Audit sécurité informatique gratuit en ligne — Virtuozia
En bref : Un audit de sécurité informatique gratuit en ligne permet d’identifier les vulnérabilités exposées d’un système d’information sans investissement initial — des outils comme Shodan, VirusTotal, SSL Labs, Have I Been Pwned et les scanners de ports en ligne couvrent les vérifications les plus fréquentes pour les PME et les particuliers.En 2026, les outils d’audit gratuits couvrent cinq domaines essentiels : la sécurité des sites web (certificats SSL, en-têtes HTTP, CMS), l’exposition réseau (ports ouverts, services exposés), la compromission des données (fuites de credentials), la sécurité des e-mails (SPF, DKIM, DMARC) et la réputation des adresses IP et domaines.Un audit gratuit en ligne constitue un premier niveau de diagnostic précieux mais ne remplace pas un audit professionnel complet — il identifie les vulnérabilités visibles de l’extérieur sans accès à l’infrastructure interne.
Audit sécurité informatique gratuit en ligne : outils et méthode 2026
Un audit de sécurité informatique est une évaluation systématique des vulnérabilités d’un système d’information — site web, infrastructure réseau, serveur, messagerie — qui identifie les failles susceptibles d’être exploitées par des attaquants. Si les audits professionnels complets nécessitent des compétences et un budget significatifs, un ensemble d’outils gratuits accessibles en ligne permet de réaliser un premier niveau d’évaluation qui révèle souvent des vulnérabilités critiques facilement corrigeables. Ce guide présente la méthode et les outils pour réaliser soi-même un audit de sécurité informatique gratuit en ligne en 2026, sans compétences techniques avancées.
- Périmètre et limites d’un audit de sécurité gratuit en ligne
- Audit de sécurité d’un site web : SSL, en-têtes HTTP et CMS
- Audit de l’exposition réseau : ports ouverts et services exposés
- Audit de la sécurité email : SPF, DKIM et DMARC
- Questions fréquentes — audit sécurité informatique gratuit en ligne
Périmètre et limites d’un audit de sécurité gratuit en ligne
Avant de commencer un audit de sécurité informatique gratuit en ligne, il est essentiel de comprendre ce que ces outils peuvent et ne peuvent pas révéler. Cette compréhension permet de calibrer les attentes et d’identifier les étapes suivantes nécessaires.
Un audit de sécurité gratuit en ligne est par nature un audit « boîte noire » — il évalue ce qu’un attaquant externe peut voir et exploiter sans accès préalable au système. Il couvre les vulnérabilités visibles depuis internet : ports ouverts, services exposés sans authentification, certificats SSL expirés ou mal configurés, en-têtes HTTP de sécurité absents, identifiants et mots de passe divulgués dans des fuites de données publiques, configurations de messagerie manquantes (SPF, DKIM, DMARC), versions de logiciels serveur obsolètes exposées dans les bannières de service.
Ce que les outils gratuits en ligne ne peuvent pas révéler : les vulnérabilités internes à l’infrastructure non exposées sur internet, les failles applicatives nécessitant une authentification (IDOR, injections SQL dans des zones authentifiées, escalades de privilèges internes), les problèmes de configuration système visibles uniquement depuis l’intérieur du réseau, et les risques humains (ingénierie sociale, phishing ciblé). Ces dimensions nécessitent un audit professionnel avec accès à l’infrastructure, généralement mené par un prestataire PRIS — Prestataire de Réponse aux Incidents de Sécurité — qualifié par l’ANSSI.
⚠️ Point de vigilance
Un audit de sécurité ne doit être réalisé que sur des systèmes dont vous êtes propriétaire ou pour lesquels vous avez une autorisation écrite explicite du propriétaire. Scanner les ports ou tester les vulnérabilités d’un système sans autorisation constitue une infraction pénale en France (article 323-1 du Code pénal — accès frauduleux à un système de traitement automatisé de données) passible de 2 ans d’emprisonnement et 60 000 € d’amende. Cette disposition s’applique même si vous n’exploitez pas les vulnérabilités découvertes — le simple fait de sonder un système sans autorisation peut être constitutif d’une infraction.
La méthode d’audit en cinq phases
Un audit de sécurité informatique gratuit en ligne structuré suit cinq phases séquentielles. La reconnaissance passive — collecte d’informations publiquement accessibles sans interaction directe avec le système : WHOIS, DNS, certificats SSL, archives web. La cartographie de la surface d’attaque — identification des services exposés, des technologies utilisées et des points d’entrée potentiels. La détection des vulnérabilités — vérification des configurations de sécurité connues : en-têtes HTTP, version TLS, enregistrements DNS de messagerie. La vérification des compromissions — recherche dans les bases de données de fuites connues. La priorisation et le plan de remédiation — classement des vulnérabilités par criticité et planification des corrections.
Audit de sécurité d’un site web : SSL, en-têtes HTTP et CMS
Le site web est souvent le premier vecteur d’attaque et le premier point d’évaluation dans un audit de sécurité informatique. Plusieurs outils gratuits en ligne permettent d’évaluer sa configuration de sécurité en quelques minutes.
SSL Labs : tester la configuration HTTPS
SSL Server Test de Qualys SSL Labs (ssllabs.com/ssltest) est la référence mondiale pour évaluer la configuration SSL/TLS d’un site web. Il analyse en profondeur le certificat SSL, les protocoles supportés (TLS 1.0, 1.1, 1.2, 1.3), les suites de chiffrement proposées, la configuration HSTS — HTTP Strict Transport Security — et détecte les vulnérabilités connues de l’implémentation TLS (BEAST, POODLE, Heartbleed, DROWN, ROBOT). Le rapport produit une note globale de A+ à F et détaille chaque aspect de la configuration avec des recommandations de correction précises. Un site sécurisé doit atteindre au minimum la note A — la note A+ est réservée aux configurations qui activent HSTS avec preloading. Un score inférieur à B révèle des problèmes de configuration TLS qui doivent être corrigés en priorité car ils exposent les communications entre le serveur et les navigateurs à des attaques de type man-in-the-middle.
Security Headers : vérifier les en-têtes HTTP de sécurité
Security Headers (securityheaders.com) analyse les en-têtes HTTP renvoyés par votre serveur web et note leur configuration de sécurité. Les en-têtes HTTP de sécurité sont des directives envoyées par le serveur au navigateur qui lui indiquent comment se comporter face à certains risques. Les principaux en-têtes vérifiés sont le Content-Security-Policy — CSP — qui définit les sources depuis lesquelles le navigateur est autorisé à charger des ressources, protégeant contre les attaques XSS — Cross-Site Scripting — ; le X-Frame-Options qui empêche l’inclusion de votre site dans un iframe sur d’autres domaines, protégeant contre le clickjacking ; le X-Content-Type-Options qui empêche le navigateur d’interpréter des fichiers comme un type MIME différent de celui déclaré ; le Permissions-Policy qui contrôle l’accès aux API du navigateur (caméra, microphone, géolocalisation) ; et le Referrer-Policy qui contrôle les informations envoyées dans l’en-tête Referer lors des navigations. L’absence de ces en-têtes est l’une des vulnérabilités les plus fréquentes sur les sites web d’entreprise, corrigeable en quelques lignes de configuration sur le serveur web (Apache, Nginx).
Mozilla Observatory : l’audit web complet
Mozilla Observatory (observatory.mozilla.org) est un outil d’audit de sécurité web gratuit développé par Mozilla qui combine l’analyse des en-têtes HTTP, la configuration TLS, les cookies de sécurité et les redirections. Son rapport est particulièrement pédagogique : pour chaque point de sécurité évalué, il indique le résultat (réussite ou échec), la sévérité du problème en cas d’échec, et un lien vers la documentation explicative. Il est idéal pour les responsables IT non spécialisés en sécurité qui souhaitent comprendre les problèmes identifiés et pas seulement les lister. La note globale (A à F) et le score sur 100 permettent de comparer l’évolution de la sécurité dans le temps après chaque correction.
WPScan et Detectify : auditer un CMS WordPress
Pour les sites construits sur WordPress — qui représentent 43 % du web mondial — des outils spécialisés permettent d’identifier les vulnérabilités spécifiques à cette plateforme. WPScan (wpscan.com) propose une version en ligne gratuite qui identifie la version de WordPress installée, les plugins et thèmes actifs avec leurs versions, et les vulnérabilités connues pour chacun d’eux en les croisant avec la base de données WPScan Vulnerability Database. Les plugins non mis à jour sont la principale source de vulnérabilités sur les sites WordPress — plus de 90 % des compromissions WordPress sont liées à des plugins ou des thèmes vulnérables, pas au cœur WordPress lui-même. IsItWP et WordPress Version Checker permettent également d’identifier la version de WordPress exposée dans les métadonnées du site, information qui aide les attaquants à cibler des vulnérabilités connues pour cette version.
VirusTotal : scanner les URLs et les fichiers suspects
VirusTotal (virustotal.com) est la référence mondiale pour l’analyse de fichiers et d’URLs avec plus de 70 moteurs antivirus simultanément. Dans le contexte d’un audit de sécurité web, il permet de vérifier si votre domaine ou votre adresse IP est référencé dans des listes noires de sécurité — ce qui indiquerait que votre site a été compromis et utilisé pour distribuer des malwares ou mener des campagnes de phishing. Entrez simplement l’URL de votre site dans l’interface VirusTotal : si un ou plusieurs moteurs le signalent comme malveillant, votre site est probablement compromis et doit faire l’objet d’une analyse approfondie de ses fichiers et de sa base de données. Google Safe Browsing et URLVoid offrent des vérifications similaires contre les listes noires de références.
🔍 Analyse
L’audit de sécurité web révèle fréquemment trois catégories de vulnérabilités dans les PME françaises. Les en-têtes HTTP de sécurité manquants (Content-Security-Policy, X-Frame-Options) — absents de plus de 60 % des sites PME selon les analyses SecurityHeaders — sont les plus faciles à corriger (quelques lignes dans la configuration Apache ou Nginx) pour le meilleur impact immédiat. Les certificats TLS mal configurés (support de TLS 1.0/1.1 obsolètes, suites de chiffrement faibles) sont souvent liés à des hébergeurs ou des configurations anciennes non mises à jour. Les CMS avec plugins non mis à jour sont les plus critiques car ils peuvent permettre une prise de contrôle complète du site sans aucune authentification préalable.
Audit de l’exposition réseau : ports ouverts et services exposés
L’exposition réseau — les services accessibles depuis internet — est l’une des premières informations qu’un attaquant collecte lors de la phase de reconnaissance. Des outils gratuits permettent de voir votre infrastructure telle qu’un attaquant la perçoit.
Shodan : le moteur de recherche des appareils connectés
Shodan (shodan.io) est un moteur de recherche qui indexe en permanence les appareils connectés à internet — serveurs, routeurs, caméras IP, NAS, systèmes industriels SCADA — et les services qu’ils exposent. En recherchant votre adresse IP ou votre nom de domaine dans Shodan, vous obtenez une vue de ce que vos équipements exposent sur internet : ports ouverts, bannières de service (qui révèlent les logiciels et leurs versions), certificats SSL et parfois des informations de configuration sensibles. Le plan gratuit de Shodan permet des recherches limitées ; les informations sur vos propres systèmes sont accessibles sans abonnement en saisissant directement votre adresse IP. Si Shodan révèle des services inattendus — un service RDP (port 3389) exposé sur internet, un accès phpMyAdmin public, un service Telnet non sécurisé — ce sont des priorités de correction immédiates.
Nmap Online et les scanners de ports en ligne
Nmap — Network Mapper — est l’outil de scan de ports le plus utilisé au monde. Des interfaces web gratuites permettent d’effectuer des scans Nmap basiques sans installation : HackerTarget.com, Pentest-Tools.com (version gratuite limitée) et DNSdumpster proposent des scans de ports en ligne. Ces outils identifient les ports TCP ouverts sur votre serveur et les services qui y écoutent. Les ports les plus fréquemment vérifiés dans un audit de sécurité sont le 22 (SSH), 23 (Telnet — ne devrait jamais être exposé), 80/443 (HTTP/HTTPS), 3389 (RDP — Remote Desktop Protocol, ne devrait pas être directement exposé sur internet), 3306 (MySQL — ne devrait pas être accessible depuis internet), 5432 (PostgreSQL), 8080/8443 (serveurs d’application alternatifs). Tout port ouvert non justifié par un usage explicite représente une surface d’attaque à réduire.
Have I Been Pwned : vérifier les fuites de credentials
Have I Been Pwned (haveibeenpwned.com) est la base de données de référence des fuites de données, maintenue par le chercheur en sécurité Troy Hunt. Elle recense plus de 13 milliards de combinaisons e-mail/mot de passe issus de milliers de violations de données documentées. En entrant une adresse e-mail professionnelle ou le domaine de l’entreprise, vous obtenez la liste des fuites de données dans lesquelles ces identifiants ont été compromis. La vérification par domaine — disponible en créant un compte gratuit et en vérifiant la propriété du domaine — permet aux organisations de savoir si des adresses e-mail de leurs collaborateurs ont été compromises dans des fuites tierces. Cette information est critique car les attaques de credential stuffing — test automatisé de combinaisons login/mot de passe issus de fuites sur d’autres services — exploitent précisément ces données pour accéder aux comptes professionnels.
Censys et FOFA : l’exposition des actifs numériques
Censys (search.censys.io) est une alternative à Shodan qui propose une recherche par domaine ou adresse IP avec des informations sur les certificats SSL et les services exposés. Il est particulièrement utile pour identifier tous les sous-domaines et actifs numériques d’une organisation — des ressources parfois oubliées par les équipes IT qui constituent des vecteurs d’attaque non surveillés. DNSdumpster (dnsdumpster.com) complète cette analyse en cartographiant les enregistrements DNS d’un domaine — sous-domaines, enregistrements MX, NS, TXT — pour identifier l’ensemble de la surface d’attaque exposée via le DNS.
Audit de la sécurité email : SPF, DKIM et DMARC
La configuration de la messagerie est un vecteur d’attaque majeur souvent négligé dans les audits de sécurité des PME. L’absence de configurations SPF, DKIM et DMARC expose l’organisation à l’usurpation d’identité par email — des attaquants peuvent envoyer des emails semblant provenir de votre domaine pour mener des campagnes de phishing ciblant vos clients, partenaires ou collaborateurs.
SPF, DKIM et DMARC : comprendre les trois piliers
Le SPF — Sender Policy Framework — est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails au nom de votre domaine. Sans SPF, n’importe quel serveur dans le monde peut envoyer des emails se réclamant de votre domaine. Le DKIM — DomainKeys Identified Mail — ajoute une signature cryptographique aux emails sortants, permettant aux serveurs de réception de vérifier que l’email n’a pas été modifié en transit et provient bien d’un serveur autorisé. Le DMARC — Domain-based Message Authentication, Reporting and Conformance — est la politique globale qui indique aux serveurs de réception quoi faire des emails qui échouent les vérifications SPF et DKIM (les ignorer, les mettre en quarantaine ou les rejeter) et génère des rapports permettant à l’organisation de surveiller les tentatives d’usurpation.
Les outils de vérification de la messagerie
MXToolbox (mxtoolbox.com) est l’outil de référence pour auditer la configuration email. Sa suite gratuite inclut la vérification SPF (recherche l’enregistrement SPF et valide sa syntaxe), la vérification DKIM (teste la signature sur un email de test), la vérification DMARC (analyse la politique DMARC et ses options), la vérification des listes noires (vérifie si votre adresse IP ou domaine est référencé dans une liste noire de spam), et la vérification des serveurs MX. Mail-tester.com permet d’envoyer un email de test depuis votre messagerie vers une adresse générée et d’obtenir un score sur 10 avec une analyse détaillée des problèmes de configuration. DMARC Analyzer et Dmarcian proposent des outils gratuits d’analyse des rapports DMARC pour identifier les sources d’envoi non autorisées utilisant votre domaine.
Checklist de sécurité email complète
| Vérification | Outil gratuit | Criticité | Impact si absent |
|---|---|---|---|
| Enregistrement SPF | MXToolbox SPF Check | Critique | Usurpation d’identité email possible |
| Signature DKIM | Mail-tester.com | Élevée | Emails modifiables en transit sans détection |
| Politique DMARC | MXToolbox DMARC | Élevée | Pas de politique de rejet/quarantaine |
| Listes noires IP/domaine | MXToolbox Blacklist | Élevée | Emails rejetés par les destinataires |
| Score de délivrabilité | Mail-tester.com | Modérée | Emails en spam, image de marque dégradée |
| MX Records | MXToolbox MX Lookup | Modérée | Redondance et configuration des serveurs |
Récapitulatif complet des outils d’audit gratuits en ligne
| Outil | URL | Domaine d’audit | Ce qu’il détecte |
|---|---|---|---|
| SSL Labs | ssllabs.com/ssltest | HTTPS / TLS | Protocoles obsolètes, chiffrement faible, HSTS |
| Security Headers | securityheaders.com | En-têtes HTTP | CSP, X-Frame-Options, HSTS manquants |
| Mozilla Observatory | observatory.mozilla.org | Sécurité web globale | TLS + en-têtes + cookies + redirections |
| VirusTotal | virustotal.com | Réputation URL/domaine | Site compromis, listes noires malware |
| Have I Been Pwned | haveibeenpwned.com | Fuites de credentials | Emails compromis dans des fuites de données |
| Shodan | shodan.io | Exposition réseau | Services exposés, bannières, versions |
| MXToolbox | mxtoolbox.com | Messagerie / DNS | SPF, DKIM, DMARC, listes noires, MX |
| WPScan | wpscan.com | CMS WordPress | Plugins vulnérables, version WP exposée |
| DNSdumpster | dnsdumpster.com | DNS / sous-domaines | Cartographie DNS, sous-domaines exposés |
Conduire son audit : checklist opérationnelle complète
╔══════════════════════════════════════════════════════════════════╗
║ CHECKLIST AUDIT SÉCURITÉ INFORMATIQUE GRATUIT EN LIGNE ║
║ À réaliser sur vos propres systèmes uniquement ║
╚══════════════════════════════════════════════════════════════════╝
□ SITE WEB
□ SSL Labs (ssllabs.com/ssltest)
→ Note ≥ A, TLS 1.3 supporté, TLS 1.0/1.1 désactivés, HSTS actif
□ Security Headers (securityheaders.com)
→ Note ≥ A, CSP, X-Frame-Options, HSTS, Permissions-Policy présents
□ Mozilla Observatory (observatory.mozilla.org)
→ Score ≥ 70/100
□ VirusTotal — vérifier votre domaine
→ 0 détection malveillante
□ EXPOSITION RÉSEAU
□ Shodan — rechercher votre IP/domaine
→ Aucun port inattendu (3389, 3306, 5432, 23, 8080 non documentés)
□ Nmap online (HackerTarget.com)
→ Seuls les ports nécessaires sont ouverts
□ Censys / DNSdumpster — cartographie DNS
→ Tous les sous-domaines identifiés et légitimes
□ FUITES DE DONNÉES
□ Have I Been Pwned — domaine de l'entreprise
→ 0 email compromis idéalement / liste des comptes à sécuriser
□ HaveIBeenPwned — emails des administrateurs
→ Réinitialisation des mots de passe si compromis
□ MESSAGERIE
□ MXToolbox SPF Check — votre domaine
→ Enregistrement SPF présent et valide
□ Mail-tester.com — envoyer depuis votre messagerie
→ Score ≥ 9/10, DKIM signé, DMARC policy = reject ou quarantine
□ MXToolbox Blacklist Check — votre IP d'envoi
→ IP absente de toutes les listes noires
□ MXToolbox DMARC Check — votre domaine
→ Politique DMARC définie (p=quarantine ou p=reject)
□ CMS (si WordPress)
□ WPScan — votre URL
→ Aucun plugin/thème avec vulnérabilité critique connue
□ Version WordPress exposée dans le HTML
→ Idéalement masquée ou version à jour
□ APRÈS L'AUDIT
□ Classer les vulnérabilités par criticité (critique / haute / moyenne / faible)
□ Définir un plan de remédiation avec responsables et délais
□ Programmer un re-scan après correction de chaque vulnérabilité
□ Planifier un audit trimestriel pour les PME
✅ À retenir
Un audit de sécurité informatique gratuit en ligne réalisé avec les outils présentés prend entre deux et quatre heures pour une organisation de taille PME. Il identifie régulièrement des vulnérabilités critiques corrigeables sans compétences avancées : activation des en-têtes HTTP de sécurité (30 minutes de configuration Nginx/Apache), mise à jour des plugins WordPress vulnérables, désactivation des ports non utilisés, et mise en place de SPF/DKIM/DMARC. Ces corrections gratuites peuvent réduire de 60 à 80 % la surface d’attaque visible de l’extérieur. L’audit gratuit en ligne est le point de départ, pas l’aboutissement : pour une couverture complète des risques, il doit être complété par un audit interne (revue des configurations système et réseau) et, selon les enjeux, par un pentest professionnel réalisé par un prestataire PRIS qualifié ANSSI.
Questions fréquentes — audit sécurité informatique gratuit en ligne
Un audit de sécurité informatique gratuit en ligne est-il suffisant pour une PME ?
L’audit de sécurité gratuit en ligne est un point de départ indispensable mais insuffisant pour une PME qui prend la cybersécurité au sérieux. Il révèle les vulnérabilités visibles de l’extérieur — configuration TLS, en-têtes HTTP, services exposés, fuites de credentials — qui représentent souvent les failles les plus facilement exploitables et les plus simples à corriger. En revanche, il ne couvre pas les vulnérabilités internes (configuration des postes de travail, politiques de mot de passe, segmentation réseau, gestion des accès), les risques humains (sensibilisation au phishing, procédures de réponse aux incidents) ni les failles applicatives nécessitant une authentification. Pour une PME soumise à des exigences réglementaires (NIS2, HDS, DORA), un audit professionnel complet mené par un prestataire PRIS qualifié ANSSI est recommandé au moins annuellement.
Comment interpréter les résultats d’un scan SSL Labs ?
SSL Labs attribue une note de A+ à F selon plusieurs critères. La note A+ (idéale) nécessite un certificat valide, le support exclusif de TLS 1.2 et 1.3, des suites de chiffrement modernes uniquement, et HSTS activé avec preloading. La note A est acceptable pour la majorité des organisations. La note B indique généralement que TLS 1.0 ou 1.1 sont encore supportés (protocoles obsolètes à désactiver) ou que certaines suites de chiffrement faibles sont proposées. La note C ou inférieure révèle des problèmes sérieux — certificat auto-signé, support de SSL 3.0, clé RSA faible — qui doivent être corrigés en urgence. La section « Détails » du rapport SSL Labs précise exactement les configurations problématiques avec leurs scores partiels. La correction s’effectue dans la configuration du serveur web (directive ssl_protocols dans Nginx, SSLProtocol dans Apache).
Que faire si Have I Been Pwned révèle que des emails de mon entreprise ont été compromis ?
Si Have I Been Pwned révèle que des adresses email professionnelles sont présentes dans des fuites de données, trois actions immédiates s’imposent. Premièrement, identifiez les comptes compromis et demandez à ces collaborateurs de changer immédiatement leurs mots de passe — non seulement sur le service où la fuite s’est produite, mais sur tous les services où ils utilisent le même mot de passe ou un mot de passe similaire (réutilisation de mots de passe). Deuxièmement, activez l’authentification multifacteur (MFA) sur tous les accès critiques de ces comptes — messagerie professionnelle, VPN, outils métiers — car les identifiants volés peuvent être utilisés dans des attaques de credential stuffing même si le mot de passe a été changé sur le service d’origine. Troisièmement, vérifiez les journaux de connexion (logs d’authentification) des comptes compromis pour identifier d’éventuelles connexions suspectes antérieures à la découverte de la fuite.
Quelle est la fréquence recommandée pour un audit de sécurité informatique ?
La fréquence recommandée varie selon la taille de l’organisation, son secteur et son niveau d’exposition. Pour une PME standard, un audit de sécurité gratuit en ligne (checklist complète avec les outils présentés) devrait être réalisé au minimum trimestriellement, et systématiquement après chaque changement majeur d’infrastructure (migration de serveur, déploiement d’un nouveau service, changement de prestataire d’hébergement). Pour les organisations soumises à la directive NIS2 ou traitant des données sensibles (santé, finance), la réglementation impose des évaluations régulières — mensuellement pour la surveillance continue des vulnérabilités (scans automatisés), annuellement pour un audit complet par un prestataire qualifié. Pour tous, le monitoring continu des fuites de données (abonnement aux alertes Have I Been Pwned pour votre domaine) est une mesure de base qui ne nécessite aucun effort récurrent.
Réaliser un audit de sécurité informatique gratuit en ligne est à la portée de tout responsable IT ou dirigeant de PME conscient des enjeux cybersécurité en 2026. Les outils présentés dans ce guide — SSL Labs, Security Headers, Mozilla Observatory, VirusTotal, Have I Been Pwned, Shodan, MXToolbox — couvrent les cinq domaines de vulnérabilité les plus fréquemment exploités dans les incidents de sécurité qui touchent les organisations de taille petite et moyenne. En consacrant quelques heures à cet audit et quelques heures supplémentaires à corriger les vulnérabilités identifiées, une PME peut réduire significativement sa surface d’attaque visible depuis internet. Ce travail de base, accessible et gratuit, est le préalable indispensable avant d’investir dans des solutions de sécurité plus sophistiquées ou de mandater un audit professionnel complet.