ITSkillsCenter
Cybersécurité

Audit de sécurité : méthode pour évaluer son exposition

8 دقائق للقراءة
Audit de sécurité : méthode pour évaluer son exposition

Ce que vous saurez faire

À l'issue de ce tutoriel, vous serez capable de réaliser un audit de sécurité complet de votre PME sénégalaise selon une méthodologie structurée inspirée d'OWASP, de l'ANSI (Sénégal) et de l'ISO 27001 simplifiée. Vous saurez cartographier vos actifs numériques (serveurs OVH/Contabo, applications web, comptes Google Workspace, smartphones du staff), évaluer leur exposition par scan automatisé (Nmap, Nikto, OWASP ZAP, testssl.sh), prioriser les vulnérabilités selon le score CVSS, et produire un rapport exécutif chiffré en FCFA pour la direction. Vous mettrez en place un plan d'action sur 90 jours avec budget réaliste pour une PME (entre 250 000 et 1 500 000 FCFA), conforme à la loi sénégalaise n°2008-12 sur la protection des données personnelles. À la fin, vous aurez un score de maturité cybersécurité mesurable et reproductible chaque trimestre.

Étape 1 : Cadrer le périmètre de l'audit

Avant tout scan, formalisez ce qui est dans le scope. Créez un fichier scope.md :

## Perimetre de l'audit - Boutique Dakar SARL
- Domaine : boutique-dakar.sn et sous-domaines
- VPS : 51.xx.xx.42 (Ubuntu 22.04, OVH)
- Applications : WooCommerce, espace client React
- Comptes : Google Workspace (12 utilisateurs)
- Endpoints : 8 ordinateurs Windows, 12 smartphones Android
- Hors scope : telephone du DG personnel, comptes Facebook personnels

Faites SIGNER ce périmètre par la direction. Sans autorisation écrite, scanner un système est illégal selon la loi sénégalaise.

Étape 2 : Cartographier les actifs avec un inventaire

Listez chaque actif et sa criticité (1 à 5) dans un tableur :

Actif              | Type      | Criticite | Donnees personnelles
-------------------|-----------|-----------|---------------------
Serveur web prod   | VPS       | 5         | Oui (clients)
Base PostgreSQL    | DB        | 5         | Oui (commandes)
Compte admin Gmail | Cloud     | 4         | Oui (RH)
PC comptable       | Endpoint  | 5         | Oui (paie)
WiFi bureau        | Reseau    | 3         | Non
Imprimante reseau  | IoT       | 2         | Non

Sans inventaire, vous auditez à l'aveugle.

Étape 3 : Reconnaissance externe (OSINT)

Identifiez ce qu'un attaquant verrait depuis Internet. Installez les outils sur Kali Linux ou WSL2 :

sudo apt install -y dnsrecon whois subfinder
subfinder -d boutique-dakar.sn
dnsrecon -d boutique-dakar.sn
whois boutique-dakar.sn
curl -s https://crt.sh/?q=boutique-dakar.sn&output=json | jq '.[].name_value' | sort -u

Vous découvrirez souvent des sous-domaines oubliés : old.boutique-dakar.sn avec un WordPress de 2019 non maintenu = porte d'entrée typique.

Étape 4 : Scan de ports et services avec Nmap

Scannez les serveurs identifiés (toujours avec autorisation) :

nmap -sV -sC -p- -T4 --open 51.xx.xx.42 -oN scan-prod.txt
nmap --script vuln 51.xx.xx.42 -p 22,80,443

Recherchez : SSH ouvert sur le port 22 par défaut, version Apache obsolète, MySQL exposé sur 3306 (jamais !), services Redis/Memcached sans authentification.

Pour aller plus vite sur plusieurs IPs :

nmap -iL ips.txt -sV --top-ports 1000 -oA audit-2026

Étape 5 : Analyse des certificats TLS

Un certificat mal configuré expose vos clients à du sniffing. Utilisez testssl.sh :

git clone https://github.com/drwetter/testssl.sh.git
cd testssl.sh
./testssl.sh --severity HIGH https://boutique-dakar.sn

Critères à vérifier : TLS 1.2 minimum (1.3 recommandé), pas de SSLv3/TLS 1.0, suite ECDHE+AES256-GCM, HSTS activé, OCSP stapling, certificat valide > 30 jours.

Étape 6 : Scan d'applications web avec OWASP ZAP

Lancez OWASP ZAP en mode automatique :

docker run -t owasp/zap2docker-stable zap-baseline.py \
  -t https://boutique-dakar.sn \
  -r rapport-zap.html

Cherchez les classiques OWASP Top 10 : injection SQL, XSS reflected/stored, IDOR (changer un ID dans l'URL pour voir les commandes d'autrui), CSRF sans token, headers manquants (CSP, X-Frame-Options).

Étape 7 : Tester les mots de passe et l'authentification

Vérifiez la résistance au bruteforce. Sur un compte de TEST :

hydra -L users.txt -P rockyou.txt boutique-dakar.sn https-post-form \
  "/login:user=^USER^&pass=^PASS^:Identifiants invalides"

Critères PME africaine : verrouillage après 5 tentatives, MFA obligatoire pour admin, pas de mots de passe par défaut (admin/admin reste #1 mondial), politique 12 caractères minimum.

Étape 8 : Audit des comptes Google Workspace

Dans la console admin, exportez la liste des utilisateurs et vérifiez :

1. Validation en 2 etapes activee : 100% des comptes
2. Comptes inactifs > 90 jours : suspendre
3. Acces tiers (OAuth apps) : revoquer ce qui n'est pas reconnu
4. Regles de transfert email suspectes (exfiltration courante)
5. Journal d'audit : connexions depuis pays inhabituels

Astuce : utilisez les rapports de sécurité préconfigurés dans admin.google.com/ac/reporting.

Étape 9 : Évaluer la sécurité physique et réseau local

Au bureau de Sacré-Cœur, vérifiez :

- WPA3 ou WPA2-Enterprise sur le WiFi (pas WPA-PSK partage)
- Reseau invite isole (VLAN ou SSID separe)
- Pas de prise reseau ouverte dans la salle d'attente
- Camera IP avec mot de passe par defaut ? Scanner avec :
  nmap -p 80,554,8080 192.168.1.0/24 --script http-default-accounts

Vérifiez aussi l'onduleur (UPS) : une coupure Senelec brutale peut corrompre votre base de données.

Étape 10 : Calculer le score CVSS de chaque vulnérabilité

Pour chaque faille trouvée, attribuez un score via le calculateur officiel nvd.nist.gov/vuln-metrics/cvss/v3-calculator :

Vulnerabilite           | CVSS | Priorite
------------------------|------|----------
SQL injection /produits | 9.8  | CRITIQUE
SSH root sans cle       | 8.1  | HAUTE
Pas de HSTS             | 5.3  | MOYENNE
Header X-Powered-By     | 3.1  | BASSE

Règle de gestion : CRITIQUE corrigée sous 7 jours, HAUTE sous 30 jours, MOYENNE sous 90 jours.

Étape 11 : Vérifier la conformité loi 2008-12 (Sénégal)

La Commission de Protection des Données Personnelles (CDP) impose :

- Declaration prealable des traitements (formulaire CDP)
- Consentement explicite pour collecte de donnees
- Mentions legales sur le site (politique de confidentialite)
- Designation d'un correspondant donnees (DPO)
- Notification sous 72h en cas de violation
- Hebergement de preference au Senegal pour donnees sensibles

Une amende CDP peut atteindre 100 000 000 FCFA (article 41).

Étape 12 : Tester les sauvegardes (le test du restore)

Une sauvegarde non testée n'existe pas. Procédure :

# Sur un VPS de test
scp backup-2026-04-22.sql.gz test@vps-test:/tmp/
ssh test@vps-test
gunzip -c /tmp/backup-2026-04-22.sql.gz | psql -U postgres -d test_restore
psql -U postgres -d test_restore -c "SELECT COUNT(*) FROM commandes;"

Comparez le nombre de lignes avec la production. Documentez le RTO (temps de restauration) et RPO (perte de données acceptable).

Étape 13 : Rédiger le rapport d'audit pour la direction

Structure du rapport en 6 parties :

1. Resume executif (1 page) : score global /100, top 5 risques
2. Methodologie : outils, periode, perimetre
3. Cartographie des actifs
4. Vulnerabilites detaillees avec CVSS et preuves (captures)
5. Plan d'action 90 jours avec couts en FCFA
6. Annexes : logs, scans, references

Évitez le jargon. La direction veut savoir : combien ça coûte si on ne fait rien, combien pour corriger.

Étape 14 : Mettre en place un cycle d'amélioration continue

Un audit ponctuel ne sert à rien. Programmez :

- Scan automatique hebdomadaire (cron + Nmap + script)
- Scan ZAP mensuel apres chaque mise en production
- Audit complet trimestriel
- Revue annuelle par un cabinet externe (recommande)
- Formation phishing tous les 6 mois (KnowBe4 ou alternative open source GoPhish)

Suivez la progression du score de maturité : niveau 1 (réactif), 2 (défini), 3 (mesuré), 4 (proactif), 5 (optimisé). L'objectif réaliste pour une PME en 18 mois est niveau 3.

Erreurs

Erreur 1 : Auditer sans autorisation écrite. Risque pénal selon la loi 2008-11 sur la cybercriminalité au Sénégal (jusqu'à 7 ans de prison).

Erreur 2 : Scanner pendant les heures ouvrées. Un scan agressif peut faire tomber un serveur fragile. Toujours prévenir et planifier la nuit.

Erreur 3 : Confondre vulnérabilité et risque. Une faille critique sur un serveur isolé sans données = risque faible. Croisez TOUJOURS avec la criticité de l'actif.

Erreur 4 : Oublier les humains. 80 % des incidents commencent par un email de phishing. L'audit technique sans audit du facteur humain est incomplet.

Erreur 5 : Rapport trop technique. La direction veut des chiffres en FCFA, pas du CVE-2024-xxxxx. Traduisez en impact business.

Erreur 6 : Pas de retest après correction. 30 % des correctifs sont mal appliqués. Refaites le scan ciblé après chaque patch.

Erreur 7 : Ignorer les fournisseurs et prestataires. Votre comptable externe a-t-il accès à vos données ? Son ordinateur est-il sécurisé ?

Checklist

  • Périmètre signé par la direction
  • Inventaire complet des actifs avec criticité
  • Sous-domaines découverts via subfinder et crt.sh
  • Scan Nmap complet sauvegardé avec date
  • Test TLS via testssl.sh effectué
  • Scan OWASP ZAP en baseline
  • Politique de mots de passe vérifiée
  • MFA activé sur 100 % des comptes admin
  • WiFi en WPA3/WPA2-Enterprise, invité isolé
  • Score CVSS attribué à chaque vulnérabilité
  • Conformité loi 2008-12 vérifiée (mentions, DPO)
  • Sauvegarde restaurée avec succès sur environnement test
  • Rapport exécutif chiffré en FCFA livré
  • Plan d'action 90 jours validé par la direction
#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité