Exploiter un site web sans audits de securite reguliers revient a laisser la porte de votre bureau ouverte en esperant que personne n'entre. Tot ou tard, quelqu'un le fera. Un audit de securite vous donne une image claire de l'etat de vos defenses et de ce qui doit etre corrige avant qu'un attaquant ne trouve les failles.
Chez Envestis a Lugano, nous realisons des evaluations de securite pour des entreprises dans toute la Suisse et au-dela. Cet article vous guide a travers chaque phase d'un audit professionnel de securite web pour que vous sachiez exactement a quoi vous attendre.
Qu'est-ce qu'un Audit de Securite de Site Web ?
Un audit de securite de site web est un examen systematique de votre application web, de la configuration de votre serveur et de votre infrastructure. L'objectif est de trouver les vulnerabilites, les erreurs de configuration et les faiblesses avant que des acteurs malveillants ne les exploitent.
Un audit serieux va bien au-dela de l'execution d'un scanner automatise. Il combine des outils automatiques avec une analyse manuelle et une interpretation experte. Le resultat est une liste priorisee de problemes avec des etapes concretes de remediation.
Evaluation Externe vs Interne
Il existe deux perspectives principales pour un audit de securite :
- Evaluation externe : Evalue votre site de l'exterieur, comme le verrait un attaquant sur internet. Cela couvre les services accessibles publiquement, les ports ouverts, les fichiers exposes et les mauvaises configurations visibles de l'exterieur.
- Evaluation interne : Examine l'environnement serveur de l'interieur, y compris les permissions de fichiers, la configuration serveur, la securite de la base de donnees et l'exposition du reseau interne. Cela necessite des identifiants d'acces.
La plupart des audits commencent par l'externe. Si votre budget est limite, commencez par la. Une evaluation externe detecte les problemes les plus susceptibles d'etre exploites par des attaquants opportunistes.
Phase 1 : OSINT (Open Source Intelligence)
Avant de toucher directement votre site web, un bon auditeur recueille des informations publiquement disponibles. C'est la phase OSINT, et elle revele souvent plus que ce que les gens attendent.
Ce que Couvre l'OSINT
- Enregistrements DNS : MX, TXT, CNAME, A, AAAA. Ils revelent votre hebergeur, vos services email, et parfois des noms d'hotes internes qui ne devraient pas etre publics.
- Donnees WHOIS : Details d'enregistrement du domaine, registrar, dates de creation et d'expiration. Les domaines expires ou bientot expiers representent un risque.
- Enumeration de sous-domaines : Des outils comme
subfinder,amassou les logs de certificate transparency revelent des sous-domaines oublies. Les environnements de staging, anciens sites de test et panneaux d'administration apparaissent souvent ici. - Adresses email : Les emails d'employes divulguees lors de breches (verifiees sur des bases comme Have I Been Pwned) peuvent etre utilisees pour du credential stuffing ou du phishing.
- Depots de code : Les depots GitHub publics contiennent parfois des cles API, des identifiants de base de donnees ou de la documentation interne.
- Donnees historiques : La Wayback Machine et les pages en cache peuvent reveler d'anciennes structures de site et du contenu sensible precedemment expose.
Pourquoi l'OSINT Compte
Les attaquants commencent par l'OSINT. Si votre site de staging sur staging.votre-entreprise.ch fait tourner un WordPress non mis a jour avec des identifiants par defaut, aucun durcissement de votre site de production ne compte. L'OSINT trouve les coins oublies.
Phase 2 : Fingerprinting Technologique
Ensuite, l'auditeur identifie la pile technologique de votre site web. Connaitre la version exacte du CMS, du framework, du logiciel serveur et des plugins est critique car chacun a son propre ensemble de vulnerabilites connues.
Ce qui Est Identifie
| Composant | Methode de Detection | Importance |
|---|---|---|
| Serveur web | En-tetes HTTP (en-tete Server) | Exploits specifiques a la version (ex : Apache 2.4.49 path traversal) |
| CMS | Meta tags, chemins de fichiers, pages de login | WordPress, Joomla, Drupal ont des profils de vulnerabilite uniques |
| Frameworks JavaScript | Analyse du code source, chemins specifiques | Les versions obsoletes de jQuery, Angular ou React peuvent avoir des failles XSS |
| Plugins/extensions | Patterns URL, commentaires HTML, references CSS/JS | Les plugins sont le vecteur d'attaque #1 dans les sites CMS |
| Langage serveur | Extensions de fichiers, messages d'erreur, cookies | PHP, Python, Node.js ont des risques de misconfiguration differents |
| CDN / WAF | En-tetes de reponse, plages IP, analyse comportementale | Connaitre le CDN aide a evaluer les protections en place |
Phase 3 : Scan de Vulnerabilites
Avec la pile technologique identifiee, l'auditeur lance des scans de vulnerabilites cibles. C'est la phase a laquelle la plupart des gens pensent quand ils entendent "audit de securite."
Outils de Scan Automatise
- Nmap : Scan de ports et detection de services. Trouve les ports ouverts qui ne devraient pas etre exposes (ports de base de donnees, interfaces admin, FTP).
- Nikto : Scanner de serveur web qui verifie les fichiers dangereux, les logiciels serveur obsoletes et les erreurs de configuration courantes.
- OWASP ZAP ou Burp Suite : Scanners d'applications web qui explorent votre site et testent les failles d'injection, XSS, CSRF et autres vulnerabilites OWASP Top 10.
- WPScan / CMSScan : Scanners specifiques CMS qui verifient les plugins, themes et versions core vulnerables.
- SSLyze / testssl.sh : Analyse dediee de la configuration SSL/TLS.
Tests Manuels
Les scanners automatises detectent environ 60-70% des vulnerabilites courantes. Le reste necessite des tests manuels. Les auditeurs experimentes verifieront :
- Les mecanismes d'authentification (protections brute force, gestion de session, flux de reinitialisation de mot de passe)
- Les controles d'autorisation (l'utilisateur A peut-il acceder aux donnees de l'utilisateur B ?)
- L'abus de logique metier (manipulation de prix, empilage de coupons, contournement de rate limit)
- La fonctionnalite d'upload de fichiers pour les uploads non restreints
- Les endpoints API pour la divulgation d'informations ou l'authentification manquante
Phase 4 : Analyse SSL/TLS
La configuration SSL/TLS est l'un des aspects les plus critiques de la securite web. Un certificat mal configure ou une version de protocole obsolete peut exposer tout le trafic entre vos utilisateurs et votre serveur.
Ce qui Est Verifie
- Validite du certificat : Le certificat est-il a jour ? Couvre-t-il tous les sous-domaines ? La chaine de confiance est-elle complete ?
- Versions du protocole : TLS 1.2 et 1.3 devraient etre les seuls protocoles actives. TLS 1.0 et 1.1 sont deprecies. SSLv3 est un finding critique.
- Suites de chiffrement : Les chiffrements faibles (RC4, DES, chiffrements export) doivent etre desactives. Le serveur devrait privilegier les suites fortes et supporter le forward secrecy.
- HSTS : HTTP Strict Transport Security devrait etre active avec un max-age raisonnable (au moins 6 mois).
Phase 5 : Verification de l'Authentification Email
Votre site web et vos emails partagent le meme domaine. Une authentification email faible rend votre domaine vulnerable au spoofing, utilise par les attaquants pour des campagnes de phishing ciblant vos clients.
SPF, DKIM et DMARC
Ces trois protocoles forment la base de l'authentification email. SPF definit quels serveurs peuvent envoyer au nom de votre domaine, DKIM ajoute une signature cryptographique, et DMARC definit la politique de traitement en cas d'echec. Nous trouvons regulierement des entreprises suisses sans aucun enregistrement DMARC.
Phase 6 : En-tetes de Securite
Les en-tetes de securite HTTP sont une couche de defense critique que beaucoup de sites web ignorent completement. Ils sont gratuits a implementer et reduisent significativement la surface d'attaque.
En-tetes de Securite Essentiels
| En-tete | Objectif | Valeur Recommandee |
|---|---|---|
Content-Security-Policy | Previent XSS et injection de donnees | Politique stricte limitant les sources de scripts |
X-Content-Type-Options | Previent le MIME type sniffing | nosniff |
X-Frame-Options | Previent le clickjacking | DENY ou SAMEORIGIN |
Referrer-Policy | Controle les informations referrer | strict-origin-when-cross-origin |
Permissions-Policy | Controle les fonctionnalites du navigateur | Desactiver les fonctionnalites inutilisees |
Strict-Transport-Security | Force HTTPS | max-age=31536000; includeSubDomains |
Phase 7 : Controles Specifiques CMS
Si votre site fonctionne sur un CMS comme WordPress, Joomla ou Drupal, des controles specifiques a la plateforme sont necessaires.
Checklist WordPress
- Version core a jour
- Tous les plugins mis a jour et activement maintenus
- Plugins et themes inutilises supprimes (pas seulement desactives)
- Nom d'utilisateur admin par defaut change
- Page de login protegee (rate limiting, 2FA ou restriction IP)
- XML-RPC desactive si non necessaire
- Edition de fichiers desactivee dans wp-config.php (
DISALLOW_FILE_EDIT) - Prefixe de base de donnees change du defaut
wp_ - Listing de repertoires desactive
- Mode debug desactive en production
Phase 8 : Impact sur Performance et SEO
Securite et performance sont liees plus etroitement que la plupart des gens ne le pensent. Les problemes de securite peuvent directement nuire a votre classement dans les moteurs de recherche.
- Blacklisting : Google signale les sites compromis avec des avertissements, devastant le trafic organique.
- HTTPS : Google utilise HTTPS comme signal de classement.
- Vitesse de page : Des mesures de securite mal configurees ralentissent votre site.
- Injection de spam : Le spam SEO injecte par des attaquants declenche des penalites manuelles.
Comment Interpreter les Resultats
Un rapport d'audit professionnel categorise les resultats par severite : Critique (corriger sous 24h), Eleve (1 semaine), Moyen (1 mois), Faible (3 mois), et Informatif (planifier dans le cycle de maintenance).
Que Faire Apres un Audit
Actions Immediates (Semaine 1)
- Corriger toutes les vulnerabilites critiques sans exception.
- Changer tout identifiant compromis ou faible.
- Mettre a jour tous les logiciels avec des vulnerabilites connues.
- Desactiver les services ou fonctionnalites signales comme surface d'attaque inutile.
Actions a Court Terme (Mois 1)
- Traiter les findings de haute severite.
- Implementer les en-tetes de securite manquants.
- Configurer l'authentification email (SPF, DKIM, DMARC).
- Mettre en place surveillance et alertes.
Actions a Long Terme (Trimestre 1)
- Traiter les findings moyens et faibles.
- Etablir un calendrier regulier de mise a jour.
- Planifier un audit de suivi pour verifier les corrections.
- Former le personnel a la sensibilisation securite.
Planifier des Audits Reguliers
Un seul audit est un instantane. Nous recommandons un audit complet annuel, des scans automatises trimestriels, et une surveillance continue.
Obtenir un Audit de Securite Professionnel
Envestis realise des audits complets de securite web pour les entreprises a Lugano, dans toute la Suisse et a l'international. Nos audits suivent la methodologie decrite dans cet article et respectent les normes OWASP Testing Guide et PTES.
Contactez-nous pour planifier votre audit de securite web.
Vous voulez savoir si votre site est sécurisé ?
Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.
Demander un Audit Gratuit