esprit orienté « Par et Pour les start-up ».
Cet esprit est appuyé par le ton et l’humour présent dans l’ensemble de ses communications.
HTTPCS a pour spécificité l’intégration de trois modules complémentaires en supplément de son scanner de vulnérabilité web :
Solutions et spécificités
Solutions et spécificités
Sécurisez votre site ou application web dès maintenant et évitez d’être piraté !
Prix et support
Support et prix
Detectify propose sa version professionnelle à partir de 70 € / mois ($ 84) avec un abonnement annuel, ou 88 € / mois ($ 105) sans engagement. Il est également possible d’avoir une offre sur-mesure en fonction du nombre d’applications à sécuriser.
Le support de Detectify est nécessaire pour faire remonter les Faux Positifs mais il est très limité. Les utilisateurs ne peuvent le joindre qu’aux horaires de bureau suédoises et il faut compter environ 48 heures pour obtenir la réponse d’un technicien. Detectify ne propose pas non plus de support francophone.
HTTPCS propose une tarification à $ 87 / mois avec facturation annuelle ou $ 97 / mois sans engagement. Son siège social se situe en France et l’entreprise offre un support 5j/7. L’équipe technique conseille, informe et aide rapidement à la résolution des problèmes, gratuitement, en 7 langues dont le français.
HTTPCS est près de deux fois moins chers que la solution proposée par Detectify dans son offre annuelle et son support est mieux adapté aux utilisateurs francophones.
Prix et support
Prix et support
Interface
Interface
Interface
Interface
Comparatif Final
Pour conclure cette étude, voici un récapitulatif global des différentes fonctionnalités testées. Chacune d’entre elles a été évaluée avec un score maximum de 5 afin d’obtenir une note finale sur 30.
Headless
Headless
Failles et Grey Box
Failles et Grey Box
Faux positifs
Faux positifs
Spécificités
Spécificités
Prix et support
Prix et support
Interface
Interface
Notation
comparative globale
En se basant sur les fonctionnalités et spécificités de chacune de ces deux applications, HTTPCS obtient un score de 29/30 contrairement à Detectify qui obtient une note de 20/30. HTTPCS répond mieux aux besoins d’une entreprise recherchant un scanner de vulnérabilité efficace, sans besoin de retraitement manuel, avec une interface facile d’utilisation et un prix accessible.
Il est possible de tester gratuitement le scanner HTTPCS pendant 14 jours ou de demander une démo en ligne avec un Account Manager dédié. Pourquoi hésiter ?
Scanner de Vulnérabilité testé par plus de 9200 entreprises à travers le monde
Essai Gratuit 14 jours
Demande de démo
