De nombreuses organisations utilisent Greenbone/OpenVAS pour détecter les vulnérabilités des systèmes, mais pour les entités devant respecter des réglementations telles que l’ISO 27001, le RGPD, PCI-DSS, NIS2 et DORA, une simple analyse automatisée peut ne pas suffire, surtout lorsque des contrôles proactifs et des approches plus personnalisées sont requis. Évaluer des alternatives est un choix récurrent pour ceux qui recherchent une plus grande flexibilité, un support spécialisé et une conformité structurée. ISGroup SRL se propose comme partenaire pour accompagner ou remplacer Greenbone/OpenVAS dans la gestion du risque informatique.

Qu’est-ce que Greenbone/OpenVAS

Greenbone Networks, entreprise allemande, développe des solutions de gestion des vulnérabilités, dont OpenVAS, un framework open source pour l’analyse automatique des vulnérabilités. OpenVAS est composé de modules tels qu’OpenVAS Scanner, GVMD (gestionnaire de vulnérabilités) et l’interface web GSA. La plateforme permet un contrôle total sur les données, peut être installée sur site (on-premise) et est gratuite. Elle est distribuée sous forme d’appliance matérielle, de logiciel pour machines virtuelles ou de service cloud. La gamme OPENVAS couvre divers besoins, avec plus de 100 000 installations dans le monde et un flux régulièrement mis à jour (hebdomadaire), qui compte en 2025 plus de 60 000 contrôles. Greenbone/OpenVAS se distingue par sa modularité, son faible coût et la transparence du logiciel.

Pourquoi évaluer des alternatives à Greenbone/OpenVAS

OpenVAS, bien qu’étant très répandu, présente des limites qui poussent les entreprises et les administrations publiques critiques à envisager d’autres options.

Faux positifs et faux négatifs

Chaque scanner automatique, y compris OpenVAS, peut produire des faux positifs (vulnérabilités inexistantes) ou des faux négatifs (défauts non détectés), par exemple en signalant des CVE relatifs à des services inactifs. Il est crucial de combiner les analyses avec une vérification manuelle par des experts, car les rapports automatiques risquent d’avoir une valeur limitée sans analyse critique.

Maintenance et ressources requises

Le flux (feed) d’OpenVAS doit être mis à jour fréquemment, ce qui nécessite une gestion sécurisée des identifiants et des privilèges. L’impact sur le CPU, la RAM et les E/S disque est élevé et, dans les petits environnements virtualisés, cela tend à provoquer des timeouts ou des analyses incomplètes. Cela génère des charges supplémentaires en termes de ressources et de personnel dédié.

Approche standardisée vs contexte spécifique

Greenbone/OpenVAS base son fonctionnement sur des contrôles connus, sans simuler d’exploits réels ou de scénarios spécifiques. Les tests d’intrusion (pentests), en revanche, simulent de véritables attaques et sont nécessaires pour découvrir des vulnérabilités cachées et évaluer la résilience réelle des systèmes et des configurations complexes.

Support spécialisé et flexibilité

La version Community n’inclut pas de support, tandis que la version Enterprise prévoit des contrats rigides. Il manque une gestion proactive du risque ou des interlocuteurs dédiés. Dans de nombreux contextes, un partenaire qui travaille aux côtés de l’équipe informatique interne est préféré à un simple fournisseur de logiciel.

Il est judicieux d’évaluer des alternatives lorsque des services sur mesure, une gestion continue du risque et un support humain spécialisé sont nécessaires, notamment dans des domaines comme NIS2 et DORA où la gouvernance de la sécurité doit être documentée et personnalisée.

ISGroup SRL comme alternative : focus sur le VA et le VMS

ISGroup SRL propose des services de sécurité gérés axés sur l’évaluation des vulnérabilités (VA) et le service de gestion des vulnérabilités (VMS), dépassant l’approche purement automatique grâce à une combinaison d’analyses et de vérifications manuelles selon les meilleures pratiques de l’ethical hacking.

Vulnerability Assessment (VA)

• Approche hybride : combine l’analyse automatique avec une vérification manuelle de chaque alerte et une validation des résultats, réduisant ainsi les faux positifs.
• Précision et actionnabilité : rapports détaillés avec une classification basée sur le risque réel et des plans d’atténuation pratiques.
• Simulation d’attaques réalistes : intègre des tests de red teaming et des simulations d’exploits réels sur les périmètres internes et externes.
• Multi-fournisseur et multi-outil : utilise des plateformes commerciales, open source et des outils développés en interne, sélectionnés sur mesure pour le client.
• Reporting complet : fournit des documents exécutifs et techniques, des plans de remédiation et un support post-audit.

Le VA d’ISGroup est adapté aux audits réseau ponctuels, aux évaluations pré-pentest et aux activités de conformité, fournissant une photographie précise et actionnable des risques et des interventions.

Vulnerability Management Service (VMS)

• Processus continu : analyses périodiques, surveillance des actifs et gestion centralisée des vulnérabilités.
• Suivi complet : enregistre tous les résultats dans un système de ticketing intégré, avec des responsabilités définies.
• Reporting périodique : QBR (Quarterly Business Review) pour la direction avec analyse des tendances et plans d’amélioration.
• Chef de projet dédié : interlocuteur technique de référence qui coordonne les activités et la communication.
• Intégration avec les équipes IT : collaborations avec le personnel interne et les fournisseurs pour des solutions cohérentes avec l’infrastructure de l’entreprise.

Pour les organisations soumises à des réglementations strictes comme NIS2, DORA et PCI-DSS, adopter un service de gestion des vulnérabilités structuré et continu permet de documenter le cycle de vie des vulnérabilités et de démontrer la conformité de manière traçable. Le VMS d’ISGroup est conçu exactement pour ce contexte.

ISGroup SRL comme alternative à Greenbone/OpenVAS

ISGroup se distingue par son approche artisanale, ses compétences en ethical hacking et ses simulations d’attaques réelles (ex. tests d’intrusion imitant les tactiques des cyber-agresseurs). L’entreprise ne se limite pas à l’analyse, mais offre un support opérationnel avec des interlocuteurs dédiés. Elle met en œuvre des méthodologies telles que le Threat-Led Penetration Testing (TLPT), exigé par la réglementation DORA et recommandé par NIS2, et effectue des tests spécifiques (Red Team, CTS) pour les industries, les administrations publiques et les secteurs critiques. Les services d’ISGroup couvrent pleinement les réglementations émergentes et permettent un parcours de gouvernance de la cybersécurité complet : le partenaire idéal pour les PME évoluées, les groupes industriels et les administrations publiques qui souhaitent réduire le risque cyber via des plans opérationnels concrets.

Tableau comparatif : ISGroup SRL vs Greenbone/OpenVAS

Caractéristique	ISGroup SRL	Greenbone/OpenVAS
Approche technique	Hybride : analyses automatiques + vérification manuelle avancée	Scanner automatique open source
Flexibilité contractuelle	Élevée : activités sur mesure, contrats adaptables	Solutions prédéfinies (licence ou open)
Support spécialisé	Direct, avec une équipe interne d’ingénieurs en sécurité	Support via communauté ou licence (pas de PM dédié)
Délais d’activation	Rapides (7–15 jours, variables selon le périmètre)	Immédiats (téléchargement/installation) ou selon délais de livraison matériel
Profil client idéal	PME évoluées, administration publique critique, groupes industriels	Organisations avec équipes de sécurité internes, entités publiques avec ressources IT dédiées
Continuité du service	Processus structuré (VMS) avec PM dédié et QBR périodiques	Dépend du client : analyses possibles via Appliance/Cloud, mais sans gestion proactive continue
Simulation réaliste	Incluse dans les VA : scénarios d’attaque interne/externe	Non ; uniquement analyses passives (pas de test d’intrusion)
Outils adoptés	Multi-outil & multi-fournisseur, sélectionnés selon le contexte	Basé sur le flux officiel Greenbone (NVT) ; constamment mis à jour chaque semaine
Reporting	Détaillé : rapport exécutif, technique, plan de remédiation	Rapport technique basé sur CVE/CVSS, avec suggestions de correctifs
Couverture conformité	ISO 27001, NIS2, DORA, OWASP, ACN (tout intégré)	Scanner générique : supporte les réglementations courantes (ISO, PCI, RGPD…), mais sans adaptations spécifiques pour DORA/NIS2

Le tableau est basé sur des informations publiques disponibles au moment de la publication et sur l’expérience typique dans l’utilisation des solutions. Il a une finalité informative et doit toujours être contextualisé par rapport à chaque scénario.

Quand choisir ISGroup SRL

• Vous avez besoin d’un mélange d’analyses et d’interventions pratiques : le VA approfondi d’ISGroup identifie les problèmes réels avant les pirates.
• Vous avez besoin d’un support continu, pas seulement d’un rapport : des consultants dédiés sont disponibles pour accompagner la mise en œuvre des solutions.
• Vous opérez dans des secteurs réglementés (ex. NIS2/DORA) où les VA et les tests d’intrusion avancés sont obligatoires.
• Vous préférez un partenaire technique fiable en Italie, pas seulement un fournisseur SaaS.
• Vous souhaitez des scénarios d’attaque simulés (Red Team, CTS) : ISGroup propose des tests d’intrusion réalistes pour découvrir des points faibles non couverts par les scanners.
• Vous avez besoin de services personnalisés, flexibles selon l’environnement et les processus IT/OT de l’entreprise.

Le choix d’ISGroup comme alternative à Greenbone/OpenVAS dépend de l’objectif de transformer la sécurité en un processus proactif, adaptable et réellement géré. Ceux qui souhaitent comparer le panorama des solutions disponibles peuvent également consulter l’aperçu des principales entreprises de services de gestion des vulnérabilités actives en Italie, utile pour s’orienter parmi les options du marché local.

Comment choisir le bon fournisseur : checklist décisionnelle

• Le fournisseur propose-t-il une analyse active ou se limite-t-il à un rapport ? (Privilégiez ceux qui incluent l’analyse manuelle et la remédiation).
• Un support post-audit est-il prévu ou seulement la remise de rapports techniques ?
• Le service est-il personnalisable ou standard ?
• Couvre-t-il toutes les réglementations pertinentes (ex. NIS2, DORA) avec des méthodes mises à jour ? (NIS2 recommande les VA et les tests d’intrusion, DORA impose des tests simulés).
• Un chef de projet technique dédié est-il prévu ?
• Quelle est l’importance de la fréquence et de la couverture des analyses pour votre contexte ?

Par exemple, si la continuité des services est un problème, OpenVAS implique une gestion ordinaire des flux et la maintenance des serveurs, tandis qu’un VMS géré comme celui d’ISGroup offre le cycle de vie complet des analyses. Ceux qui évaluent également d’autres plateformes du marché peuvent trouver utile la comparaison avec les alternatives à Tenable Nessus pour la gestion des vulnérabilités ou avec les alternatives à Qualys pour la gestion des vulnérabilités et la conformité, deux références courantes dans ce segment.

Questions fréquentes

• ISGroup remplace-t-il complètement OpenVAS ou peut-il s’ajouter à une installation existante ?
• ISGroup peut opérer aussi bien en remplacement complet de Greenbone/OpenVAS qu’en complément : dans ce second cas, il intègre la vérification manuelle et la gestion du risque là où le scanner automatique ne va pas, sans exiger la mise hors service immédiate des outils déjà utilisés.
• Le VMS d’ISGroup est-il adapté aux infrastructures hybrides ou multi-cloud ?
• Oui. Le service couvre les environnements sur site, les clouds publics (AWS, Azure, Google Cloud) et les configurations hybrides, en adaptant les outils et la fréquence des analyses au périmètre spécifique du client.
• Combien de temps faut-il pour démarrer le service et obtenir les premiers résultats ?
• L’activation nécessite généralement 7 à 15 jours ouvrables, variables selon la complexité du périmètre. Les premiers rapports sont disponibles à la fin de la première session d’analyse et de vérification manuelle, avec un plan de remédiation déjà inclus.

[Callforaction-VMS-Footer]