Tous les six mois, la sécurité d’un site WordPress ou Shopify devrait être passée au crible avec la même discipline qu’un contrôle technique automobile. Les versions évoluent, les plugins s’accumulent, les comptes administrateurs se multiplient, les permissions dérivent, et les bonnes pratiques d’il y a six mois ne suffisent plus toujours face aux nouvelles techniques d’attaque. Pourtant, dans la réalité PME, l’audit semestriel reste l’exception : selon le rapport Hiscox 2024 sur la cybersécurité, seules 27 % des entreprises de moins de 50 salariés mènent une revue de sécurité formelle au moins une fois par an, et le coût moyen d’un incident pour une PME française dépasse 18 000 euros hors temps perdu. La checklist d’audit semestriel structure la revue en une centaine de points contrôlables. Chez Propuls’Lead, nous accompagnons les marchands et les éditeurs dans la mise en place d’un cycle d’audit régulier, et nous greffons un agent IA auditeur qui exécute les contrôles automatisables entre deux interventions humaines.
Comprendre l’audit sécurité semestriel d’un site
L’audit sécurité d’un site web repose sur une checklist standardisée qui couvre cinq familles de contrôles. Famille une : la posture défensive de l’application elle-même, c’est-à-dire les versions de WordPress, du thème, des plugins, ou pour Shopify les applications tierces et les scripts custom. Famille deux : les accès et les comptes, avec revue des utilisateurs admin, des rôles attribués, de l’authentification à deux facteurs activée, et des mots de passe respectant la politique en vigueur. Famille trois : la posture serveur et hébergement, avec contrôle du certificat SSL, des headers HTTP de sécurité, des permissions de fichiers, et de la version PHP exposée.
Famille quatre : la chaîne de sauvegardes, avec vérification de la fréquence réelle, du stockage externalisé, du chiffrement et surtout de la capacité à restaurer dans un délai cible. Famille cinq : la surveillance et la détection, avec présence d’un scanner de malwares, d’une supervision uptime, et d’un journal d’événements consultable. Une checklist semestrielle complète aligne ces cinq familles sur 80 à 120 points selon la criticité du site. Notre article sur sécuriser son site WordPress, 10 actions qui bloquent les attaques revient sur les fondamentaux à intégrer en priorité dans la grille de contrôle.
Mettre en œuvre l’audit étape par étape
La conduite d’un audit semestriel s’organise en cinq étapes accessibles à toute PME équipée d’un référent technique. Étape une : préparation de la checklist personnalisée. On part d’un modèle générique WordPress ou Shopify et on l’adapte au périmètre du site (formulaires, espace membre, paiement intégré, intégrations tierces). Étape deux : collecte des éléments de preuve. Pour chaque point de la checklist, on capture une preuve auditable (capture d’écran de la version installée, export de la liste des utilisateurs admin, résultat d’un scan headers HTTP, journal de la dernière restauration testée).
Étape trois : passage en revue point par point avec un binôme. La présence d’un second regard évite les angles morts et force l’argumentation des écarts. Pour chaque non-conformité, on documente la criticité, le risque associé, l’action corrective recommandée et la date butoir. Étape quatre : restitution au comité de direction. Un livrable synthétique en trois à cinq pages liste les écarts majeurs, les actions à mener et le budget associé. Étape cinq : suivi des corrections et planification de l’audit suivant. Les correctifs critiques sont traités sous quinzaine, les recommandations sous trimestre, et la date du prochain audit est inscrite au calendrier. Notre article sur WordPress mises à jour de sécurité, automatiser sans craindre la casse revient sur l’exécution des correctifs entre deux audits.
Et avec un agent IA ?
L’audit semestriel comprend une majorité de contrôles factuels qu’un humain réalise à la main alors qu’une machine pourrait les exécuter en continu. Un agent IA auditeur prend en charge trois activités. Activité une : exécution automatisée des contrôles techniques. À jour fixe ou sur déclenchement, l’agent IA passe en revue les versions installées, lit la liste des utilisateurs admin, contrôle les headers HTTP, lance un scan de malwares, vérifie la date et la taille des sauvegardes, teste l’accessibilité des endpoints REST sensibles. Chaque contrôle produit un résultat horodaté et auditable. Activité deux : comparaison avec la baseline précédente. L’agent IA confronte le résultat du jour à celui du dernier audit, signale les dérives (nouveau plugin ajouté, utilisateur admin créé, header de sécurité disparu, fréquence de sauvegarde dégradée), et propose les actions correctives. Activité trois : génération du livrable d’audit. L’agent IA assemble un rapport structuré avec score global, écarts détaillés par famille, recommandations priorisées et plan d’action chiffré.
L’agent IA en pratique s’appuie sur un modèle Claude Sonnet pour le raisonnement et la rédaction du rapport, branché sur l’API REST WordPress pour la lecture des versions et des utilisateurs, sur l’Admin API Shopify pour les applications installées et les permissions staff, sur des outils de scan headers (Mozilla Observatory) et de scan malware (Sucuri SiteCheck), et sur les API d’hébergeur (Infomaniak, OVH, o2switch) pour la version PHP et l’état des sauvegardes. Le prompt système cadre l’agent IA : « Tu es un agent IA auditeur de sécurité web. Tu exécutes la checklist fournie, tu produis un rapport factuel sans interprétation hors périmètre, tu n’effectues aucune action corrective sans validation humaine. » L’orchestration se fait via n8n auto-hébergé avec stockage des rapports dans Notion. Chez Propuls’Lead, nous concevons et déployons les agents IA qui auditent en continu la posture de sécurité des sites à la place de nos clients, dans le cadre de la méthodologie PROPULSE. Le gain mesurable observé tourne entre 70 et 80 % de temps économisé sur les contrôles factuels, et une fréquence d’audit qui passe de semestrielle à mensuelle pour le même budget humain.
Quand l’humain reprend la main
L’agent IA exécute les contrôles mais ne porte pas la décision et trois sujets restent du ressort humain absolu. Sujet un : interprétation des écarts ambigus. Un plugin ajouté n’est pas forcément un problème, un nouveau compte admin peut être justifié, une fréquence de sauvegarde réduite peut résulter d’une décision budgétaire assumée. L’agent IA signale, l’humain qualifie et tranche.
Sujet deux : arbitrage des corrections face au risque métier. La désactivation d’un plugin obsolète peut casser une fonctionnalité critique, la mise à jour majeure de WordPress peut impacter un thème ancien, le passage à PHP 8.3 peut générer des incompatibilités. Ces décisions s’arbitrent en comité technique en pesant risque sécurité et risque métier. Sujet trois : restitution au comité de direction et communication. Le livrable destiné au dirigeant ou au comité de direction doit traduire les écarts techniques en langage business, en termes d’exposition financière et de coût de remédiation. Cette pédagogie reste l’apanage du référent technique humain qui connaît son interlocuteur et le contexte de l’entreprise. Notre article sur plan de reprise après sinistre, récupération du site avec un agent IA de restauration revient sur la même articulation entre exécution agentique et décision humaine.
Stack recommandée par Propuls’Lead
Pour agentifier l’audit semestriel d’un site web PME, nous recommandons une stack pragmatique et auditable. Côté checklist : un modèle commun versionné dans Notion ou Confluence, dérivé du guide ANSSI et adapté aux particularités WordPress ou Shopify. Côté collecte technique : Sucuri SiteCheck pour le scan malware, Mozilla Observatory pour les headers HTTP, WPScan pour les vulnérabilités plugins WordPress, et l’Admin API Shopify pour les permissions staff et les apps tierces. Côté orchestration : n8n auto-hébergé qui enchaîne les appels d’API, agrège les résultats, et appelle Claude Sonnet pour la rédaction du rapport. Côté stockage : Notion ou Google Drive pour archiver les rapports horodatés, avec rétention minimale de 24 mois pour permettre la comparaison de baseline. Côté gouvernance : revue trimestrielle du score global par le comité de direction, audit semestriel complet présenté par le référent technique, et test annuel grandeur nature couplé au plan de reprise. Sur les sites accompagnés avec ce dispositif, le score d’audit moyen progresse de 30 à 40 points en douze mois et le délai de détection d’une dérive tombe sous 7 jours.