mai 19, 2026
// Module securite — ObsCyber CyberLex Platform

Audit Pentest & Securite Web

Evaluez la posture de securite d'une application web en quelques secondes. Ce module analyse automatiquement les en-tetes HTTP, la configuration TLS/HTTPS, les cookies, les politiques CORS et les vecteurs d'attaque courants, puis genere un rapport PDF professionnel conforme aux standards OWASP Top 10 et NIS2.

OWASP Top 10 21 verifications HTTP Headers TLS / HTTPS SSL Expiry Ports ouverts robots.txt security.txt Cookies Export PDF
🎓 Guide pedagogique — comprendre le pentest
Un test d'intrusion (pentest) est une evaluation de securite autorisee simulant les actions d'un attaquant reel. L'objectif est d'identifier les vulnerabilites avant leur exploitation malveillante.

Trois approches existent :
  • Black box — aucune information prealable (simulation realiste)
  • Grey box — informations partielles (documentation, comptes de test)
  • White box — acces complet au code source et a l'architecture
Ce module realise un audit Black/Grey box automatise de la surface HTTP publique.
  • HTTPS/TLS — presence du chiffrement
  • HTTP→HTTPS — redirection automatique
  • HSTS — force HTTPS au niveau navigateur
  • CSP — protection contre les injections XSS
  • X-Frame-Options — anti-clickjacking
  • X-Content-Type — prevention MIME sniffing
  • Referrer-Policy — controle des fuites d'URL
  • Permissions-Policy — restriction API navigateur
  • Server header — fingerprinting serveur
  • X-Powered-By — divulgation de technologie
  • CORS — politique d'acces inter-origines
  • Cache-Control — prevention de mise en cache sensible
  • Cookies Secure — flag Secure sur les cookies
  • Cookies HttpOnly — protection vol de session
  • Cookies SameSite — protection CSRF via cookies
  • Code HTTP — detection des erreurs serveur
  • SSL Expiryexpiration du certificat SSL
  • Version TLSTLS 1.0/1.1 obsoletes detectes
  • security.txtpolitique de divulgation responsable
  • robots.txtchemins sensibles exposes
  • Portsservices d'administration accessibles
  • 🔴 Critical — risque immediat, correctif avant mise en production
  • 🟠 High — vulnerabilite serieuse, traitement sous 72h
  • 🟡 Medium — risque modere, corriger dans le sprint suivant
  • 🟢 Low — bonne pratique manquante, correction opportuniste
  • 🔵 Info — observation, aucun risque direct
Le score A a F synthetise la posture globale.
Cet outil analyse uniquement les en-tetes HTTP publics, sans intrusion. Les recommandations s'appuient sur :
  • OWASP Top 10 2021
  • OWASP ASVS — Application Security Verification Standard
  • RFC 6797 — HSTS
  • RGPD art. 32 — securite des donnees
  • NIS2 art. 21 — gestion des risques cyber
⚠ N'auditez que les sites dont vous etes proprietaire. L'acces non autorise est reprime par les art. 323-1 a 323-7 CP (jusqu'a 3 ans et 100 000 € d'amende).
Ce scanner analyse la surface HTTP externe. Il ne detecte pas :
  • Les injections SQL, XSS ou IDOR (necessitent une interaction applicative)
  • Les failles d'authentification (sessions, JWT, OAuth)
  • Les vulnerabilites de dependances logicielles (CVE)
  • Les misconfigurations serveur internes (SSH, FTP, bases de donnees)
  • La logique metier defaillante
Pour un audit complet, ces aspects necessitent un pentest manuel avec des outils comme Burp Suite, OWASP ZAP ou Nmap.
🔎 Lancer un audit — saisir la cible
Initialisation...
Avertissement legal : N'auditez que les sites dont vous etes responsable ou pour lesquels vous disposez d'une autorisation ecrite. Toute intrusion non autorisee est un delit penal (art. 323-1 CP).
🛡

Aucun audit effectue

Saisissez une URL et cliquez sur Lancer l'audit
pour generer votre rapport de securite.