// Méthodologie

Comment je mène une évaluation de vulnérabilités

Une évaluation de vulnérabilités est le processus systématique qui consiste à identifier, quantifier et prioriser les failles de sécurité d'un système : application, réseau ou organisation entière. Voici le cadre général que je suis à chaque mission, adapté au périmètre et au contexte du client.

// Les 6 phases

Un processus structuré, de bout en bout

  1. 1

    Définition du périmètre

    On définit ensemble le système visé (application, réseau, organisation), les composants inclus (serveurs, appareils, intégrations tierces) et les outils qui seront utilisés. C'est aussi à cette étape que l'autorisation écrite et le contrat sont signés : rien ne commence avant.

  2. 2

    Collecte de données

    Scan réseau pour cartographier les hôtes, ports ouverts et services actifs ; scan de vulnérabilités pour faire remonter les failles connues (CVE) ; scan applicatif web pour les problèmes propres à votre application ; et, sur un réseau interne, analyse du trafic pour repérer des données en clair ou des erreurs de configuration.

  3. 3

    Exécution de l'évaluation

    Je lance les scans et, quand le périmètre l'autorise, des tentatives d'exploitation contrôlées pour confirmer qu'une faille est bien réelle et non un faux positif — la différence entre « c'est peut-être exploitable » et « voici la preuve ».

  4. 4

    Analyse des données

    Chaque résultat est qualifié : impact réel (fuite de données, prise de contrôle, déni de service…) et correctif concret (patch, changement de configuration, correction de code). Les failles sont ensuite classées par gravité et par facilité d'exploitation, pas seulement par score CVE.

  5. 5

    Rapport

    Un résumé exécutif pour les décideurs, et un rapport détaillé pour les équipes techniques : constats, preuves, recommandations priorisées. Livré rapidement — généralement sous 48 heures après l'intervention.

  6. 6

    Remédiation & suivi

    Correctifs, corrections de code sécurisé, durcissement de la configuration — puis vérification que chaque faille est réellement refermée. Je recommande aussi un rythme de surveillance continue et de réévaluations périodiques, car de nouvelles vulnérabilités apparaissent en permanence.

// Cas pratiques illustratifs

La méthodologie appliquée, étape par étape

Deux scénarios typiques, pour rendre les 6 phases concrètes. Les systèmes, IP et domaines ci-dessous sont illustratifs, pas de vrais clients.

Cas illustratif · Application web

Évaluation d'une plateforme e-commerce

Périmètre : serveur web, serveur applicatif, base de données. Outils : Nmap, OpenVAS/Nessus, OWASP ZAP / Burp Suite.

$ nmap -sS -p 1-65535 -sV client-app.example

PORT     STATE  SERVICE  VERSION
22/tcp   open   ssh      OpenSSH 7.4
80/tcp   open   http     Apache 2.4.29
443/tcp  open   https    Apache 2.4.29
3306/tcp open   mysql    MySQL 5.7.21

Constats : deux CVE d'exécution de code à distance sur un composant de framework obsolète, une injection SQL sur le formulaire de connexion (paramètre username), une XSS stockée dans la fonction de recherche, et aucune protection CSRF sur les actions critiques.

Impact : prise de contrôle possible du serveur, accès non autorisé aux comptes clients et aux données de paiement. Correctif : mise à jour du framework, requêtes préparées, encodage des sorties, ajout de jetons CSRF — les quatre refermées en une semaine.

Cas illustratif · Réseau interne

Évaluation d'un réseau d'entreprise

Périmètre : postes de travail, serveurs, équipements réseau. Outils : Nmap, Nessus, Wireshark, Metasploit (usage contrôlé).

$ nmap -sP 192.168.1.0/24
$ nmap -sS -p 1-65535 192.168.1.10

PORT     STATE  SERVICE
22/tcp   open   ssh
3389/tcp open   ms-wbt-server

Constats : services Bureau à distance et SMB non patchés, vulnérables à des exploits d'exécution de code à distance bien connus (familles BlueKeep et EternalBlue), ainsi que des identifiants transmis en clair observés dans le trafic capturé. Une tentative d'exploitation contrôlée a confirmé que l'exécution de code à distance était réellement possible — pas seulement théorique.

Impact : un seul poste non patché aurait pu donner à un attaquant le contrôle du réseau, avec un risque réel de rançongiciel. Correctif : patch d'urgence RDP/SMB, chiffrement TLS du trafic sensible, segmentation réseau pour contenir tout incident futur.

// Constats fréquents

Ce que les évaluations révèlent le plus souvent

Sur les applications web, les réseaux internes, le mobile ou les systèmes financiers, ce sont souvent les mêmes familles de failles qui reviennent.

Exécution de code à distance

Logiciels non patchés (serveurs web, passerelles VPN, piles réseau) permettant à un attaquant d'exécuter du code arbitraire. Correctif : gestion rigoureuse des mises à jour et des correctifs.

Injection SQL

Entrées non filtrées atteignant une requête base de données, permettant le vol ou la modification de données. Correctif : requêtes préparées et paramétrées.

Cross-Site Scripting (XSS)

Scripts malveillants injectés dans des pages vues par d'autres utilisateurs, permettant le détournement de session ou le phishing. Correctif : validation des entrées et encodage des sorties.

Cross-Site Request Forgery (CSRF)

Absence de vérification qu'une action critique a bien été demandée par l'utilisateur connecté. Correctif : jetons anti-CSRF sur les actions sensibles.

Références directes non sécurisées (IDOR)

Identifiants prévisibles donnant accès aux données d'un autre utilisateur (compte, fichier, dossier). Correctif : vérifications d'autorisation systématiques sur chaque requête.

Protocoles en clair

Mots de passe ou données sensibles transmis sans chiffrement (FTP en clair, HTTP non sécurisé), exposés à l'interception. Correctif : TLS/SSL partout, SFTP à la place de FTP.

// Outils

Outils couramment mobilisés

Nmap

Cartographie réseau : hôtes, ports ouverts, services actifs.

Nessus / OpenVAS

Scan automatisé des vulnérabilités connues (CVE).

Burp Suite / OWASP ZAP

Test des applications web : injections, XSS, CSRF, failles de contrôle d'accès.

Metasploit

Framework d'exploitation contrôlée, pour prouver qu'une faille est réelle.

Wireshark

Analyse du trafic réseau : données en clair, erreurs de configuration, comportements anormaux.

Le choix des outils dépend toujours du périmètre convenu avec vous — jamais utilisés au-delà du cadre autorisé.

// Passez à l'offensive

Envie de savoir où sont vos failles ?

Premier échange gratuit et confidentiel.

Démarrer une mission