Aller au contenu principal
DataSouv
Audit
Sécurité applicative

Audit sécurité technique — l'article 23 de la loi 09-08 pris au sérieux

Évaluation non intrusive de la posture de sécurité de votre site web : en-têtes HTTP, TLS, surface d'attaque, configuration email anti-spoofing, cookies, DNS. Méthodologie alignée Mozilla Observatory et OWASP ASVS. Pentest applicatif possible avec Rules of Engagement contractuelles.

Demander un devisAudit gratuit en 60 secondes

Ce que nous vérifions

Huit domaines, du chiffrement à l'exposition publique

La sécurité applicative ne se résume pas à un certificat TLS. Voici les axes que nous traitons systématiquement, et que les scanners gratuits ne couvrent qu'à moitié.

  • En-têtes HTTP de sécurité

    Content-Security-Policy, Strict-Transport-Security (HSTS, preload, includeSubDomains), X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin Isolation. Comparaison directe avec le scoring Mozilla Observatory.

  • TLS et chiffrement

    Versions TLS supportées (1.2/1.3), suites cryptographiques, certificat (chaîne, durée, transparency log), HSTS preload list, redirection HTTP → HTTPS systématique, HPKP/CAA si pertinent.

  • Surface d'attaque externe

    Inventaire des sous-domaines exposés, services accessibles (HTTP, API, admin, dev, staging), endpoints obsolètes, signatures de versions, headers de debug oubliés. Recherche d'expositions accidentelles via certificates transparency.

  • Configuration email (anti-spoofing)

    SPF, DKIM, DMARC (avec politique reject/quarantine, alignment, rua/ruf). MTA-STS, TLS-RPT. Vérification que personne ne peut envoyer du courriel en votre nom, condition de base avant toute communication CNDP.

  • Cookies et trackers

    Inventaire des cookies déposés avant et après consentement. Détection des trackers tiers (Google, Meta, LinkedIn, etc.), des fingerprinters et des connexions cross-origin. Test du blocage runtime effectif.

  • DNS et infrastructure

    DNSSEC, présence de CAA, exposition d'enregistrements obsolètes (TXT, SRV), résolveurs récursifs, anycast. Pour les sites critiques : test de résilience face à un takeover de sous-domaine.

  • Vulnérabilités courantes (OWASP)

    Tests passifs alignés OWASP ASVS L1 : injection (paramètres GET/POST côté client), XSS reflété, configuration CORS, sensibilité des erreurs, exposition de stack traces, gestion des sessions. Aucune exploitation, uniquement de la détection.

  • Conformité CNDP

    Mentions légales, politique de confidentialité, bandeau cookies conforme, security.txt (RFC 9116), procédure de notification de fuite (article 23 de la loi 09-08 et obligations CNDP).

Deux niveaux

Audit standard ou pentest applicatif

Selon l'exposition de votre application, l'audit non intrusif suffit ou un pentest est nécessaire. Nous vous orientons honnêtement vers le niveau pertinent — pas systématiquement le plus cher.

Audit standard non intrusif

5 à 7 jours ouvrés

Sites vitrines, e-commerce, applications publiques en production. Aucune autorisation préalable nécessaire — uniquement de l'observation publique.

  • Rapport technique de 25 à 40 pages
  • Score Mozilla Observatory simulé avant/après
  • Liste priorisée des correctifs avec exemples de code
  • Cartographie de la surface d'attaque externe
  • Restitution orale de 60 minutes

Investissement : à partir de 15 000 MAD

Pentest applicatif

10 à 20 jours ouvrés

Applications avec authentification, paiement, API, espace client. Nécessite un contrat de Rules of Engagement (scope, fenêtres, méthode), une autorisation écrite et un environnement de test idéalement.

  • Tests OWASP ASVS L2 ou L3 selon le profil
  • Rapport technique avec preuves (proof-of-concept) et CVSS
  • Sévérité, exploitabilité, recommandations correctives
  • Re-test gratuit sous 60 jours sur le périmètre corrigé
  • Restitution direction + restitution technique séparées

Investissement : sur devis

Méthodologie

Cinq étapes, traçables et contractualisées

  1. 1

    Périmètre et autorisation

    Définition contractuelle du périmètre : domaines, sous-domaines, applications, fenêtres horaires, méthodes autorisées (passif uniquement vs. tests actifs). Échange de coordonnées techniques pour gestion d'incident.

  2. 2

    Reconnaissance passive

    Collecte d'informations publiques uniquement : DNS, certificates transparency, archives publiques, headers HTTP. Aucune sollicitation agressive de votre infrastructure.

  3. 3

    Tests ciblés

    Sur la base de la reconnaissance, tests ciblés selon le scope autorisé. Tous les tests sont tracés, horodatés et limités à ce qui a été contractuellement autorisé. Tests automatiques + investigation manuelle.

  4. 4

    Validation des findings

    Chaque vulnérabilité est validée manuellement pour éliminer les faux positifs. Sévérité notée selon CVSS v3.1. Exploitabilité documentée mais sans dépasser le seuil convenu.

  5. 5

    Rapport et remédiation

    Rapport priorisé avec exemples de code correctif quand applicable. Remédiation guidée si vous le souhaitez (revue de pull request, accompagnement de votre équipe).

Questions fréquentes

Ce qu'on nous demande sur la partie technique

Pourquoi un audit « non intrusif » ?

Pour deux raisons. D'abord, beaucoup de sites peuvent être audités à 70-80% par observation publique des en-têtes, du DNS et de la surface exposée — c'est la majeure partie de la valeur. Ensuite, un audit non intrusif ne nécessite ni autorisation lourde ni fenêtre de maintenance et peut démarrer immédiatement. Le pentest applicatif est réservé aux contextes où l'audit non intrusif n'est plus suffisant.

Avez-vous besoin d'accéder à mon infrastructure ?

Pour l'audit non intrusif, non. Tout est fait depuis l'extérieur, en tant que client lambda. Pour le pentest applicatif, nous avons généralement besoin de comptes de test avec différents niveaux de privilèges, et idéalement d'un environnement de pré-production identique à la prod. Tout est cadré contractuellement.

Mon hébergeur (Hostinger, OVH, etc.) ne fait-il pas déjà tout ?

Non. L'hébergeur fournit l'infrastructure et parfois un WAF, mais la configuration applicative (en-têtes CSP, cookies, gestion des sessions, validation côté serveur, anti-spoofing email) reste votre responsabilité. La majorité des sites marocains audités présentent des configurations par défaut qui ne tiennent pas une heure devant un scanner gratuit.

Le rapport est-il utilisable par mon prestataire actuel ?

Oui, et c'est même l'objectif. Le rapport est rédigé pour pouvoir être confié à n'importe quelle équipe technique compétente — la vôtre, votre agence, votre intégrateur. Quand un correctif demande un changement de configuration serveur, nous fournissons l'exemple précis (extrait Nginx, Apache, fichier next.config, etc.).

Couvrez-vous les tests de charge ou de résilience ?

Non, pas dans ce service. Notre périmètre est la sécurité applicative et la conformité technique. Pour les tests de charge, performance ou résilience à la coupure, nous vous orientons vers des spécialistes — ou nous coordonnons l'intervention si vous le souhaitez.

Y a-t-il un lien avec la conformité CNDP ?

Direct. L'article 23 de la loi 09-08 oblige le responsable du traitement à mettre en œuvre les mesures techniques appropriées pour garantir la sécurité des données. Un site sans HSTS, sans CSP, avec des cookies trackeurs avant consentement, n'est pas seulement vulnérable techniquement : il est en infraction. Nous croisons systématiquement les findings techniques avec les exigences CNDP.

Test gratuit en 60 secondes

Voyez l'état de votre site avant de demander un devis

Notre outil d'audit en ligne vous donne un premier score indicatif sur les en-têtes, TLS et la conformité CNDP. Gratuit, sans email obligatoire, immédiat.

Lancer l'audit gratuitParler à un humain