Questions fréquentes sur l'audit de sécurité web

Vous entrez l'URL de votre site, notre plateforme lance 5 moteurs d'analyse (OWASP ZAP, Nuclei, WPScan, CMSeeK, DefectDojo) qui analysent votre site de l'extérieur — exactement comme le ferait un attaquant. Les vulnérabilités détectées sont classifiées selon l'OWASP Top 10, le référentiel mondial de sécurité web.

Votre rapport HTML complet est disponible dans votre espace client en moins de 2 heures, avec un score de sécurité, les vulnérabilités classées par sévérité et des recommandations priorisées.

Découvrir notre méthodologie en détail

L'audit prend généralement entre 10 et 30 minutes selon la taille du site.

Le rapport est disponible dans votre espace client dès que l'analyse est terminée. Si vous avez opté pour la réception par email lors de la commande, il vous est également envoyé en PDF chiffré.

Oui. L'Audit Secu teste activement l'état du code public de votre site mais ne modifie jamais vos données et n'exploite jamais les failles détectées.

Le scan est calibré pour ne pas impacter les performances de votre serveur. La charge est comparable à celle de quelques visiteurs simultanés.

Trois options s'offrent à vous :

1. Les outils gratuits en ligne — limités à 1 scanner, résultats partiels, aucune corrélation entre les sources.
2. Notre audit à 99 € HT — combine 5 moteurs d'analyse et fournit un rapport complet avec scoring CVSS et recommandations priorisées. Le meilleur rapport qualité/prix pour la majorité des sites.
3. Un pentest manuel par un expert (2 000 à 15 000 €) — pour les sites critiques qui nécessitent une analyse de la logique métier.

Lancer un audit · Audit automatisé vs pentest manuel

Notre audit détecte et analyse 180+ CMS grâce à CMSeeK. Pour les CMS les plus populaires, nous avons des scanners dédiés :

WordPress (WPScan + Wordfence Intelligence), PrestaShop (Nuclei + Friends of Presta), WooCommerce, Joomla, Drupal, Magento, Shopify, Wix, Odoo, Craft CMS.

Pour les CMS non reconnus, les scanners génériques (ZAP, Nuclei) analysent quand même les vulnérabilités web courantes (OWASP Top 10, headers, SSL/TLS).

En savoir plus sur la sécurité CMS

Le rapport HTML comprend :

1. Un score global (A à F) basé sur le CVSS 3.1, avec une vision immédiate de votre posture de sécurité.
2. La liste de toutes les vulnérabilités détectées, classées par sévérité (Critical, High, Medium, Low, Info).
3. L'inventaire CMS complet — version, plugins, thèmes, utilisateurs détectés.
4. Les headers HTTP de sécurité vérifiés (HSTS, CSP, X-Frame-Options, etc.).
5. Des recommandations priorisées par urgence (7 jours, 30 jours, 90 jours) avec références CVE/CWE.

Voir un exemple de rapport

Non, et nous ne prétendons pas le contraire.

L'audit automatisé détecte les vulnérabilités connues (CVE, misconfigurations, composants obsolètes) — ce qui couvre environ 80 % des vecteurs d'attaque courants.

Un pentest manuel va plus loin : il teste la logique métier, l'escalade de privilèges et les failles 0-day. L'audit est le « premier diagnostic avant le spécialiste ».

Comprendre la différence audit automatisé vs pentest

Le CVSS (Common Vulnerability Scoring System) est le standard international pour évaluer la sévérité des vulnérabilités, sur une échelle de 0 à 10.

Notre grade de A (excellent) à F (critique) est calculé à partir du CVSS de chaque vulnérabilité trouvée, en comptant une seule occurrence par type pour éviter la sur-pénalisation. Un score F signifie des vulnérabilités critiques nécessitant une action immédiate.

Non. Aucun outil automatisé ne détecte 100 % des failles. Notre audit ne teste pas :

1. Les vulnérabilités de logique métier (ex : contournement de workflow de paiement).
2. Les failles nécessitant une authentification — l'audit est externe, sans compte utilisateur.
3. Les vulnérabilités 0-day non encore publiées dans les bases CVE.
4. L'ingénierie sociale (phishing, manipulation humaine).

C'est pourquoi nous recommandons un pentest manuel complémentaire pour les sites critiques (e-commerce, santé, finance).

En savoir plus sur le pentest

Pas encore de re-scan gratuit automatique. Chaque audit est facturé 99 € HT.

Cependant, nous travaillons sur une offre de suivi. En attendant, vous pouvez relancer un audit après corrections pour vérifier que les vulnérabilités ont bien été corrigées.

Les recommandations sont générées automatiquement en fonction des vulnérabilités détectées et de votre CMS. Elles ne sont pas rédigées par un expert humain, mais sont priorisées par sévérité et incluent des liens vers les correctifs officiels quand ils existent.

Pour un accompagnement personnalisé, nous recommandons de transmettre le rapport à un prestataire sécurité qui pourra vous guider dans la mise en oeuvre des corrections.

Vous devez être le propriétaire ou avoir l'autorisation explicite du propriétaire. Avant tout paiement, notre plateforme exige une vérification de propriété du domaine (fichier de validation déposé sur le serveur ou enregistrement DNS TXT). Sans cette validation, le scan ne peut pas être lancé.

En finalisant votre commande, vous acceptez nos CGV qui incluent un mandat d'autorisation. Auditer un site sans autorisation est illégal (articles 323-1 et suivants du Code pénal).

Lire nos conditions générales de vente

Le paiement s'effectue par carte bancaire via Stripe (paiement sécurisé, certifié PCI-DSS). Nous ne stockons jamais vos données bancaires.

99 € HT par audit (118,80 € TTC), sans abonnement ni engagement. Vous payez uniquement quand vous lancez un audit.

Voir les tarifs

En urgence, suivez ces étapes :

1. Changez tous les mots de passe (admin, FTP, base de données, email).
2. Mettez le site en maintenance pour protéger vos visiteurs.
3. Contactez votre hébergeur — il peut isoler le serveur et fournir des logs.
4. Restaurez depuis une sauvegarde saine (vérifiez la date de compromission).
5. Lancez un audit de sécurité pour identifier le vecteur d'attaque et les composants compromis.

Notre audit à 99 € HT peut identifier les failles exploitées et éviter une re-infection.

Lancer un audit maintenant

En cas de défaillance technique empêchant la livraison du rapport, le remboursement est intégral sur simple demande à contact@audit-secu.com.

Consulter les CGV