Audit de sécurité web et applications
Certi360 teste vos applications web selon OWASP ASVS pour détecter les vulnérabilités critiques — injections, authentification faible, fuites de données — avant la mise en production.
Planifiez un audit webQu'est-ce qu'un audit de sécurité web ?
Un audit de sécurité web évalue les vulnérabilités d'une application ou d'un site web — authentification, gestion des sessions, injections SQL, XSS, configuration serveur — selon des référentiels reconnus comme OWASP Top 10 et OWASP ASVS. Le résultat est un rapport priorisé que vos développeurs peuvent appliquer directement.
Ce service est essentiel pour les PME québécoises qui développent des applications SaaS, des portails clients ou des sites e-commerce soumis à la Loi 25.
Notre méthodologie OWASP ASVS
L'OWASP Application Security Verification Standard (ASVS) définit plus de 280 contrôles de sécurité classés en trois niveaux. Certi360 adapte le niveau de rigueur à votre contexte :
- Niveau 1 — applications à faible risque, protection contre les attaques opportunistes.
- Niveau 2 — applications traitant des données sensibles ou soumises à la Loi 25 (recommandé pour la plupart des PME).
- Niveau 3 — applications critiques (santé, finance, infrastructure) exigeant la vérification la plus stricte.
Types de vulnérabilités que nous détectons
- Injections (SQL, LDAP, OS command)
- Cross-Site Scripting (XSS) réfléchi et stocké
- Authentification et gestion de session défaillantes
- Contrôles d'accès insuffisants (IDOR, élévation de privilèges)
- Configuration de sécurité incorrecte (TLS, en-têtes HTTP)
- Exposition de données sensibles et fuites d'information
Analyse de code source complémentaire
Pour les applications développées en interne, nous proposons une revue de code source (Java, .NET, PHP, Python) qui identifie les vulnérabilités invisibles depuis l'extérieur. Idéal avant une levée de fonds ou un lancement produit majeur.
Consultez notre page tests de sécurité pour l'ensemble de nos offres techniques.
Questions fréquentes
- Qu'est-ce qu'un audit de sécurité web ?
- Un audit de sécurité web évalue les vulnérabilités d'une application ou d'un site web — authentification, gestion des sessions, injections, configuration serveur — selon des référentiels comme OWASP Top 10 ou OWASP ASVS. L'objectif est d'identifier et corriger les failles avant qu'elles ne soient exploitées.
- OWASP ASVS ou OWASP Top 10 : lequel choisir ?
- L'OWASP Top 10 liste les dix risques les plus critiques pour les applications web. L'OWASP ASVS est un standard complet avec plus de 280 contrôles classés en trois niveaux. Pour une PME avec une application critique, ASVS niveau 2 est souvent le bon équilibre entre rigueur et coût.
- Un audit web est-il utile pour la conformité Loi 25 ?
- Oui. La Loi 25 exige des mesures de sécurité proportionnées pour protéger les renseignements personnels. Un audit web documente vos contrôles techniques et démontre votre diligence raisonnable en cas d'incident ou de demande d'un client.
- Que contient le rapport d'audit web Certi360 ?
- Notre rapport inclut chaque vulnérabilité identifiée, son niveau de risque (CVSS), des preuves techniques, des recommandations de correction priorisées et une rencontre de restitution avec vos développeurs ou votre équipe TI.
- Faut-il un audit web avant ou après la mise en production ?
- Idéalement avant la mise en production et à chaque version majeure. Un audit en amont évite des correctifs coûteux en production et protège vos utilisateurs dès le lancement. Certi360 propose aussi des audits récurrents pour les applications en évolution continue.