Quand parler d'application web plutôt que de site web
Une application web commence dès qu'un utilisateur peut se connecter, envoyer des données sensibles, consulter un espace client, payer, télécharger un document, modifier un statut ou appeler une API. Le risque devient plus fort qu'un simple site vitrine, parce qu'une erreur peut toucher des comptes, des données clients ou des transactions.
Pour une PME, ces applications sont souvent construites progressivement : un back-office ajouté, un module paiement, un espace client, une API pour un prestataire, puis des exports. Chaque ajout augmente la surface d'attaque si les rôles, accès et données ne sont pas revus.
Ce qu'un audit application web doit couvrir
- authentification, réinitialisation de mot de passe, sessions et MFA si disponible ;
- rôles, permissions, séparation client/admin et accès prestataires ;
- formulaires, uploads, exports, fichiers accessibles et données sensibles ;
- API publiques ou privées, endpoints oubliés, tokens et clés ;
- hébergement, logs, sauvegardes, dépendances et capacité de correction.
Les risques les plus fréquents en PME
Les problèmes les plus coûteux ne sont pas toujours les plus complexes. Un compte admin partagé, une page de test ouverte, une API sans contrôle suffisant, un export accessible, une absence de journalisation ou des droits utilisateurs trop larges peuvent suffire à exposer l'entreprise.
Un audit utile évite de produire une liste théorique. Il met en face chaque risque une conséquence lisible : accès client possible, fuite de données, modification non autorisée, interruption du service, fraude ou impossibilité de comprendre un incident.
Pourquoi l'accès temporaire change la qualité de l'audit
Une analyse externe permet d'identifier l'exposition visible. Mais pour vérifier les rôles, les comptes, les données, les logs et la configuration réelle, un accès temporaire contrôlé est souvent nécessaire. Cet accès peut être limité, révoqué après mission, ou remplacé par une prise en main à distance selon le contexte.
Le périmètre doit être écrit avant l'audit : domaines, application, comptes de test, actions autorisées, limites, données à ne pas toucher et contacts techniques. Cette étape protège l'entreprise et rend le rapport plus fiable.
FAQ
Est-ce adapté à une application maison ?
Oui, surtout si l'application traite des comptes, données clients, paiements, documents ou actions métiers importantes.
Faut-il donner un accès administrateur ?
Pas forcément. Un compte de test ou une prise en main peut suffire pour cadrer certaines vérifications. Les accès élevés doivent être temporaires et validés.
Le patch est-il inclus ?
L'audit produit le diagnostic et le plan. Les corrections peuvent être traitées ensuite, selon les accès, le périmètre et la pile technique.