Audit de Sécurité Serveur : Ce Que les Hackers Voient Déjà
Votre serveur a été scanné 47 000 fois ce mois-ci. Combien de ces scans ont trouvé une porte ouverte ? Un audit révèle en 72h ce qu'un attaquant met des semaines à cartographier , sauf que lui, il n'envoie pas de rapport.
Vous ne savez pas ce qui tourne dans l'ombre de votre serveur
Votre serveur fonctionne. Le site répond. Les mails partent. Tout va bien. Jusqu'au jour où un client vous appelle parce que Google affiche "Ce site peut endommager votre ordinateur" sous votre nom de domaine. Ou que votre hébergeur vous notifie d'un abus parce que votre machine envoie du spam à 3h du matin.
Ce scénario n'est pas hypothétique. 78 % des serveurs qu'on audite présentent au moins une faille critique. Pas une faiblesse théorique. Une porte ouverte, exploitable, parfois déjà exploitée depuis des mois sans que personne ne s'en rende compte. Un cryptominer qui consomme 40 % de votre CPU. Un accès SSH root avec le mot de passe par défaut de l'hébergeur.
Les raisons qui poussent un dirigeant à demander un audit sont rarement proactives. C'est un incident qui a eu lieu, une assurance cyber qui l'exige, un client grand compte qui demande des garanties, ou le RGPD qui rappelle que vous êtes responsable des données sur vos serveurs. Quelle que soit la raison, l'audit répond à une question simple : qu'est-ce qui est exposé, et comment on le corrige ?
Un audit de sécurité serveur, c'est un scanner IRM pour votre infrastructure. On regarde ce qui tourne, ce qui écoute, ce qui est exposé. On vérifie les configurations, les droits d'accès, les versions logicielles, les certificats, les sauvegardes. Et on vous dit exactement où un attaquant entrerait , avant qu'il ne le fasse.
$ cat /var/log/auth.log | grep "Failed password" | wc -l
43 721
tentatives de brute-force SSH ce mois-ci sur un serveur "qui va bien"
$ lynis audit system --quick
Ce que nos outils trouvent en quelques minutes prend des mois à un attaquant patient. Sauf qu'il a tout son temps , et vous non.
Le vrai coût de ne rien faire
Ne pas auditer son serveur, ce n'est pas "économiser le prix d'un audit". C'est parier que personne ne trouvera les failles avant vous. Ce que ce pari coûte quand on le perd :
Coût moyen d'une cyberattaque pour une PME en France (CPME 2024). Intervention d'urgence, perte de CA, communication de crise, notification CNIL.
Amende RGPD maximale : 4 % du chiffre d'affaires annuel mondial. Pour une PME à 2 M€ de CA, c'est 80 000 € en cas de manquement grave sur la protection des données.
Durée moyenne pour récupérer son référencement Google après un blacklistage. Trois mois de trafic organique évaporé, de leads perdus, de CA invisible.
Des PME victimes d'une cyberattaque majeure déposent le bilan dans les 18 mois qui suivent. Pas parce que l'attaque est irréparable , parce que la confiance client ne revient pas.
Un audit coûte une fraction de ces montants. C'est le seul investissement en sécurité qui vous dit exactement ce que vous risquez avant de le subir. Pas après.
Ce que contient notre audit. Tout est inclus.
Pas de formule Bronze/Silver/Gold. Chaque audit couvre l'intégralité de ces 8 points. Vous recevez un rapport complet avec score de sécurité, preuves techniques et plan de remédiation priorisé. Zéro surprise, zéro supplément.
Audit Lynis. Score CIS
$ lynis audit system --pentest
Analyse complète du système avec Lynis : scoring CIS Benchmark, vérification du kernel, des permissions, des comptes utilisateurs, de la politique de mots de passe, des services actifs. Score global sur 100 , la moyenne des serveurs qu'on audite démarre à 52.
Scan réseau nmap complet
$ nmap -sV -sC --script vuln -p-
Inventaire exhaustif des ports ouverts, identification des services et versions, détection des vulnérabilités connues. On sépare les faux positifs des vraies menaces. Chaque port inutilement exposé est documenté avec sa recommandation de fermeture.
Audit configuration SSH
$ ssh-audit target-server.example.com
Vérification de chaque paramètre sshd_config : authentification root, méthodes d'auth, algorithmes de chiffrement, clés hôtes, port d'écoute, directives AllowUsers. 6 serveurs sur 10 acceptent encore le login root par mot de passe.
Hardening des services
$ apache2ctl -M && php -i && mysql -V
Revue de la configuration Apache/Nginx (modules inutiles, headers de sécurité, directory listing), PHP (expose_php, disable_functions, open_basedir), MySQL/MariaDB (accès réseau, utilisateurs, privilege escalation). Chaque service a ses pièges , on les connaît tous.
Vérification des sauvegardes
$ borg list + borg check --verify-data
Test d'intégrité des sauvegardes existantes, vérification de la politique de rétention, test de restauration réel sur environnement isolé. 4 serveurs sur 10 qu'on audite ont des sauvegardes qui échouent silencieusement depuis des semaines. Un PRA qui fonctionne commence ici.
Analyse des logs
$ journalctl + auth.log + syslog
Analyse des patterns dans auth.log (tentatives de brute-force, connexions suspectes), syslog (erreurs récurrentes, services qui crashent), access.log (scans automatisés, injections SQL, path traversal). Les logs racontent l'histoire de votre serveur. Personne ne la lit, nous, si.
Scan CVE + rootkits
$ rkhunter + chkrootkit + CVE scan
Recherche de rootkits avec rkhunter et chkrootkit, détection de malware avec ClamAV, scan des paquets installés contre les bases CVE. Chaque vulnérabilité identifiée est documentée avec son score CVSS, son impact et sa remédiation. Zéro jargon inutile.
Rapport + Plan de remédiation
$ generate-report --executive --technical
Deux documents en un : un résumé exécutif pour la direction (risques, impacts business, budget de remédiation) et un rapport technique détaillé (preuves, captures, commandes à exécuter). Chaque faille classée Critique / Haute / Moyenne / Faible avec un plan d'action priorisé.
Le rapport d'audit : un document qui fait bouger les choses
La plupart des rapports de sécurité finissent dans un tiroir. Le nôtre est conçu pour déclencher des actions. Pas 200 pages de jargon technique : un document structuré que votre direction comprend et que votre équipe technique peut exécuter immédiatement.
Le résumé exécutif tient sur 2 pages. Score de sécurité global, nombre de failles par niveau de criticité, les 3 risques les plus urgents en langage business ("si cette faille est exploitée, votre base clients de 12 000 comptes est exposée"), et le budget estimé pour tout corriger. C'est ce que vous montrez à votre assureur, à votre DPO, à votre comité de direction.
Le rapport technique détaille chaque vulnérabilité : description, preuve (capture d'écran ou sortie de commande), score CVSS, impact potentiel, et surtout la procédure de correction étape par étape. Votre équipe interne peut appliquer les correctifs. Ou vous pouvez nous confier la sécurisation complète du serveur , on sait exactement quoi faire puisqu'on vient de tout cartographier.
Le plan de remédiation priorisé classe les actions par ordre d'urgence. Les failles critiques exploitables immédiatement en premier. Les améliorations de hardening ensuite. Les optimisations de conformité en dernier. Avec une estimation du temps de correction pour chaque point. Vous savez exactement par où commencer.
3 audits, 3 découvertes que personne n'attendait
Cabinet comptable, 2 serveurs Ionos. L'audit a révélé un accès SSH root actif avec le mot de passe par défaut de l'hébergeur, inchangé depuis 3 ans. Le serveur avait été compromis silencieusement : un cryptominer tournait en arrière-plan, consommant 40 % du CPU. Lynis score initial : 38/100. 147 paquets avec des CVE connues, dont 12 critiques. Le prestataire précédent avait installé le serveur et ne l'avait plus jamais touché.
E-commerce mode, dédié OVH Advance-2. L'audit réseau a montré que le port MySQL 3306 était ouvert sur Internet , la base clients de 12 000 comptes (emails, adresses, historiques d'achat) était accessible sans authentification depuis n'importe quelle IP. Le prestataire précédent avait ouvert le port "pour les tests" 18 mois plus tôt et ne l'avait jamais refermé. Nmap a trouvé 7 ports inutilement exposés, dont Redis sans mot de passe.
Startup SaaS, infrastructure Scaleway multi-serveurs. Tout semblait propre de l'extérieur. L'audit interne a révélé 147 paquets avec des CVE critiques, des clés API en clair dans des fichiers de config accessibles par le serveur web, zéro segmentation réseau entre production et staging, et rkhunter a détecté des fichiers suspects dans /tmp. L'analyse des logs auth.log a montré des connexions SSH depuis une IP ukrainienne , avec succès.
Questions fréquentes : Audit sécurité serveur
Notre serveur fonctionne bien. Pourquoi payer un audit ?
"Ça fonctionne" et "c'est sécurisé" sont deux choses différentes. Un serveur compromis par un cryptominer fonctionne aussi, il est juste 40 % plus lent. Un serveur avec une base de données exposée sur Internet fonctionne, jusqu'à ce que quelqu'un la télécharge. 78 % des serveurs qu'on audite présentent au moins une faille critique. L'audit est le seul moyen de savoir si vous faites partie des 22 % restants , ou des 78 % qui l'ignorent encore.
Combien coûte un audit et combien de temps ça prend ?
Le premier audit est offert , on vous montre ce qui est exposé avant de vous proposer quoi que ce soit. Un audit standard complet prend 3 à 5 jours ouvrés selon la complexité de l'infrastructure. Pour un serveur unique avec stack LAMP/LEMP, comptez 3 jours. Pour du multi-serveurs, 5 jours. Le rapport est livré sous 72h après la fin de l'analyse. Mettez ça en perspective : un incident de sécurité coûte en moyenne 50 000 € à une PME. L'audit est l'investissement le plus rentable que vous ferez cette année.
Est-ce que l'audit provoque des interruptions de service ?
Non. Nos audits sont conçus pour être non intrusifs. Les scans nmap et Lynis sont calibrés pour ne pas surcharger vos serveurs. L'analyse de configuration se fait en lecture seule. Aucun fichier modifié, aucun service redémarré, aucune donnée touchée pendant l'audit. Votre activité continue normalement , vos utilisateurs ne remarquent rien.
On a déjà un prestataire infogérance. Quel intérêt de faire un audit externe ?
Un regard extérieur détecte ce que l'habitude masque. Votre prestataire gère le quotidien , et c'est bien. Mais un audit indépendant vérifie objectivement si les bonnes pratiques sont appliquées, si les configurations ont dérivé avec le temps, et si des angles morts se sont installés. 80 % de nos audits trouvent des failles sur des serveurs "gérés". Ce n'est pas un reproche envers votre prestataire, c'est un contrôle qualité indispensable. Même les avions bien entretenus passent des inspections régulières.
Que se passe-t-il après l'audit ? On se retrouve seul avec un PDF ?
Non. Le rapport est conçu pour être actionnable immédiatement. Votre équipe technique peut appliquer chaque correctif grâce aux procédures étape par étape. Mais si vous préférez nous confier la remédiation, on connaît déjà votre serveur par coeur , on l'a ausculté pendant 3 à 5 jours. Sécurisation complète, mise en place du monitoring, ou construction d'un PRA solide : on peut enchaîner directement. La plupart de nos clients le font , parce que le rapport leur montre exactement pourquoi c'est urgent.
Après l'audit : les services pour passer à l'action
Sécurisation serveur
On applique les recommandations de l'audit. Hardening nftables, fail2ban, SSH durci, mises à jour automatiques, WAF ModSecurity. Votre score Lynis passe de 50 à 85+ en moins d'une semaine.
En savoir plusSupervision & Monitoring 24/7
Détection d'intrusion en temps réel avec Zabbix, alertes intelligentes, tableau de bord de santé. On surveille pour que les failles corrigées ne reviennent pas , et on détecte les nouvelles.
En savoir plusPlan de Reprise d'Activité
L'audit révèle souvent des failles dans la stratégie de sauvegarde. On construit un PRA avec borgbackup chiffré, tests de restauration automatisés, et procédure de bascule documentée.
En savoir plusPremier audit offert, découvrez ce que les hackers voient déjà
On scanne votre serveur, on identifie chaque faille, chaque sauvegarde défaillante, chaque porte ouverte , et on vous livre un rapport clair sous 72h. Gratuit. Sans engagement. Parce que la meilleure façon de vous convaincre, c'est de vous montrer ce qu'on trouve.
Réponse sous 24h · Diagnostic offert · Sans engagement