Tester la sécurité d'un site web, ce n'est pas lancer un outil en ligne et lire une note sur 100. C'est vérifier quatre choses : ce qui est exposé, ce qui est à jour, qui peut entrer, et ce qui se passerait en cas d'incident. Un site peut obtenir un excellent score à un scan automatique et rester compromettable par un simple compte administrateur mal protégé.
Une revue de sécurité sérieuse enchaîne :
- Le scan de surface : version du CMS et des extensions, en-têtes de sécurité HTTP, validité et configuration du certificat SSL, fichiers sensibles laissés accessibles.
- La confrontation aux vulnérabilités connues : chaque version d'extension installée est comparée aux failles publiées. C'est là que se trouve la grande majorité des risques réels.
- La revue des accès : comptes administrateurs actifs, comptes d'anciens prestataires ou collaborateurs, robustesse des mots de passe, présence d'un second facteur.
- Le test de restauration : une sauvegarde qu'on n'a jamais restaurée n'est pas une sauvegarde. C'est l'étape la plus souvent négligée.
- La revue des journaux : tentatives de connexion, erreurs récurrentes, traces d'activité anormale.
Un test ponctuel a une valeur limitée dans le temps : une nouvelle faille peut être publiée le lendemain. La sécurité d'un site repose sur une surveillance continue, pas sur un contrôle annuel.
Pulsar Agency mène ces contrôles dans le cadre de son offre de sécurité de site web, en amont d'un audit de site complet.