SecuScan / Scanyze
SecuScan / Scanyze
Plateforme SaaS québécoise de cybersécurité offensive — EASM, analyse de code, pentest IA, conformité Loi 25, dark web, cloud security
SecuScan / Scanyze
Scanyze est la plateforme SaaS de cybersécurité offensive de SecuAAS (9463-7220 Québec inc.), conçue pour les PME et organisations québécoises qui doivent surveiller en continu leur surface d'attaque, sécuriser leur code source, démontrer leur conformité réglementaire et tester la résilience de leurs services.
Toutes les données sont hébergées chez OVH Beauharnois (Québec) pour répondre aux exigences de résidence des données prévues par la Loi 25 (Québec), PIPEDA (Canada) et le RGPD (Union européenne).
À qui s'adresse Scanyze
| Profil | Cas d'usage typique |
|---|---|
| RSSI / responsable sécurité | Vue 360° de la posture, rapports exécutifs et techniques, conformité multi-cadres |
| Équipe DevSecOps | Analyse SAST/secrets/dépendances en CI, suppression de faux positifs, kanban de remédiation |
| MSSP / partenaire IT | Gestion multi-clients, marque blanche, facturation déléguée — voir Documentation MSP |
| Auditeur / vCISO | Preuves d'audit, exports vers vCISO Platform et ConformVault, conformité Loi 25 / RGPD / PIPEDA / SOC2 / ISO 27001 |
| PME québécoise | Surveillance continue d'un domaine principal, scan de code occasionnel, alertes dark web |
Modules disponibles
Scanyze regroupe 10 modules activables selon votre plan :
| Module | Description | Plan minimal |
|---|---|---|
| EASM | Surface d'attaque externe — 22 outils de scan (ports, SSL, vulnérabilités, sous-domaines, DAST, fuzzer, etc.) | Essentiel |
| Code Scanning | Analyse SAST/secrets/dépendances/IaC — 19 outils (Semgrep, Trivy, Gitleaks, gosec, Bandit, etc.) | Pro |
| Pentest IA | Pentest autonome via Claude Agent SDK + workflows Temporal | Starter |
| Chatbot Security | Tests de sécurité de chatbots IA (prompt injection, jailbreak, leak) | Pro |
| Compliance | 5 cadres techniques (CIS v8, ISO 27001, OWASP Top 10, PCI DSS, SOC2) + scan légal Loi 25 / PIPEDA / RGPD / Cookies / CGU | Pro |
| Cloud Security | Connecteurs Microsoft 365 et Google Workspace + module CNAPP (AWS/Azure/GCP, en preview) | Pro |
| Dark Web | Surveillance multi-sources (HIBP, DeHashed, Leak Lookup, Intelligence X) | Essentiel |
| Agents Endpoint | Agent Rust v2 — NDR, découverte PII, inventaire (Linux + Windows) | Starter |
| Reports | Rapports PDF (exécutif, technique) + Markdown (machine) + SBOM + exports vCISO/ConformVault | Tous |
| API REST | 160+ endpoints, JWT + API keys, isolation multi-tenant via RLS PostgreSQL | Starter |
Architecture en bref
Scanyze est une architecture distribuée multi-tenant déployée sur Kubernetes (OVH BHS) :
| Composant | Technologie | Rôle |
|---|---|---|
| Backend API | Go 1.24 (chi) | API REST, 160+ endpoints, JWT + API keys |
| Frontend | Next.js 14 (App Router) | Dashboard SaaS bilingue FR/EN |
| Worker | Go | Exécute les 22 outils EASM en phases |
| Codeworker | Go | 19 outils SAST/secrets/dépendances |
| Pentest Worker | Go + Temporal | Orchestre les workflows pentest |
| Pentest Agent | TypeScript + Anthropic Agent SDK | Pentest IA autonome |
| Cloud Worker | Go | Scans Microsoft 365 / Google Workspace / AWS / Azure / GCP |
| Chatbot Worker | Go | Tests adversariaux sur chatbots IA |
| Agent Endpoint | Rust | NDR + PII (Linux/Windows) |
| PostgreSQL | OVH Managed (BHS) | 173+ migrations, Row-Level Security multi-tenant |
| Redis | Cluster K8s | Cache, file de jobs Asynq, rate limiting |
| Temporal | Cluster K8s | Orchestration des workflows long-running |
| SecuTools | Plateforme IA centrale | GPU souverain (Qwen3) + Claude Sonnet/Opus + Gemini |
URLs et environnements
| Environnement | Frontend | API |
|---|---|---|
| Production | scanyze.com | api.scanyze.com/v1 |
| Staging OVH | app.scanyze.secuaas.ovh | api.scanyze.secuaas.ovh/v1 |
| Dev (interne) | secuscan.secuaas.dev | api.secuscan.secuaas.dev/v1 |
Conformité et résidence des données
Toutes les données du tenant — scans, findings, code analysé, rapports IA, logs d'audit — sont stockées dans PostgreSQL managé OVH région BHS (Beauharnois, Québec). Aucune donnée client ne transite hors du Canada par défaut.
| Cadre | Couverture |
|---|---|
| Loi 25 (Québec) | Résidence des données au Québec, registre des incidents, journal de consentement, scan légal automatisé |
| PIPEDA (Canada) | Audit trail complet, droit à l'accès, droit à la rectification |
| RGPD (UE) | DPA disponible sur demande, sous-traitants documentés, droit à l'effacement |
| SOC 2 Type 2 | En cours (audit prévu Q4 2026) |
| ISO 27001:2022 | Plateforme alignée, certification prévue Q1 2027 |
| OWASP Top 10 | Couverture complète via les modules EASM + Code |
| PCI DSS | Couverture via les modules EASM + Code (l'évaluation PCI complète demande un QSA externe) |
| CIS Controls v8 | Mapping automatique via le module Compliance |
L'IA centralisée SecuTools route par défaut vers le GPU souverain OVH (Qwen3-Coder-35B sur Beauharnois). Le routage vers Anthropic Claude n'a lieu que si le tenant a explicitement opté pour le tier Premium (voir GPU vs Premium).
Nouveautés v0.126 → v0.130 (avril 2026)
- AI parallélisée (v0.130.0) : 12 workers GPU / 4 workers Claude + retry 6× exponential backoff + cache content_hash. Gain de 30 min → 60s sur 369 findings.
- Cache de classifications IA (v0.130.0) : table
finding_ai_analyses_cacheréutilise les analyses entre scans (cache_hit_ratio souvent >80% sur scans nightly). - Pipeline AI partagé (v0.130.2) : extracté en
internal/services/aipipeline/— les rapports code scan chunked bénéficient maintenant aussi du retry 6× automatique. - MSP Phase 2 (v0.130.1) : dual-write
msp_accounts+msp_managed_tenants, middlewareMSPActAsTenantMiddlewaredurci contre l'impersonation cross-MSP. - Quotas par plan éditables admin (v0.129.5) :
/admin/features→ onglet Quotas par plan permet d'ajuster targets / scans / API / AI credits sans migration. - MSP — comptes internes illimités (v0.129.4) :
tenant_type=msp_internalcréés avec quotas illimités + bypass SecuCFO + plan whitelist (Free / Starter / Pro / Business uniquement) sur les clients qu'ils provisionnent. - Invitation MSP bilingue (v0.129.x) : email FR/EN + page
/setup-passwordbilingue à la place de/reset-password. - AI Reports — 3 formats (v0.127.0) : chaque rapport produit
executive.pdf,technical.pdf,machine.md. Sélecteur de version d'analyse pour comparer plusieurs runs (GPU vs Claude). - AI Premium chunked (v0.126.5) : pour les scans code >300 issues, le rapport Premium est généré en mode chunked (passes successives Sonnet + assemblage final).
- Darkweb multi-source (v0.127.x) : DeHashed + Leak Lookup + Intelligence X en plus de HIBP.
- Compliance Legal (v0.126.0) : scan automatisé Loi 25 + PIPEDA + RGPD + Cookies + CGU avec scrape automatique du site cible.
- Cloud Security refonte (v0.126.0) : 3 sous-menus distincts — Dashboard / Cloud Sécurité / CNAPP.
- Module Pentest (v0.126.0) : sidebar dédié, feature flags Alpha/Beta/Production, autorisations préalables obligatoires.
- Code Scanning multi-branch (v0.126.1) :
watched_branchesmulti-select par repo, scan auto déclenché par push sur chaque branche surveillée.
Sections de cette documentation
- Pour démarrer — première connexion, premier scan, dashboard
- Modules — un guide détaillé par module
- Intelligence artificielle — GPU vs Claude Premium, crédits IA, formats de rapports
- Plans et facturation — comparatif des plans, achat de crédits, taxes (TPS/TVQ)
- Settings — utilisateurs, rôles, branding, intégrations
- API REST — auth, endpoints, exemples curl, Swagger
- Sécurité et conformité — RLS multi-tenant, chiffrement, rétention, audit
- FAQ — questions fréquentes
- Troubleshooting — diagnostiquer un scan bloqué, un rapport tronqué, etc.
Documentation à jour pour la version Scanyze v0.130.x (avril 2026).