Audit technique de site web été 2026: NIS2 et CVE critiques à scanner
Guide pratique d'audit technique pour PME et MSP: vérifier SSH/TLS, headers de sécurité, conformité NIS2 et anticiper les CVE du moment.
En bref
Trois priorités immédiates en juillet 2026: - Scanner vos sites avec les 5 headers HTTP critiques (HSTS, CSP, X-Frame-Options) - Vérifier si vous êtes assujettis NIS2 et avancer sur la documentation de conformité - Monitorer les alertes CERT-FR en continu (Asterisk, Fortinet, Exchange) Les dirigeants qui agissent maintenant évitent les amendes et instabilité client.
Les CVE critiques de juin 2026: qui doit corriger maintenant
Le CERT-FR a publié le 26 juin 2026 un avis sur plusieurs vulnérabilités critiques dans Asterisk, dont l'une permet de contourner la politique de sécurité et d'exécuter du code à distance. Si vous gérez une PME avec une VoIP Asterisk ou un MSP qui en déploie, cette faille est immédiate.
Le 14 mai 2026, Microsoft a publié un avis sur la vulnérabilité CVE-2026-42897 affectant Exchange Server, permettant à un attaquant non authentifié de provoquer... des dégâts majeurs. Même chose pour Cisco qui a alerté le 14 mai 2026 sur une faille CVE-2026-20182 (score CVSS 10.0) sur son Catalyst SD-WAN Controller, déjà exploitée par des acteurs connus.
Ce qu'il faut faire: Passez 2 heures cette semaine à identifier les logiciels critiques de votre infrastructure (serveurs de messagerie, téléphonie, équipements réseaux). Croisez avec la liste CERT-FR. Si vous trouvez une correspondance, planifiez la correction en 48h. C'est l'équivalent d'une fuite d'eau dans votre système IT: plus vous attendez, plus ça coûte.
Audit des headers HTTP de votre site: 5 minutes pour bloquer 70% des attaques web
Une analyse 2025 des sites du top 1 million a montré que moins de 25% avaient une Content-Security-Policy correctement configurée, et plus de 40% manquaient complètement le header HSTS.
Pour un dirigeant de PME qui n'est pas dev, voici la traduction: vos sites web restent vulnérables à des attaques gratuites et documentées depuis 10 ans.
HSTS (HTTP Strict-Transport-Security) force les navigateurs à se connecter uniquement en HTTPS, prévenant les attaques par dégradation de protocole et le vol de cookies. Content Security Policy (CSP) vous permet de définir une liste d'autorisations pour les sources d'où le navigateur peut charger des scripts, styles et autres ressources, bloquant tout le reste.
Action concrète: Allez sur audit gratuit Aiomi, entrez votre domaine principal et celui des clients stratégiques. L'outil vous dit en 30 secondes ce qui manque. Envoyez le rapport à votre prestataire web. Les trois headers essentiels à ajouter immédiatement sont HSTS, Content-Security-Policy: default-src 'self', et X-Frame-Options: DENY. Un dev configure ça en 15 minutes.
NIS2 en 2026: êtes-vous assujetti et avez-vous 6 mois d'avance
La directive NIS2 va toucher plus de 15 000 entreprises françaises dès 2026, dont la plupart ne le savent pas. Le timing: adoptée au Sénat en mars 2025, votée à l'unanimité en commission en septembre 2025, et la publication du ReCyF v2.5 de l'ANSSI est intervenue le 17 mars 2026 avec 152 mesures, le vote en hémicycle étant attendu pour l'été 2026.
Le point qui fait peur aux dirigeants: la directive engage explicitement la responsabilité des personnes physiques à la tête des entités concernées, et un DSI ou dirigeant qui ne peut pas démontrer qu'il a pris les mesures nécessaires peut être tenu personnellement responsable.
Êtes-vous concerné? Vous l'êtes si:
- Vous travaillez dans un des 18 secteurs critiques (santé, finance, énergie, transport, eau, etc.)
- Vous avez plus de 50 salariés ou 10 millions d'euros de CA (pour les entités importantes)
- Vous êtes prestataire IT, agence web ou fournisseur cloud
Ce qu'il faut faire en juillet 2026: L'ANSSI met à disposition le Référentiel Cyber France (ReCyF) depuis le 17 mars 2026, qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Commencez par un autodiagnostic: documentez votre politique de sécurité IT (même sommaire), identifiez vos sauvegardes et tests de récupération, signalez les contacts de crise. Les entreprises qui bougent maintenant seront celles qui traverseront la transition sans douleur.
Votre plan d'action audit pour août 2026
Les trois gestes à faire cette semaine pour ne pas être en retard cet automne.
Semaine 1: CVE et infrastructures critiques
- Listez vos trois applicatifs les plus critiques (messagerie, VoIP, équipement réseau)
- Notez les versions exactes en 30 minutes (souvent dans l'interface d'administration ou un
curl -I) - Confrontez avec les alertes CERT-FR actuelles
- Si vous trouvez une correspondance: priorité urgente, correction immédiate
Semaine 2: Headers HTTP et présence web
- Lancez un audit gratuit Aiomi sur vos trois domaines critiques
- Lisez le rapport
- Demandez à votre prestataire d'ajouter les trois headers essentiels (HSTS, CSP, X-Frame-Options)
- Budget attendu: 0 à 500 euros en consulting si le prestataire traîne
Semaine 3: Conformité NIS2
- Accédez au Référentiel Cyber France (ReCyF)
- Autoévaluez-vous sur les 10 mesures obligatoires (politique écrite, gestion des incidents, sauvegardes, tests)
- Documentez votre processus de gestion des fournisseurs IT
Questions fréquentes
Est-ce que mon site de PME de 8 salariés doit respecter NIS2?
Pas directement si vous n'êtes pas dans l'un des 18 secteurs critiques (santé, finance, énergie, etc.). Mais si un client grand compte vous demande une garantie cyber écrite, refuser c'est perdre le marché. Et si vous êtes prestataire IT/web, vous êtes assujetti dès 10 salariés + 2M de CA. Vérifiez votre secteur d'activité et votre taille sur la liste ANSSI.
Combien ça coûte de corriger mes headers HTTP?
Entre 0 et 1 000 euros selon votre prestataire et votre stack. Si c'est une agence Wordpress, ajouter HSTS et CSP basique = 30 minutes. Si c'est une application sur-mesure ancienne sans framework, le prestataire doit auditer ses dépendances et utiliser des nonces, budget 500-1000€. Comparer avec le coût d'une fuite XSS (amende CNIL 50k-100k euros minimum).
Comment je sais si j'ai une vulnérabilité critique sur mon infrastructure?
Trois gestes: 1) Notez les versions de vos logiciels critiques. 2) Consultez [le CERT-FR](https://www.cert.ssi.gouv.fr/) (alertes mises à jour). 3) Croisez avec des outils comme Shodan ou demandez un [audit Aiomi](/audit) qui identifie les briques exposées. Si vous trouvez une correspondance avec une alerte active, contactez votre support éditeur dans les 24h.
Que se passe-t-il si je n'applique pas un correctif CERT-FR à temps?
Deux risques: technique (compromission, rançongiciel, fuite de données) et légal. Si une CVE critique est exploitée et que vous n'avez pas de preuve de tentative de correction, vous serez en défaut de diligence face à un auditeur ou à la CNIL. En 2026, les assureurs cyber renforcent leurs conditions: pas de preuve de patch rapide = refus de couverture.