Nouveau service

L'audit que seul votre hébergeur peut produire.

État des lieux applicatif côté serveur. Lecture seule, rapport actionnable, signé par un expert Datacampus.

Demander un audit

Réservé aux clients hébergés et infogérés Datacampus.

Inside Audit en bref
  • Quoi : audit applicatif côté serveur en lecture seule, signé par un expert Datacampus.
  • Périmètre : 19 axes de contrôle, 180+ sondes au catalogue, jusqu'à 365 jours de logs analysés (max légal).
  • Quatre formules : Sécurité (DIA-SEC), Performance (DIA-PERF), Pack (DIA-PACK), Investigation forensic (DIA-INVESTIGATION).
  • CMS couverts : WordPress (couverture la plus profonde), PrestaShop, Drupal, phpMyAdmin. Couche serveur commune à tous les sites PHP.
  • Différenciateur : visibilité côté hébergeur, inaccessible aux scanners externes. Détection des plugins retirés du repo, versions PHP/MySQL EOL, durcissement DNS (SPF/DMARC/DKIM), sauvegardes Datacampus vérifiées.
  • RGPD : qualification factuelle des expositions ou fuites de données personnelles (article 4.12 RGPD), éléments fournis pour décision article 33. Pas un audit de conformité RGPD au sens DPO.
  • Livrable : rapport PDF signé avec hash SHA-256, evidence consultables 90 jours, plan d'action en 3 phases, re-scan vérificatif inclus à J+30.
  • Éligibilité : service réservé aux clients hébergés et infogérés Datacampus (contrainte technique d'accès privilégié).
Le constat

Ce que votre site cache,
vous ne le voyez pas.

Votre site fonctionne. Il s'affiche, il prend des commandes, il reçoit des visiteurs. Mais est-ce qu'il est sain ?

Un plugin oublié il y a deux ans avec une faille connue. Un compte administrateur dormant au mot de passe faible. Un fichier PHP suspect dans un répertoire d'uploads, ajouté il y a des mois. Une sauvegarde qui se lance toutes les nuits, mais que personne n'a jamais testée en restauration.

On ne voit pas ces choses-là depuis l'extérieur. Un pentest ne les détecte pas. Un audit Lighthouse encore moins. Votre agence n'a pas les accès. Et vous-même n'avez pas le temps ni l'expertise pour les chercher.

N'attendez pas de devoir contacter la CNIL et tous vos utilisateurs pour leur annoncer une fuite de données.
# quelques angles morts classiques
plugin retiré du repo // abandonné depuis 2 ans
compte admin dormant // mot de passe faible
backup.sql dans /uploads // téléchargeable
.env exposé en HTTP // clés API en clair
webshell daté de mardi // porte dérobée active
PHP 7.4 en prod // EOL depuis 2022
SPF/DMARC absents // usurpation possible
$ dc-audit session start
Comment c'est possible

Des experts qui auditent.
Un outillage qui les démultiplie.

Inside Audit, c'est d'abord la mémoire d'un hébergeur. Nos experts voient passer, sur l'ensemble du parc, les attaques, les compromissions, les configurations qui dérapent. Et ils en gardent la trace pour vous, sans qu'aucune donnée client ne transite d'un site à l'autre.

Pour aller plus profond et plus vite que ne le permettrait un audit manuel, nos experts s'appuient sur un toolkit maison qui collecte des centaines de points de contrôle en lecture seule, et sur une intelligence artificielle d'appui qui les aide à digérer le volume, sous contrats stricts.

Cette profondeur permet ce qu'un scanner externe ne sait pas faire : détecter et qualifier factuellement les expositions ou fuites de données personnelles sur votre site (archives téléchargeables, dumps SQL accessibles, secrets dans le code). Si les conditions d'une violation au sens de l'article 4.12 du RGPD sont réunies, nous fournissons au responsable de traitement les éléments dont il a besoin pour décider d'une notification CNIL au titre de l'article 33.

Chaque vulnérabilité critique citée dans le rapport est enrichie de son score CVSS, de sa probabilité d'exploitation EPSS et de son inscription éventuelle au catalogue CISA KEV. Nous croisons les sources publiques (OSV, NVD, CISA KEV, EPSS, WordPress.org, AbuseCH, FireHOL, Spamhaus) sans dépendance à un fournisseur payant : vous savez précisément quel risque est théorique et quel risque est déjà activement exploité.

À distinguer de l'audit de conformité RGPD du site (mentions légales, registre des traitements, base légale, cookies) : ça, c'est le métier d'un DPO ou d'un auditeur RGPD, pas le nôtre.

Mais c'est l'expert Datacampus qui qualifie, qui arbitre, qui signe. Pas un agent. Pas un automate. Une personne qui engage Datacampus.

L'expert décide, l'IA propose

L'IA suggère, qualifie les patterns connus, accélère le tri. L'expert relit chaque finding, arbitre les ambiguïtés, hiérarchise, signe le rapport.

Catalogue partagé sans partage de données

Un pattern détecté sur le parc Datacampus devient une signature reconnue chez tous les clients au prochain audit, sans qu'aucune donnée d'un client ne transite chez un autre.

Chaque finding pointe une preuve

Si l'IA référence un fichier ou une trace qui n'existe pas, le système rejette le finding. Aucune affirmation sans evidence.

Aucun chiffre rédigé par l'IA

Scores, comptages, dates, identifiants : calculés par le toolkit déterministe. L'IA rédige du texte, jamais des chiffres.

Vos données ne partent pas chez un LLM tiers

L'IA travaille sur des observations condensées et anonymisées, jamais sur le contenu brut de votre site, base de données ou logs.

Différenciateur

Ce qu'un scanner externe ne peut pas voir.

Inside Audit lance 30 à 45 sondes en lecture seule directement sur votre serveur. Cette visibilité côté hébergeur est par construction inaccessible aux scanners externes, aussi sophistiqués soient-ils. Eux voient la façade. Nous regardons l'intérieur, parce que nous l'opérons.

Scanner externe · vue de l'extérieur · ports, certificats, headers Pentest · tentative d'intrusion · ce qui s'attaque depuis Internet Inside Audit · vue côté serveur · fichiers, base, logs, configs

Comment ça se passe.

Cinq étapes, vous n'avez quasiment rien à faire de votre côté.

  1. 1
    Cadrage et planification

    Vous validez la commande, nous planifions la fenêtre d'audit (J+1 à J+5). Accès Datacampus existants, pas de nouvelle clé.

  2. 2
    Collecte en lecture seule

    Le toolkit collecte des centaines de points de contrôle en quelques minutes. Aucune interruption pour vos visiteurs.

  3. 3
    Analyse et rédaction par un expert

    Qualification des findings ambigus, hiérarchisation, rédaction. Le rapport explicite ce qui est couvert et ce qui ne l'est pas. Signature qui engage Datacampus.

  4. 4
    Livraison et application

    Sous 5 jours ouvrés (7 pour le pack, 24 à 72 h pour Investigation). Rapport PDF, lien Nextcloud, restitution dans votre ticket. Vous appliquez, ou votre agence applique.

  5. Re-scan à J+30, inclus

    On revient vérifier que les correctifs critiques tiennent et n'ont rien cassé. « On ne vous lâche pas une fois la facture payée. »

Le livrable

Rapport PDF

Synthèse exécutive, scores par axe, plan d'action priorisé. Hash SHA-256.

Preuves consultables

Chaque finding renvoie à une evidence vérifiable, conservée 90 jours.

Plan d'action en 3 phases

Immédiat, conformité, renforcement. Avec pilotes désignés.

Restitution écrite

Questions-réponses dans votre ticket Datacampus. Visio expert en option.

Suivi de remédiation

Re-vérification des findings critiques, taux de remédiation, ticket de relance si besoin.

Bonus différenciateur

Mitigations immédiates,
strictement non-destructives.

Pour les expositions critiques d'accès public à des fichiers sensibles (archives de sauvegarde, fichiers de configuration, dumps SQL), nous pouvons appliquer pendant l'audit une mesure de blocage HTTP strictement défensive et entièrement réversible, avant même la livraison du rapport.

Le plan détaillé vous est présenté, vous validez, nous appliquons. Aucune donnée applicative modifiée : l'accès public non souhaité est simplement bloqué. La fuite s'arrête tout de suite, pas dans deux semaines. Sur un cas récent : 2 mitigations appliquées pendant l'audit, exposition close avant même la livraison du rapport.

Backup automatique avant action

L'état initial est sauvegardé. Aucune perte possible.

Double confirmation obligatoire

L'expert Datacampus valide explicitement avant chaque action.

Annulable en un clic, à tout moment

Réversibilité garantie. Vous gardez la main de bout en bout.

Quatre formules d'audit.

Trois en mode prévention pour savoir où vous en êtes. Une en mode investigation pour quand le pire est arrivé.

DIA-SEC

Audit Sécurité

Compromissions, expositions, comptes suspects, plugins abandonnés, versions PHP/MySQL EOL, en-têtes HTTP, durcissement DNS (SPF/DMARC/DKIM), sauvegardes Datacampus vérifiées. CVE enrichies CVSS/EPSS/KEV.

Délai : 5 jours ouvrés
Re-scan J+30 : inclus
DIA-PERF

Audit Performance

On dissèque ce qui ralentit votre site : PHP, OPcache, requêtes SQL lentes, cache, dimensionnement. Vous repartez avec un plan d'action priorisé pour gagner du temps de réponse.

Délai : 5 jours ouvrés
Re-scan J+30 : inclus
Le plus complet
DIA-PACK

Pack Sécurité + Performance

Les deux audits ensemble, plus avantageux que séparément. La photo complète sur les trois axes :

  • Sécurité : compromissions, expositions, comptes suspects
  • Performance : PHP, requêtes SQL, cache, dimensionnement
  • Bonnes pratiques : ANSSI, OWASP, recommandations éditeur
Délai : 7 jours ouvrés
Re-scan J+30 : inclus
DIA-INVESTIGATION

Investigation forensic

Vous avez un doute sérieux ou vous êtes déjà attaqué. Reconstitution chronologique, vecteur d'entrée, qualification RGPD, préservation des preuves 12 mois. Rapport opposable assureur cyber, CNIL, justice.

Démarrage : sous 24 h
Livrable : sous 48 à 72 h
Sites couverts : WordPress (couverture la plus profonde) · PrestaShop · Drupal + couche serveur commune à tous (TLS, en-têtes, expositions, WAF, PHP, MySQL, logs jusqu'à 365 j). Autre stack ? Parlons-en.
À ne pas confondre : notre obligation d'hébergeur reste séparée et incluse dans votre contrat.

Si une violation est portée à notre connaissance, nous vous informons sans délai, nous fournissons les éléments factuels pour votre notification CNIL, et nous menons la réponse à incident côté infrastructure. DIA-INVESTIGATION ajoute en option un rapport forensic formalisé et opposable.

Options et engagement.

Toutes les formules acceptent les mêmes options. Achetez un audit ponctuel, ou intégrez-les dans votre rythme de gouvernance.

Options à la carte

Restitution visio avec l'expert

Une heure d'échange après livraison, avec l'expert Datacampus qui a signé votre rapport. Questions, contexte, arbitrages.

Démarrage en urgence

Délai compressé : 5 jours ouvrés ramenés à 48 heures, sous réserve de disponibilité expert.

Re-scan additionnel à J+90

En complément du re-scan J+30 inclus. Pour vérifier que la remédiation a bien tenu trois mois plus tard.

Rapport bilingue FR / EN

Traduction du rapport en anglais, utile pour les comités de direction internationaux et les assureurs étrangers.

Mode d'engagement

Audit ponctuel

Vous voulez savoir où vous en êtes maintenant, à un instant T. Un audit, un rapport, vous appliquez à votre rythme.

Abonnement annuel, 4 audits dans l'année

Audits planifiés (typiquement trimestriels), tarif préférentiel sur l'année, suivi de l'évolution dans le temps. La gouvernance technique installée dans la durée.

Tarifs détaillés, devis et abonnement : votre interlocuteur commercial Datacampus.

Les garde-fous techniques.

Un audit côté serveur, ça se mérite. Voici les contraintes que nous nous imposons, IA comprise, pour que vous puissiez nous laisser entrer en confiance.

Lecture seule absolue

Le toolkit refuse techniquement toute commande mutante. Refus si l'espace disque est insuffisant ou si un nettoyage tente de sortir d'un répertoire dédié. Pas une promesse : c'est dans le code.

Vos données restent chez Datacampus

Sorties brutes, preuves, rapports : stockés en France sur l'infrastructure Datacampus. Pas de transfert hors UE. Aucun contenu de votre site n'est envoyé à un LLM tiers.

RGPD : vous décidez

Nous recommandons une notification CNIL au titre de l'article 33 quand les éléments le justifient. Nous ne décidons pas à votre place. Données personnelles anonymisées dans le rapport.

L'expérience du parc Datacampus

Des milliers de sites supervisés, des incidents quotidiens vus passer, des configurations qui dérapent observées en continu. Tout ce qu'on apprend chez un client devient une signature qui protège tous les autres au prochain audit, sans aucun partage de données entre clients.

Hash SHA-256 sur le rapport

Le rapport PDF lui-même porte une empreinte SHA-256 calculée à la livraison. Vérifiable. Opposable. C'est le PDF que vous avez reçu, pas un autre.

À quoi ressemble votre rapport.

Note technique signée, structurée, lisible par un dirigeant comme par un DSI. Référence interne, classification, evidence à l'appui, qualification RGPD claire, frise chronologique sur les findings critiques.

DATACAMPUS
HÉBERGEMENT DURABLE
PRÉVENTION SÉCURITÉ
INSIDE AUDIT
votre-site.com
https://votre-site.com
Audit applicatif côté serveur · note technique
DATE D'AUDIT
1er mai 2026
ÉMETTEUR
Expert DC · Datacampus
DESTINATAIRES
Équipe applicative
Responsable de traitement
RÉFÉRENCE
2026-05-01-d6404a91
CLASSIFICATION
Confidentiel · diffusion restreinte
datacampus.frInside Audit · toolkit v2.35

Synthèse exécutive · 1er mai 2026

55
Grade D
RGPD : DOUTE · VÉRIFICATION REQUISE
Une exposition publique sur des fichiers porteurs de données personnelles a été constatée pendant l'audit. Les conditions d'une fuite étant réunies, l'absence de preuve ne permet pas d'écarter le risque.
Article 33 à évaluer (72 h) · décision RT
1
Critique
5
Important
4
À surveiller
10
Conformes
6,5 Go
Exposé
3 ans
Durée
26
Sondes
2
Mitigations
CVE CITÉES · ENRICHISSEMENT EPSS / KEV
CVE CVSS EPSS KEV
CVE-2024-327099.887 %
CVE-2024-505507.542 %·
CVE-2025-14196.48 %·
CHRONOLOGIE FINDING CRITIQUE
Juil. 2023
16 avril
30 avril
1er mai
Inside Audit · Confidentiel2 / 15

Verdict critique, vigilance ou sain : dans tous les cas, vous repartez avec une pièce auditable, signée et datée.

Aperçu non contractuel. Chaque rapport est signé et porte un hash SHA-256. Quatre niveaux de findings : Critique 🔴 · Important 🟠 · À surveiller 🟡 · Conforme 🟢.

Le type d'angles morts qu'on trouve.

Trois exemples fictifs mais représentatifs. Aucun ne correspond à un client précis.

Sécurité Boutique en ligne

Six fichiers anodins cachant des portes dérobées installées plusieurs semaines auparavant, dilués dans des milliers de lignes de cœur. Détectés par comparaison d'intégrité avec les sources officielles.

Exposition Portail mutualisé

Sauvegardes de base de données aux noms obscurs accessibles en HTTP, non indexées par les moteurs. Recoupement liste serveur / exposition visiteur.

Reprise Reprise par une agence

Site hérité sans documentation. Audit révèle comptes administrateurs orphelins, modules abandonnés avec failles publiques, cron qui appelle un script absent.

Quand demander un Inside Audit.

Quatre situations dans lesquelles un audit signé Datacampus fait gagner du temps, à votre équipe technique comme à vos décideurs.

Rassurer un client ou un comité

Le client demande « et si on était piraté ? ». Le comité de direction veut un état des lieux. Le rapport arrive simultanément aux décideurs et à la technique.

Reprendre un site sans documentation

Nouveau client, nouveau site, ou changement d'agence. L'audit produit un état des lieux et une feuille de route avant de s'engager.

Préparer une refonte ou une migration

Avant un projet structurant, l'audit pose des bases saines. Vous évitez les mauvaises surprises en cours de chantier et vous documentez l'état initial.

Documenter que tout va bien

Verdict sain ? C'est aussi un livrable. Pièce auditable, signée et datée, présentable au comité, à l'assureur cyber, à la due diligence, aux marchés publics.

Questions fréquentes.

J'ai déjà un pentest annuel. Inside Audit est utile en plus ?

Oui, parce que les deux audits regardent des choses différentes. Un pentest teste si un attaquant peut entrer. Inside Audit révèle ce qui se passe déjà à l'intérieur : un fichier suspect téléversé il y a six mois, un compte admin oublié, une configuration cassée. Un pentest qui ne trouve rien ne veut pas dire qu'il n'y a rien : cela veut dire qu'à ce moment-là, par cette voie-là, l'attaquant n'a pas trouvé de porte ouverte. Inside Audit complète l'image.

Mon agence s'occupe déjà de la maintenance du site.

Très bien. Inside Audit est complémentaire, et nous travaillons avec votre agence, pas contre elle. Sa mission de TMA (mises à jour CMS et plugins, évolutions, correction d'incidents fonctionnels, accompagnement produit) est un travail récurrent indispensable, que nous ne remplaçons pas.

Inside Audit fait autre chose : un état des lieux profond et ponctuel produit par votre hébergeur. Une vue indépendante qui renforce la position de conseil de votre agence : elle reçoit en même temps que vous une feuille de route priorisée, et c'est elle qui met en œuvre les correctifs identifiés (avec sa marge habituelle).

J'ai déjà l'infogérance Datacampus. L'audit ne fait pas double emploi ?

Non, parce qu'ils ne regardent pas la même chose. L'infogérance maintient le serveur en condition opérationnelle : système, services, ressources, sauvegardes infra. Inside Audit regarde la couche applicative, votre site lui-même, à un niveau de profondeur qu'on ne fait pas en exploitation normale. Sans audit dédié, ces choses se révèlent souvent trop tard.

Combien de temps ça prend de mon côté ?

Quasiment rien. Vous commandez, nous nous occupons de tout : connexion via vos accès Datacampus existants, audit, rédaction, livraison. Vous lisez le rapport (15-20 minutes), vous décidez ce que vous appliquez. Aucune interruption pour vos visiteurs.

Inside Audit, c'est un audit RGPD ?

Non au sens conformité. Mentions légales, registre des traitements, base légale, cookies, durées de conservation, contrats sous-traitants : c'est le métier d'un DPO ou d'un auditeur RGPD spécialisé, pas le nôtre.

Oui au sens violation de données. Inside Audit détecte et qualifie factuellement les expositions ou fuites éventuelles de données personnelles côté serveur (archives accessibles publiquement, dumps SQL exposés, secrets dans le code, fichiers de configuration découverts). Si les conditions d'une violation au sens de l'article 4.12 du RGPD sont réunies, nous fournissons au responsable de traitement les éléments factuels dont il a besoin pour décider d'une notification CNIL article 33. La décision et la qualification finale lui appartiennent.

Vous allez voir des données sensibles ?

Nous voyons techniquement votre base de données, oui : c'est nécessaire pour auditer. Nous sommes déjà votre sous-traitant RGPD au titre de l'hébergement, nos engagements de confidentialité s'appliquent intégralement. Aucun stockage hors UE, aucun transfert à des tiers, données personnelles éventuellement citées anonymisées dans le rapport. Aucun contenu brut envoyé à un LLM tiers.

Et si vous trouvez quelque chose de grave ?

Notre obligation d'hébergeur s'applique : si une violation est portée à notre connaissance, nous vous informons sans délai, nous vous fournissons les éléments factuels nécessaires à votre notification CNIL, et nous menons les actions de réponse à incident sur l'infrastructure. C'est inclus dans votre prestation d'hébergement. Si vous avez besoin d'un rapport forensic formalisé, opposable à votre assureur cyber ou à votre conseil juridique, le mode Investigation le produit en 24-72 heures.

Pourquoi seulement vos clients hébergés et infogérés ?

Parce que la valeur d'Inside Audit vient précisément du fait que nous sommes votre hébergeur et votre infogéreur. Inside Audit a besoin d'un accès privilégié au serveur (lecture des fichiers, de la base, des logs, des configurations système), accès dont nous disposons légitimement et de manière sécurisée dans le cadre du contrat d'infogérance. Sans cet accès, nous serions limités à ce qui se voit de l'extérieur, exactement ce que nous critiquons.

Et si l'audit ne trouve rien ?

Un audit qui revient sain a sa propre valeur. Vous repartez avec une pièce auditable signée et datée Datacampus, que vous pouvez verser au dossier : comité de direction, assureur cyber, due diligence d'investisseur, marchés publics, certifications NIS2. La régularité de la gouvernance vaut autant que la résolution d'un incident. Le rapport documente précisément ce qui a été contrôlé, sur quels axes, avec quelles sondes, et ce qui n'est pas couvert. Pour une agence, c'est aussi une preuve présentable au client de la qualité de la TMA.

Le re-scan à J+30, c'est vraiment inclus ?

Oui. Nous revenons vérifier que les correctifs critiques et importants identifiés dans le rapport ont bien été appliqués et n'ont rien cassé. Pas un nouvel audit complet, mais une vérification ciblée. Compris dans la prestation. C'est notre façon de dire : « on ne vous lâche pas une fois la facture payée. »

Ce qu'Inside Audit n'est pas.

Pas un pentest : nous n'attaquons pas votre site. Pour un test d'intrusion, nous vous orientons vers un partenaire spécialisé.

Pas un audit d'infrastructure : le serveur et le système relèvent de votre contrat d'infogérance Datacampus.

Pas une TMA : nous ne mettons pas à jour votre CMS, vos plugins ou vos modules au fil de l'eau, c'est le métier de votre agence applicative.

Pas un audit de code source : nous regardons votre site tel qu'il est déployé, pas la qualité du code custom.

Pas une décision RGPD à votre place : nous recommandons et fournissons les éléments factuels, le responsable de traitement décide.

Prêt à ouvrir le capot ?

Un échange court suffit pour cadrer le périmètre et planifier la fenêtre d'audit. Nous lançons votre premier audit dans la semaine.

Demander un audit +33 5 16 64 00 75