← Retour au blog Sécurité

Scan de Vulnérabilités de Site Web pour Débutants : Outils Gratuits et Guide Étape par Étape

Envestis Team 14 min de lecture

Vous Pouvez Vérifier la Sécurité de Votre Site (Jusqu'à un Certain Point)

La plupart des propriétaires d'entreprises n'ont jamais testé la sécurité de leur propre site web. Ils supposent que l'agence web qui l'a construit s'est occupée de la sécurité, ou que leur hébergeur s'en charge. Parfois c'est vrai. Souvent ce n'est pas le cas.

La bonne nouvelle : il existe des outils gratuits qui vous permettent de lancer des vérifications de sécurité de base maintenant, sans rien installer, sans expertise technique et sans dépenser un centime. Ces outils ne trouveront pas tout, mais ils attraperont les problèmes les plus courants et vous donneront une image claire de la posture de sécurité de votre site.

Ce guide vous accompagne à travers cinq outils gratuits, explique ce que chacun teste, comment l'utiliser et ce que signifient les résultats. Nous clarifierons aussi la limite entre ce que vous pouvez faire vous-même et quand vous devriez faire appel à un professionnel.

Évaluation de Vulnérabilités vs Test d'Intrusion : Connaître la Différence

Évaluation de Vulnérabilités

Une évaluation de vulnérabilités identifie les faiblesses connues de votre site ou de votre infrastructure. Elle utilise des outils automatisés pour chercher les problèmes courants : en-têtes de sécurité manquants, logiciels obsolètes, configurations SSL faibles, ports ouverts, CVE connues. Elle vous dit "voici les problèmes qui existent." Elle ne tente pas d'exploiter ces problèmes.

Test d'Intrusion

Un test d'intrusion (pentest) va plus loin. Un professionnel de la sécurité tente activement d'exploiter les vulnérabilités pour voir jusqu'où il peut aller. Il peut enchaîner plusieurs petites faiblesses, tenter des injections SQL, tester des contournements d'authentification ou essayer d'escalader les privilèges.

Si vous voulez comprendre comment les attaquants ciblent les sites d'entreprise, lisez notre article sur comment les sites web d'entreprise se font pirater.

Outil 1 : Mozilla Observatory

Ce Qu'il Teste

Mozilla Observatory vérifie les en-têtes de réponse HTTP de votre site, les cookies et d'autres configurations liées à la sécurité. Il vous donne une note (de A+ à F) et vous dit exactement ce qui manque ou est mal configuré.

Comment l'Utiliser

  1. Allez sur observatory.mozilla.org
  2. Entrez l'URL de votre site web
  3. Cliquez sur "Scan Me"
  4. Attendez environ 30 secondes pour les résultats

Ce que Signifient les Scores

  • Content-Security-Policy (CSP) : Cet en-tête dit aux navigateurs quelles ressources peuvent se charger sur votre page. Sans lui, les attaquants peuvent injecter des scripts malveillants.
  • HTTP Strict-Transport-Security (HSTS) : Cet en-tête dit aux navigateurs de toujours utiliser HTTPS.
  • X-Content-Type-Options : Empêche les navigateurs de deviner le type d'un fichier (MIME sniffing). Doit être réglé sur nosniff.
  • X-Frame-Options : Contrôle si votre site peut être intégré dans un iframe. Sans lui, les attaques de clickjacking sont possibles.

Nous avons écrit un guide détaillé sur les en-têtes de sécurité et un autre sur les en-têtes HTTP de sécurité pour votre site.

Outil 2 : Qualys SSL Labs Server Test

Ce Qu'il Teste

SSL Labs effectue une analyse approfondie de la configuration SSL/TLS de votre site. Il vérifie la validité du certificat, les protocoles supportés, les suites de chiffrement et les vulnérabilités connues de votre configuration HTTPS.

Comment l'Utiliser

  1. Allez sur ssllabs.com/ssltest/
  2. Entrez votre nom de domaine (sans https://)
  3. Attendez 2-3 minutes pour le scan complet

Ce que Signifient les Notes

  • A+ ou A : Votre configuration SSL/TLS est solide.
  • B : Généralement acceptable mais certains protocoles anciens sont encore activés.
  • C ou en dessous : Problèmes significatifs. Vous supportez peut-être des protocoles obsolètes (TLS 1.0, TLS 1.1).
  • F : Votre certificat est expiré, auto-signé ou gravement mal configuré.

Nous expliquons les certificats SSL en langage simple dans notre article les certificats SSL expliqués, et notre article pourquoi un certificat SSL seul ne suffit pas explique ce dont vous avez besoin en plus du HTTPS.

Outil 3 : SecurityHeaders.com

SecurityHeaders.com est similaire à Mozilla Observatory mais se concentre spécifiquement sur les en-têtes de réponse HTTP. Il vous donne une note rapide et liste quels en-têtes sont présents et lesquels manquent. Utilisez-le comme deuxième avis à côté de Mozilla Observatory.

Outil 4 : OWASP ZAP (Zed Attack Proxy)

Ce Que C'est

OWASP ZAP est un outil de test de sécurité gratuit et open-source maintenu par l'OWASP. Contrairement aux outils précédents, ZAP s'installe sur votre ordinateur et scanne activement votre site à la recherche de vulnérabilités.

Comment l'Utiliser

  1. Téléchargez ZAP depuis zaproxy.org
  2. Installez-le (disponible pour Windows, macOS et Linux)
  3. Ouvrez ZAP
  4. Dans l'onglet "Quick Start", entrez l'URL de votre site
  5. Cliquez sur "Attack" (cela lance un scan automatisé)
  6. Attendez la fin du scan (10-60 minutes selon la taille du site)

Comprendre les Résultats

  • Haut (Rouge) : Vulnérabilités sérieuses à corriger immédiatement. Exemples : injection SQL, cross-site scripting (XSS), authentification cassée.
  • Moyen (Orange) : Problèmes significatifs utilisables par les attaquants pour obtenir des informations ou causer des dommages limités.
  • Bas (Jaune) : Problèmes mineurs ou violations des bonnes pratiques.
  • Informatif (Bleu) : Observations qui peuvent être pertinentes.

Si ZAP trouve des vulnérabilités XSS, notre article expliquant les attaques XSS vous aidera à comprendre ce qu'elles signifient.

Attention

Le scan automatisé de ZAP envoie beaucoup de requêtes à votre site. Sur un petit hébergement mutualisé, cela peut ralentir votre site. Lancez les scans en heures creuses. Et ne lancez jamais ZAP contre un site qui ne vous appartient pas. Le scan non autorisé est illégal, y compris en Suisse.

Outil 5 : Nikto

Ce Que C'est

Nikto est un scanner de serveur web en ligne de commande. Il vérifie les logiciels serveur obsolètes, les fichiers dangereux et les problèmes de configuration.

Comment l'Utiliser

  1. Installez Nikto (apt install nikto sur Debian/Ubuntu, brew install nikto sur macOS)
  2. Ouvrez un terminal
  3. Exécutez : nikto -h https://votredomaine.com
  4. Attendez la fin du scan (5-15 minutes typiquement)

Comment Prioriser les Corrections

Corriger en Premier (Haute Priorité)

  • Toute découverte à haut risque d'OWASP ZAP (injection SQL, XSS, problèmes d'authentification)
  • Note SSL/TLS en dessous de B sur SSL Labs
  • Certificat SSL expiré ou invalide
  • Logiciel serveur obsolète avec CVE connues signalées par Nikto
  • Panneaux d'administration ou fichiers sensibles exposés (notre guide sur les pages admin exposées explique les risques)

Corriger Bientôt (Priorité Moyenne)

  • En-tête HSTS manquant
  • En-tête Content-Security-Policy manquant
  • TLS 1.0 ou 1.1 encore activé
  • Découvertes de risque moyen de ZAP

Corriger Quand Possible (Priorité Plus Basse)

  • En-tête Referrer-Policy manquant
  • Découvertes de faible risque de ZAP
  • Découvertes informatives de Nikto

Quand Vous Avez Besoin d'un Professionnel

Faites appel à un professionnel quand :

  • OWASP ZAP rapporte des découvertes de haute sévérité et vous n'êtes pas sûr si ce sont des faux positifs
  • Vous traitez des données clients sensibles et devez valider votre posture de sécurité pour la conformité
  • Vous voulez un test d'intrusion, pas juste une évaluation de vulnérabilités
  • Votre site gère des paiements et vous avez besoin d'une vérification PCI DSS

Si votre entreprise est à Lugano ou au Tessin, nous proposons des évaluations de sécurité qui couvrent tout cela. Consultez aussi notre checklist de sécurité pour PME pour 15 vérifications à lancer immédiatement.

Établir une Routine de Scan

FréquenceQuoi LancerTemps Requis
MensuelMozilla Observatory + SecurityHeaders.com5 minutes
TrimestrielSSL Labs + scan rapide OWASP ZAP30 minutes
Après chaque déploiementMozilla Observatory + SSL Labs10 minutes
AnnuelScan complet ZAP + Nikto + envisager évaluation professionnelle2-4 heures

Gardez une trace de vos scores dans le temps. Si un score baisse, quelque chose a changé et introduit une faiblesse. Cette simple habitude vous place devant la grande majorité des PME qui ne testent jamais leur sécurité.

Vous voulez savoir si votre site est sécurisé ?

Demandez un audit de sécurité gratuit. En 48 heures vous recevez un rapport complet.

Demander un Audit Gratuit

Articles Connexes

Sécurité

Vulnerabilites WordPress en 2025 : Pourquoi Votre Site Est Encore en Danger

WordPress propulse plus de 40% du web, mais sa popularite en fait la cible numero un des attaquants. Nous analysons les classes de vulnerabilites les plus courantes, des CVE reels et les mesures concretes pour securiser votre installation.

· 18 min de lecture
Sécurité

SPF, DKIM et DMARC : Protegez Votre Entreprise Contre le Spoofing Email

Le spoofing email coute des milliards aux entreprises chaque annee via les fraudes BEC et le phishing. SPF, DKIM et DMARC sont trois protocoles qui, correctement configures, rendent l'usurpation de votre domaine quasi impossible.

· 15 min de lecture
Sécurité

Pages d'Administration Exposees : Un Cadeau pour les Hackers

Vos pages /wp-admin, /admin ou /login sont visibles par tout internet. Les bots les scannent en ce moment. Le CAPTCHA seul ne vous sauvera pas. Voici comment les attaquants exploitent les panneaux admin exposes.

· 13 min de lecture

Contact Rapide