Ce qu'un audit de domaine couvre réellement
Un nom de domaine, c'est bien plus qu'une adresse web. C'est l'identité numérique de votre entreprise. Il sert à héberger votre site, mais aussi à envoyer vos emails, à authentifier vos services SaaS, à exposer votre infrastructure.
Un audit sérieux couvre six grandes catégories :
| Catégorie | Ce qui est analysé | Risque si problème |
|---|---|---|
| SPF, DKIM, DMARC | Phishing, spam, blacklist | |
| SSL/TLS | Certificat, protocoles, cipher suites | Interception, avertissement navigateur |
| Ports | Services exposés sur internet | Intrusion, brute force |
| HTTP headers | CSP, HSTS, X-Frame-Options… | XSS, clickjacking, injections |
| CVE | Versions logicielles avec vulnérabilités connues | Exploitation automatisée |
| Réputation | Présence sur des blacklists | Emails rejetés, trafic bloqué |
Sécurité email : SPF, DKIM, DMARC
C'est souvent le point le plus critique — et le plus négligé. Sans ces trois enregistrements DNS, n'importe qui peut envoyer des emails en usurpant votre adresse.
- SPF absent : les serveurs de messagerie ne peuvent pas vérifier si l'email vient bien de vous. Vos emails légitimes arrivent en spam.
- DKIM absent : les emails ne sont pas signés. En cas de modification en transit, rien ne le détecte.
- DMARC absent ou en
p=none: même si SPF et DKIM échouent, les emails frauduleux sont quand même délivrés.
SSL/TLS : bien plus que le cadenas vert
Avoir un certificat SSL et afficher https:// dans la barre d'adresse, ce n'est pas suffisant. Un audit SSL vérifie :
- La validité et l'expiration du certificat — un certificat expiré déclenche une alerte rouge dans tous les navigateurs et bloque l'accès à votre site pour une partie des utilisateurs.
- Les protocoles supportés — TLS 1.0 et TLS 1.1 sont obsolètes et vulnérables (attaques BEAST, POODLE). Seuls TLS 1.2 et TLS 1.3 sont acceptables aujourd'hui.
- Les cipher suites — certains algorithmes de chiffrement anciens (RC4, DES, 3DES) permettent des attaques par force brute modernes.
- HSTS (HTTP Strict Transport Security) — force le navigateur à toujours utiliser HTTPS, même si l'utilisateur tape
http://.
Ports ouverts : la surface d'attaque exposée
Chaque port ouvert sur votre serveur est un service potentiellement accessible depuis internet. Un audit de ports identifie ce qui est exposé — et ce qui ne devrait pas l'être.
| Port | Service | Risque |
|---|---|---|
22 | SSH | Brute force si exposé sans restriction IP |
21 | FTP | Très risqué — transfert non chiffré, à désactiver |
3306 | MySQL | Base de données exposée — critique |
5432 | PostgreSQL | Idem MySQL — ne devrait jamais être public |
6379 | Redis | Souvent sans auth par défaut — très dangereux |
27017 | MongoDB | Des milliers de bases exposées et vidées chaque année |
80 / 443 | HTTP/HTTPS | Normal — mais vérifier la redirection HTTP → HTTPS |
Le principe général : tout port qui ne sert pas directement les utilisateurs finaux doit être fermé ou filtré par firewall. SSH peut rester ouvert, mais uniquement pour des IP de confiance.
En-têtes HTTP de sécurité
Ces en-têtes sont envoyés par votre serveur web et indiquent au navigateur comment se comporter face aux contenus malveillants. Absents, ils laissent ouvertes des catégories entières d'attaques :
- Content-Security-Policy (CSP) — définit quelles sources de scripts sont autorisées. Sans CSP, une injection XSS peut charger des scripts depuis n'importe où.
- X-Frame-Options — empêche votre site d'être chargé dans un iframe sur un autre domaine (protection contre le clickjacking).
- X-Content-Type-Options: nosniff — empêche le navigateur de deviner le type MIME d'un fichier, vecteur d'attaques XSS.
- Referrer-Policy — contrôle quelles informations sont transmises aux sites tiers via l'en-tête Referer.
- Permissions-Policy — limite l'accès aux APIs sensibles du navigateur (caméra, micro, géolocalisation).
CVE et versions logicielles exposées
CVE signifie Common Vulnerabilities and Exposures — c'est la base de données mondiale des vulnérabilités logicielles connues. Un scanner peut détecter la version de votre serveur web (nginx 1.18, Apache 2.4.49…) et la croiser avec la base CVE pour identifier les vulnérabilités déjà documentées et exploitables.
La correction est simple : maintenez vos logiciels à jour. Et si possible, cachez les numéros de version dans les en-têtes HTTP (option server_tokens off dans nginx).
Réputation IP et blacklists
Si votre serveur a envoyé du spam (via un formulaire piraté, un plugin WordPress vulnérable, ou simplement par erreur de configuration), son adresse IP peut figurer sur des blacklists. Les conséquences :
- Vos emails sont rejetés ou classés en spam chez Gmail, Outlook, etc.
- Votre trafic web peut être bloqué par des pare-feux d'entreprise
- Certains services refuseront de vous laisser vous inscrire avec cette IP
Un audit de réputation vérifie votre IP contre les principales blacklists (Spamhaus, Barracuda, SURBL, MX Toolbox…). Si vous y figurez, chaque liste a sa propre procédure de délisting.
Comment interpréter le score global
Un bon scanner agrège tous ces points en un score lisible. Voici comment interpréter les niveaux :
| Score | Niveau | Ce que ça signifie |
|---|---|---|
| 80–100 | SÉCURISÉ | Configuration solide. Continuez la surveillance régulière. |
| 50–79 | MOYEN | Des points d'amélioration existent. Priorisez email et SSL. |
| 0–49 | RISQUÉ | Exposition significative. Agir rapidement sur les critiques. |
Le score seul ne dit pas tout — regardez les points critiques (haute sévérité) en priorité, indépendamment du score global. Un domaine avec un score de 65 mais un port 3306 (MySQL) ouvert est plus dangereux qu'un domaine à 50 avec uniquement des headers manquants.
Quel est le score de votre domaine ?
Lancez un audit complet en 60 secondes. SPF, DKIM, DMARC, SSL, ports, headers, CVE, réputation — tout en un rapport clair avec les actions prioritaires.
→ Auditer mon domaine gratuitementGratuit · Sans compte requis · Rapport PDF exportable