24 dimensions, 350+ contrôles de sécurité automatisés.

Présence d'une Content-Security-Policy

Content-Security-Policy

HSTS activé (force HTTPS)

Strict-Transport-Security

Protection clickjacking (X-Frame-Options)

X-Frame-Options

Pas de MIME-sniffing (X-Content-Type-Options)

X-Content-Type-Options

Filtre XSS navigateur (X-XSS-Protection)

X-XSS-Protection

Politique referrer (Referrer-Policy)

Referrer-Policy

Permissions navigateur (Permissions-Policy)

Permissions-Policy

Network Error Logging (NEL)

NEL

Version TLS ≥ 1.2

TLS-version

Chiffrement AEAD uniquement (AES-GCM / ChaCha20)

TLS-ciphers

Certificat valide et non expiré

cert-validity

Chaîne de certification complète

cert-chain

HPKP / CT Log présent

cert-transparency

OCSP Stapling actif

ocsp-stapling

HTTP/2 supporté (ALPN)

alpn-h2

Votre serveur n'expose pas Heartbleed (CVE-2014-0160), la faille qui laissait fuir des mots de passe en masse.

Heartbleed CVE-2014-0160

SSLv3 désactivé — POODLE ne peut pas déchiffrer vos cookies de session.

POODLE SSLv3

Votre serveur rejette les attaques ROBOT qui cassent le chiffrement RSA des sessions TLS.

ROBOT Attack

SPF configuré sur le domaine

SPF-record

DMARC configuré (protection anti-spoofing)

DMARC-record

CAA — autorités de certification autorisées

CAA-record

DNSSEC activé

DNSSEC

DKIM enregistré pour la messagerie

DKIM-record

MTA-STS (chiffrement SMTP forcé)

MTA-STS

BIMI — logo de marque dans les emails

BIMI-record

SPF configuré en mode strict (-all) — aucun serveur non autorisé ne peut usurper votre domaine.

SPF-strict-all

DMARC en policy reject ou quarantine — les emails frauduleux sont bloqués ou mis en quarantaine.

DMARC-enforce-policy

Les sélecteurs DKIM sont correctement publiés et valides.

DKIM-selectors-valid

MTA-STS actif — le chiffrement SMTP est forcé pour tous les emails entrants.

MTA-STS-active

Cookies avec flag Secure

cookie-secure

Cookies avec flag HttpOnly

cookie-httponly

Cookies SameSite=Strict ou Lax

cookie-samesite

Durée des cookies ≤ 13 mois (RGPD)

cookie-duration-rgpd

Bannière de consentement RGPD présente

rgpd-consent-banner

Pas de tracking avant consentement

rgpd-pre-consent

Une CMP (Consent Management Platform) conforme est détectée sur le site.

cmp-detection

Un endpoint de suppression de données (RGPD Art.17) est identifiable.

gdpr-art17-endpoint

CORS — origine whitelist stricte

cors-origin

CORS — credentials non exposés à *

cors-credentials

CORS — rejet origine null

cors-null-origin

CORS ne combine pas wildcard (*) et credentials — ce combo expose vos sessions authentifiées.

cors-wildcard-credentials

L'origine null n'est pas autorisée — un iframe sandbox ne peut pas usurper votre API.

cors-null-origin-allowed

.git/config exposé

exposed-.git

.env exposé publiquement

exposed-.env

.DS_Store exposé

exposed-.DS_Store

Fichiers .bak / .sql exposés

exposed-backup

Croisement stack technique vs CVE NVD

cve-nvd-lookup

Vulnérabilités CISA KEV (exploitées en wild)

cve-kev

Test injection SQL (UNION + boolean-blind)

sqli-owasp

Test XSS réfléchi (GET/POST)

xss-reflected

Test CSRF — token de protection

csrf-token

Rate limiting sur les endpoints sensibles

rate-limit

A01 — Pas d'IDOR détecté : les IDs d'objets ne sont pas accessibles sans droits.

A01-broken-access-idor

A02 — Aucun secret hardcodé (clé AWS, token, mdp) trouvé dans le code public.

A02-hardcoded-secrets

A03 — Aucun pattern d'injection SQL détecté sur les paramètres de recherche.

A03-sqli-pattern

A04 — La politique de mots de passe interdit les mots de passe trop courts ou courants.

A04-weak-password-policy

A05 — Les credentials admin par défaut (admin/admin) sont rejetés.

A05-default-admin-creds

A06 — Aucune librairie obsolète avec CVE connue n'est servie aux visiteurs.

A06-vulnerable-components

A07 — L'ID de session n'est pas transmis dans l'URL (risque de fuite via logs/referrer).

A07-session-in-url

A08 — Tous les scripts CDN tiers ont un attribut integrity (SRI).

A08-missing-sri

A09 — Fichier security.txt présent (canal de contact pour les chercheurs en sécurité).

A09-missing-security-txt

A10 — Votre application ne fait pas de requête vers localhost ou 169.254.x.x (SSRF).

A10-ssrf-localhost-probe

SRI sur les scripts JavaScript tiers

sri-scripts

ASVS L1 — 30 contrôles basiques

asvs-l1

ASVS L2 — 30 contrôles avancés

asvs-l2

ASVS V2.8 — Un endpoint MFA est présent et fonctionnel.

asvs-mfa-endpoint

ASVS V2.9 — Support WebAuthn/FIDO2 détecté (authentification sans mot de passe).

asvs-webauthn

ASVS V2.1 — La heuristique de complexité du mot de passe répond aux exigences NIST.

asvs-password-complexity

GraphQL introspection désactivée en prod

graphql-introspection

Votre API GraphQL limite la profondeur des requêtes (protection contre le DoS par requêtes imbriquées).

graphql-depth-limit

Détection typosquatting (54 permutations)

typosquatting

Surveillance des Certificate Transparency logs — aucun certificat frauduleux émis pour votre domaine.

ct-logs-monitor

Le fichier .env n'est pas accessible publiquement (mots de passe, clés API).

exposed-.env

Le répertoire .git/ n'est pas indexable depuis le web (fuite de code source).

exposed-.git/config

Aucun bucket S3/GCS public listé avec données sensibles.

S3-bucket-public

Pas de fichiers de sauvegarde (.bak, .sql, .zip) téléchargeables par n'importe qui.

backup-files-exposed

Les plugins WordPress installés ne sont pas énumérables publiquement.

wordpress-plugin-enum

xmlrpc.php est désactivé (vecteur de brute-force et DDoS amplifié).

xmlrpc-enabled

L'énumération d'utilisateurs via /author/ est bloquée.

user-enum-author

Aucun endpoint sensible archivé sur Wayback Machine (credentials, clés API dans des URLs passées).

wayback-leaked-endpoints

Audit OSV-Scanner npm : aucune dépendance avec advisory de sécurité actif.

osv-scanner-npm-audit

Les workflows GitHub Actions ne contiennent pas de secrets exposés ni de steps sans hash de commit.

github-actions-workflow-exposed

Vos librairies JavaScript n'ont pas de CVE connue (détection retire.js).

retire.js-obsolete-libs

Aucune clé API ou secret n'est codé en dur dans vos bundles JS publics.

hardcoded-api-keys-bundle

Les source maps (.js.map) ne sont pas exposées publiquement (fuite de code source).

sourcemaps-exposed

La documentation Swagger/OpenAPI n'est pas accessible sans authentification.

swagger-json-exposed

Votre API rejette les tokens JWT avec algorithme "alg:none" (bypass d'authentification).

jwt-alg-none