Cybersecurite TPE
Test d'intrusion gratuit pour TPE : les outils en ligne
Les outils gratuits pour tester la securite de ton site web et de tes services en ligne. Scan de vulnerabilites accessible.
Un vrai test d'intrusion (pentest) coute 3 000-10 000 EUR. Mais tu peux scanner ton site web et tes services en ligne gratuitement pour identifier les vulnerabilites les plus courantes.
Les outils gratuits
1. Mozilla Observatory
- URL : observatory.mozilla.org
- Ce que ca teste : headers de securite HTTP (HTTPS, CSP, HSTS, X-Frame-Options).
- Resultat : une note de A+ a F avec les recommandations.
- Temps : 10 secondes.
2. SSL Labs
- URL : ssllabs.com/ssltest
- Ce que ca teste : la configuration SSL/TLS de ton site (certificat, protocoles, chiffrement).
- Resultat : une note de A+ a F.
- Temps : 1-2 minutes.
3. SecurityHeaders.com
- URL : securityheaders.com
- Ce que ca teste : les headers de securite HTTP.
- Resultat : une note coloree avec les headers manquants.
- Temps : 5 secondes.
4. Shodan
- URL : shodan.io
- Ce que ca teste : les ports ouverts et les services exposes sur ton IP.
- Resultat : liste des ports et services detectes.
- Utile pour verifier que tu n'exposes pas de services non voulus (FTP, SSH, base de donnees).
5. Have I Been Pwned
- URL : haveibeenpwned.com
- Ce que ca teste : si tes adresses email apparaissent dans des fuites de donnees connues.
- Resultat : liste des fuites ou ton email a ete trouve.
- Action : si une fuite est detectee, change le mot de passe du service concerne.
Le scan en 15 minutes
- Teste ton site sur Mozilla Observatory (2 min).
- Teste ton SSL sur SSL Labs (2 min).
- Teste tes headers sur SecurityHeaders.com (1 min).
- Cherche ton domaine sur Shodan (5 min).
- Verifie tes emails sur Have I Been Pwned (5 min).
Que faire des resultats
- Note A/A+ : tout va bien. Reviens dans 6 mois.
- Note B/C : des ameliorations faciles. Ajoute les headers manquants.
- Note D/F : des failles a corriger rapidement. Si tu ne sais pas comment, fais appel a un prestataire.
Limites
Ces outils testent la surface visible (site web, email). Ils ne testent pas :
- les applications internes ;
- les postes de travail ;
- le reseau local ;
- les comportements humains (phishing).
Pour un test plus complet, fais l'audit de securite gratuit en 1h.
CTA
Pour une securite complete, consulte la checklist cybersecurite TPE.
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.