« Ne pas auditer, c’est accepter d’être une cible facile. »
Rien à ajouter, tout est dit. Rideau.
On va quand même ajouter 2-3 choses. Commençons avec ce que couvrent nos audits cybersécurité, ensuite comment les mettre en place.
Et attention, cette page est très laide. Mais d’un autre côté, quand on s’intéresse à la cybersécurité, on a pas besoin de jolies images parait-il. On veut des gros tableaux bien soviétiques. Vous allez être servis.
Tableau des audits cybersécurité proposés par Les Vikings
| Type d’audit | Objectif | Avantages | Inconvénients | Importance pour un site e-commerce |
|---|---|---|---|---|
| Audit de vulnérabilités (SAST/DAST) | Identifier les failles de sécurité dans le code source et l’application web. | Détection précoce des vulnérabilités, automatisable, rapide. | Ne détecte pas les erreurs de configuration, faux positifs possibles. | Essentiel pour prévenir les attaques (injections SQL, XSS, etc.). À intégrer dans le cycle DevSecOps. |
| Pentest (test d’intrusion) | Simuler une attaque réelle pour identifier les failles exploitables. | Approche réaliste, met en évidence les vecteurs d’attaque exploitables. | Coût élevé, dépend de la compétence du pentesteur, ne couvre pas toutes les menaces en continu. | Indispensable avant chaque mise en production majeure ou mise à jour critique. |
| Audit de conformité (PCI DSS, RGPD, ISO 27001) | Vérifier si l’infrastructure et les pratiques sont conformes aux standards de sécurité. | Permet d’éviter les amendes, améliore la confiance des clients et partenaires. | Peut être contraignant, nécessite des ajustements organisationnels. | Obligatoire pour les sites traitant des paiements (PCI DSS), crucial pour la gestion des données personnelles (RGPD). |
| Audit d’architecture et configuration | Vérifier la sécurisation des serveurs, bases de données, API et infrastructure réseau. | Identifie les erreurs de configuration, renforce la résilience aux attaques. | Ne détecte pas forcément les failles logicielles, nécessite des experts en infra. | Fondamental pour éviter les erreurs basiques (exposition de ports sensibles, stockage de données non chiffrées). |
| Audit des dépendances et de la supply chain | Détecter les bibliothèques tierces vulnérables (ex : Log4Shell, OpenSSL). | Automatise la gestion des dépendances, réduit l’exposition aux attaques supply chain. | Peut générer de nombreux faux positifs, nécessite une bonne gestion des mises à jour. | Crucial pour éviter l’exploitation de vulnérabilités connues via des modules externes (CMS, plugins, SDKs). |
| Audit des logs et détection d’incidents (SIEM) | Surveiller en temps réel les activités suspectes et les tentatives d’attaques. | Permet de détecter les compromissions rapidement, offre une vision globale des menaces. | Génère beaucoup de données, nécessite un SOC ou une supervision active. | Vital pour identifier les attaques en cours et réagir avant qu’un attaquant ne compromette totalement le site. |
Exemples d’audits complémentaires et spécifiques
| Type d’audit | Objectif | Avantages | Inconvénients | Importance pour un site e-commerce |
|---|---|---|---|---|
| Audit de sécurité des API | Vérifier la protection des endpoints API exposés (REST, GraphQL). | Détecte les failles spécifiques aux API (ex : injections, accès non restreints). | Peut nécessiter des outils spécialisés, ne couvre pas les vulnérabilités backend. | Essentiel pour les sites headless, marketplaces et intégrations tierces. |
| Audit de sécurité des plugins et extensions | Vérifier si les modules installés (WooCommerce, Magento, PrestaShop) sont sécurisés. | Identifie les vulnérabilités dans les modules tiers, évite l’exploitation de backdoors. | Nécessite des mises à jour fréquentes, dépend du suivi des éditeurs. | Critique pour les sites reposant sur un CMS, car 95 % des failles viennent d’extensions non sécurisées. |
| Audit de la sécurité des emails (DMARC, SPF, DKIM) | Vérifier la protection contre l’usurpation d’identité (email spoofing, phishing). | Empêche l’envoi d’emails frauduleux depuis le domaine de l’entreprise. | Peut causer des problèmes de délivrabilité si mal configuré. | Indispensable pour éviter que le domaine ne soit utilisé pour du phishing. |
| Audit des permissions et accès (IAM, Zero Trust) | Vérifier que les accès admin et utilisateurs sont limités et segmentés. | Réduit les risques liés aux comptes compromis ou mal configurés. | Complexe à gérer si les accès sont nombreux, nécessite un suivi régulier. | Important pour éviter qu’un attaquant accédant à un compte utilisateur n’ait des privilèges excessifs. |
| Audit des sauvegardes et de la résilience | Vérifier que les backups sont bien réalisés et sécurisés. | Permet une récupération rapide après une cyberattaque ou un ransomware. | Doit être testé régulièrement, ne protège pas contre l’exfiltration de données. | Fondamental pour garantir une reprise après incident efficace, surtout en cas de ransomware. |
| Audit du trafic et des menaces DDoS | Analyser les logs réseau et les protections anti-DDoS en place. | Identifie les attaques par saturation et améliore la gestion des bots malveillants. | Peut nécessiter un WAF avancé et une supervision active. | Essentiel pour les sites à fort trafic, notamment lors de périodes de soldes ou de pics saisonniers. |
| Audit de la sécurité mobile (si app e-commerce) | Vérifier la sécurité des applications mobiles liées au site e-commerce. | Détecte les failles spécifiques aux apps (stockage d’infos sensibles, injections). | Peut être coûteux si externalisé, nécessite des tests en conditions réelles. | Indispensable si une part importante des ventes passe par une application mobile. |
Voici un panorama des audits cybersécurité que nous avons l’habitude de pratiquer.
Vous pouvez tous les faire, nous serons ravis. Mais sans doute qu’il vaut mieux échanger et prioriser. La performance technique au service de la performance commerciale, et non l’inverse !
Ce que nous proposons chez Les Vikings
Cette matrice compare trois offres d’audit en cybersécurité pour une plateforme web et/ou e-commerce, selon les objectifs, les audits inclus, les avantages, les inconvénients et la cible idéale.
| Type d’audit | Audit récurrent [Vikings Central] | Audit ciblé | Audit global |
|---|---|---|---|
| Objectif | Détection préventive des menaces, monitoring continu, scans & bilans mensuels. | Analyser un périmètre spécifique (ex : API, paiements, SEO, etc.) | Cartographier l’ensemble du site e-commerce et corriger toutes les failles critiques. |
| Audits inclus | – Analyse antivirus & failles (90+ analyses) – Audit des dépendances et plugins (CMS, SDK tiers) – Audit vitesse (hébergement et Lighthouse) – Veille sur l’apparition de failles sur les modules / CMS – Veille de fuites d’adresses mail | Les audits inclus dépendront de ce que vous souhaiterez vérifier. Voir la liste des audits plus haut. | Les audits inclus dépendront de ce que vous souhaiterez vérifier. Mais l’on retrouve souvent : – Audit complet du code, des API, des bases de données et des accès – Test d’intrusion – Vérification des sauvegardes et plan de reprise après incident – Audit des emails (SPF, DKIM, DMARC). |
| Avantages | – Protection continue contre les menaces émergentes. – Identification des failles dès leur apparition – Réduit les coûts à long terme en évitant les failles critiques – Très rentable (peu onéreux / service rendu important) | – Moins coûteux et plus rapide qu’un audit global – Idéal pour valider un périmètre avant mise en production. | – Évaluation complète de la posture cybersécurité – Corrige les failles critiques avant qu’elles ne soient exploitées |
| Inconvénients | – Superficiel – Ne tient pas compte de l’environnement | – Ne couvre qu’une partie du site, risque de passer à côté d’autres failles critiques – Avoir la connaissance préalable ce de ce qu’il faut cibler | – Coût élevé, nécessite des ressources importantes – Peut ralentir les développements pendant la phase de correction. |
| Idéal pour | – Sites e-commerce en production voulant un monitoring régulier et des corrections progressives – Plateformes avec beaucoup d’intégrations tierces. | – Entreprises ayant un doute sur une zone spécifique (ex : API publique, back-office, checkout) – Sites ayant subi une attaque récente et souhaitant renforcer un point de sécurité précis. | – Plateformes e-commerce cherchant un bilan cybersécurité complet – Sites avec des obligations réglementaires strictes (RGPD, PCI DSS) – E-commerce ayant subi une compromission critique. |
| Coût | 45€ HT / mois | A partir de 600€ HT | Volume de travail trop dépendant de la plateforme pour donner une estimation. |
Vikings Central
Notre outil interne, en amélioration constante depuis 2019, permettant de récolter un grand nombre de données et de les agréger afin de produire des bilans globaux indiquant le bon fonctionnement d’un site web ou e-commerce.
Cybersécurité, chiffre d’affaires, vitesse de chargement, tests antivirus, éco-conception; un bilan Vikings Central c’est un état de santé 360° de votre plateforme.
Performance technique, au service de la performance commerciale.
Quelques questions / réponses concernant les audits cybersécurité :
A quelle fréquence faut-il faire auditer son site e-commerce ?
Il y a des audits de veille et des audits d’analyse.
Pour l’analyse, c’est souvent un problème qui va faire apparaître la nécessité d’un audit cybersécurité. Donc à quelle fréquence ? Le moins souvent possible, c’est ce qu’on vous souhaite.
Pour les audits de veille, notre format préféré est le format mensuel, via notre outil Vikings Central.
En effet, Vikings Central permet de faire des bilans semi-automatisés à moindres coûts qui, au sein d’un simple PDF, résument une grande quantité de métriques en quelques pages. En plus de contenir un résumé effectué par votre chef de projet.
Ceci est pour l’audit en tant que tel, mais avec Vikings Central il y a également une veille continue sur vos sites, par exemple des versions des modules de vos WordPress (vous savez, avec les failles qui apparaissent toujours le vendredi à 22h. On apprécie.)
Comment atteindre le risque 0 en cybersécurité ?
Le risque 0 n’existe pas.
L’objectif, c’est de tendre vers le 0 et notre rôle de conseil, c’est parfois de vous conseiller d’accepter le 0.1 au lieu du 0.05 parce que diminuer le risque de 0.05 point vous coûtera tellement cher que vous risquez de perdre en compétitivité. Et de prévoir un PRA en parallèle (Plan de Reprise d’Activité), ce que vous auriez eu à faire dans tous les cas car… Le risque 0 n’existe pas.
Quels symptômes indiquent que mon site web ou e-commerce a besoin d’un audit de cybersécurité ?
Quelques points qui peuvent indiquer une faille, donc un besoin d’audit cybersécurité :
- Des transactions suspectes apparaissent
→ Commandes frauduleuses, paiements refusés en série, ou cartes bancaires signalées volées. - Une baisse soudaine du trafic SEO
→ Google peut avoir marqué votre site comme piraté (« This site may be hacked »), entraînant une chute du référencement. - Votre site est plus lent que d’habitude
→ Un malware ou un cryptojacking peut exploiter vos ressources serveur. - Des messages d’erreur ou des comportements anormaux
→ Redirections suspectes, erreurs 500 fréquentes, ou formulaires qui ne fonctionnent plus. - Des connexions inhabituelles sur le back-office
→ Tentatives de connexion suspectes, nouveaux utilisateurs admin inconnus, ou changements dans la configuration sans action de votre équipe. - Vos emails tombent en spam ou ne sont plus délivrés
→ Votre domaine peut avoir été utilisé pour du phishing (mauvaise configuration DMARC/SPF/DKIM). - Des alertes de sécurité apparaissent
→ Votre hébergeur, un firewall ou Google Search Console vous signale un problème de sécurité.
Ca, ce sont les symptômes « techniques. »
En cybersécurité, on trouve aussi des symptômes « business » et/ou « organisationnels », tels que des clients qui signalent des problèmes de connexion, des plaintes d’emails frauduleux ou simplement le fait que vous ne surveillez pas les version de vos modules ou que vous n’avez jamais fait d’audit de cybersécurité !
