Pentest automatise ā€” 35+ modules de detection

Auditez la securite de votre site web
comme un pentester professionnel.

Une plateforme d'audit complete qui scanne votre site contre les references OWASP Top 10, les CVE NVD, les mauvaises configurations et produit un rapport pret a presenter au RSSI / DPO / Direction. Hebergement souverain a La Reunion. Conforme RGPD, mappage NIS2.

Lancer mon premier audit Voir comment ca marche
41
Modules d'audit
9000+
Templates Nuclei
5
Referentiels conformite
100%
Souverainete FR
Ce que l'outil teste

Une couverture digne d'un pentester professionnel

Chaque audit declenche 47 modules specialises, groupes en 9 categories. Chaque finding est classifie OWASP / CWE / CVSS et mappe sur les referentiels de conformite reglementaires. Prioritisation EPSS integree pour identifier les CVE reellement exploites, crawler JS/SPA pour les apps modernes, et scan authentifie configurable.

OWASP Top 10 2025

Injection SQL (timing/boolean/error + blind via OAST), XSS contextuel, XXE (avec exfil out-of-band), SSRF avec metadata cloud + blind callback, IDOR, Auth bypass + RCE blind, Path Traversal, Open Redirect.

7 modules + OAST

Headers & TLS

Audit Mozilla Observatory : HSTS, CSP, X-Frame-Options, Permissions-Policy. Configuration TLS 1.2/1.3, cipher suites, validite certificat. SRI sur ressources CDN (anti supply-chain attacks).

7 modules

CVE & Composants

Detection technos via fingerprinting (79+ reconnues : Apache, nginx, PHP, WordPress...), correlation CVE temps reel via NVD du NIST. Mini-base Retire.js integree pour les libs JS. Score EPSS (FIRST.org) pour prioriser selon la probabilite reelle d'exploitation.

3 modules

Fichiers exposes

Bruteforce avance via wordlist 1500+ paths : .git/, .env, backups, swagger, actuator, dumps SQL, cles SSH. Baseline 404 robuste, rate-limit anti-WAF.

3 modules

Authentification

Detection de panneaux admin exposes (phpMyAdmin, Jenkins, Tomcat...), bypass via X-Forwarded-For / method override / JWT alg=none, validation session anti-replay.

4 modules

Infrastructure & DNS

Scan de ports TCP, enumeration sous-domaines, detection subdomain takeover, audit DNS (SPF/DMARC/DKIM/CAA), reconnaissance d'environnements oublies.

5 modules

Nuclei 9000+ templates

Wrapper du scanner Nuclei (ProjectDiscovery) avec la collection communautaire : Log4Shell, Spring4Shell, ProxyShell, CVE recentes, misconfigurations populaires.

Critique

Detection WAF / CDN

Identification de 15+ WAF/CDN (Cloudflare, Akamai, AWS WAF, Imperva, F5, Fortinet...). Reconnaissance fiable pour eviter les faux positifs et adapter le scan.

Smart-scan

JWT, Session, SRI

Audit JWT dedie (alg=none CVE-2015-9235, bruteforce secret HMAC, donnees sensibles payload). Securite des sessions (flags HttpOnly/Secure/SameSite, session fixation, predictability). Subresource Integrity sur les CDN.

3 modules - Nouveau 05/2026

Cloud & API moderne

Detection buckets cloud exposes (AWS S3, GCS, Azure Blob, DO Spaces) + test ecriture anonyme. Audit API moderne : OpenAPI/Swagger exposes, Spring Actuator (heapdump/env), GraphQL introspection, Excessive Data Exposure, shadow APIs.

2 modules - OWASP API Top 10 2023

Crawler JS/SPA

Chromium headless via Playwright pour decouvrir les routes des apps modernes : React, Vue, Angular, Next.js, Nuxt. Capture les endpoints API reels via observation Network. Indispensable pour les SPAs ou le crawler statique echoue.

1 module - Optionnel (Node.js requis)

Scan authentifie

UI dediee pour configurer l'auth du scan (form / cookie / bearer JWT). Test live AVANT de lancer le scan complet. Active automatiquement les modules IDOR, Auth bypass, et tests sur ressources protegees. Credentials chiffres AES-256-CBC en BDD.

Configurateur UI

Conformite reglementaire

Mapping automatique de chaque finding sur NIS2 (UE 2022/2555), RGPD Art. 32, ISO/IEC 27001:2022 Annexe A, PCI-DSS v4, ANSSI PSSI/RGS.

5 referentiels

Plateforme securisee 2FA

Authentification a deux facteurs obligatoire pour les comptes admin/auditor (TOTP standard, codes de recuperation, lockout brute-force). Politique de mot de passe ANSSI : 12+ caracteres, historique anti-reutilisation.

Securite ANSSI

RGPD by design

Export JSON Art. 20 (portabilite), effacement effectif Art. 17, registre Art. 30 pre-rempli, notification breach Art. 33-34, purge automatique des donnees expirees, anonymisation IP des logs apres 30 jours. Aucun cookie analytique.

RGPD complet
Comment ca marche

De l'inscription au rapport ā€” 4 etapes claires

Aucune installation, aucune integration technique requise. Vous validez la propriete du domaine, vous lancez le scan, vous recevez un PDF.

1

Inscription

Creez votre compte en 30 secondes. Validation email + acceptation RGPD.

2

Verification propriete

Prouvez que vous possedez le site via TXT DNS ou fichier .well-known. Indispensable legalement (article L. 323-1 du Code penal).

3

Scan automatise

Le moteur lance les 35+ modules. Crawler, fingerprinting, OWASP, CVE, conformite. Duree typique : 5 a 15 minutes.

4

Rapport PDF

Synthese executive + tableau de bord RSSI + vulnerabilites detaillees + plan d'action priorise + mapping conformite.

A qui s'adresse l'outil

Pense pour vos usages, pas pour les ingenieurs cybersecurite

Que vous soyez dirigeant TPE, RSSI, developpeur ou DPO, le rapport est lisible par votre role et exploitable directement.

Direction

Dirigeants TPE / PME

Visualisez en 1 page le niveau de risque cyber de votre site. Score global / 100, vulnerabilites critiques, top 5 des actions a faire en priorite.

Securite

RSSI / DPO

Mapping automatique sur 5 referentiels (NIS2, RGPD, ISO 27001, PCI-DSS, ANSSI). Genere directement la matrice de conformite a presenter en comite.

Tech

Developpeurs / Devops

Chaque finding inclut CWE, CVSS, preuve technique (extrait HTTP), URL exacte et recommandation actionable. Pas de blabla, du concret.

Operations

Hebergeurs / MSSP

Auditez en lot le parc client. Suivi des audits dans un tableau de bord multi-tenant. Rapports exportables au PDF prets a livrer.

Conformite reglementaire

Couverture des 5 grands referentiels europeens et internationaux

Chaque vulnerabilite detectee est automatiquement rattachee aux articles applicables de chaque referentiel. La matrice de conformite est generee a la fin du rapport, prete a etre incluse dans votre registre de conformite.

NIS2 (Directive UE 2022/2555)
RGPD Article 32
ISO/IEC 27001:2022 Annexe A
PCI-DSS v4.0
ANSSI PSSI / RGS
OWASP Top 10 2025
OWASP WSTG v4.2
PTES
Pourquoi YOUTELL

Souverainete, expertise, transparence.

  • Hebergement souverain a La Reunion

    Vos donnees d'audit ne quittent jamais le territoire francais. Conforme aux exigences de souverainete numerique de l'Etat.

  • MSSP certifie + ExpertCyber

    YOUTELL est un Managed Security Service Provider certifie, labellise ExpertCyber par la mission Cybermalveillance.gouv.fr.

  • Methodologie documentee

    Chaque module est documente dans le rapport (categorie, technique, referentiel). Pas de boite noire : vous savez exactement ce qui a ete teste.

  • Cadre legal respecte

    Verification de propriete obligatoire avant tout scan (TXT DNS ou .well-known). Aucun audit sans consentement explicite et trace.

100%
Donnees hebergees en France
15+
WAF / CDN reconnus pour scan adaptatif
30j
Validite du rapport (re-scan recommande 2x/an)
Questions frequentes

Ce que les visiteurs nous demandent souvent

Combien de temps dure un audit ?
Entre 5 et 15 minutes pour la plupart des sites. Les sites tres riches (e-commerce avec 1000+ pages) ou derriere un WAF tres restrictif peuvent prendre jusqu'a 30 minutes. Vous recevez un email avec le PDF des la fin du scan.
Le scan peut-il casser mon site ou faire planter mon serveur ?
Non. L'outil applique un rate-limit strict (~100ms entre chaque requete, ajustable), detecte automatiquement les WAF et adapte sa cadence pour ne pas saturer la cible. Aucun payload destructif n'est envoye (pas de DROP TABLE, pas de DELETE, pas d'upload reel).
Que se passe-t-il si mon site est derriere Cloudflare ou un autre WAF ?
Le module de connectivite detecte le blocage et indique le fournisseur (Cloudflare, AWS WAF, Akamai, Imperva, F5, Fortinet, etc.). Le rapport affiche un avertissement "scan partiel" et fournit la procedure de whitelist IP scanner specifique a votre WAF. Une fois whitelistee, relancez l'audit pour un rapport complet.
Faut-il vraiment prouver que je possede le site ?
Oui, c'est obligatoire et non negociable. La verification se fait par TXT DNS ou fichier `.well-known/audit-platform-verify.txt`. Cette etape protege legalement (article L. 323-1 du Code penal francais sur les acces non autorises) et garantit que vous etes bien habilite a auditer le site.
Mes donnees d'audit sont-elles confidentielles ?
Oui. Les rapports sont marques CONFIDENTIEL - Diffusion restreinte. L'hebergement est entierement souverain a La Reunion (departement francais). Vos donnees ne sont jamais partagees avec des tiers ni transmises hors du territoire francais. Vous pouvez les supprimer a tout moment depuis votre tableau de bord.
Le rapport remplace-t-il un vrai pentest manuel ?
Non, mais il en couvre 80% des constats classiques pour un cout bien inferieur. L'audit automatique est ideal en complement d'un pentest manuel approfondi (recommande pour les applications critiques) et pour le monitoring continu (re-scan trimestriel ou apres chaque grosse evolution).
Quels referentiels de conformite sont couverts ?
Cinq referentiels majeurs : NIS2 (Directive UE 2022/2555), RGPD Article 32 (Securite du traitement), ISO/IEC 27001:2022 Annexe A, PCI-DSS v4.0, ANSSI PSSI / RGS. Chaque finding du rapport est automatiquement rattache aux articles concernes. Bonus : OWASP Top 10 2025, OWASP WSTG v4.2, PTES.
Puis-je auditer plusieurs sites ?
Oui. Chaque site fait l'objet d'une verification de propriete independante. Une fois verifie, vous pouvez relancer des audits autant de fois que necessaire. Pour les MSSP et hebergeurs gerant un parc, contactez-nous pour un acces multi-tenant.

Pret a savoir ce que les attaquants voient de votre site ?

Inscription gratuite. Verification de propriete en quelques minutes. Premier rapport PDF dans la foulee.

Demarrer mon premier audit Parler a un expert