Documentation

La page Sites web est l’endroit où vous ajoutez et vérifiez les domaines que Grawlr analysera. En haut de la page, vous voyez combien de sites vous utilisez par rapport à la limite de votre offre afin de toujours connaître votre capacité disponible.

Utilisez Ajouter un site web pour renseigner un nom convivial, l’URL complète (schéma inclus) et une méthode de vérification (téléversement de fichier, enregistrement DNS TXT ou balise META). Après l’ajout d’un site, le tableau de bord vous guide dans la vérification et vous propose des actions Vérifier ou Tout vérifier afin de confirmer la propriété et l’état de préparation au scan.

Chaque méthode de vérification est conçue pour une situation différente :

• Téléversement de fichier - idéal lorsque vous disposez d’un accès FTP ou de déploiement à la racine web.
• Enregistrement DNS TXT - parfait lorsque vous contrôlez le DNS mais pas le code de l’application.
• Balise META - utile lorsque vous pouvez modifier les templates ou les en-têtes HTML.

Une fois vérifiée, chaque carte de site web affiche l’état de vérification, l’état du dernier scan et des actions rapides. C’est ici que vous gérez votre surface de sécurité comme un portefeuille, et non site par site.

La page Packages d’endpoints contrôle quels schémas d’attaque Grawlr rejouera contre vos sites web et vos API. Un indicateur d’usage montre combien de packages vous avez sélectionnés et combien de modifications vous pouvez encore effectuer ce mois-ci selon votre niveau d’abonnement.

Vous pouvez consulter les packages actuellement sélectionnés, ouvrir Sélectionner des packages pour modifier votre choix et filtrer les packages disponibles par type (Mensuel, Plateforme, Type d’attaque, Secteur ou Starter). Les packages Starter et Mensuel sont idéaux comme base, tandis que les packages Plateforme et Type d’attaque vous permettent d’affiner les tests pour des stacks et des classes de vulnérabilité spécifiques.

Une stratégie typique consiste à :

• Commencer par un package Starter ou Mensuel pour une couverture large.
• Ajouter des packages Plateforme pour les technologies que vous utilisez réellement (par exemple WordPress ou Laravel).
• Superposer des packages Type d’attaque lorsque vous souhaitez approfondir les injections, les flux d’authentification ou d’autres risques.

Comme les packages sont mis à jour à mesure que de nouveaux schémas d’attaque apparaissent, vous bénéficiez de comportements de test actualisés sans devoir ajuster en permanence vous-même des règles de bas niveau.

La page Scans de sécurité répertorie tous les tests automatisés exécutés par Grawlr pour votre compte. Vous pouvez voir quels scans sont en cours, lesquels sont terminés et lesquels ont éventuellement échoué.

Utilisez les filtres d’état (Terminé, En cours, En attente, Échoué, Annulé), les filtres de type de scan (Planifié, Initial) et le sélecteur de plage de dates pour affiner ce que vous consultez. En cas d’échec, vous pouvez examiner le détail de l’erreur, corriger des problèmes de configuration comme un site hors ligne, puis relancer. Les scans terminés renvoient directement vers des rapports détaillés dans la section Rapports, où vous pouvez analyser les résultats et les étapes de remédiation.

La vue Scans est l’endroit où vous répondez à des questions comme : nos tests planifiés se sont-ils bien exécutés, qu’est-ce qui a changé depuis la semaine dernière et y a-t-il des échecs qui bloquent notre workflow sécurité ? Elle fonctionne main dans la main avec Notifications et Rapports pour vous fournir à la fois une chronologie et une analyse détaillée des résultats.

La page Notifications centralise les événements du compte et de sécurité : nouveaux résultats de scan, alertes de sécurité importantes, changements d’abonnement et autres activités clés de votre espace de travail.

Vous pouvez voir d’un coup d’œil le nombre de messages non lus et le total, filtrer par tous, non lus, lus ou urgents, marquer tous les messages comme lus en une seule action et ouvrir directement les rapports de scan liés depuis les notifications concernées. Considérez cette page comme votre boîte de réception d’activité : si quelque chose d’important se produit, vous le verrez ici en premier.

Les types de notifications courants incluent :

• Scan terminé avec nouveaux résultats.
• Scan échoué en raison de problèmes de connectivité ou de configuration.
• Modifications liées à l’abonnement ou à la facturation pouvant affecter les limites.
• Mises à jour importantes de la plateforme susceptibles d’avoir un impact sur votre posture de sécurité.

Au lieu de parcourir des logs ou des fils d’e-mails, vous pouvez utiliser Notifications comme un flux unique, intégré au produit, de ce qui compte le plus à l’instant présent.

Les journaux d’audit enregistrent qui a fait quoi dans votre compte et à quel moment, ce qui est essentiel pour la conformité, le dépannage et les revues de sécurité internes. Chaque action significative dans le tableau de bord est enregistrée avec un horodatage et un acteur.

Des filtres vous permettent de vous concentrer sur les événements utilisateur, site web, facturation ou sécurité. Un sélecteur de date vous permet d’inspecter une période donnée et, selon votre offre, vous pouvez également disposer d’options d’export vers des outils externes de conformité ou de supervision.

Les cas d’usage courants incluent la reconstitution de qui a modifié une configuration de site avant un incident, la démonstration aux auditeurs que seuls des utilisateurs autorisés ont effectué des actions sensibles, ou la corrélation des événements Grawlr avec d’autres logs dans votre SIEM. Les journaux d’audit transforment « nous pensons que cela s’est produit » en « nous pouvons montrer exactement ce qui s’est passé et quand ».

La page Équipe est l’endroit où vous invitez vos collègues et contrôlez qui a accès à quelles parties de votre espace Grawlr. Elle est conçue pour que des parties prenantes non techniques puissent consulter les rapports en toute sécurité, tandis qu’un noyau plus restreint gère les scans, les sites web et la facturation.

Depuis cette page, vous pouvez inviter de nouveaux membres par e-mail et attribuer des rôles (Propriétaire, Admin, Membre, Lecteur), voir les invitations en attente et les renvoyer ou les annuler, modifier les rôles et les informations de base des membres existants, et suspendre des comptes sans perdre leur historique. Cela vous aide à aligner les accès sur la réalité de votre organisation.

Un schéma courant consiste à conserver un ou deux Propriétaires, quelques Admins qui gèrent les opérations de sécurité au quotidien, plusieurs Membres qui travaillent avec les rapports et la configuration des sites, et des Lecteurs pour la direction ou les parties prenantes qui n’ont besoin que d’une visibilité en lecture seule. Des rôles clairs réduisent les erreurs et rendent les responsabilités sécurité visibles.