Checklist audit sécurité SaaS : 50 points à vérifier avant le lancement

La checklist qu'on utilise pour auditer vos apps

Après des dizaines d'audits de SaaS et d'apps vibecodées, nous avons compilé cette checklist de 50 points. C'est ce qu'on vérifie systématiquement.

Utilisez-la pour une auto-évaluation, mais gardez en tête qu'un audit professionnel va plus en profondeur sur chaque point.

Authentification (10 points)

- [ ] Mots de passe hashés avec bcrypt/argon2 (pas MD5/SHA1)

- [ ] Politique de mots de passe : minimum 8 caractères, complexité

- [ ] Protection brute force : rate limiting sur /login

- [ ] Tokens JWT avec expiration : access token < 15min, refresh token < 7 jours

- [ ] Secret JWT sécurisé : au moins 256 bits, stocké en variable d'environnement

- [ ] Sessions invalidées à la déconnexion

- [ ] Récupération de mot de passe sécurisée : token unique, expire en 1h

- [ ] Pas d'énumération d'utilisateurs : même message pour "user inconnu" et "mauvais password"

- [ ] MFA disponible (au minimum pour les admins)

- [ ] OAuth bien implémenté : state parameter, vérification du token

Protection des données (10 points)

- [ ] Données sensibles chiffrées au repos

- [ ] HTTPS partout (pas de mixed content)

- [ ] Cookies sécurisés : HttpOnly, Secure, SameSite

- [ ] Pas de données sensibles dans les URLs

- [ ] Pas de données sensibles dans les logs

- [ ] PII minimales collectées (RGPD)

- [ ] Données supprimées sur demande (droit à l'oubli)

- [ ] Backups chiffrés

- [ ] Séparation des environnements (dev/staging/prod)

- [ ] Pas de secrets dans le code source

Sécurité API (10 points)

- [ ] Authentification sur tous les endpoints sensibles

- [ ] Autorisation vérifiée (pas juste authentification)

- [ ] Rate limiting global et par endpoint

- [ ] Validation des entrées côté serveur

- [ ] Pas de mass assignment (whitelist des champs modifiables)

- [ ] Pagination sur les listes (pas de dump de toute la DB)

- [ ] Pas d'IDOR (Insecure Direct Object Reference)

- [ ] Pas d'infos sensibles dans les réponses d'erreur

- [ ] Content-Type validé

- [ ] CORS configuré correctement (pas de wildcard en prod)

Injection & XSS (8 points)

- [ ] Requêtes SQL/NoSQL paramétrées

- [ ] Pas d'eval() ou équivalent

- [ ] Échappement HTML sur les sorties

- [ ] CSP (Content Security Policy) configurée

- [ ] X-XSS-Protection header

- [ ] Sanitization des uploads de fichiers

- [ ] Pas d'injection de commandes

- [ ] Protection SSRF sur les URLs externes

Infrastructure (7 points)

- [ ] Firewall configuré (ports minimum ouverts)

- [ ] Updates de sécurité appliquées

- [ ] Pas de services inutiles exposés

- [ ] Logs de sécurité activés

- [ ] Monitoring des erreurs

- [ ] Plan de réponse aux incidents

- [ ] Secrets en variables d'environnement (pas en dur)

Dépendances (5 points)

- [ ] npm audit sans vulnérabilités critiques

- [ ] Dépendances à jour (< 6 mois de retard)

- [ ] Lock file versionné

- [ ] Pas de packages abandonnés

- [ ] Vérification de l'intégrité (checksums)

Score et interprétation

- 45-50 points : Excellent, prêt pour la production

- 35-44 points : Correct, quelques améliorations nécessaires

- 25-34 points : Risqué, audit recommandé avant lancement

- < 25 points : Critique, ne pas lancer en l'état

Ce que cette checklist ne couvre pas

*Tu veux qu'on vérifie ces 50 points pour toi ? [Réserve un audit](/). On va plus loin avec des tests actifs et une analyse de ton code.*