Anviz Biométrie 2026 : Contrôle d'Accès & Audit Cyber

L'éditeur Anviz commercialise depuis 2001 une gamme de terminaux biométriques de contrôle d'accès et de pointage des temps de travail (empreinte digitale, reconnaissance faciale, RFID, badges) déployés massivement dans 100+ pays — entreprises, sites industriels, hôpitaux, écoles, administrations. En France et en Europe, sa présence est significative dans le secteur du retail, de l'industrie, de l'éducation et des collectivités. Mais la biométrie est devenue en 2026 un sujet sensible à la fois sur le plan sécurité technique (CVE-2026-35546 RCE firmware critique en mars 2026, voir CVE-2026-35546 Anviz CX2 CX7) et sur le plan conformité réglementaire (RGPD article 9 donnée sensible, exigence AIPD, consultation CNIL préalable fréquente). Ce guide couvre la sécurité des terminaux Anviz en 2026, méthodologie d'audit, exigences RGPD/CNIL, et défenses concrètes.

1. L'écosystème Anviz et concurrents 2026

Anviz commercialise en 2026 plusieurs gammes : (1) CrossChex — gamme professionnelle reconnaissance faciale (séries CX2, CX7, FaceDeep, P7) ; (2) FacePass — gamme entreprise avec contrôle température (héritage COVID-19), capteur 1080p ; (3) L100 et L200 — gamme empreinte digitale entrée de gamme ; (4) OC500 — pointage déconnecté autonome ; (5) logiciel CrossChex Standard / Cloud / Mobile pour gestion centralisée. Connectivité : Ethernet/Wi-Fi, TCP/IP port 5010 (proprietary protocol), Wiegand pour contrôleurs tiers, RS485. Concurrents directs marché 2026 : ZKTeco (Chine, dominant volume), Suprema (Corée du Sud, premium), Hikvision DS-K1T (Chine, ban USA 2022), Idemia MorphoWave (France, premium), Bioscrypt (USA), Safran/Idemia (high security), Aircuity. Le segment biométrie d'accès représente ~3 Md$ marché mondial 2026, CAGR 12-15 %.

2. CVE-2026-35546 — la vulnérabilité majeure 2026

CVE-2026-35546 publiée en mars 2026 affecte les séries Anviz CX2 et CX7 (reconnaissance faciale entreprise) avec firmware antérieur à V1.5.2 (octobre 2025). Description : "Anviz CrossChex CX2/CX7 firmware allows authenticated remote command execution via crafted HTTP requests to admin endpoint, with default credentials commonly used". CVSS 8.8 (Network, Low complexity, Low privs required — defaults credentials trivially reusable, no UI). Mécanique : (1) interface admin web exposée par défaut sur port 80/443 ; (2) credentials par défaut admin/admin jamais changés sur ~40 % des déploiements selon analyses Shodan ; (3) endpoint /cgi-bin/cmd_handler.cgi permet exécution commande shell sans validation ; (4) RCE en contexte root sur le firmware Linux embarqué. Impact : (a) prise de contrôle complète terminal ; (b) accès aux templates biométriques stockés localement (souvent non chiffrés) ; (c) exfiltration logs d'accès ; (d) potentiel pivot vers réseau interne si terminal mal isolé. Exploitation observée dans la nature depuis avril 2026 par au moins un groupe APT chinois ciblant sites industriels européens. Voir CVE-2026-35546 Anviz CX2 CX7 Firmware RCE.

3. Surface d'attaque Anviz — 8 vecteurs

Au-delà de CVE-2026-35546, l'audit régulier de terminaux Anviz révèle 8 vecteurs récurrents. (1) Firmware obsolète — la majorité des sites n'a pas mis à jour depuis l'installation initiale 2-5 ans plus tôt ; (2) Mots de passe par défaut — admin/admin, ou changés mais faibles (123456, Anviz2020) ; (3) Communication TCP non chiffrée sur port 5010 (protocole propriétaire SDK Anviz) — interceptable en MitM ; (4) Interface web admin exposée sur Internet (~3 000 instances sur Shodan en mai 2026) ; (5) Stockage local templates non chiffrés sur firmware ; (6) API SDK Anviz sans authentification forte côté serveur d'administration ; (7) Intégration Wiegand non sécurisée entre terminal et contrôleur — relay possible ; (8) Logs d'accès non exportés vers SIEM externe — traçabilité limitée. Outils audit : Nmap NSE scripts pour énumération, nmap-anviz-default-pwd.nse custom, Wireshark pour analyse trafic TCP/5010, Shodan pour identification exposition Internet (shodan search "Anviz CrossChex").

4. RGPD et biométrie — exigences CNIL strictes

L'article 9 RGPD classe les données biométriques traitées aux fins d'identifier une personne physique de manière unique comme catégorie particulière de données (donnée sensible). Conséquences directes : (1) interdiction de principe sauf exceptions article 9.2 (consentement explicite, obligation légale spécifique, intérêt vital, etc.) ; (2) AIPD obligatoire (article 35 RGPD, liste positive CNIL 2018) ; (3) consultation préalable CNIL souvent recommandée si risque résiduel élevé après mesures ; (4) alternative non-biométrique obligatoire pour salariés/élèves refusant — un employeur ne peut imposer biométrie comme unique moyen d'accès ; (5) information renforcée des personnes (article 13/14) ; (6) durée conservation limitée au strict nécessaire — souvent suppression à la fin du contrat travail ou scolarité ; (7) sécurité renforcée exigée — chiffrement templates, stockage local préféré au centralisé. Voir AIPD 2026 : Analyse d'Impact CNIL & RGPD.

5. Doctrine CNIL biométrie — autorisations cas-par-cas

La CNIL a publié plusieurs documents structurant la doctrine biométrie : (1) Délibération 2021-094 sur le contrôle d'accès biométrique salariés au lieu de travail — limites strictes ; (2) Délibération 2019-103 sur biométrie en établissement scolaire — encadrement renforcé ; (3) Guide d'audit RGPD - sécurité de la biométrie 2024. Principes CNIL : (a) nécessité absolue à démontrer (badge classique ne suffit pas) ; (b) proportionnalité stricte (volume personnes, sites, fréquence) ; (c) biométrie sans trace préférée (donnée stockée sur badge personnel, pas en base centrale — type biométrie sur carte, Anviz le supporte sur certains modèles) ; (d) alternative systématique. Une enseigne de retail souhaitant déployer Anviz pour pointage 500 salariés doit : faire AIPD, démontrer nécessité, prévoir alternative badge classique, consulter CNIL si risques élevés. La CNIL refuse régulièrement les déploiements jugés disproportionnés — 14 refus publics 2024-2026 cités dans rapport CNIL annuel.

6. Méthodologie d'audit Anviz

Un audit de sécurité des terminaux Anviz se déroule en 4 phases sur 3-6 jours. Phase 1 — Cadrage et inventaire (0,5 jour) : recensement terminaux (modèle, firmware, emplacement, réseau), serveur CrossChex (version, OS, intégrations), volume utilisateurs et données biométriques traitées. Phase 2 — Audit configuration (1-2 jours) : revue firmware vs derniers patches, audit mots de passe, audit comptes admin, audit politiques sécurité console, audit exports logs, audit intégrations (AD, SI RH). Phase 3 — Tests techniques (1-2 jours) : scan Nmap des terminaux, test credentials par défaut, recherche CVE applicables (CVE-2026-35546 et antérieures), capture trafic TCP/5010 sur switch managé pour analyse en clair, test exposition Internet (Shodan + IP publique côté client si applicable). Phase 4 — Audit conformité RGPD (0,5-1 jour) : vérification existence AIPD, information personnes, consentement (si base légale), durée conservation, alternative non-biométrique, droit d'accès et suppression. Livrables : rapport technique + plan d'action + plan conformité RGPD.

7. Hardening Anviz — 10 contrôles prioritaires

8. Alternatives Anviz 2026

Pour les organisations cherchant alternative à Anviz : (1) ZKTeco (Chine) — concurrent direct gamme et prix similaires, attention CVE régulières ; (2) Suprema (Corée du Sud) — premium, sécurité renforcée, prix supérieur 30-50 % ; (3) Idemia MorphoWave (France ex-Safran/Morpho) — premium high-security, label CSPN ANSSI sur certains modèles, prix premium ; (4) Hikvision (Chine) — banni USA 2022 (NDAA 889), à éviter en gouvernement ; (5) Bioscrypt (USA) — moins répandu en Europe ; (6) Solutions non-biométriques : badge HID Mifare/SEOS, badge ICLASS, mobile credential (HID Mobile Access, Bluetooth NFC), PIN code, app smartphone avec biométrie locale (Face ID, Touch ID stocké sur device, pas serveur). Pour les organisations sensibles aux risques géopolitiques (gouvernement, OIV, secteur défense), privilégier acteurs européens (Idemia) ou solutions non-biométriques. Voir CVE-2026-35546 Anviz pour le bilan vulnérabilités.

9. Intégrations Anviz avec Active Directory et SI

Le logiciel CrossChex (gestion centrale Anviz) supporte plusieurs intégrations entreprise. (1) Active Directory via LDAP — synchronisation utilisateurs depuis AD, mapping vers terminaux. Configuration : LDAP simple bind par défaut (insécure), forcer LDAPS port 636 et compte service AD lecture seule. (2) SI RH via connecteurs custom — interface avec Cegid, ADP, Sage Paie, Bodet, Kronos pour pointage. Risques : tokens API en clair dans fichiers configuration ; (3) Wiegand vers contrôleurs d'accès tiers (HID VertX, Mercury MR, Honeywell Pro-Watch, Lenel OnGuard) — pas de chiffrement Wiegand classique, vulnérable au sniffing local et relay. Préférer OSDP v2 si supporté. (4) API REST pour intégration applications métier — restreindre par IP, API key, rate-limiting. Audit type intégration : revue documents API et secrets, capture trafic LDAP/HTTP/Wiegand, tests d'injection, vérification logs. Recommandations : restreindre intégrations au strict nécessaire, segmenter réseaux biométrie / contrôle d'accès / postes utilisateurs.

10. Incident response Anviz

Si compromission terminal Anviz suspectée (CVE-2026-35546 ou autre) : (1) isoler terminal du réseau immédiatement (déconnexion câble réseau ou VLAN quarantaine) ; (2) snapshot configuration via export console avant intervention destructive ; (3) capture logs locaux et serveur CrossChex pour analyse forensique ; (4) analyse trafic réseau historique si capture disponible (NetFlow, IDS Snort/Suricata) pour identifier exfiltration ; (5) reset usine + re-flash firmware dernière version ; (6) réinitialisation tous mots de passe admin et utilisateur sur tous terminaux ; (7) rotation templates biométriques compromis (suppression+re-enrollment) — opération longue pour parc 500+ utilisateurs ; (8) notification CNIL 72h si données biométriques exfiltrées (article 33 RGPD) ; (9) information personnes sous 48h si risque élevé ; (10) audit complet autres terminaux pour détecter compromission étendue. Coût incident type : 8 000-35 000 € HT selon volume et complexité (forensique, notification, communication, réinstallation, replacement éventuel matériel).

11. Budget audit Anviz

Coûts indicatifs audit sécurité Anviz 2026 : (1) Audit 1 site avec 1-5 terminaux : 2,5-4 jours, 3 000-6 000 € HT ; (2) Audit multi-sites 5-20 terminaux : 4-7 jours, 5 500-11 000 € HT ; (3) Audit grand parc 20-200 terminaux : 7-12 jours, 11 000-22 000 € HT ; (4) Audit conformité RGPD biométrie (AIPD si non existante + audit conformité) : 5-10 jours supplémentaires, 6 000-15 000 € HT ; (5) Accompagnement hardening 30 jours : 5 000-15 000 € HT selon ampleur ; (6) Pentest terminal Anviz isolé sur lab : 3-5 jours, 4 500-8 500 € HT. ROI : un audit Anviz détecte typiquement 5-15 findings dont 1-3 critiques. Évitement coût incident (CVE-2026-35546 exploitée = ~50 000-300 000 € de remédiation) + conformité RGPD (sanction CNIL biométrie = jusqu'à 4 % CA mondial article 83.5).

12. Évolutions Anviz et marché biométrie 2026-2028

Trois tendances majeures du marché biométrie 2026-2028. (1) Migration vers reconnaissance faciale au détriment de l'empreinte digitale (jugée moins hygiénique post-COVID, moins fiable en conditions difficiles, plus coûteuse à acquérir). Anviz, ZKTeco et Suprema basculent leurs gammes phares vers la face. (2) Biométrie sur carte / mobile (decentralized biometrics) — template stocké sur badge ou smartphone, pas en base centrale, simplifiant conformité RGPD/CNIL. Anviz propose cette option sur modèles haut de gamme depuis 2024. (3) IA générative et anti-spoofing — détection photos imprimées, masques 3D, deepfakes — devient standard sur tous terminaux mid-range+. Anviz a annoncé sa Q4 2025 son FaceDeep Pro avec anti-spoofing IA niveau 5 (PAD level 5 selon ISO 30107-3). Le marché européen reste sensible aux risques géopolitiques chinois — pression accrue 2026-2028 sur acteurs souverains (Idemia France, Suprema Corée du Sud, Smart Engines Allemagne).

Sources : Anviz Security Advisories ; NIST NVD CVE-2026-35546 ; CNIL délibérations biométrie 2019-2026 ; rapport CNIL annuel 2025 ; ISO/IEC 30107-3 Presentation Attack Detection ; RGPD article 9 et 35 ; ENISA Biometrics in eID Schemes 2024.

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du anviz s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à Anviz, biométrie et le contrôle d'accès touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au anviz exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du anviz. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au anviz en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au anviz. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

Faut-il déclarer un système Anviz à la CNIL ?

Pas de déclaration directe depuis 2018 (RGPD a supprimé les déclarations préalables). En revanche, AIPD obligatoire à conserver (article 35) et potentielle consultation préalable CNIL si risque résiduel élevé après mesures (article 36). Pour pointage salariés en entreprise, la CNIL recommande fortement la consultation. Pour contrôle d'accès secteur sensible (santé, éducation, défense), consultation quasi-systématique.

CVE-2026-35546 affecte-t-elle tous les modèles Anviz ?

Non — affecte spécifiquement les séries CrossChex CX2 et CX7 avec firmware antérieur à V1.5.2 (octobre 2025). Vérifier votre version via console admin CrossChex Standard ou interface web terminal. Les séries L100/L200 (empreinte basique) ne sont pas concernées par cette CVE spécifique, mais d'autres vulnérabilités firmware peuvent exister sur ces modèles. Audit ciblé recommandé.

Quelle alternative non-biométrique recommander à un client souhaitant Anviz pour 200 salariés ?

Pour 200 salariés, alternative pragmatique : badge HID iCLASS Seos ou Mifare DESFire EV3 + lecteur HID Signo (300-450 €/lecteur), totalement non-biométrique. Coût matériel total 8 000-12 000 € + 4-6 € par badge. Avantages : pas d'AIPD biométrie complexe, RGPD simplifié, alternative naturelle disponible pour refuseurs. Inconvénients : prêts/pertes de badge, coût opérationnel renouvellement.

Un terminal Anviz exposé sur Internet est-il sécurisable ?

Non — ne jamais exposer terminal Anviz sur Internet, quelle que soit la configuration. Surface attaque trop élevée (firmware, web admin, TCP/5010), CVE régulières (CVE-2026-35546 le démontre). Si besoin d'accès distant pour administration : VPN entreprise (WireGuard, OpenVPN) + jump host + IP allowlist. Si besoin d'accès distant pour synchronisation cloud CrossChex Cloud : utiliser uniquement les connexions sortantes initiées par le terminal (pas d'entrant).

Combien coûte un audit Anviz pour un site moyen ?

Pour 1 site avec 5-15 terminaux Anviz + 1 serveur CrossChex Standard + intégration AD basique : 5 500-8 500 € HT sur 4-6 jours. Couvre audit firmware, configuration, exposition réseau, conformité RGPD (vérification AIPD existante), recommandations hardening, plan d'action priorisé. Pour audit complet incluant pentest terminal en lab + rédaction AIPD si absente : 9 500-15 000 € HT.

Pour aller plus loin

• CVE-2026-35546 Anviz CX2 CX7 Firmware RCE
• AIPD 2026 : Analyse d'Impact CNIL & RGPD
• Audit de conformité RGPD : checklist complète pour DPO
• RGPD 2026 : Sécurité des Données et Enforcement CNIL
• Audit DNS 2026 : Sécuriser SOA, SPF, DMARC, DNSSEC, DANE
• Notre service Audit IoT et Biométrie