Nouveau service

L'audit que seul votre hébergeur peut produire.

Inside Audit, c'est un état des lieux profond et ponctuel de votre site, côté serveur. Lecture seule, rapport actionnable, signé par un expert Datacampus. Complémentaire de votre infogérance et de votre agence applicative.

Demander un audit Comment ça marche

Service réservé aux clients hébergés et infogérés Datacampus.

Le constat

Ce que votre site cache,
vous ne le voyez pas.

Votre site fonctionne. Il s'affiche, il prend des commandes, il reçoit des visiteurs. Mais est-ce qu'il est sain ?

Un plugin oublié il y a deux ans avec une faille connue. Un compte administrateur dormant au mot de passe faible. Un fichier PHP suspect dans un répertoire d'uploads, ajouté il y a des mois. Une sauvegarde qui se lance toutes les nuits, mais que personne n'a jamais testée en restauration.

On ne voit pas ces choses-là depuis l'extérieur. Un pentest ne les détecte pas. Un audit Lighthouse encore moins. Votre agence n'a pas les accès. Et vous-même n'avez pas le temps ni l'expertise pour les chercher.

N'attendez pas de devoir contacter la CNIL et tous vos utilisateurs pour leur annoncer une fuite de données.
# quelques angles morts classiques
plugin oublié // faille publique connue
compte admin dormant // mot de passe faible
backup.sql dans /uploads // téléchargeable
.env exposé en HTTP // clés API en clair
webshell daté de mardi // porte dérobée active
cron qui appelle un script absent // persistance
sauvegardes non testées // irrécupérables
$ dc-audit session start
Comment c'est possible

Des experts qui auditent.
Un outillage qui les démultiplie.

Inside Audit, c'est d'abord une équipe Datacampus à taille humaine. Des experts qui connaissent votre infrastructure parce qu'ils l'opèrent au quotidien. Qui voient passer, sur l'ensemble du parc, les attaques, les compromissions, les configurations qui dérapent. Et qui en gardent la mémoire.

Pour aller plus profond et plus vite que ne le permettrait un audit manuel, nos experts s'appuient sur un toolkit propriétaire qui collecte des centaines de points de contrôle en lecture seule, et sur une intelligence artificielle d'appui qui les aide à digérer le volume, sous contrats stricts.

Mais c'est l'expert Datacampus qui qualifie, qui arbitre, qui signe. Pas un agent. Pas un automate. Une personne qui engage Datacampus.

L'expert décide, l'IA propose

L'IA suggère, qualifie les patterns connus, accélère le tri. L'expert relit chaque finding, arbitre les ambiguïtés, hiérarchise, signe le rapport.

Catalogue partagé sans partage de données

Un pattern détecté sur le parc Datacampus devient une signature reconnue chez tous les clients au prochain audit, sans qu'aucune donnée d'un client ne transite chez un autre.

Chaque finding pointe une preuve

Si l'IA référence un fichier ou une trace qui n'existe pas, le système rejette le finding. Aucune affirmation sans evidence.

Aucun chiffre rédigé par l'IA

Scores, comptages, dates, identifiants : calculés par le toolkit déterministe. L'IA rédige du texte, jamais des chiffres.

Vos données ne partent pas chez un LLM tiers

L'IA travaille sur des observations condensées et anonymisées, jamais sur le contenu brut de votre site, base de données ou logs.

15
axes de contrôle
par session
160+
sondes au catalogue,
en lecture seule
365 j
de logs analysés
(max légal)
1
expert Datacampus
signataire du rapport

Comment ça se passe.

Sept étapes claires, vous n'avez quasiment rien à faire de votre côté.

  1. 1
    Vous validez votre commande

    Avec notre service commercial. Mode choisi (sécurité, performance, pack), périmètre, ticket Redmine ouvert.

  2. 2
    Nous planifions la fenêtre d'audit

    Démarrage typique entre J+1 et J+5. Nous utilisons vos accès Datacampus existants, vous n'avez pas à nous donner de nouvelle clé.

  3. 3
    Nous lançons la collecte

    Lecture seule sur votre serveur. Aucune interruption pour vos visiteurs. Le toolkit collecte des centaines de points de contrôle en quelques minutes.

  4. 4
    Notre expert analyse et rédige

    Contextualisation, qualification des findings ambigus, hiérarchisation, rédaction. Le rapport explicite ce qui est couvert et ce qui ne l'est pas (pas de pentest, pas de front-end, pas de test de charge), et est signé. Cette signature engage Datacampus.

  5. 5
    Nous vous livrons

    Sous 5 jours ouvrés (7 pour le pack, 24 à 72 h pour Investigation). Rapport PDF avec hash SHA-256, lien Nextcloud sécurisé, restitution écrite dans votre ticket.

  6. 6
    Vous appliquez les recommandations

    Vous-même, votre agence applicative, ou nous au j/h pour les correctifs côté infrastructure. Plan d'action priorisé en trois phases avec pilotes désignés.

  7. Re-scan à J+30 inclus

    On revient vérifier que les correctifs critiques tiennent et n'ont rien cassé. Vérification ciblée, compte-rendu dans votre ticket. Notre façon de dire : « on ne vous lâche pas une fois la facture payée. »

Le livrable.

Un dossier complet, des preuves vérifiables, un suivi qui ne s'arrête pas à la livraison.

Rapport PDF complet

Synthèse exécutive, scores par axe, plan d'action priorisé. Hash SHA-256 sur le PDF.

Preuves consultables

Chaque finding renvoie à une preuve technique vérifiable, conservée 90 jours.

Plan d'action 3 phases

Phase 1 immédiate, Phase 2 conformité, Phase 3 renforcement. Avec pilotes désignés.

Re-scan vérificatif J+30

Inclus. On revient vérifier que les correctifs critiques tiennent et n'ont rien cassé.

Restitution écrite

Échange de questions-réponses dans votre ticket Datacampus. Visio en option.

Suivi remédiation

Re-vérification des findings critiques, taux de remédiation calculé, ticket de relance si besoin.

Bonus différenciateur

Mitigations immédiates,
strictement non-destructives.

Pour les expositions critiques d'accès public à des fichiers sensibles (archives de sauvegarde, fichiers de configuration, dumps SQL), nous pouvons appliquer pendant l'audit une mesure de blocage HTTP strictement défensive et entièrement réversible, avant même la livraison du rapport.

Le plan détaillé vous est présenté, vous validez, nous appliquons. Aucune donnée applicative modifiée : l'accès public non souhaité est simplement bloqué. La fuite s'arrête tout de suite, pas dans deux semaines. Sur un cas récent : 2 mitigations appliquées pendant l'audit, exposition close avant même la livraison du rapport.

Backup automatique avant action

L'état initial est sauvegardé. Aucune perte possible.

Double confirmation obligatoire

L'expert Datacampus valide explicitement avant chaque action.

Annulable en un clic, à tout moment

Réversibilité garantie. Vous gardez la main de bout en bout.

Trois axes d'analyse,
pas d'angle mort.

Inside Audit examine votre site sur trois axes complémentaires. Vous choisissez celui qui vous intéresse, ou les trois ensemble.

1. Sécurité

CMS à jour ? Plugins vulnérables ? Comptes suspects ? Fichiers malveillants ? Brute force en cours ? Configuration TLS solide ? Sauvegardes restaurables ?

L'état réel de la sécurité de votre site, pas une simulation.

2. Performance

Pourquoi votre page d'accueil met trois secondes à charger ? Quelles requêtes SQL plombent votre back-office ? Votre cache est-il actif ? Votre PHP-FPM dimensionné ?

La dissection de ce qui ralentit votre site.

3. Bonnes pratiques

Au-delà des problèmes critiques, votre site respecte-t-il les standards CMS, web et hébergement ?

Score de conformité aligné sur les guides ANSSI, OWASP et éditeurs.

Sites couverts aujourd'hui
WordPress

Couverture la plus profonde : intégrité du cœur, plugins et thèmes vérifiés contre les sommes officielles, drop-ins, événements cron, REST API, xmlrpc, wp-config, capacités utilisateurs.

PrestaShop

Modules, configuration, expositions, comptes administrateurs, conformité aux recommandations éditeur.

Drupal

Modules, configuration, expositions, comptes administrateurs, conformité aux recommandations éditeur.

Couche serveur commune à tous : TLS et certificats, en-têtes HTTP, expositions web (.git, .env, dumps SQL, phpinfo, archives), WAF (ModSecurity / OWASP CRS), PHP / OPcache / PHP-FPM, MySQL et MariaDB, web server, système, filesystem (eval base64, signatures de webshells, entropie, fichiers SUID), logs serveur jusqu'à 365 jours (max légal). Autre stack (Joomla, Symfony, Laravel, code custom) ? Parlons-en.

Trois prestations,
trois métiers complémentaires.

L'infogérance maintient le serveur en vie. Votre agence fait vivre l'application. Inside Audit comble le trou entre les deux.

Infogérance Datacampus

Votre contrat actuel.

  • Le serveur, le système, les services de base
  • Supervision, monitoring, sauvegardes infra
  • Mises à jour système, sécurité périmétrique

Cadence : continu, 24/7

TMA agence

Votre partenaire applicatif.

  • Mises à jour CMS, plugins, modules
  • Évolutions fonctionnelles, correction d'incidents
  • Accompagnement métier, conseil produit

Cadence : récurrent, au fil de l'eau

Inside Audit

Notre prestation ponctuelle.

  • État des lieux applicatif profond
  • Ce qui passe sous le radar de l'exploitation
  • Plan d'action priorisé pour l'agence et le client

Cadence : ponctuel ou abonnement annuel

Les trois sont complémentaires, pas concurrentes. Inside Audit donne à votre agence une feuille de route priorisée qu'elle met en œuvre.

Quatre formules d'audit.

Trois en mode prévention pour savoir où vous en êtes. Une en mode investigation pour quand le pire est arrivé.

DIA-SEC

Audit Sécurité

On chasse les compromissions, expositions, vulnérabilités, comptes suspects, sauvegardes douteuses. Vous repartez avec un état réel de la sécurité, hiérarchisé et signé.

Délai : 5 jours ouvrés
Re-scan J+30 : inclus
DIA-PERF

Audit Performance

On dissèque ce qui ralentit votre site : PHP, OPcache, requêtes SQL lentes, cache, dimensionnement. Vous repartez avec un plan d'action priorisé pour gagner du temps de réponse.

Délai : 5 jours ouvrés
Re-scan J+30 : inclus
Le plus complet
DIA-PACK

Pack Sécurité + Performance

Les deux audits ensemble. La photo complète de votre application sur les trois axes (sécurité, performance, bonnes pratiques). Plus avantageux que les deux séparément.

Délai : 7 jours ouvrés
Re-scan J+30 : inclus
DIA-INVESTIGATION

Investigation forensic

Vous avez un doute sérieux ou vous êtes déjà attaqué. Reconstitution chronologique, vecteur d'entrée, qualification RGPD, préservation des preuves 12 mois. Rapport opposable assureur cyber, CNIL, justice.

Démarrage : sous 24 h
Livrable : sous 48 à 72 h
À ne pas confondre : notre obligation d'hébergeur reste séparée et incluse dans votre contrat.

Si une violation est portée à notre connaissance (audit, intervention, alerte interne), nous vous informons sans délai, nous fournissons les éléments factuels pour votre notification CNIL, et nous menons la réponse à incident côté infrastructure. C'est dû. La formule DIA-INVESTIGATION ajoute en option un rapport forensic formalisé et opposable.

Options et engagement.

Toutes les formules acceptent les mêmes options. Achetez un audit ponctuel, ou intégrez-les dans votre rythme de gouvernance.

Options à la carte

Restitution visio avec l'expert

Une heure d'échange après livraison, avec l'expert Datacampus qui a signé votre rapport. Questions, contexte, arbitrages.

Démarrage en urgence

Délai compressé : 5 jours ouvrés ramenés à 48 heures, sous réserve de disponibilité expert.

Re-scan additionnel à J+90

En complément du re-scan J+30 inclus. Pour vérifier que la remédiation a bien tenu trois mois plus tard.

Rapport bilingue FR / EN

Traduction du rapport en anglais, utile pour les comités de direction internationaux et les assureurs étrangers.

Mode d'engagement

Audit ponctuel

Vous voulez savoir où vous en êtes maintenant, à un instant T. Un audit, un rapport, vous appliquez à votre rythme.

Abonnement annuel, 4 audits dans l'année

Audits planifiés (typiquement trimestriels), tarif préférentiel sur l'année, suivi de l'évolution dans le temps. La gouvernance technique installée dans la durée.

Tarifs détaillés, devis et abonnement : votre interlocuteur commercial Datacampus.

Les garde-fous techniques.

Un audit côté serveur, ça se mérite. Voici les contraintes que nous nous imposons, IA comprise, pour que vous puissiez nous laisser entrer en confiance.

Lecture seule absolue

Le toolkit refuse techniquement toute commande mutante. Refus si l'espace disque est insuffisant ou si un nettoyage tente de sortir d'un répertoire dédié. Pas une promesse : c'est dans le code.

Chaque finding pointe une preuve

Identifiant de preuve déterministe (chemin, hash, extrait de log) consultable. Si l'IA tente de citer une preuve qui n'existe pas, le finding est rejeté automatiquement.

Aucun chiffre rédigé par l'IA

Scores, comptages, dates, identifiants : tous calculés par le toolkit déterministe. L'IA rédige du texte, jamais de chiffres. Le validateur post-hoc rejette tout chiffre orphelin.

Validation humaine avant livraison

Aucun rapport n'est livré automatiquement. Un expert Datacampus relit, qualifie les findings ambigus, signe. Sa signature engage Datacampus.

Vos données restent chez Datacampus

Sorties brutes, preuves, rapports : stockés en France sur l'infrastructure Datacampus. Pas de transfert hors UE. Aucun contenu de votre site n'est envoyé à un LLM tiers.

RGPD : vous décidez

Nous recommandons une notification CNIL au titre de l'article 33 quand les éléments le justifient. Nous ne décidons pas à votre place. Données personnelles anonymisées dans le rapport.

L'expérience du parc Datacampus

Des milliers de sites supervisés, des incidents quotidiens vus passer, des configurations qui dérapent observées en continu. Tout ce qu'on apprend chez un client devient une signature qui protège tous les autres au prochain audit, sans aucun partage de données entre clients.

Hash SHA-256 sur le rapport

Le rapport PDF lui-même porte une empreinte SHA-256 calculée à la livraison. Vérifiable. Opposable. C'est le PDF que vous avez reçu, pas un autre.

Trois exemples,
fictifs mais représentatifs.

Le type d'angles morts que nous trouvons régulièrement, sans qu'aucun de ces cas ne corresponde à un client précis.

Sécurité

Boutique en ligne

Une boutique d'articles de loisirs : six fichiers d'apparence anodine cachaient des portes dérobées installées plusieurs semaines auparavant, dilués dans des milliers de lignes de code cœur. Invisibles à l'œil et au scanner externe, détectés par comparaison d'intégrité avec les sources officielles.

Exposition

Portail mutualisé

Un portail associatif : plusieurs sauvegardes de base de données aux noms volontairement obscurs étaient accessibles publiquement en HTTP, sans qu'aucun moteur de recherche ne les indexe. Détection par recoupement entre la liste réelle des fichiers côté serveur et leur exposition côté visiteur.

Reprise

Reprise par une agence

Une agence reprend la main sur un site dont elle vient d'hériter, sans documentation. L'audit révèle des comptes administrateurs orphelins, deux modules abandonnés avec failles publiques connues, et un planificateur de tâches qui appelle un script absent. L'agence repart avec une feuille de route priorisée et reprend le site sur des bases saines.

À quoi ressemble votre rapport.

Note technique signée, structurée, lisible par un dirigeant comme par un DSI. Référence interne, classification, evidence à l'appui, qualification RGPD claire, frise chronologique sur les findings critiques.

DATACAMPUS
HÉBERGEMENT DURABLE
PRÉVENTION SÉCURITÉ
INSIDE AUDIT
votre-site.com
https://votre-site.com
Audit applicatif côté serveur · note technique
DATE D'AUDIT
1er mai 2026
ÉMETTEUR
Expert DC · Datacampus
DESTINATAIRES
Équipe applicative
Responsable de traitement
RÉFÉRENCE
2026-05-01-d6404a91
CLASSIFICATION
Confidentiel · diffusion restreinte
datacampus.frInside Audit · toolkit v2.13

Synthèse exécutive · 1er mai 2026

55
Grade D
RGPD : DOUTE · VÉRIFICATION REQUISE
Une exposition publique sur des fichiers porteurs de données personnelles a été constatée pendant l'audit. Les conditions d'une fuite étant réunies, l'absence de preuve ne permet pas d'écarter le risque.
Article 33 à évaluer (72 h) · décision RT
1
Critique
5
Important
4
À surveiller
10
Conformes
6,5 Go
Exposé
3 ans
Durée
26
Sondes
2
Mitigations
CHRONOLOGIE FINDING CRITIQUE
Juil. 2023
16 avril
30 avril
1er mai
Inside Audit · Confidentiel2 / 15

Aperçu non contractuel. Chaque rapport est signé et porte un hash SHA-256. Quatre niveaux de findings : Critique 🔴 · Important 🟠 · À surveiller 🟡 · Conforme 🟢.

Questions fréquentes.

J'ai déjà un pentest annuel. Inside Audit est utile en plus ?

Oui, parce que les deux audits regardent des choses différentes. Un pentest teste si un attaquant peut entrer. Inside Audit révèle ce qui se passe déjà à l'intérieur : un fichier suspect téléversé il y a six mois, un compte admin oublié, une configuration cassée. Un pentest qui ne trouve rien ne veut pas dire qu'il n'y a rien : cela veut dire qu'à ce moment-là, par cette voie-là, l'attaquant n'a pas trouvé de porte ouverte. Inside Audit complète l'image.

Mon agence s'occupe déjà de la maintenance du site.

Très bien. Inside Audit est complémentaire, et nous travaillons avec votre agence, pas contre elle. Sa mission de TMA (mises à jour CMS et plugins, évolutions, correction d'incidents fonctionnels, accompagnement produit) est un travail récurrent indispensable, que nous ne remplaçons pas.

Inside Audit fait autre chose : un état des lieux profond et ponctuel produit par votre hébergeur. Une vue indépendante qui renforce la position de conseil de votre agence : elle reçoit en même temps que vous une feuille de route priorisée, et c'est elle qui met en œuvre les correctifs identifiés (avec sa marge habituelle).

J'ai déjà l'infogérance Datacampus. L'audit ne fait pas double emploi ?

Non, parce qu'ils ne regardent pas la même chose. L'infogérance maintient le serveur en condition opérationnelle : système, services, ressources, sauvegardes infra. Inside Audit regarde la couche applicative, votre site lui-même, à un niveau de profondeur qu'on ne fait pas en exploitation normale. Sans audit dédié, ces choses se révèlent souvent trop tard.

Combien de temps ça prend de mon côté ?

Quasiment rien. Vous commandez, nous nous occupons de tout : connexion via vos accès Datacampus existants, audit, rédaction, livraison. Vous lisez le rapport (15-20 minutes), vous décidez ce que vous appliquez. Aucune interruption pour vos visiteurs.

Vous allez voir des données sensibles ?

Nous voyons techniquement votre base de données, oui : c'est nécessaire pour auditer. Nous sommes déjà votre sous-traitant RGPD au titre de l'hébergement, nos engagements de confidentialité s'appliquent intégralement. Aucun stockage hors UE, aucun transfert à des tiers, données personnelles éventuellement citées anonymisées dans le rapport. Aucun contenu brut envoyé à un LLM tiers.

Et si vous trouvez quelque chose de grave ?

Notre obligation d'hébergeur s'applique : si une violation est portée à notre connaissance, nous vous informons sans délai, nous vous fournissons les éléments factuels nécessaires à votre notification CNIL, et nous menons les actions de réponse à incident sur l'infrastructure. C'est inclus dans votre prestation d'hébergement. Si vous avez besoin d'un rapport forensic formalisé, opposable à votre assureur cyber ou à votre conseil juridique, le mode Investigation le produit en 24-72 heures.

Pourquoi seulement vos clients hébergés et infogérés ?

Parce que la valeur d'Inside Audit vient précisément du fait que nous sommes votre hébergeur et votre infogéreur. Inside Audit a besoin d'un accès privilégié au serveur (lecture des fichiers, de la base, des logs, des configurations système), accès dont nous disposons légitimement et de manière sécurisée dans le cadre du contrat d'infogérance. Sans cet accès, nous serions limités à ce qui se voit de l'extérieur, exactement ce que nous critiquons.

Le re-scan à J+30, c'est vraiment inclus ?

Oui. Nous revenons vérifier que les correctifs critiques et importants identifiés dans le rapport ont bien été appliqués et n'ont rien cassé. Pas un nouvel audit complet, mais une vérification ciblée. Compris dans la prestation. C'est notre façon de dire : « on ne vous lâche pas une fois la facture payée. »

Ce qu'Inside Audit n'est pas.

Pas un pentest : nous n'attaquons pas votre site. Pour un test d'intrusion, nous vous orientons vers un partenaire spécialisé.

Pas un audit d'infrastructure : le serveur et le système relèvent de votre contrat d'infogérance Datacampus.

Pas une TMA : nous ne mettons pas à jour votre CMS, vos plugins ou vos modules au fil de l'eau, c'est le métier de votre agence applicative.

Pas un audit de code source : nous regardons votre site tel qu'il est déployé, pas la qualité du code custom.

Pas une décision RGPD à votre place : nous recommandons et fournissons les éléments factuels, le responsable de traitement décide.

Prêt à ouvrir le capot ?

Un échange court suffit pour cadrer le périmètre et planifier la fenêtre d'audit. Nous lançons votre premier audit dans la semaine.

Demander un audit +33 5 16 64 00 75