Revue complète

Security audit.

A structured review of configuration, code, users, hosting, and process, with a prioritised fix list.

Réserver un appel Ce que nous collectons

Missions acceptées

Audit vs pentest

Structured review.

Un audit évalue votre site par rapport à une checklist de bonnes pratiques connues. Il attrape les choses manifestement de travers : plugins obsolètes, mots de passe faibles, 2FA manquant, endpoints de debug exposés, hébergement sur infrastructure mutualisée sans isolation correcte.

It's a great fit for: annual reviews, insurer requirements, due diligence before an acquisition, and "we built this two years ago and never looked back" sites.

Quand choisir ceci

Vous voulez un avis structuré sur la posture globale de sécurité de votre site.
Un assureur ou un client demande une revue annuelle.
Vous avez hérité d'un site et avez besoin de savoir dans quel état il est avant d'y toucher.
Vous envisagez d'acheter ou de vendre un site WordPress et voulez une due diligence.

La checklist

Sept couches, de bout en bout.

Cœur

Malware WordPress.

Version, canal de mise à jour, fichiers core modifiés, fonctionnalités retirées, schémas dépréciés toujours utilisés.

Plugins

Paysage des plugins

Chaque plugin installé est revu pour : actualité de la version, CVE connus, activité du mainteneur, changements de propriété, et si vous en avez réellement besoin.

Thèmes

Code du thème

Active theme reviewed for unsafe template patterns, inline scripts, third-party dependencies, and any code added "just for now" two years ago.

Utilisateurs

Utilisateurs et rôles

Comptes admin, utilisateurs dormants, attributions de rôles, politique de mot de passe, adoption de la 2FA, cycle de vie des sessions, et ce que chaque rôle peut réellement faire.

Config

Configuration

wp-config, permissions, rotation des secrets, XML-RPC, REST API et réduction de la surface de login.

Hébergement

Hébergement et TLS

Configuration du serveur web, version PHP, configuration TLS, en-têtes de sécurité, hygiène DNS, gestion des certificats, isolation des voisins sur hébergement mutualisé.

Voir le processus

Sauvegardes

Stratégie de backup (et s'ils restaurent réellement), processus de déploiement, qui a accès à quoi, état de préparation à la réponse à incident.

Module optionnel

Couche WooCommerce ou multisite

Pour les boutiques ou réseaux : revue de la surface de paiement, exposition des données de commande, parcours de compte client, séparation admin niveau réseau vs niveau site.

Comment ça marche

Step by step.

Étape 1
Démarrage
Appel d'une demi-heure. Confirmation du périmètre et remise des accès.
Étape 2
Présentation
Parcours des sept couches. Constats consignés au fur et à mesure.
Étape 3
Revue intermédiaire
Point d'étape à mi-mission. Pas de surprises à la fin.
Étape 4
Rapport et débrief
Rapport écrit final et appel de 30 minutes.

Livrable

The report.

En français clair, priorisé et structuré pour qu'un développeur comme un assureur puissent tous deux le lire sans avoir besoin d'un traducteur.

Incluez :

Résumé exécutif (une page, adapté aux lecteurs non techniques)
Constats par gravité, chacun avec étapes de reproduction et correctif recommandé
Triage des vulnérabilités plugins et thèmes
A prioritised "this week / this month / this quarter" action list
Captures de configuration et changements recommandés

Questions fréquentes

Questions fréquentes.

Corrigez-vous les constats, ou nous ?

Les honoraires d'audit couvrent l'identification et le rapport. La remédiation est une mission séparée — nous pouvons la faire, ou vous pouvez remettre le rapport à vos développeurs. La plupart des clients font un mélange.

Un audit attrapera-t-il tout ce qu'un pentest attraperait ?

Non. Un audit attrape les mauvaises configurations et les problèmes connus. Un pentest attrape les bugs dont personne ne soupçonnait l'existence. Ils se complètent — la plupart des clients font un audit d'abord, puis un pentest une fois les constats d'audit traités.

À quelle fréquence devrions-nous en faire un ?

Pour un site stable : une fois par an. Après un changement majeur (nouveau thème, remplacement important de plugins, migration, acquisition) : juste après. Après un incident : dans le cadre du nettoyage, pas séparément.