← Retour à la page

Voici le rapport que vous recevez pour chaque fournisseur. Données réelles, anonymisées.

VendoReport

Vendor Risk Report

fornitore-erp.it

7.4 HIGH
Entité évaluée fornitore-erp.it
Rôle du fournisseur Fournisseur ERP · critique pour l’activité (classification du client)
Périmètre Analyse externe passive de la surface d’attaque · à un instant donné
Date d’évaluation 2026-06-06
Valable jusqu’au 2026-09-06 · revérifier chaque trimestre
Méthodologie VR-EXT v1.2
Évalué par Équipe d’analyse VendoReport
ID du rapport VR-2026-0606-ERP

NIS2 · Art. 21

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 1/7

1 · Synthèse

Cette synthèse met en avant les findings à plus fort impact observables de l’extérieur. L’ensemble des 4 findings figure en section 2 ; périmètre et limites en section 5.

  1. 1

    Un port de base de données (3306) répond depuis l’internet public. C’est le principal facteur du score HIGH.

  2. 2

    L’entreprise apparaît dans 2 fuites de données connues (2021, 2023). Certains identifiants peuvent circuler.

  3. 3

    La protection anti-usurpation e-mail (SPF) n’est pas configurée. L’hameçonnage au nom de ce fournisseur est plus facile qu’il ne devrait.

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 2/7

2 · Findings techniques

HIGH

Service de base de données potentiellement exposé

port 3306 (MySQL) répond
Source: Enregistrement passif de l’hôte Relevé: 2026-06-06 09:14 UTC Référence: Art. 21(2)(d) · RE annexe 5.3 (preuve de surveillance) Statut: Ouvert · action demandée

Demandez au fournisseur de restreindre l’accès à la base de données à un réseau privé.

HIGH

Exposition à des fuites connues

2 fuites : 2021, 2023
Source: Index public de fuites Relevé: 2026-06-06 09:15 UTC Référence: Art. 21(2)(d) Statut: Ouvert · action demandée

Demandez confirmation que les identifiants concernés ont été renouvelés.

MEDIUM

Configuration TLS à mettre à jour

note B · TLS 1.0 actif
Source: Sonde TLS Relevé: 2026-06-06 09:16 UTC Référence: Art. 21(2)(h) Statut: Ouvert · action demandée

Exigez la prise en charge de TLS 1.2 ou supérieur uniquement.

MEDIUM

Authentification e-mail incomplète

enregistrement SPF absent
Source: Requête DNS TXT Relevé: 2026-06-06 09:16 UTC Référence: Art. 21(2)(g) Statut: Ouvert · action demandée

Exigez la configuration de SPF, DKIM et DMARC.

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 3/7

3 · Correspondance NIS2 et RE

Art. 21(2)(d) Faille détectée (2 findings HIGH)

Sécurité de la chaîne d’approvisionnement

Art. 21(3) Partiellement évalué · vulnérabilités externes uniquement (voir Limites)

Vulnérabilités propres au fournisseur et qualité des pratiques

Art. 21(2)(f) Documenté par ce rapport

Évaluation de l’efficacité

Art. 22(1) Hors périmètre · pas un substitut (voir Limites)

Évaluations coordonnées des chaînes d’approvisionnement critiques

RE (UE) 2024/2690 annexe 5.1.2 Aligné le cas échéant

Critères de sélection des fournisseurs

RE annexe 5.3 Preuves jointes par finding

Preuve documentée de la surveillance

ANSSI Préparé pour l’enregistrement ANSSI

Obligations vis-à-vis de l’ANSSI

En France, les entités concernées doivent s’enregistrer auprès de l’ANSSI et appliquer des mesures de gestion des risques. Les contrôles techniques de la chaîne d’approvisionnement découlent du règlement d’exécution (UE) 2024/2690, annexe 5.

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 4/7

4 · Remédiation

Les demandes à transmettre au fournisseur, par ordre de priorité :

01

Restreindre l’accès à la base de données (port 3306) à un réseau privé.

Responsable: Fournisseur Sévérité: HIGH Statut: Demandé le 2026-06-06 Revérification: Au prochain scan
02

Confirmer le renouvellement des identifiants concernés par les fuites de 2021 et 2023.

Responsable: Fournisseur Sévérité: HIGH Statut: Demandé le 2026-06-06 Revérification: Au prochain scan
03

Désactiver TLS 1.0 et ne prendre en charge que TLS 1.2 ou supérieur.

Responsable: Fournisseur Sévérité: MEDIUM Statut: Demandé le 2026-06-06 Revérification: Au prochain scan
04

Configurer les enregistrements SPF, DKIM et DMARC.

Responsable: Fournisseur Sévérité: MEDIUM Statut: Demandé le 2026-06-06 Revérification: Au prochain scan

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 5/7

5 · Méthodologie, périmètre et limites

VendoReport produit une évaluation externe et passive de la surface d’attaque publique du fournisseur. Il ne se connecte pas aux systèmes du fournisseur, n’effectue pas de tests intrusifs et ne remplace pas un audit interne.

Échelle de sévérité

LOW 0.0 à 3.9 Faille d’hygiène mineure, faible exposition.
MEDIUM 4.0 à 6.4 À corriger, exposition directe limitée.
HIGH 6.5 à 8.4 Exposition significative, demander une remédiation.
CRITICAL 8.5 à 10 Exposition directement exploitable, agir immédiatement.

Sources de données

  • DNS passif et certificate transparency
  • Index publics de fuites de données
  • Bannières de service sur les ports exposés
  • Enregistrements d’authentification e-mail (SPF, DKIM, DMARC)

Limites

  1. 01 Il s’agit d’une vue externe et passive de la surface d’attaque publique, pas d’un audit de sécurité complet.
  2. 02 L’attribution des IP et des hôtes comporte une marge de confiance et peut inclure une infrastructure partagée.
  3. 03 Les findings décrivent ce qui est potentiellement exposé, pas ce qui est confirmé exploitable.
  4. 04 Les pratiques de développement sécurisé du fournisseur (Art. 21(3)) sont hors du périmètre passif : elles exigent des questionnaires ou une revue contractuelle.
  5. 05 Ce rapport ne se substitue pas aux évaluations coordonnées prévues à l’Art. 22(1) de NIS2.
  6. 06 Les résultats sont valables à la date d’évaluation indiquée. Revérifier chaque trimestre ou à chaque changement significatif.

Évaluation réalisée par l’équipe d’analyse VendoReport selon la méthodologie VR-EXT v1.2.

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 6/7

6 · Références réglementaires

Directive (UE) 2022/2555 (NIS2)

Art. 21, mesures de gestion des risques de cybersécurité.

Loi française de transposition NIS2 (2025)

Transposition nationale de la directive NIS2.

Règlement d’exécution (UE) 2024/2690

Annexe 5, contrôles techniques de la chaîne d’approvisionnement.

ANSSI

Autorité nationale, obligations d’enregistrement et de gestion des risques.

VendoReport · VR-EXT v1.2 · rapport VR-2026-0606-ERP · 2026-06-06 p. 7/7

Voici ce que vous recevez pour chaque fournisseur.

Obtenir le vôtre pour 49 €

Pas un scan automatique : vérifié par un analyste · Sans compte · Satisfait ou remboursé