Offre · Sécurité applicative

Audit code source — SAST, DAST, secret detection, OWASP.

Audit applicatif complet pour SaaS B2B en production : revue SAST par échantillonnage, scan SCA des dépendances, secret detection en historique Git, alignement OWASP Top 10 et ASVS niveau 2, plan de durcissement du pipeline CI/CD GitLab ou GitHub Actions.

Réserver une scope-call de 20 min

Ce que couvre l'audit

Pour un SaaS B2B en production, l'audit code source porte sur 6 axes :

Axe 1 — Revue SAST. Analyse statique automatisée + revue manuelle ciblée sur les zones sensibles (auth, sessions, traitement d'inputs, accès DB, crypto). Outils : Semgrep (rules custom + community), SonarQube (couverture + sécurité), Snyk Code (SAST avancé AI-augmenté), CodeQL pour les analyses profondes.

Axe 2 — SCA dépendances. Inventaire des dépendances directes et transitives, identification des CVE connues, priorisation par exploitabilité (EPSS score, pas seulement CVSS). Outils : Snyk Open Source, Dependabot, Renovate, OWASP Dependency-Check.

Axe 3 — Secret detection. Scan complet de l'historique Git avec gitleaks et trufflehog. Identification des secrets actifs ou archivés, plan de rotation.

Axe 4 — DAST runtime. Tests dynamiques sur l'environnement de pré-production : OWASP ZAP, Burp Suite Enterprise sur les flows authentifiés. Couverture des familles OWASP Top 10 runtime.

Axe 5 — IaC scanning. Configurations Terraform, Kubernetes manifests, CloudFormation. Outils : Checkov, TFSec.

Axe 6 — Pipeline CI/CD. Sécurité du pipeline lui-même : runners GitLab CI ou GitHub Actions, permissions, cache poisoning, supply chain (actions tierces audit), signatures Sigstore.

Référentiels d'évaluation

L'audit s'appuie sur des référentiels publics largement adoptés :

  • OWASP Top 10 (2021/2025) : les 10 risques les plus critiques en sécurité applicative web. Référence universelle.
  • OWASP ASVS niveau 2 : 280+ exigences détaillées, recommandé en 2026 pour les SaaS B2B traitant des données sensibles ou business-critical.
  • OWASP API Top 10 : si votre produit expose une API publique.
  • OWASP LLM Top 10 : si votre produit intègre un LLM en production.
  • CWE / SANS Top 25 : exhaustivité des CWE par langage.
  • NIST SSDF : Secure Software Development Framework pour le pipeline lui-même.

Le rapport mappe chaque finding sur les CWE / OWASP / ASVS pour faciliter la priorisation et la reproduction sur d'autres applicatifs.

Méthode WeeSec en 4 phases

Phase 1 — Cadrage et accès (3 jours). Inventaire des repositories à auditer, choix de l'échantillonnage (typiquement 10-30% du code couvert manuellement, 100% scanné automatiquement), accès en lecture aux repos GitLab/GitHub, revue de l'architecture.

Phase 2 — Audit automatisé (1 semaine). Lancement Semgrep + SonarQube + Snyk Code + Trivy + gitleaks + Checkov sur le périmètre. Triage des findings, identification des faux positifs, priorisation.

Phase 3 — Revue manuelle ciblée (1-2 semaines). Revue manuelle des zones sensibles : code d'authentification, gestion des sessions, accès base de données, traitement des inputs utilisateurs, crypto, gestion des secrets, supply chain (dépendances + CI/CD).

Phase 4 — Tests dynamiques + rapport (1 semaine). DAST sur l'environnement de pré-prod, validation des findings critiques, rédaction du rapport, restitution avec votre équipe dev/sécurité, plan d'action priorisé.

Pour quelles équipes

L'audit cible les équipes Tech qui veulent un état des lieux objectif de la sécurité de leur code, en général dans 3 contextes :

  • Préparation à une certification (ISO 27001, SOC 2, ASVS L2) : l'audit identifie ce qui bloque la certification.
  • Due diligence pré-acquisition / pré-investissement : un acquéreur ou un investisseur sérieux demande un audit code en 2026. Mieux vaut le faire avant.
  • Post-incident ou intelligence threat émergente : durcissement après attaque ou suite à publication d'un CVE majeur sur votre stack.

Et bien sûr, en routine pour les SaaS B2B sérieux qui ne peuvent plus se permettre de laisser dériver la dette de sécurité applicative.

Tarif

Audit standard SaaS B2B (1 produit, monorepo ou multi-repos cohérent, ~100k-500k LoC) : 15 à 30 K€ HT, 3-5 semaines.

Audit étendu (multi-produits, microservices nombreux, IA en production) : 30 à 70 K€ HT, 5-8 semaines.

Audit éclair SAST + SCA + secret detection automatisé (sans revue manuelle) : 4 à 7 K€ HT, 1 semaine.

Audit + accompagnement DevSecOps en CI/CD (audit + 3 mois mise en œuvre des quality gates) : 35 à 80 K€ HT.

Cadrage direct, sans engagement.

Une scope-call de 20 minutes pour qualifier votre besoin et vous fournir un devis ferme.

Réserver un échange Calendly

Articles connexes

DevSecOpsDevSecOps en CI/CD : quality gates DevSecOpsMercedes-Benz fuite token GitHub : leçons DevSecOpsOWASP ASVS niveau 2 : ce que ça implique DevSecOpsSemgrep : règles entreprise personnalisées
FAQ

Questions fréquentes.

Combien coûte un audit code source en France ?

Pour un SaaS B2B (1 produit, ~100k-500k LoC), comptez 15-30 K€ HT pour un audit complet sur 3-5 semaines. Audit étendu multi-produits ou avec IA en production : 30-70 K€. Audit éclair automatisé seul (sans revue manuelle) : 4-7 K€.

Quels outils SAST sont utilisés ?

Stack 2026 standard : Semgrep (rules custom + community), SonarQube (couverture + sécurité), Snyk Code (SAST avancé AI-augmenté), CodeQL (analyses profondes). Combinaison automatisé + revue manuelle ciblée. Le rapport mappe les findings sur les CWE et l'OWASP Top 10 / ASVS.

L'audit couvre-t-il les API et les LLM ?

Oui. Pour les API : OWASP API Top 10 (BOLA, broken auth, mass assignment, etc.) + tests dynamiques sur les endpoints exposés. Pour les LLM : OWASP LLM Top 10, threat modeling spécifique, tests de prompt injection, RAG security. Périmètre cadré au démarrage.

Comment est sécurisé l'accès aux repositories ?

Accès lecture seule via SSH ou HTTPS avec deploy key dédiée. Pas de clone permanent — workspace éphémère. Pas d'agent installé chez vous. NDA systématique avant tout échange technique détaillé. Conformité avec votre politique sécurité interne sur l'accès tiers.

Que faire si l'audit remonte des CVE critiques ?

Communication immédiate à votre équipe (avant la fin de l'audit). Plan de remédiation prioritaire avec timeline. Si la CVE est exploitée activement et vous n'avez pas de patch, accompagnement à la divulgation responsable selon votre VDP.

Quel rapport entre l'audit et OWASP ASVS niveau 2 ?

ASVS L2 est le référentiel de 280+ exigences détaillées recommandé pour les SaaS B2B traitant des données sensibles. L'audit WeeSec produit un mapping complet de votre code vs les exigences ASVS L2, ce qui facilite la roadmap de durcissement et la préparation à une certification (ISO 27001 ASVS L2 couvre ~60% des contrôles techniques).

À propos

Aroua Biri — fondatrice WeeSec, ingénieure docteure en cybersécurité

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt