Qu'est-ce que WarDek ?

WarDek est une suite de conformite complete qui combine un scanner de vulnerabilites OWASP avec des modules de conformite NIS2, AI Act et RGPD, specialement concue pour les PME europeennes.

Mon entreprise est-elle soumise a NIS2 ?

La directive NIS2 s'applique aux entites essentielles et importantes dans des secteurs comme l'energie, la sante, les transports, le numerique, etc. Utilisez notre simulateur gratuit pour verifier.

Comment utiliser les rapports WarDek dans un audit ?

Les rapports WarDek fournissent une base de travail exploitable pour vos equipes, votre CAC ou votre preparateur audit. Ils n'equivalent pas a une certification officielle ni a un avis juridique.

Combien de temps prend un scan ?

Un scan OWASP complet prend generalement entre 2 et 5 minutes selon la complexite de votre site web.

Mes donnees sont-elles securisees ?

Absolument. Nous ne stockons jamais vos identifiants. Les rapports sont chiffres et vous pouvez les supprimer a tout moment. Nous sommes heberges en France.

Puis-je essayer avant d'acheter ?

Oui ! Le plan Gratuit vous permet de tester WarDek avec 3 scans par mois, sans carte bancaire requise.

Combien de temps avant l’expiration faut-il déclencher les alertes ?

Pour les PME, 30 jours est un minimum raisonnable pour les alertes principales, avec une alerte de rappel plus proche si le problème n’est pas résolu. L’essentiel est de laisser suffisamment de temps pour une escalade humaine en cas d’échec de l’automatisation.

Let’s Encrypt est-il suffisant pour les entreprises en production ?

Généralement oui. La qualité opérationnelle du renouvellement, de la gestion de la chaîne et de la vérification compte plus que le prestige marketing de l’émetteur du certificat pour la plupart des applications web.

Les CDN éliminent-ils le risque d’expiration de certificat ?

Non. Ils réduisent la charge opérationnelle, mais vous avez toujours besoin d’un inventaire des noms d’hôte, d’une visibilité sur le renouvellement et d’une validation que les configurations CDN et serveur d’origine restent alignées.

Que faut-il vérifier après un renouvellement ?

Vérifiez les dates d’expiration en production, la validité de la chaîne, les redirections HTTP vers HTTPS, la confiance navigateur, les parcours authentifiés clés et tout endpoint API ou callback qui repose sur HTTPS.

Guide d’expiration des certificats TLS — Runbook de surveillance et de renouvellement

Pourquoi l’expiration des certificats est un risque de niveau direction

Les certificats TLS sont faciles à ignorer car ils fonctionnent silencieusement pendant des mois. Lorsqu’ils expirent, le résultat est une perte de confiance immédiate : avertissements navigateur, API en échec, connexions bloquées, flux de paiement interrompus et tickets de support d’utilisateurs qui pensent que le site a été compromis.

Pour les PME, l’expiration de certificat n’est généralement pas un problème de cryptographie. C’est un problème de responsabilité. Personne ne sait quels domaines existent, qui gère le DNS, quelle équipe possède le CDN ou le load balancer, si le renouvellement est automatisé ou comment vérifier un déploiement réussi après l’émission.

C’est pourquoi la bonne approche est opérationnelle plutôt que purement technique. La santé des certificats doit faire partie de vos vérifications récurrentes de fiabilité du site, aux côtés des redirections, en-têtes, cookies, ressources exposées et disponibilité. Un certificat valide ne suffit pas si la mauvaise chaîne est servie, si un cache edge périmé reste actif ou si un sous-domaine oublié présente encore un ancien certificat.

Socle de surveillance que chaque équipe devrait avoir

Commencez par un inventaire complet des noms d’hôte publics : domaine racine, www, sous-domaines produit, portails clients, API, pages de statut et tout endpoint ancien encore accessible depuis d’anciens documents ou favoris utilisateurs. Les certificats dérivent parce que les équipes ne surveillent que le domaine principal tandis que les surfaces périphériques sont oubliées.

Votre socle devrait inclure des vérifications d’horizon d’expiration, de visibilité de l’émetteur, de couverture SAN, de validation des redirections et d’exactitude de la chaîne. Si vous utilisez une infrastructure managée, vérifiez quelle couche termine réellement le TLS : CDN, reverse proxy, ingress, serveur applicatif ou un mélange. La responsabilité est impossible si l’architecture n’est pas claire.

Alerter avant l’expiration avec une marge suffisante pour une intervention humaine, pas seulement quand il ne reste que sept jours.
Suivre chaque nom d’hôte de production, pas uniquement le domaine marketing.
Vérifier les redirections HTTP vers HTTPS après chaque renouvellement ou changement d’infrastructure.
Confirmer que la chaîne de certificats complète est servie correctement dans tous les environnements et régions.
Documenter qui est responsable du renouvellement, des modifications DNS, du déploiement CDN et de la validation post-renouvellement.

Un runbook de renouvellement pratique

Un bon runbook de renouvellement est court, ennuyeux et facile à exécuter sous pression. Il identifie la source du certificat, le mécanisme d’automatisation, le chemin manuel de secours, les endpoints de validation et les étapes de rollback ou d’escalade en cas d’échec de l’émission.

Si vous utilisez le renouvellement automatique, testez le parcours complet avant d’en avoir besoin. Les équipes supposent souvent que l’automatisation fonctionne parce qu’elle a fonctionné une fois il y a des mois, pour découvrir ensuite que les permissions DNS ont changé, que les challenges ACME sont bloqués par un pare-feu ou qu’un load balancer sert encore l’ancien bundle.

Après le renouvellement, validez depuis l’extérieur de votre réseau. Vérifiez les dates du certificat en production, l’émetteur et la chaîne depuis l’internet public, pas uniquement depuis un tableau de bord interne. Si vous utilisez un CDN, vérifiez également la propagation en edge. Beaucoup d’incidents sont causés par une infrastructure partiellement renouvelée où une région ou un proxy est resté périmé.

Ce qu’il faut vérifier après un renouvellement

La validation post-renouvellement doit confirmer l’expérience utilisateur, pas seulement l’émission technique. Naviguez sur le site principal, les surfaces authentifiées et les endpoints API. Confirmez l’absence d’avertissements de confiance, de régressions de contenu mixte ou de callbacks cassés vers des services tiers qui verrouillent trop agressivement les attentes sur le certificat.

C’est également le bon moment pour inspecter les contrôles adjacents. Un renouvellement de certificat est souvent le moment où les équipes remarquent un HSTS manquant, des ciphers faibles, des redirections incohérentes ou un inventaire de domaines périmé. Si vous exécutez déjà des scans WarDek réguliers, l’événement de renouvellement devient un point de contrôle au sein d’un processus de fiabilité plus large plutôt qu’une panique isolée.

Le meilleur schéma est de lier la surveillance des certificats aux scans de sécurité planifiés et aux revues de responsabilité. Quand l’inventaire des domaines change, l’inventaire TLS doit changer aussi. Quand un sous-domaine est décommissionné, son certificat et sa surveillance doivent être retirés délibérément plutôt que laissés à l’abandon.

Schémas de défaillance à éliminer

La défaillance classique est un sous-domaine oublié que personne ne possède jusqu’à ce que les utilisateurs le rencontrent. La deuxième est la dépendance excessive envers un seul ingénieur ou un seul portail fournisseur. La troisième est de supposer que l’automatisation des certificats équivaut à une hygiène HTTPS complète, ce qui est faux si les redirections, en-têtes ou configurations edge sont incohérentes.

Évitez de stocker les opérations de certificat comme du savoir tribal. Maintenez un runbook partagé, une cartographie des responsabilités et une checklist de validation. Si un domaine de production existe, quelqu’un devrait savoir pourquoi il existe, comment il se renouvelle et comment l’équipe confirme le succès.