AUDIT 06 · SERVEUR WEB

HTTPS ne suffit pas —
les détails font la différence.

Audit complet : configuration TLS, en-têtes de sécurité, WAF, durcissement, mises à jour OS et applicatif, exposition réelle. Note Mozilla Observatory, SSLLabs, recommandations OWASP Secure Headers.

Réserver l'audit Méthode →

https-headers.txt

CHECK

// LE CONSTAT

3 lignes de header, 1 site B+ devient A+.

// QUICK WINS

Les détails techniques qui changent tout.

HSTS, Content-Security-Policy, X-Frame-Options, Referrer-Policy. Souvent absents ou mal configurés. Pourtant 30 minutes de travail font passer une note de C à A+ et bloquent 80% des attaques courantes (XSS, clickjacking, MITM).

Configuration TLS — ciphers, protocoles, OCSP stapling
En-têtes de sécurité — HSTS, CSP, XFO, Referrer
WAF — règles, faux positifs, journalisation
Durcissement OS — services, users, permissions

headers.diff

REVIEW

// MÉTHODE

5 étapes, 1 semaine.

J0-J1

Recon externe

Scan SSLLabs, Mozilla Observatory, securityheaders.com. État initial documenté.

J1-J2

Audit TLS

Versions, ciphers, certs, OCSP, HSTS, HPKP. Tests offline avec testssl.sh + Cipherscan.

J2-J3

En-têtes HTTP

CSP, XFO, Referrer-Policy, Permissions-Policy. Recommandations contextuelles selon l'app.

J3-J4

Config serveur & WAF

Revue config Nginx/Apache/IIS, modules actifs, WAF (ModSecurity, Cloudflare). Tuning des règles.

J4-J5

Rapport & config-as-code

Rapport + fichiers de config corrigés prêts à déployer. Tests A/B avant prod.

// LIVRABLES

Configs prêtes.

Rapport priorisé

Notes A+ à F par domaine. Quick wins identifiés. Impact business des écarts.

Fichiers de config

nginx.conf / .htaccess / web.config corrigés et commentés. Prêts à push.

Monitoring continu

Setup d'un scan automatique mensuel + alerting si régression de note.

HTTPS ne suffit pas —les détails font la différence.