Prévention · Audit sécurité web

Audit sécurité web. Avant que ça arrive.

Évaluation préventive de votre site web : OWASP Top 10, exposition côté client, configuration TLS, en-têtes HTTP, gestion des sessions, vulnérabilités d'injection. Pour les entreprises francophones qui veulent identifier les faiblesses avant qu'un attaquant ne le fasse.

TarifDès 3 500 CHF
Livraison5 à 10 jours
RéférentielOWASP + custom
Site déjà compromis ? L'audit forensique 24h est plus adapté que l'audit préventif.
→ Audit Cyber Urgence · 2 900 CHF · 24h
Le diagnostic

Trois signaux qu'il vous faut un audit web préventif.

public

Site refait depuis 2+ ans, jamais audité

Les bonnes pratiques OWASP évoluent, les en-têtes HTTP recommandés changent, les versions TLS deviennent obsolètes. Sans audit régulier, votre site accumule une dette de sécurité invisible.

shopping_cart

E-commerce ou collecte de données

Vous traitez paiements, données clients, formulaires. Un audit identifie les expositions PCI-DSS, RGPD et nLPD avant qu'un attaquant ne le fasse.

integration_instructions

Intégrations tierces multiples

Chaque API externe, chaque script tiers (analytics, chat, ads) est un vecteur potentiel. Audit de la supply chain JS et risques de skimmer e-commerce.

Audit OWASP Top 10 d'un site web sur poste développeur
Périmètre et méthode

Le périmètre de l'audit, point par point.

Scope figé contractuellement après cadrage. Tarif sur devis selon complexité (mono-page, e-commerce, app SaaS).

Inclus dans l'audit

  • check_circleVérification complète des 10 catégories OWASP Top 10 (2021)
  • check_circleAnalyse des en-têtes HTTP de sécurité (CSP, HSTS, X-Frame-Options, Referrer-Policy)
  • check_circleAudit de la configuration TLS (versions supportées, cipher suites, certificats)
  • check_circleAudit des cookies (Secure, HttpOnly, SameSite, durée de vie, scope)
  • check_circleRecherche d'expositions de fichiers sensibles (.env, .git, backups, dumps DB)
  • check_circleÉvaluation du rate limiting et des protections anti-bot/anti-scraping
  • check_circleTests d'injection (SQL, NoSQL, OS command, LDAP, XSS reflected/stored/DOM)
  • check_circleRapport final 30-50 pages avec criticité priorisée et plan de remédiation chiffré

Méthodologie en 4 étapes

N°1

Cadrage et reconnaissance

Cartographie complète du site, identification des fonctionnalités critiques, scope contractualisé.

N°2

Tests automatisés + manuels

Scans avec outils du marché (Burp Suite, OWASP ZAP, Nuclei) + vérifications manuelles spécifiques à votre stack.

N°3

Rapport avec criticités

Rédaction avec criticité (Critical / High / Medium / Low), preuves d'exploitation, recommandations actionables.

N°4

Restitution et priorisation

Call 60 min pour expliquer les findings et prioriser les remédiations selon votre contexte business.

Audits complémentaires

Couvrez toute votre surface.

Questions fréquentes

Ce qu'on nous demande avant l'audit.

Quelles stacks supportez-vous ?
WordPress, WooCommerce, Drupal, Magento, Symfony, Laravel, Django, Express, Next.js, Astro, Ruby on Rails. Aussi headless (API + frontend séparé) et SPA Vue/React/Svelte. Pour stacks exotiques ou custom, on évalue en pré-cadrage et on confirme la faisabilité avant signature.
Quels accès vous demandez ?
Accès en lecture aux logs HTTP (via hébergeur), accès SSH lecteur au serveur si Linux administré, accès admin temporaire au CMS (compte audit-only désactivable en fin d'audit). Pas de copie de la base prod si évitable, on travaille sur clone.
Et si vous trouvez une vulnérabilité critique en cours d'audit ?
On vous prévient immédiatement (mail + appel) sans attendre la fin de l'audit. Mitigation rapide proposée dans les 2h (patch hotfix, règle WAF, désactivation feature). Le rapport final formalise, mais l'alerte n'attend pas la livraison.
Vous testez les API REST et GraphQL ?
Oui. Endpoints listés en pré-cadrage. Tests d'authentification, autorisation, rate-limiting, injection (SQLi, NoSQLi, GraphQL injection), exposition de données sensibles (PII, tokens, secrets). Plus de 50 endpoints : scope étendu (compter +30%).
Différence avec un pentest ?
On ne fait pas de pentest. Un pentest tente d'exploiter activement les vulnérabilités pour valider l'impact, ça nécessite des certifications (OSCP, OSWE) que nous n'avons pas. Un audit identifie les vulnérabilités via revue de code, configuration et tests passifs. Pour un pentest formel (compliance), on vous oriente vers des pentesters certifiés.
Pas certain du scope ?

Appel de cadrage offert (30 min).

Un de nos engineers regarde votre stack web, identifie les zones à risque, et vous dit honnêtement si un audit complet est pertinent maintenant. Sans engagement, sans devis automatique derrière.

Réserver un appel de cadrage
Architecture web et flux utilisateur revus dans le cadre d'un audit sécurité
Avant l'incident

Trouvez les failles avant que quelqu'un d'autre les trouve.

Devis personnalisé sous 48h après un appel de cadrage de 30 minutes.