Outils open-source pour tests de sécurité
Combinez plusieurs outils: chacun détecte des problèmes différents.
Scanners en ligne de commande
- testssl.sh: analyse TLS approfondie.
- sslscan/sslyze: analyse protocoles/suites.
- Scripts nmap (ssl-enum-ciphers, http-security-headers).
Aides pour en-têtes/CSP
- Mozilla Observatory (scanner + conseils).
- OWASP Dependency-Check/ZAProxy pour des tests plus larges.
Flux de travail
- Automatiser les scans en CI, échouer en cas de régression.
- Tenir une baseline et suivre les changements après déploiements.
En bref
Quelques outils open-source bien connus suffisent pour couvrir TLS, en-têtes et contrôles de base, sans budget important.
Checklist 5 minutes
- Scan TLS:
nmap --script ssl-enum-ciphers -p 443 domaine.tld - En-têtes: récupérer et analyser avec
curl -I - Chaîne/expiration du certificat:
openssl s_client -connect domaine.tld:443 - Explorateur simple pour liens cassés:
linkchecker ou équivalent - Automatiser en CI: exécuter à chaque déploiement et conserver les rapports