Un site peut paraître impeccable en surface et rester une porte grande ouverte. Les failles les plus dangereuses sont invisibles pour le visiteur : en-têtes de sécurité absents, DNS sans protection anti-usurpation, fichiers sensibles laissés accessibles, parfois même le code source ou des mots de passe téléchargeables publiquement.
Le piège, c'est de croire qu'une petite entreprise n'intéresse personne. C'est faux. La plupart des attaques sont automatisées : des robots scannent le web en continu et testent des milliers de sites à l'heure. Ils ne choisissent pas leurs victimes — ils trouvent les portes laissées ouvertes. Une PME peu protégée est une cible plus facile, pas une cible moins probable.
Quelques exemples concrets de ce qu'on retrouve. Un dépôt de code (.git) laissé en ligne : tout le code source devient téléchargeable, souvent avec les accès à la base de données dedans. Un fichier de configuration exposé : les clés et mots de passe en clair. Une copie de sauvegarde oubliée : la base de données complète, accessible à qui sait où regarder.
Côté courriel, l'absence de SPF, DKIM et DMARC permet à n'importe qui d'envoyer des courriels frauduleux en votre nom. Vos clients reçoivent une fausse facture « de votre part » — et c'est votre réputation qui encaisse.
Au Québec, ce n'est plus seulement une question technique. Depuis la Loi 25, une entreprise doit protéger les renseignements personnels qu'elle détient et déclarer tout incident de confidentialité. Un site qui laisse fuir des données clients, c'est un risque légal direct, avec des sanctions à la clé.
Le problème, c'est que la plupart des « scans de sécurité » sont inutiles : ils sortent une note marketing, une montagne de faux positifs, ou un PDF généré automatiquement que personne ne comprend. Ça fait peur sans rien régler.
Un audit honnête fait l'inverse. Il sort une liste réelle de failles, classée par gravité, expliquée en langage clair. Pour chaque problème : ce qui est exposé, pourquoi c'est dangereux (le scénario d'attaque), ce que ça représente pour votre entreprise, et combien de temps pour le corriger. Pas de jargon, des décisions.
Surtout, chaque résultat est vérifié à la main avant de vous être remis. Pas de robot qui crie au loup : si on vous dit qu'une porte est ouverte, on vous la montre, en direct. Et ce qu'on découvre reste strictement confidentiel — on prouve l'exposition, on n'exploite jamais vos données.
C'est aussi une question de bon sens commercial. Un audit qui ne trouve rien n'est pas une perte : vous repartez avec la preuve que votre site est solide — et vous le savez, au lieu de l'espérer.
La vraie question n'est donc pas « est-ce que mon site est joli ? » mais « est-ce que mon site est une porte ouverte ? ». La meilleure façon de le savoir, c'est de le faire regarder par quelqu'un qui dit la vérité. Un appel découverte gratuit suffit pour démarrer.