AccueilAudit cybersécuritéMéthodologie
Transparence technique

Notre méthodologie d’audit cybersécurité

Nous publions notre méthodologie en détail. Parce que la transparence est notre meilleur argument commercial. Chaque audit Audit-Secu mobilise 5 moteurs d'analyse, chacun spécialisé dans un domaine précis de la sécurité web. Cette page détaille notre processus de bout en bout — ce que nous testons, comment nous le testons, et ce que nous ne testons pas.

Processus

Vue d’ensemble du processus d’audit

De la saisie de votre URL à la réception du rapport, tout est automatisé. Huit étapes, aucune intervention humaine.

01
🌐

Saisie de l’URL

Le client entre l’URL de son site web dans le formulaire. Pour de meilleurs résultats, autoriser notre IP sur son pare-feu.

02
🔒

Vérification de propriété

Le client prouve qu’il est propriétaire du domaine audité via un fichier de vérification ou un enregistrement DNS.

03
💳

Paiement

Règlement sécurisé en ligne. Le scan est déclenché automatiquement dès la confirmation du paiement.

04
🔍

Détection automatique

Identification du CMS, du serveur web, des technologies et des frameworks utilisés par le site cible.

05
⚙️

Scan multi-moteurs

5 scanners s’exécutent en parallèle pendant 10 à 30 minutes selon la taille du site.

06
📈

Corrélation et scoring

Dédoublonnage des résultats, classification par sévérité CVSS 3.1 et calcul du score global.

07
📄

Rapport

Génération du rapport HTML interactif avec score, vulnérabilités détaillées et recommandations priorisées.

08
📧

Envoi du rapport

Le rapport est converti en PDF et envoyé directement dans votre boîte mail pour consultation immédiate.

L’ensemble du processus est automatisé de bout en bout. Aucun humain n’intervient entre la commande et la livraison du rapport. Cette automatisation intégrale garantit un délai de livraison inférieur à 2 heures et une reproductibilité parfaite des résultats d’un audit à l’autre.

Moteurs d’analyse

Nos scanners en détail

Chaque moteur est spécialisé dans un domaine précis. Leur combinaison élimine les angles morts et maximise la couverture de votre surface d’attaque.

🕷

OWASP ZAP

Scan Web

OWASP ZAP (Zed Attack Proxy) version 2.17.0 est le scanner de référence de l’OWASP Foundation, l’organisme international qui définit les standards de sécurité des applications web. C’est le premier moteur à s’exécuter dans notre pipeline. Il commence par un spider — un crawl systématique de toutes les pages accessibles de votre site — puis lance une analyse passive des headers HTTP, des cookies et des configurations serveur. Enfin, une analyse active teste dynamiquement les formulaires et les paramètres pour détecter les vulnérabilités exploitables.

Détecte :
  • Vulnérabilités OWASP Top 10 (injection SQL, XSS, CSRF)
  • Headers de sécurité manquants (HSTS, CSP, X-Frame-Options)
  • Cookies non sécurisés (HttpOnly, Secure, SameSite absents)
  • Mauvaises configurations SSL/TLS et redirections ouvertes

Nuclei

CVE Detection

Nuclei est un moteur de templates développé par ProjectDiscovery, spécialisé dans la détection de vulnérabilités connues (CVE). Il dispose de plus de 15 000 templates communautaires mis à jour en continu, auxquels s’ajoutent nos templates custom Audit-Secu développés spécifiquement pour les CMS francophones (PrestaShop, Joomla, Drupal). Chaque template vérifie la présence d’une vulnérabilité précise en envoyant une requête calibrée et en analysant la réponse du serveur. C’est l’outil le plus efficace pour identifier les CVE spécifiques à votre stack technique.

Détecte :
  • CVE spécifiques (injection SQL, RCE, XSS, SSRF, LFI)
  • Fichiers sensibles exposés (.env, phpinfo, backups, debug)
  • Configurations dangereuses et panneaux d’administration exposés
  • Versions logicielles vulnérables et modules obsolètes
📦

CMS Scanner (CMSeeK + WPScan + scanners dédiés)

CMS Audit

Notre pipeline CMS démarre par CMSeeK, un détecteur capable d’identifier plus de 170 systèmes de gestion de contenu différents. Une fois le CMS identifié, un scanner dédié prend le relais : WPScan pour WordPress, des scanners spécialisés pour PrestaShop, Joomla, Drupal, Magento, Shopify, Wix, Odoo et Craft CMS. Chaque scanner énumère les plugins, thèmes et extensions installés, puis vérifie leurs versions contre les bases de vulnérabilités de référence — Wordfence Intelligence pour WordPress, Friends of Presta pour PrestaShop, Drupal Security Advisories pour Drupal.

Détecte :
  • Modules, plugins et thèmes vulnérables ou obsolètes
  • Plugins supprimés des répertoires officiels (signalement de danger)
  • CMS en fin de vie (EOL) nécessitant une migration urgente
  • Utilisateurs énumérables et fichiers de configuration exposés
Périmètre

Ce que l’audit couvre

Chaque audit vérifie systématiquement les vecteurs d’attaque les plus couramment exploités. Voici le périmètre complet.

Vulnérabilités connues (CVE) et exploits publics référencés dans les bases NVD, Wordfence et GitHub Advisory
Configurations serveur et headers HTTP de sécurité (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy)
Modules CMS obsolètes, dépréciés ou signalés comme dangereux dans les répertoires officiels
Injection SQL, XSS et CSRF — les trois vulnérabilités les plus exploitées de l’OWASP Top 10
Certificat SSL/TLS, validité, protocoles supportés et cipher suites utilisées par le serveur
Fichiers sensibles exposés : .env, phpinfo(), backups, fichiers de configuration, répertoires de développement
Cookies : présence des flags HttpOnly, Secure et SameSite sur tous les cookies de session
Limites

Ce que l’audit ne couvre pas

La transparence, c’est aussi dire clairement ce que nous ne faisons pas. Voici les limites de notre approche automatisée.

Pas de test authentifié — aucun accès administrateur n’est requis ni utilisé, le scan porte uniquement sur la surface publique
Pas d’exploitation des vulnérabilités — nous testons activement vos défenses mais n’exploitons jamais les failles (pas d’exfiltration de données, pas de reverse shell, pas de modification de contenu)
Pas de reverse shell ni d’accès au système — nous détectons les failles sans les exploiter
Pas d’audit de code source (SAST) — nous analysons le comportement de l’application, pas son code interne
Pas d’audit organisationnel ni de conformité documentaire (RGPD, ISO 27001, NIS2)
Pas de test d’ingénierie sociale (phishing, pretexting, vishing) — hors périmètre technique
Notre audit est un test consultatif automatisé de la surface d’attaque publique. Il teste activement vos défenses (injections, CVE, scan réseau) et identifie les vulnérabilités connues, les mauvaises configurations et les composants obsolètes — sans jamais exploiter les failles détectées. Pour un pentest complet avec exploitation contrôlée, tests authentifiés et analyse de logique métier, nous recommandons un prestataire certifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information).
Notation

Scoring CVSS 3.1 — de A à F

Chaque vulnérabilité détectée est évaluée selon le standard international CVSS v3.1, puis agrégée dans un score global de 0 à 100.

Le CVSS (Common Vulnerability Scoring System) version 3.1 est le standard international — défini par le FIRST (Forum of Incident Response and Security Teams) — utilisé par le NIST (National Institute of Standards and Technology), le NVD (National Vulnerability Database) et l’ensemble de l’industrie de la cybersécurité pour évaluer la sévérité des vulnérabilités. Notre algorithme de scoring attribue un poids à chaque vulnérabilité en fonction de sa classification (Critical, High, Medium, Low, Info), puis calcule un score global sur 100. Le système de dédoublonnage unique-type évite la sur-pénalisation : les vulnérabilités répétées du même type ne sont comptées qu’une fois.

Score Grade Signification
90 – 100 A Excellent — très peu de vulnérabilités détectées, posture de sécurité solide
70 – 89 B Bon — vulnérabilités mineures, quelques améliorations recommandées
50 – 69 C Moyen — vulnérabilités significatives nécessitant une attention rapide
30 – 49 D Faible — vulnérabilités importantes, remédiation prioritaire requise
0 – 29 F Critique — remédiation immédiate nécessaire, risque d’exploitation élevé

Référence OWASP Top 10 (2021)

L’OWASP Top 10 est la référence mondiale des risques de sécurité les plus critiques pour les applications web. Notre audit vérifie systématiquement chacune de ces catégories.

  • A01 Contrôle d’accès défaillant
  • A02 Défaillances cryptographiques
  • A03 Injection (SQL, XSS, LDAP, commande)
  • A04 Conception non sécurisée
  • A05 Mauvaise configuration de sécurité
  • A06 Composants vulnérables et obsolètes
  • A07 Défaillances d’identification et d’authentification
  • A08 Défaillances d’intégrité des données et du logiciel
  • A09 Journalisation et surveillance insuffisantes
  • A10 Falsification de requête côté serveur (SSRF)
Découvrir nos tarifs →
Questions fréquentes

FAQ méthodologie

Les réponses aux questions les plus courantes sur notre processus d’audit et la fiabilité des résultats.

Non. L’audit teste activement vos défenses mais nos scanners sont calibrés pour limiter le nombre de requêtes par seconde et ne jamais surcharger votre serveur. Aucune donnée n’est modifiée, aucun fichier n’est altéré, aucune faille n’est exploitée. Le scan se comporte comme un visiteur qui parcourt vos pages en testant la robustesse de votre configuration. En plus de dix mille audits réalisés, nous n’avons jamais causé le moindre incident sur un site client.
Ce n’est pas obligatoire, mais c’est recommandé si votre site est protégé par un pare-feu applicatif agressif ou un système anti-DDoS qui bloque les requêtes automatisées. Sans whitelist, certains scanners pourraient être bloqués et le rapport serait incomplet. Après votre commande, nous vous communiquons l’adresse IP de notre infrastructure de scan à autoriser temporairement. Cette étape est optionnelle et ne concerne qu’une minorité de sites disposant de protections très restrictives.
Oui, et voici pourquoi : la grande majorité des cyberattaques réussies exploitent des vulnérabilités accessibles depuis l’extérieur, sans authentification. Les CVE critiques, les modules obsolètes, les headers manquants et les fichiers sensibles exposés sont tous détectables depuis la surface publique. Notre approche couvre exactement ce qu’un attaquant verrait en premier. Un test authentifié ajouterait la couverture des vulnérabilités internes, mais représente moins de 20% des vecteurs d’attaque exploités en pratique.
Un pentest manuel est réalisé par un expert humain qui explore votre application en profondeur pendant plusieurs jours, teste la logique métier, tente des chaînes d’exploitation complexes et rédige un rapport personnalisé. Notre audit automatisé couvre un spectre plus large de vulnérabilités connues (15 000+ signatures CVE) en un temps très court, mais ne détecte pas les failles de logique métier ni les vulnérabilités zéro-day. Les deux approches sont complémentaires : notre audit est idéal en première intention pour corriger les failles les plus courantes avant d’investir dans un pentest approfondi à 2 000-15 000€.
Méthodologie en action

Voyez notre méthodologie en action

Consultez un exemple de rapport réel pour découvrir le résultat concret de nos 4 scanners. Ou lancez directement votre propre audit.

Voir un exemple de rapport → Auditer mon site → 99€ HT
En savoir plus sur GSI Network et notre équipe →