// AUDIT SERVEUR WEB

HTTPS ne suffit pas —
les détails font la différence.

Audit complet : configuration TLS, en-têtes de sécurité, WAF, durcissement, mises à jour OS et applicatif, exposition réelle. Note Mozilla Observatory, SSLLabs, recommandations OWASP Secure Headers.

OWASP TLS / SSL HEADERS CMS MOZILLA OBSERVATORY

// CE QUE NOUS AUDITONS

Chaque couche, de la config au header.

HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy sont souvent absents ou mal configurés. Pourtant 30 minutes de travail font passer une note de C à A+ et bloquent 80 % des attaques courantes — XSS, clickjacking, MITM.

Configuration TLS

Versions, ciphers, certificats. On désactive ce qui est obsolète et on active ce qui protège vraiment.

  • Versions de protocole : TLS 1.0/1.1 désactivés
  • Suites cryptographiques (ciphers) et ordre de préférence
  • OCSP stapling, chaîne de certificats, expiration
  • Tests offline via testssl.sh + Cipherscan

En-têtes de sécurité

Les headers HTTP qui bloquent XSS, clickjacking et fuite de données — souvent absents, toujours rentables.

  • HSTS (Strict-Transport-Security)
  • Content-Security-Policy (CSP)
  • X-Frame-Options, Referrer-Policy
  • Permissions-Policy, recommandations OWASP Secure Headers

WAF

Pare-feu applicatif : on vérifie qu'il protège sans casser, et on affine les règles.

  • Règles actives et pertinence (ModSecurity, Cloudflare)
  • Faux positifs et tuning des règles
  • Journalisation et remontée d'alertes
  • Couverture OWASP Core Rule Set

Durcissement serveur & OS

Revue de la configuration Nginx / Apache / IIS et du système sous-jacent.

  • Config Nginx / Apache / IIS, modules actifs
  • Services exposés, utilisateurs, permissions
  • Mises à jour OS et applicatif
  • Exposition réelle de la surface d'attaque

Vulnérabilités OWASP

On confronte le serveur aux failles applicatives les plus exploitées du référentiel OWASP.

  • XSS, clickjacking, MITM sur la couche transport
  • Recommandations OWASP Secure Headers
  • Configuration exposant l'application
  • Défauts de durcissement à impact direct

Scan & scoring externe

On mesure l'état initial avec les référentiels publics, puis on vise le A+.

  • Note SSLLabs
  • Note Mozilla Observatory
  • securityheaders.com
  • État initial documenté, objectif A+

// LE CONSTAT

3 lignes de header, 1 site B+ devient A+.

HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy. Souvent absents ou mal configurés. Pourtant 30 minutes de travail font passer une note de C à A+ et bloquent 80 % des attaques courantes (XSS, clickjacking, MITM).

# Recommended config
+ Strict-Transport-Security: max-age=31536000
+ Content-Security-Policy: default-src 'self'
+ Referrer-Policy: strict-origin
+ Permissions-Policy: geolocation=()
- TLS 1.0/1.1 disabled
+ OCSP stapling enabled
→ Mozilla Observatory: A+

// MÉTHODE

5 étapes, 1 semaine.

Du scan externe au fichier de config prêt à déployer — chaque étape est documentée et testée avant la mise en production.

J0 · J1
Recon externe

Scan SSLLabs, Mozilla Observatory, securityheaders.com. État initial documenté.

J1 · J2
Audit TLS

Versions, ciphers, certs, OCSP, HSTS, HPKP. Tests offline avec testssl.sh + Cipherscan.

J2 · J3
En-têtes HTTP

CSP, XFO, Referrer-Policy, Permissions-Policy. Recommandations contextuelles selon l'app.

J3 · J4
Config serveur & WAF

Revue config Nginx/Apache/IIS, modules actifs, WAF (ModSecurity, Cloudflare). Tuning des règles.

J4 · J5
Rapport & config-as-code

Rapport + fichiers de config corrigés prêts à déployer. Tests A/B avant prod.

// LIVRABLES

Des configs prêtes à push.

Pas un audit pour l'audit. Vous repartez avec les fichiers corrigés et un plan clair pour passer en A+.

Rapport priorisé
Notes A+ à F par domaine. Quick wins identifiés. Impact business des écarts.
Fichiers de config
nginx.conf / .htaccess / web.config corrigés et commentés. Prêts à push.
Monitoring continu
Setup d'un scan automatique mensuel + alerting si régression de note.

Passez en A+.

Premier échange gratuit · Devis sous 48h · Sans engagement

Audit gratuit