Audit de sécurité web : 31 vulnérabilités trouvées sur 12 sites audités — notre méthodologie complète

Le constat qui devrait alarmer tout dirigeant

Sur les 12 derniers sites audités par ADRD Consulting, 83 % exposaient leur fichier .env directement accessible via navigateur. Un fichier .env type contient : les credentials de base de données, les clés API (Stripe, SendGrid, AWS), les secrets d'application, parfois les mots de passe SMTP. En clair. Sans authentification. C'est l'équivalent de laisser les clés de votre entreprise sous le paillasson avec une étiquette qui dit « clés ici ».

En 2024, le coût moyen d'une fuite de données pour une entreprise atteignait 4,45 millions de dollars selon le rapport IBM Cost of a Data Breach. Pour une PME française, même à 1/10ème de cette échelle, une fuite peut être fatale. La directive NIS2, entrée en application progressive en 2025, impose désormais des audits de sécurité réguliers à toutes les entités essentielles et importantes — et étend son périmètre à des milliers d'entreprises qui ne s'y attendaient pas.

Notre méthodologie : 31 points de contrôle organisés en 5 niveaux

Niveau 1 — Exposition passive (sans authentification)

• Fichiers sensibles accessibles : .env, .git/, config.php, database.php, fichiers .sql, .log, .bak
• Directory listing activé (Options Indexes)
• Headers de sécurité manquants : X-Frame-Options, X-Content-Type-Options, HSTS, CSP, Referrer-Policy
• Version PHP ou serveur exposée (X-Powered-By, Server header)
• HTTPS non forcé ou certificat expiré
• Robots.txt exposant des chemins sensibles (admin, backup, api)

Niveau 2 — Formulaires et entrées utilisateur

• Injections SQL (concaténation directe, requêtes non préparées)
• XSS (Cross-Site Scripting) sur champs de formulaire et paramètres GET
• CSRF absent sur formulaires POST
• Upload de fichiers sans validation MIME ni extension
• Open redirect sur paramètre next ou redirect

Niveau 3 — Authentification et sessions

• Absence de rate limiting sur le login (attaques brute force)
• Session non régénérée après authentification (fixation de session)
• Mots de passe stockés en MD5 ou SHA1 (non bcrypt)
• Tokens de réinitialisation prévisibles ou sans expiration
• Cookies sans flags HttpOnly, Secure, SameSite=Strict

Niveau 4 — Infrastructure et configuration serveur

• PHP en mode développement sur prod (display_errors = On)
• Permissions fichiers trop ouvertes (777 sur répertoires)
• Versions obsolètes (PHP < 8.1, OpenSSL < 1.1.1)
• Ports inutiles ouverts (nmap scan)
• Emails envoyés via mail() PHP sans SPF/DKIM configurés

Niveau 5 — Logique métier et accès données

• IDOR (Insecure Direct Object Reference) : accès aux ressources d'autres utilisateurs par modification d'ID
• Absence de contrôle d'accès sur les actions admin
• Données personnelles stockées sans chiffrement
• Logs applicatifs contenant des mots de passe ou tokens en clair
• API sans authentification ou avec clé fixe non rotative

Les outils que nous utilisons

• curl : vérification manuelle des headers HTTP, test d'accès aux fichiers sensibles
• nmap : scan des ports ouverts, détection des services exposés
• OWASP ZAP : scanner automatisé d'injections, XSS, CSRF — génère un rapport HTML détaillé
• SQLMap : test automatisé d'injections SQL sur les endpoints identifiés comme suspects
• testssl.sh : audit complet de la configuration SSL/TLS (ciphers, protocoles, certificat)
• WPScan : pour les sites WordPress (plugins vulnérables, utilisateurs exposés, thèmes)

Les 5 vulnérabilités les plus fréquentes que nous trouvons

1. Fichier .env accessible : trouvé sur 10 des 12 sites (83 %)
2. Headers sécurité manquants : X-Frame-Options absent sur 11/12 sites, CSP absent sur 12/12
3. Pas de rate limiting sur le login : 9/12 sites vulnérables au brute force simple
4. XSS sur formulaires de contact : 7/12 sites avec au moins un champ injectable
5. PHP version exposée : X-Powered-By non supprimé sur 8/12 sites

NIS2 et vos obligations en 2026

La directive NIS2 a étendu son champ d'application à des milliers d'entreprises françaises que NIS1 n'atteignait pas. Les entités importantes (PME dans les secteurs eau, énergie, santé, transport, numérique, alimentation) doivent désormais documenter leurs mesures de cybersécurité, notifier les incidents majeurs sous 24 h, et peuvent faire l'objet de contrôles par l'ANSSI. Un audit de sécurité annuel est la base minimale pour démontrer la diligence raisonnable.

ADRD Consulting propose un audit de sécurité offert pour tout prospect intéressé par une mise en conformité NIS2 ou une remise à niveau sécurité. Livrable : rapport PDF de 15 à 30 pages avec criticité, preuves et plan de remédiation priorisé. Demandez votre audit gratuit.