Pour détecter les vulnérabilités potentielles, les scanners collectent d’abord des informations sur les actifs informatiques. Certains scanners utilisent des agents installés sur les terminaux pour recueillir des données sur les appareils et les logiciels qui s’y exécutent. D’autres scanners examinent les systèmes de l’extérieur, en pénétrant les ports ouverts pour découvrir des détails sur les configurations et les services actifs sur les appareils. Certains scanners effectuent des tests plus dynamiques : en essayant de se connecter à un appareil à l'aide d’identifiants par défaut.

Une fois les actifs analysés, le scanner les compare à une base de données de vulnérabilités. Celle-ci enregistre les vulnérabilités et les expositions courantes (CVE) pour diverses versions matérielles et logicielles. Certains scanners s’appuient sur des sources publiques comme les bases de données du NIST et de la CISA. D’autres utilisent des bases de données propriétaires.

Le scanner vérifie, pour chaque actif, s’il présente les indices de failles qui lui sont associés. Par exemple, il recherche des problèmes comme un bogue du protocole de bureau à distance dans le système d’exploitation. Ce bogue pourrait permettre aux pirates informatiques de prendre le contrôle de l’appareil. Les scanners peuvent également comparer la configuration d’un actif à une liste de bonnes pratiques de sécurité, par exemple en s’assurant que des critères d’authentification stricts ont été mis en œuvre pour réglementer l’accès à une base de données sensible.