Votre application web est peut-être plus exposée que vous ne le pensez
En 2026, la majorité des sites contiennent des vulnérabilités exploitables — souvent introduites par IA générative ou sous-traitance. Je les trouve avant que quelqu'un d'autre ne le fasse.
Les failles les plus critiques ne viennent pas d'attaques sophistiquées. Elles viennent de tokens exposés, de CORS mal configuré, d'authentification défaillante — des erreurs classiques, invisibles pour un non-spécialiste.
Pourquoi c'est urgent en 2026
L'IA générative et la sous-traitance offshore ont accéléré la production de code. Résultat : des applications fonctionnelles, mais souvent trouées en sécurité.
L'IA produit du code fonctionnel, rarement sécurisé
Les LLMs génèrent du code qui passe les tests fonctionnels, mais peuvent inclure des injections SQL non protégées, des secrets dans le code source, des endpoints sans authentification.
Les devs offshore ignorent parfois les standards RGPD européens
Un code livré sans connaissance des obligations de protection des données personnelles expose votre entreprise — pas le développeur.
Les PME sont des cibles faciles
Un scan automatisé identifie vos failles en secondes. Les attaquants cherchent les cibles les moins protégées, pas les plus connues.
Pour qui ?
Je travaille avec des structures de toutes tailles, à distance, depuis n'importe où en France.
E-commerces & boutiques en ligne
Votre boutique gère des données de paiement et des données personnelles. Une faille peut entraîner une violation RGPD, une perte de confiance client et des pénalités.
PME avec un site ou une app métier
Vous utilisez une application développée par un prestataire précédent et ne savez pas si elle est sécurisée. L'audit vous donne une vision claire de votre état réel.
Agences qui livrent des projets clients
Vous développez pour vos clients et voulez valider la sécurité avant la mise en ligne. Audits pré-livraison en sous-traitance, livrés sous 5 jours.
SaaS & startups avec des utilisateurs
Vos utilisateurs vous confient leurs données. Un audit régulier garantit que votre plateforme reste sécurisée au fil des mises à jour.
Ce que j'audite
Six domaines couverts systématiquement, pour chaque mission.
Surface d'attaque côté client
Tokens et clés API exposés dans le JS public, headers HTTP manquants (CSP, HSTS), CORS trop permissif, cookies sans flags sécurisés.
Authentification & gestion des sessions
Protection contre le brute force, JWT mal configurés, sessions non invalidées après logout, absence de 2FA sur les comptes sensibles.
Injections & entrées utilisateur
SQL injection, XSS réfléchi ou stocké, validation insuffisante côté serveur des données envoyées par le client.
Contrôle d'accès & autorisations
Accès aux données d'autres utilisateurs par manipulation d'identifiants, endpoints admin sans authentification, escalade de privilèges.
Configuration & gestion des secrets
Mode debug en production, secrets dans le code source, dépendances avec CVE critiques non patchées, erreurs techniques exposées.
RGPD & Privacy by Design
Collecte sans consentement, données personnelles dans les URLs ou logs, droits utilisateurs non implémentés (accès, rectification, suppression).
Le référentiel OWASP Top 10
L'OWASP est l'organisation de référence mondiale sur la sécurité des applications web. Mon audit couvre l'intégralité du référentiel Top 10 · édition 2025.
Comment se déroule un audit
4 étapes · 100% remote · Sans accès à votre infrastructure.
Étape 1
Étape 1
Cadrage en visio — gratuit, 30 min
Un appel pour comprendre votre application, sa stack, les zones sensibles (paiements, données utilisateurs, accès admin). Je définis le périmètre et vous envoie un devis précis sous 24h.
Étape 2
Étape 2
Audit passif & reconnaissance
J'audite votre application en tant que visiteur externe : trafic réseau, headers HTTP, code JavaScript public, réponses d'API, comportement des formulaires. Tout se fait en remote, sans accès à votre infrastructure.
Étape 3
Étape 3
Analyse approfondie (optionnelle)
Si vous m'accordez un accès lecture au code source (GitHub / GitLab), l'audit va plus loin : revue de la logique métier, des configurations, des dépendances, de l'architecture d'authentification.
Étape 4
Étape 4
Rapport de findings
Rapport PDF confidentiel livré chiffré par email en 3 à 5 jours ouvrés, suivi d'une présentation en visio de 30 min pour parcourir les findings ensemble et répondre à vos questions.
Ce que contient le rapport livré
Un PDF confidentiel, livré chiffré, avec le mot de passe communiqué séparément par lien à usage unique.
| Criticité | Finding |
|---|---|
| CRITIQUE | Injection SQL dans /api/search |
| CRITIQUE | Token JWT exposé dans localStorage |
| ÉLEVÉ | CORS permissif — origine * |
| ÉLEVÉ | IDOR sur /orders/{id} |
| MOYEN | Headers CSP absents |
| FAIBLE | Version serveur exposée (Nginx 1.18) |
Tarifs
Tous les audits incluent : rapport PDF chiffré, présentation visio des findings, questions illimitées 15 jours après livraison.
Audit Express
Idéal pour un site vitrine, une landing page ou une application simple.
- Surface d'attaque côté client (tokens, headers, CORS)
- Revue des configurations de base
- Analyse du JavaScript public exposé
- Rapport PDF avec 5 à 15 findings priorisés
- Présentation des résultats en visio (30 min)
Audit Complet PME
Idéal pour un e-commerce, un SaaS ou une application avec données utilisateurs.
- Tout l'Audit Express
- Authentification & gestion des sessions
- Contrôle d'accès & autorisations
- Injections (SQL, XSS, CSRF)
- Analyse des dépendances (CVE)
- Recommandations RGPD / Privacy by Design
- Rapport complet + roadmap priorisée
- Présentation des résultats en visio (45 min)
Audit + Correction
Idéal pour une urgence sécurité ou une faille critique identifiée.
- Audit Complet PME inclus
- Correction des vulnérabilités dans le code
- Tests de non-régression après correction
- Documentation des changements
- Suivi 30 jours post-livraison
+ Revue de code source (stack React / Next.js / TypeScript / JavaScript) — en option, sur devis selon le volume de code à auditer.
Ce que je couvre — et ce que je ne couvre pas encore
Pour les missions avancées (intrusion réseau, red team), ces prestations requièrent des certifications spécifiques (OSCP) — c'est ma trajectoire. Si votre besoin dépasse le périmètre applicatif, je vous orienterai vers un prestataire qualifié PASSI.
✓Ce que je couvre
- Failles OWASP Top 10 côté applicatif web
- Mauvaises configurations et expositions côté client
- Revue de code (stack React / Next.js / TypeScript / JavaScript) — en option, sur devis
- Recommandations RGPD techniques
✗Pas encore — en cours de certification
- ✗Pentest réseau et infrastructure
- ✗Tests d'ingénierie sociale (phishing, vishing)
- ✗Audit matériel ou embarqué
Questions fréquentes
Oui. Les petits sites sont souvent les plus vulnérables parce que leurs propriétaires pensent ne pas être des cibles. Les attaques automatisées scannent des millions de sites simultanément — elles ne ciblent pas, elles cherchent des failles.
Oui, l'intégralité de l'audit se fait en remote. Je n'ai pas besoin d'accès physique à votre infrastructure. Le cadrage se fait en visio, l'analyse est faite depuis mon poste, le rapport est livré par email chiffré.
Pas obligatoirement. L'audit "boîte noire" (sans accès au code) est déjà très informatif. Si vous souhaitez un audit plus profond, un accès lecture au repo suffit. Je signe un NDA si nécessaire.
Je vous contacte immédiatement (avant la fin de l'audit), en visio ou par message sécurisé, pour vous informer de la criticité. Vous pouvez agir en urgence avant la livraison du rapport complet.
Oui — je recommande un audit annuel ou semestriel pour les SaaS et e-commerces qui évoluent régulièrement. Je propose des forfaits de suivi récurrent à tarif préférentiel.
Votre application est peut-être plus exposée que vous ne le pensez
La seule façon de le savoir, c'est de regarder.
Robin Lebon — Développeur Full-Stack & Consultant Sécurité Applicative · La Forge Numérique · Full Remote · France entière