Prévention · Audit serveur

Audit serveur Linux. Du kernel à la couche réseau.

Évaluation complète de la sécurité de votre serveur Linux : configuration kernel, hardening SSH, services exposés, fail2ban, sudo, gestion des comptes, mises à jour, droits d'accès. Pour les entreprises francophones qui hébergent leurs propres serveurs ou VPS.

TarifDès 2 800 CHF
Périmètre1 à 6 serveurs
Livraison5 à 10 jours
RéférentielCIS Benchmarks
Serveur compromis maintenant ? Audit forensique 24h plutôt qu'audit préventif.
→ Audit Cyber Urgence · 2 900 CHF · 24h
Le diagnostic

Trois signaux qu'il vous faut un audit serveur.

dns

VPS configuré il y a longtemps, jamais durci

Le serveur tourne, le site répond, "ça marche". Mais le SSH accepte encore le password root, les services exposent leurs versions, le kernel n'a pas les sysctl hardening. Surface d'attaque élevée.

group

Plusieurs personnes ont eu accès root au fil du temps

Stagiaire, freelance, ex-prestataire, dev partenaire. Certains comptes existent encore, des clés SSH traînent dans authorized_keys, sudo donne accès à tout le monde. Inventaire et nettoyage nécessaires.

extension

Plusieurs services exposés (web, db, cache, mail)

Plus de services exposés = plus de surface d'attaque. Audit identifie ce qui devrait être bloqué au pare-feu, ce qui doit passer par VPN uniquement, ce qui peut rester public en sécurité.

Baies serveurs équipées fail2ban et monitoring système dans un environnement durci
Périmètre et méthode

Audit du noyau à la couche réseau.

Inclus dans l'audit

  • check_circleConfiguration kernel et sysctl (TCP/IP hardening, ASLR, kptr_restrict, etc.)
  • check_circleAudit SSH (cipher suites, MACs, KEX, désactivation password root, clés autorisées)
  • check_circleInventaire et audit des comptes utilisateurs, groupes, sudo, polkit
  • check_circleRecensement des services exposés (netstat, ss, nmap interne)
  • check_circleAudit fail2ban, ufw/iptables, règles de pare-feu
  • check_circleConfiguration logging (rsyslog, journald, auditd, rotation)
  • check_circleRecherche de backdoors (rkhunter, chkrootkit, vérifications manuelles)
  • check_circleRapport 30-40 pages avec recommandations CIS Benchmarks + custom

Méthodologie en 4 étapes

N°1

Accès et cadrage

Accès SSH par clé fourni temporairement, scope défini (un serveur, une infrastructure, multi-serveurs).

N°2

Audit automatisé

Outils du marché (Lynis, OpenSCAP, CIS-CAT, rkhunter) + scripts custom pour votre stack spécifique.

N°3

Vérifications manuelles

Analyse des logs, recherche manuelle de backdoors et anomalies, revue de configuration de services critiques.

N°4

Rapport et restitution

Rapport avec criticités, plan de remédiation priorisé, call de 60 min pour l'expliquer à votre équipe.

Audits complémentaires

Couvrez toute votre surface.

Questions fréquentes

Ce qu'on nous demande avant l'audit.

Distributions Linux supportées ?
Debian, Ubuntu LTS, CentOS/Rocky/AlmaLinux, Arch, Alpine. Aussi FreeBSD si demandé. Pour des distros exotiques (Gentoo, Slackware, Yocto), on évalue en pré-cadrage.
Audit prod ou clone ?
Idéalement clone (snapshot disque ou VM) pour ne pas perturber la prod. Si clone impossible (workload critique 24/7), audit en lecture sur prod avec heures off-peak convenues. On ne fait JAMAIS de tests intrusifs en prod sans accord écrit.
Tarif dégressif multi-serveurs ?
Oui. À partir de 3 serveurs : -15% sur le serveur 3. À partir de 5 : -25% sur les serveurs 4-5. Au-delà de 6, on bascule en mandat Protection continue qui inclut un audit annuel.
Et si vous trouvez une compromission active ?
Stop immédiat de l'audit préventif. On vous notifie sous 1h. On bascule sur le mandat Audit Cyber Urgence (2 900 CHF) qui prend le relais.
Containers / Docker / Kubernetes ?
Audit Docker basique inclus (images, daemon, secrets, network policies). Kubernetes : audit incluant RBAC, network policies, secrets, admission controllers, pod security — facturé séparément (+40% sur le forfait, selon nombre de namespaces).
Pas certain du périmètre ?

Appel de cadrage offert (30 min).

Un de nos engineers Linux regarde votre infrastructure (distrib, kernel, services exposés), identifie ce qui mérite priorité, et vous dit si un audit CIS complet est pertinent. Sans engagement.

Réserver un appel de cadrage
Câblage réseau et ports RJ45 d'un serveur, audit infrastructure couche réseau
Avant l'incident

Votre serveur tourne. Mais résiste-t-il vraiment ?

Devis personnalisé sous 48h après un appel de cadrage.