Audit de sécurité piloté par l'IA · TPE & PME

60% des PME attaquées déposent le bilan.
Serez-vous la prochaine ?

Nous scannons votre site comme le ferait un attaquant — sans rien casser. Audit automatisé par IA, validé par des experts. Rapport livré sous 5 jours.

Obtenir un devis → Voir la méthode
Livré sous 5 jours 📄 Rapport PDF + JSON + MD 🔐 Signature SHA-256 🤖 Scan IA autonome
01 06 PDF SHA-256
Pourquoi Kerndyne

L'audit de sécurité repensé pour les PME.

Fini les audits hors de prix réservés aux grands comptes. Notre approche combinée IA + experts vous offre une couverture équivalente à une fraction du coût.

🤖

Scan piloté par l'IA

Notre moteur d'audit agentique explore des centaines de vulnérabilités simultanément, 24h/24. Là où un consultant humain passe 3 jours, Kerndyne scanne en 2 heures — avec une couverture plus large.

🔍

OSINT + Dark Web intégré

Au-delà du scan technique, nous croisons 4 sources CVE, le Dark Web et les fuites de données. Vous saurez si vos identifiants fuient ou si votre site est déjà listé par des attaquants.

📖

Méthodologie transparente

Code open-source, configuration de scan incluse dans le rapport, signature SHA-256 de chaque livrable. Un second auditeur peut reproduire l'intégralité du scan à l'identique. Zéro boîte noire.

Méthodologie

6 phases, transparentes et auditables.

Chaque phase est documentée et la configuration utilisée est incluse dans le rapport final. Un autre auditeur peut reproduire le scan à l'identique.

01

Validation & résolution DNS

Résolution de l'URL cible avec filtrage des IP privées/internes (protection anti-SSRF). IPs pinnées pour toute la session.

02

Cartographie passive

Crawler configurable qui parcourt le site, identifie les pages publiques, formulaires et fichiers sensibles exposés par erreur.

03

Découverte de services

Scan nmap en mode poli (T2) pour identifier les services réseau exposés et leurs versions. Non intrusif, détection passive.

04

Scan de vulnérabilités web

Nikto sur les signatures connues. Tests de mauvaises configurations, fichiers intéressants, divulgation d'info.

05

Audit HTTP par URL

Vérification des en-têtes de sécurité (HSTS, CSP, X-Frame-Options), cookies (Secure, HttpOnly), posture TLS pour chaque URL découverte.

06

Enrichissement CVE

Croisement des versions identifiées avec 4 sources : NVD, CISA KEV (exploitation active), ExploitDB et GitHub Security Advisories.

Documentation complète : disponible sur demande avant contrat

Livrables

Un rapport que vous pouvez transmettre au RSSI.

Rapport PDF structuré

Résumé exécutif, méthodologie, findings priorisés par sévérité CVSS 3.1, impact métier rédigé, recommandations actionnables. Sommaire cliquable, bandes de sévérité visuelles.

Version Markdown éditable

Pour intégration dans votre système documentaire, versionnage Git, ou édition collaborative avec votre équipe technique.

Export JSON brut

Données techniques complètes pour ré-analyse, archivage, ou comparaison d'audit à audit (delta des findings résolus entre 2 scans).

Signature SHA-256

Chaque livrable porte une empreinte cryptographique qui prouve son intégrité. Utile pour l'archivage ISO 27001 ou la transmission à un tiers sans risque d'altération.

Extrait d'un rapport type
### 4.1 CVE-2016-6814

CVSS 3.1 : 9.8 — CRITIQUE
Évidence : PoC public (ExploitDB)
            GitHub Advisory GHSA-xphj

Impact métier :
Un attaquant non authentifié peut
exécuter du code arbitraire à distance
via la désérialisation Groovy...

Recommandation :
Mettre à niveau vers Apache httpd 2.4.52+.
Désactiver mod_proxy si non utilisé.
Délai recommandé : 48h.
Chiffres clés

La cybersécurité en France en 2026.

Les chiffres parlent d'eux-mêmes. Chaque jour sans audit est un risque que vous prenez — consciemment ou non.

60%
des PME attaquées déposent le bilan

Sous 18 mois selon l'ANSSI. Le vrai coût d'une attaque n'est pas la rançon, c'est l'arrêt d'activité.

50 000€
Coût moyen d'une attaque PME

Rançon + réparation + perte d'exploitation. Un audit à 3 chiffres peut éviter une facture à 6 chiffres.

79%
Des sites PME ont des failles critiques

Selon notre analyse des 50 derniers audits. La plupart des dirigeants pensent être protégés.

5j
Délai de livraison d'un audit

De la commande au rapport complet. Zéro attente, zéro blabla : on scanne, on livre, vous protégez.

Nouveau 🔥 Monitor 24/7

Une surveillance continue, pas un audit ponctuel.

Les vulnérabilités apparaissent chaque jour. Kerndyne Monitor scrute votre site 24h/24 : nouvelles CVE, fuites Dark Web, régressions, tentatives d'attaque. Alertées en temps réel.

🛡️

Scan automatique 24h/24

Notre moteur IA scanne votre site en continu. Pas d'attente, pas de rendez-vous : dès qu'une nouvelle faille CVE concerne votre stack technique, vous êtes notifié.

🌐

Surveillance Dark Web & OSINT

Mots de passe fuites, mentions de votre domaine sur des forums, certificats expirés, sous-domaines oubliés — tout ce qui vous expose sans que vous le sachiez.

📊

Tableau de bord & comparatifs

Score de sécurité évolutif, historique des corrections, tendances sur 3/6/12 mois. Idéal pour votre assurance cyber et vos audits fournisseurs.

Alertes en temps réel

Email, webhook Slack/Teams ou SMS — choisissez votre canal. Pas de rapport hebdomadaire à attendre quand une CVE critique tombe sur votre WordPress.

Nouveau 🔥

Kerndyne Monitor 24/7

Surveillance web automatisée + Dark Web + alertes

  • Scan IA continu 24h/24
  • Veille CVE proactive
  • Dark Web & fuites de données
  • Rapport comparatif mensuel
  • Alertes temps réel (email/webhook)
  • Dashboard de score sécurité
  • Sans engagement, résiliable à tout moment
Configurer Monitor →

Audit initial requis · 7 jours d'essai gratuit

FAQ

Questions que vous vous posez probablement.

On a déjà un prestataire qui gère l'hébergement. Pourquoi un audit externe ?
Un audit externe permet justement de vérifier le travail du prestataire sans conflit d'intérêt. C'est comme un contrôle technique indépendant pour une voiture : le garagiste qui entretient votre voiture n'est pas le plus objectif pour la contrôler. Les rapports d'audit externe sont aussi fréquemment demandés par les clients B2B, les assureurs cyber et les audits de conformité.
L'audit peut-il faire tomber mon site ?
Non. L'audit est strictement non intrusif : pas de test d'injection active, pas de brute-force, pas de stress test. Le scan est effectué en mode poli (débit limité), équivalent en charge à quelques dizaines de visiteurs supplémentaires sur quelques minutes. Aucun de nos clients n'a eu d'impact performance pendant l'audit.
Je n'ai rien à cacher. Pourquoi m'inquiéter ?
Le vrai risque n'est généralement pas le vol d'information directe, c'est l'indisponibilité (rançongiciel, défiguration) et la réputation (votre site utilisé pour pivoter vers vos clients, vos partenaires, ou héberger un kit de phishing à votre nom). Même les petits sites sont des cibles intéressantes pour ces usages.
Est-ce légal de scanner mon site ?
Oui, à condition d'avoir votre autorisation écrite — et c'est exactement ce que couvre le contrat que vous signez avant le scan. Nous ne scannons jamais une cible sans autorisation explicite : c'est à la fois interdit par l'article 323-1 du Code pénal et contraire à notre déontologie professionnelle.
Vous gardez une copie des données trouvées ?
Les données techniques intermédiaires (logs, JSON bruts) sont détruites 30 jours après livraison à votre demande. Nous conservons uniquement le rapport final signé pendant 3 ans pour des raisons comptables et réglementaires. La confidentialité stricte est une clause du contrat.
En quoi êtes-vous différents des autres prestataires ?
La plupart des prestataires adaptent des méthodes d'audit conçues pour les grands comptes. Nous faisons l'inverse : notre moteur est conçu dès le départ pour les TPE/PME.

• Prix — Pas de forfait à 5 000€, pas de vente forcée. Devis transparent.
• Délai — Rapport livré sous 5 jours ouvrés, pas 3 semaines.
• Transparence — Code open-source, configuration incluse dans le rapport, reproductible par un tiers.
• OSINT — Dark Web et fuites de données inclus, pas d'option payante.
• Pas d'engagement — Vous recevez le rapport, vous appliquez les correctifs seuls ou avec qui vous voulez.
Étudiant en cybersécurité, formé aux méthodologies OWASP et ANSSI. Notre équipe combine expertise technique junior et encadrement senior. Méthodologie documentée, configuration exacte incluse dans le rapport — un second auditeur peut reproduire le scan à l'identique. Pour les missions nécessitant une qualification PASSI, nous travaillons avec des partenaires certifiés.

Méthodologies & références

OWASP ASVS ANSSI Guide Cybersécurité PME NVD CVE CISA KEV ⚡ Open Source
Prendre contact

Parlons de votre besoin.

Un premier échange de 15 minutes pour comprendre votre contexte, répondre à vos questions. Notre équipe vous répond sous 24h ouvrées.

Email
[email protected]
Réponse garantie

L'équipe répond à toutes les demandes sous 24h ouvrées, même pour dire « non, ce n'est pas pour nous, mais voici un confrère à recommander ».

Votre demande est envoyée de manière sécurisée et sans stockage de cookies.