Checklist d'audit sécurité SaaS (48h)

Sans MFA, un seul mot de passe leak = accès total à ton infra.

Vérifie GitHub, Vercel, AWS, Stripe, base de données. Un freelance oublié = une porte ouverte.

Chaque personne n'a que les droits strictement nécessaires. Pas de 'admin par défaut'.

Tu sais exactement qui a accès à quels services, avec quel niveau de permission.

Les tokens JWT ou sessions ne durent pas éternellement. Timeout de 30min-1h recommandé pour l'admin.

Sans rate limiting, un attaquant peut brute-force les mots de passe en quelques heures.

Pas de clé API, mot de passe DB ou token dans le code. Utilise des variables d'environnement.

Vérifie git log -- .env pour confirmer qu'il n'a jamais été commit.

AWS Secrets Manager, Doppler, Infisical... pas dans un Google Doc.

Si une clé fuite, depuis combien de temps est-elle valide ? Rotation tous les 90 jours minimum.

Si ton env de dev se fait compromettre, ta prod reste safe.

C'est le signal #1 d'une attaque par brute-force.

Suppression de données, changement de permissions, export de data = tout doit être logué.

Pas de mots de passe, tokens, ou PII dans les logs. C'est un vecteur de fuite courant.

Pic de 404, tentatives de login massives, accès API inhabituel = notification immédiate.

En cas d'incident, tu as besoin d'historique pour comprendre ce qui s'est passé.

Vérifie qu'un utilisateur non-connecté ne peut pas accéder à des données privées.

SQL injection, XSS, path traversal... valide côté serveur, pas seulement côté client.

Sans rate limiting, un bot peut scraper tes données ou surcharger ton serveur.

Pas de stack traces, paths internes, ou IDs de base de données exposés en production.

Seuls tes domaines autorisés peuvent appeler ton API. Pas de wildcard '*' en production.

Stripe, GitHub, etc. envoient des signatures. Si tu ne les vérifies pas, n'importe qui peut forger des requêtes.

Pas en clair dans les fichiers YAML. Utilise les secrets de GitHub Actions, GitLab CI, etc.

Au moins une review requise. Ça prévient les push malveillants ou les erreurs.

npm audit, Snyk, ou Dependabot actif. Une dépendance vulnérable = ta faille.

Seuls les maintainers peuvent déployer. Pas de 'git push = deploy' pour tous.

En cas de problème, tu peux revenir à la version précédente en moins de 5 minutes.

Mots de passe hashés (bcrypt/argon2), données personnelles chiffrées en base.

Vérifie les redirections, les liens internes, les assets. Tout doit être en HTTPS.

Un backup qui n'a jamais été restauré n'est pas un backup. Teste la restauration.

RGPD oblige : tu dois savoir combien de temps tu gardes les données et pourquoi.

Droit à la portabilité et droit à l'oubli. C'est la loi, pas une feature 'nice to have'.

Pas de port 5432/3306 ouvert sur internet. Accès uniquement via VPC ou tunnel SSH.

Qui fait quoi si un breach arrive ? Un doc de 1 page suffit pour commencer.

CTO, hébergeur, avocat RGPD. Tu sais qui appeler à 3h du matin.

Si Slack est down ou compromis, comment tu communiques ? WhatsApp, Signal, téléphone.

En cas de breach avec données personnelles, tu as 72h pour notifier la CNIL. C'est la loi.

Pas pour blâmer, mais pour apprendre. Template : que s'est-il passé, impact, fix, prévention.