Audit de Sécurité de Site Web : Comment Protéger votre Site

Chaque jour, des milliers de sites web sont piratés. La majorité ne sont pas ciblés spécifiquement : ce sont des attaques automatisées qui exploitent des failles connues. Un audit de sécurité régulier est votre meilleure défense. Voici comment le réaliser méthodiquement.

Les risques d'un site non sécurisé

Un site web compromis entraîne des conséquences en cascade :

• Perte de données : vol d'informations clients, coordonnées bancaires, données personnelles
• Blacklisting Google : Google détecte les sites compromis et affiche un avertissement « Ce site peut endommager votre ordinateur ». Votre trafic organique s'effondre.
• Responsabilité légale : le RGPD impose de protéger les données personnelles. Une faille de sécurité peut entraîner des amendes jusqu'à 4% du chiffre d'affaires annuel.
• Réputation : la confiance des clients, une fois perdue, est très difficile à reconstruire
• Coût de remédiation : nettoyer un site piraté coûte entre 500 et 10 000 euros selon la gravité

Phase 1 : Audit du certificat SSL/TLS

Le certificat SSL chiffre les communications entre votre serveur et les navigateurs de vos visiteurs. C'est la base de la sécurité web.

Vérifications essentielles

• Le certificat est valide et non expiré. Un certificat expiré affiche un avertissement effrayant dans le navigateur.
• Toutes les pages sont en HTTPS. Pas seulement la page de paiement, mais l'intégralité du site. Les pages HTTP doivent rediriger en 301 vers HTTPS.
• Le protocole TLS 1.2 minimum est utilisé. Les anciennes versions (SSL 3.0, TLS 1.0, TLS 1.1) contiennent des vulnérabilités connues et sont obsolètes.
• Les suites de chiffrement sont modernes. Pas de suites avec RC4, DES ou 3DES.
• HSTS est activé. L'en-tête Strict-Transport-Security force les navigateurs à utiliser HTTPS pour toutes les requêtes futures.

Outil : SSL Labs (ssllabs.com/ssltest) fournit un rapport détaillé avec une note de A+ à F.

Phase 2 : Audit des en-têtes de sécurité HTTP

Les en-têtes HTTP de sécurité sont souvent négligés mais forment une couche de protection essentielle. Vérifiez la présence et la configuration de :

Content-Security-Policy (CSP) — Définit les sources autorisées pour les scripts, styles, images et autres ressources. Empêche les attaques XSS (Cross-Site Scripting) en bloquant l'exécution de scripts non autorisés.

X-Frame-Options — Empêche votre site d'être intégré dans un iframe sur un autre site. Protège contre le clickjacking (technique qui pousse l'utilisateur à cliquer sur des éléments cachés).

X-Content-Type-Options — Empêche le navigateur de « deviner » le type MIME des fichiers. Valeur recommandée : nosniff.

Referrer-Policy — Contrôle les informations transmises dans l'en-tête Referer lors de la navigation vers un autre site.

Permissions-Policy — Contrôle l'accès aux fonctionnalités du navigateur (caméra, microphone, géolocalisation). Désactivez ce que votre site n'utilise pas.

Outil : Mozilla Observatory (observatory.mozilla.org) teste tous ces en-têtes et attribue une note.

Phase 3 : Audit des vulnérabilités

CMS et plugins

Si vous utilisez WordPress, Joomla, Drupal ou un autre CMS, les mises à jour sont critiques. Les failles connues sont publiées dans des bases de données publiques (CVE) et exploitées par des bots dans les heures qui suivent.

• Le CMS est-il à jour avec la dernière version stable ?
• Tous les plugins et thèmes sont-ils à jour ?
• Les plugins inutilisés sont-ils désinstallés (pas seulement désactivés) ?
• Utilisez-vous uniquement des plugins provenant de sources fiables ?

Injection SQL et XSS

Les deux vulnérabilités les plus courantes sur le web :

Injection SQL : un attaquant insère du code SQL dans un champ de formulaire pour accéder à votre base de données. Protection : utilisez des requêtes préparées (prepared statements), validez et nettoyez toutes les entrées utilisateur.

Cross-Site Scripting (XSS) : un attaquant injecte du JavaScript malveillant dans votre site. Protection : encodez les sorties HTML, implémentez une Content-Security-Policy stricte.

Authentification et accès

• Les mots de passe administrateur sont-ils forts (minimum 16 caractères, uniques) ?
• L'authentification à deux facteurs (2FA) est-elle activée pour les comptes admin ?
• La page de connexion admin est-elle protégée contre le brute force (rate limiting, CAPTCHA) ?
• L'URL de connexion par défaut est-elle modifiée (pour WordPress : pas /wp-admin) ?
• Les comptes inutilisés sont-ils supprimés ?

Phase 4 : Audit de la conformité RGPD

Le RGPD impose des obligations spécifiques aux sites web qui collectent des données personnelles :

• Politique de confidentialité : accessible, complète, rédigée en langage clair. Elle doit indiquer quelles données sont collectées, pourquoi, combien de temps elles sont conservées, et comment les supprimer.
• Bannière de cookies : les cookies non essentiels ne doivent pas être déposés avant le consentement explicite de l'utilisateur. Le bouton « Refuser » doit être aussi visible que le bouton « Accepter ».
• Formulaires : chaque formulaire qui collecte des données personnelles doit indiquer la finalité et la base légale du traitement.
• Droit d'accès et de suppression : les utilisateurs doivent pouvoir demander la consultation et la suppression de leurs données.

Phase 5 : Scan de malware et blacklisting

Vérifiez que votre site n'est pas déjà compromis sans que vous le sachiez :

Sucuri SiteCheck — Scanne votre site à la recherche de malware injecté, de redirections suspectes et de backdoors.

Google Safe Browsing — Vérifiez si votre site est signalé par Google : transparencyreport.google.com/safe-browsing/search

VirusTotal — Analyse votre URL avec plus de 70 moteurs antivirus et de détection.

Fréquence recommandée

• Quotidien : mises à jour automatiques du CMS et des plugins (configurez les mises à jour automatiques mineures)
• Hebdomadaire : vérification des logs d'accès et de sécurité, scan de malware
• Mensuel : audit des en-têtes de sécurité, vérification du certificat SSL, revue des comptes utilisateur
• Trimestriel : audit complet incluant les vulnérabilités, la conformité RGPD et les tests de pénétration