Intégration Vanta
Connectez Vanta pour transformer vos vulnérabilités VDP triées en preuves de conformité SOC 2 et ISO 27001 en temps réel, automatiquement.
Pourquoi c’est important
Si vous gérez un programme de divulgation des vulnérabilités (VDP) et visez une certification SOC 2 ou ISO 27001, votre auditeur a besoin de preuves que les vulnérabilités sont suivies, classées par sévérité et corrigées dans les délais de vos SLA. Assembler ces preuves à la main — exporter des feuilles de calcul, prendre des captures d’écran de tickets, rapprocher des dates — c’est la partie de la saison d’audit que tout le monde redoute.
L’intégration Vanta supprime ce travail. Une fois la connexion établie, Kit envoie automatiquement vos vulnérabilités triées dans Vanta en tant que preuves de conformité en direct. La sévérité et le statut de remédiation sont transmis en continu, ce qui permet à Vanta de suivre vos SLA de remédiation par rapport à des contrôles tels que SOC 2 CC7.1 et ISO 27001 A.8.8 — sans que vous ayez à assembler le moindre export à la main.
Ce dont vous avez besoin
- Un compte Kit avec le module complémentaire VDP activé
- Un compte Vanta avec accès à la Developer Console (autorisation de créer des intégrations)
- Une application Vanta privée, qui vous fournit les trois éléments demandés par Kit : un Client ID, un Client Secret et deux Resource IDs
Note
L’intégration n’envoie que les vulnérabilités qui ont été triées avec une sévérité. Tant que votre équipe n’évalue pas activement les rapports, il n’y aura rien à envoyer — consultez Triage des rapports.
Configuration
1. Créer une application Vanta privée
- Dans Vanta, ouvrez Settings > Developer Console
- Cliquez sur Create
- Choisissez le type d’application Build Integrations et réglez la distribution sur Private
- Renseignez le nom et la description de l’application — la page des paramètres de Kit suggère un nom avec un bouton de copie
- Le Client ID est généré automatiquement ; copiez-le
- Cliquez sur Generate client secret et copiez le secret
L’application a besoin des scopes OAuth connectors.self:write-resource et connectors.self:read-resource. Conservez le Client Secret en lieu sûr — vous le collerez dans Kit une seule fois et il sera stocké de manière sécurisée à partir de ce moment.
2. Créer les deux ressources
Kit envoie les vulnérabilités dans deux ressources Vanta — une pour les composants vulnérables, une pour les vulnérabilités d’endpoints API. Créez les deux dans votre application privée :
- Ouvrez l’onglet Resources de l’application et cliquez sur Add resource
- Créez une ressource avec le type de ressource de base Vulnerable Component
- Cliquez à nouveau sur Add resource et créez une seconde ressource avec le type de ressource de base API Endpoint Vulnerability
- Laissez Custom Properties vide pour les deux — les schémas prédéfinis couvrent déjà tout ce que Kit envoie
Après avoir cliqué sur Create, chaque ressource apparaît dans l’onglet Resources avec un Resource ID généré. Copiez les deux IDs exactement tels qu’affichés — ils sont sensibles à la casse, et Kit a besoin de l’ID généré, pas du nom de ressource que vous avez saisi.
3. Connecter dans Kit
Accédez à VDP > Settings > Vanta. La page vous guide à travers une configuration en trois étapes :
- Étape 1 — Collez votre Client ID et votre Client Secret. Kit les vérifie en direct auprès de Vanta avant de continuer.
- Étape 2 — Collez les deux Resource IDs. Kit vérifie chacun auprès de Vanta et lance la première synchronisation.
- Étape 3 — L’écran de réussite confirme la connexion et affiche le résultat de cette première synchronisation.
À partir de ce moment, vos vulnérabilités triées sont transmises à Vanta automatiquement.
Ce qui est synchronisé, et quand
Kit envoie vos vulnérabilités triées à Vanta — c’est-à-dire les rapports que votre équipe a confirmés et auxquels elle a attribué une sévérité. Les rapports en attente de triage ne sont pas envoyés, car ils ne portent pas encore la sévérité dont Vanta a besoin pour suivre un SLA de remédiation.
| Comportement | Fonctionnement |
|---|---|
| Planification des synchronisations | Les vulnérabilités triées sont transmises à Vanta automatiquement toutes les heures |
| Sévérité | La sévérité de chaque vulnérabilité est envoyée afin que Vanta puisse suivre les SLA de remédiation par rapport à la bonne échéance |
| Synchronisation lors d’un changement de statut | Bascule optionnelle — lorsqu’elle est activée, une vulnérabilité est transmise au moment où son statut change, au lieu d’attendre la prochaine exécution horaire |
| Résolution | Lorsque vous résolvez un rapport dans Kit, il disparaît automatiquement de Vanta et est enregistré comme corrigé |
Vous n’avez rien à marquer à la main dans Vanta. Triez un rapport et il apparaît ; résolvez-le et il se clôt en tant que corrigé. La planification horaire garde tout cohérent même si une mise à jour ponctuelle est manquée.
Ce qui n’est pas envoyé
Il s’agit d’une intégration de preuves de conformité, pas d’un export de données brutes. Kit envoie délibérément uniquement les métadonnées minimales dont Vanta a besoin pour suivre une vulnérabilité et sa remédiation — rien de plus.
Les éléments suivants ne sont jamais envoyés à Vanta :
- Informations personnelles des chercheurs — les noms, adresses e-mail et coordonnées restent dans Kit
- Étapes de reproduction brutes — la preuve de concept technique et les détails d’exploitation ne sont pas partagés
- Corps des rapports — le récit complet et la discussion de chaque rapport restent dans Kit
Important
Seules les métadonnées minimales requises pour les preuves — telles que la sévérité et le statut de remédiation — quittent Kit. Les informations sensibles sur les chercheurs et le contenu de chaque rapport n’atteignent jamais Vanta.
Gestion de l’intégration
Tout ce qui suit se trouve sur la page VDP > Settings > Vanta.
- Synchroniser maintenant (Sync now) — Envoie immédiatement vos vulnérabilités triées actuelles à Vanta sans attendre la prochaine exécution horaire. Utile juste après la connexion, ou après une session de triage.
- Synchronisation lors d’un changement de statut (Sync on status change) — Une bascule qui contrôle si les mises à jour sont envoyées à l’instant où le statut d’un rapport change. Laissez-la activée pour des preuves en quasi-temps réel ; désactivez-la si vous préférez la cadence horaire régulière.
- Statut de synchronisation et erreurs — La page des paramètres indique quand la dernière synchronisation a eu lieu et signale les erreurs. Un badge vert signifie que la connexion fonctionne ; un badge d’erreur signifie qu’un problème requiert votre attention (voir Dépannage).
- Déconnecter (Disconnect) — Arrête toutes les synchronisations et supprime les identifiants stockés. Vos données dans Kit ne sont pas affectées ; Kit cesse simplement d’envoyer des mises à jour à Vanta.
Dépannage
| Symptôme | Cause | Solution |
|---|---|---|
| « Échec de la connexion » lors de la vérification des identifiants (étape 1) | Le Client ID ou le Secret est incorrect, ou les identifiants ont expiré | Recopiez les deux valeurs depuis votre application privée dans la Developer Console de Vanta et collez-les à nouveau |
| Erreur de synchronisation « Could not find resourceId » | Un Resource ID est incorrect ou incomplet | Ouvrez l’onglet Resources de votre application privée dans la Developer Console de Vanta et copiez l’ID exactement tel qu’affiché — il est sensible à la casse, et Kit a besoin de l’ID généré, pas du nom de ressource que vous avez saisi |
| La connexion cesse de fonctionner après une rotation du client secret dans Vanta | Kit détient encore l’ancien secret | Saisissez à nouveau les identifiants dans Kit (étape 1) ; les données déjà synchronisées sont conservées |
| La connexion affiche un badge d’erreur | Les identifiants ont été révoqués ou ont expiré dans Vanta | Reconnectez-vous avec des identifiants récents ; Kit suspend la synchronisation tant que l’authentification échoue |
| Rien n’apparaît dans Vanta | Aucune vulnérabilité triée pour l’instant | Confirmez que vous avez des rapports triés avec une sévérité assignée — les rapports non triés ne sont jamais envoyés |
| Rien n’apparaît dans Vanta | Module complémentaire VDP non activé | L’intégration requiert le module complémentaire VDP ; vérifiez Account > Billing |
| Un rapport récemment trié n’est pas encore dans Vanta | En attente de la synchronisation horaire | Cliquez sur Synchroniser maintenant, ou activez Synchronisation lors d’un changement de statut pour des mises à jour immédiates |
| Erreurs de synchronisation sur la page des paramètres | Une transmission récente vers Vanta a échoué | Cliquez sur Synchroniser maintenant pour réessayer ; si le problème persiste, retestez vos identifiants au cas où ils auraient expiré |
En bref
- Confirmer que le module complémentaire VDP est activé sur votre compte
- Créer une application Vanta privée : Settings > Developer Console > Create, type d’application Build Integrations, distribution Private
- Copier le Client ID et cliquer sur Generate client secret
- Dans l’onglet Resources de l’application, ajouter deux ressources : Vulnerable Component et API Endpoint Vulnerability
- Copier les deux Resource IDs générés depuis l’onglet Resources (ils sont sensibles à la casse)
- Dans VDP > Settings > Vanta, coller les identifiants (étape 1), puis les deux Resource IDs (étape 2), et confirmer l’écran de réussite (étape 3)
- (Facultatif) Activer Synchronisation lors d’un changement de statut pour des preuves en quasi-temps réel
- Trier un rapport avec une sévérité, puis cliquer sur Synchroniser maintenant pour vérifier qu’il apparaît dans Vanta
Pour aller plus loin
- Triage des rapports — assignez une sévérité pour que les vulnérabilités soient éligibles à la synchronisation
- Métriques et exports — générez des dossiers de preuves prêts pour les auditeurs en complément des preuves Vanta en direct
- Intégration PagerDuty — alertez l’équipe d’astreinte à l’arrivée de rapports critiques