Pentest · OWASP · Conformité · 100% France

Audit de sécurité : protégez votre site web et votre infrastructure

Diagnostic complet de votre exposition aux cyber-attaques : OWASP Top 10, scans de vulnérabilités, pentest applicatif, audit serveur, conformité RGPD. Rapport actionnable avec plan de remédiation chiffré, validé par un expert français.

Demander un devis Voir les FAQ
Section 1

Le périmètre de notre audit de sécurité

Un site web compromis coûte en moyenne entre 3 000 € et 50 000 € à une PME française entre la perte d'exploitation, la notification CNIL (RGPD), les frais de nettoyage et l'impact réputationnel. La prévention coûte une fraction de ce montant.

Notre audit ne se contente pas de scanner avec un outil automatique : nous combinons analyse automatisée + revue manuelle par expert pour identifier les vulnérabilités qu'un scanner classique ne détecte pas (logique métier, IDOR, escalade de privilèges, race conditions).

🌐

Sécurité applicative (web)

OWASP Top 10 (Injection SQL, XSS, CSRF, SSRF, désérialisation, authentification cassée), tests de logique métier, scan de dépendances vulnérables, audit des permissions.

🖥️

Sécurité serveur

Configuration nginx/Apache, durcissement SSH, pare-feu, mise à jour OS, gestion des logs, exposition des services, headers HTTP de sécurité (HSTS, CSP, X-Frame).

🔐

Identité & authentification

Politique de mots de passe, 2FA/MFA, gestion des sessions, JWT, OAuth, attaques par énumération, bruteforce protection, tokens temporaires.

📋

Conformité RGPD

Cartographie des données personnelles, registre des traitements, durées de conservation, droits d'accès et opposition, transferts hors UE, cookies tiers, base légale des traitements.

🔍

Pentest manuel (optionnel)

Test d'intrusion réalisé par un pentester certifié OSCP/CEH : exploitation des vulnérabilités identifiées, escalade, post-exploitation, chaînes d'attaque réelles documentées.

📊

Plan de remédiation

Chaque vulnérabilité est notée CVSS (criticité), avec correction technique, estimation d'effort en heures et priorité business (P0 critique / P1 élevé / P2 modéré).

Section 2

Méthodologie : 5 phases d'investigation

1

Reconnaissance

Cartographie de votre surface d'attaque externe : sous-domaines, DNS records, services exposés, technologies utilisées, fuites GitHub, archives Wayback.

2

Scan automatisé

Outils pros : Nessus, OpenVAS, Burp Suite, OWASP ZAP, Nikto, Wappalyzer, Nuclei. Détection des CVE connus, configurations faibles, services obsolètes.

3

Test manuel

Tests de logique métier, IDOR, escalade privilèges, race conditions, contournements d'authentification — points qu'aucun scanner ne détecte automatiquement.

4

Validation

Chaque vulnérabilité est testée pour confirmer son exploitabilité réelle (false positives écartés). Preuves documentées via captures et requêtes HTTP.

5

Rapport & restitution

Rapport PDF de 40-80 pages + executive summary 3 pages pour dirigeants non-techniques + restitution 1h en visio pour expliquer et arbitrer.

Cadre légal : tous nos tests sont réalisés sous mandat écrit avec votre autorisation explicite, conformément à l'article 323-1 du Code pénal. Aucun test n'est effectué sans contrat signé.
Section 3

Pour qui ? 6 cas où l'audit de sécurité est indispensable

🛒

E-commerce et SaaS

Vous traitez des paiements, des données clients, des comptes utilisateurs. PCI-DSS et RGPD vous imposent une posture de sécurité documentée.

🏥

Données sensibles (santé, juridique, RH)

Données de santé, dossiers d'avocats, données RH : RGPD impose des mesures techniques et organisationnelles adaptées. L'audit fournit la preuve documentaire.

📑

Conformité ISO 27001, SOC2, HDS

Pour la certification ou la pré-certification de ces normes, un audit indépendant est un prérequis dans la phase préparatoire.

🔄

Avant un rachat / due diligence

Avant d'acquérir ou de vendre une société tech, l'audit de sécurité fait partie du due diligence technique. Évite les mauvaises surprises post-acquisition.

⚠️

Après un incident sécurité

Suite à un piratage, une intrusion, une fuite : l'audit forensique identifie le vecteur d'attaque et garantit qu'aucune backdoor résiduelle ne subsiste.

🚀

Avant un lancement public

Pour un nouveau produit web ou SaaS, l'audit pre-launch sécurise l'image de marque : détecter les vulns avant les attaquants ou les bug bounty hunters.

Section 4

Tarifs et durée selon l'envergure

FormulePérimètreDuréePages rapportTarif HT
Audit ExpressSite WordPress vitrine ou blog, 1 domaine2 jours20-30 pages490 €
Audit StandardSite PME, application web, e-commerce ≤200 produits3-5 jours40-60 pages990 €
Pentest ProSaaS, gros e-commerce, multi-applications, infrastructure5-10 jours60-100 pagesSur devis
Conformité RGPDAudit RGPD complet (registre, droits, transferts UE, sous-traitants)3 jours30-50 pages790 €
Suivi de remédiation inclus : tous nos audits incluent 30 jours de support technique pour répondre à vos questions sur les corrections. Re-test de validation après corrections : 30 % du tarif initial.

Questions fréquentes

Toutes les réponses aux questions les plus posées avant de commander.

Le pentest peut-il faire planter mon site ?
Non. Nos tests sont calibrés pour ne pas causer d'interruption de service. Pour les phases potentiellement intrusives (fuzzing intensif, tests de charge), nous travaillons sur un environnement de staging miroir de votre production. Pour les sites sans staging, nous opérons en heures creuses avec votre validation préalable.
Quelle différence entre votre audit et un scan Nessus ?
Un scan Nessus détecte les CVE connues (vulnérabilités publiquement documentées). Notre audit ajoute : 1) revue manuelle de la logique métier (IDOR, escalade), 2) tests de chaînes d'attaque (exploitation combinée de plusieurs failles mineures), 3) validation des false positives, 4) contextualisation business. Un scanner = 5 % de notre valeur ajoutée.
Travaillez-vous sous accord de confidentialité (NDA) ?
Oui, systématiquement. Tout audit débute par la signature d'un NDA mutuel. Les findings ne sont jamais publiés, partagés, ni utilisés pour autre chose que la rédaction du rapport. Nous détruisons l'ensemble des données collectées 90 jours après la livraison sauf demande contraire.
Que se passe-t-il si vous trouvez une faille critique en cours d'audit ?
Nous vous contactons immédiatement par téléphone/email avec les éléments techniques et une recommandation de remédiation urgente. Vous décidez : correction immédiate par votre équipe, intervention chez nous en mode dépannage, ou attente du rapport final. Notre obligation déontologique impose une remontée immédiate des risques critiques.
Vos auditeurs sont-ils certifiés (OSCP, CEH, CISSP) ?
Oui. Nos pentesters sont certifiés OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker) et formés aux référentiels ANSSI/CSPN. Les profils intervenant sur votre audit vous sont communiqués avant signature du contrat (avec CV anonymisé).
Comment se passe la restitution du rapport ?
Nous organisons un appel visio de 60 à 90 minutes avec votre équipe : présentation des findings critiques, démonstration des exploits (sur vidéos si non reproductibles), arbitrage de la roadmap de correction, Q&A. La restitution est facultative mais fortement recommandée pour assurer l'appropriation des recommandations.
Que faire si je n'ai pas les compétences internes pour corriger les vulnérabilités ?
Nous proposons un devis distinct pour la phase de remédiation, exécutée par notre équipe technique (sécurité applicative, durcissement serveur, mise en conformité RGPD). Vous pouvez aussi confier la correction à votre prestataire habituel — le rapport est suffisamment détaillé pour qu'un développeur sénior puisse implémenter.

Un projet ? Discutons-en.

Devis gratuit personnalisé sous 24h. Aucun engagement avant validation explicite de votre part.

Demander un devis gratuit