À partir de 349 $ · Livraison en moins de 48h · Phase Diagnostic
Contrôle qualité de votre site web —
conformité Loi 25, sécurité et vulnérabilités
Votre site respecte-t-il vraiment la Loi 25 et résiste-t-il aux failles WordPress les plus connues ? Audit complet en 4 volets : visibilité publique Loi 25, sécurité de surface, tests de vulnérabilité de base, et analyse privée approfondie en option. Cadre OWASP Top 10, Mozilla Observatory, CIS Controls v8, ISO 27701, Loi 25 et lignes directrices de la CAI.
Avant de soumettre votre site — ressources gratuites
Consultez les formations et guides pratiques web gratuits
Chaque formation est composée de guides pratiques publiés en accès libre — vous pouvez les consulter sans engagement avant l'audit pour corriger les lacunes faciles et obtenir un rapport plus efficace.
wp-config.php + plugins pour WordPress, fichiers de config équivalents pour les autres plateformes. Note : la sécurité du domaine, du courriel et des services cloud (SPF/DKIM/DMARC, sous-domaines, fuites HIBP, ports réseau) est évaluée dans le service complémentaire CQ Numérique Loi 25.
Bilan ou Diagnostic — quelle phase choisir ?
Deux services complémentaires, deux niveaux d'analyse.
Phase Bilan — 199 $
Audit visibilité publiqueVérifie la présence des éléments Loi 25 sur votre site (politique, formulaires, cookies, RPRP).
Idéal en point de départ ou pour un site simple sans audit préalable.
Phase Diagnostic — 349 $ ou 399 $
Contrôle qualité site web (cette page)Évalue la qualité Loi 25 + sécurité + vulnérabilités. Niveau 399 $ ajoute analyse privée du WordPress.
Pour sites WordPress critiques, après incident, ou démonstration à un donneur d'ouvrage.
Pas encore fait le Bilan ? Commencez par l'Audit visibilité publique — 199 $.
Choix du niveau d'analyse
Deux niveaux selon ce que vous pouvez partager — la profondeur s'ajuste à votre réalité.
Niveau 1 — surface publique
Aucun accès admin requis — URL publique seulement.
Inclus :
- Volet L — visibilité publique Loi 25 (7 critères)
- Volet S — sécurité de surface (12 critères : HTTPS, en-têtes HTTP, configuration WordPress publique)
- Volet V — vulnérabilité du site (TLS SSL Labs, en-têtes HTTP Mozilla Observatory, fichiers exposés, énumération utilisateurs WordPress)
Pour qui ?
Sites simples, blogs vitrine, organisations qui hésitent à partager un accès admin, ou prospects voulant une première évaluation rigoureuse.
Choisir le Niveau 1 — 349 $Niveau 2 — surface + privé
ZIP du site OU compte admin lecture seule requis.
Tout du Niveau 1, plus :
- Volet P — analyse privée approfondie (lecture stricte, aucune modification)
- WordPress :
wp-config.php,.htaccess, débogage, salts, table prefix, plugins et thèmes (versions, MAJ, plugins abandonnés, croisement CVE) - Autres CMS (Wix, Shopify, Squarespace, Webflow, Drupal, Joomla, custom) : fichiers de configuration équivalents, modules/extensions, intégrations tierces
- Comptes utilisateurs, rôles, sessions, paramètres de confidentialité (peu importe la plateforme)
Pour qui ?
Sites WordPress traitant des renseignements personnels, suite à un incident ou tentative d'intrusion, ou démonstration formelle de diligence raisonnable à un donneur d'ouvrage ou un assureur.
Choisir le Niveau 2 — 399 $Ce contrôle qualité est fait pour vous si…
- ✓Vous avez un site web sur lequel sont collectés des renseignements personnels (formulaires, comptes clients, infolettre)
- ✓Vous avez déjà fait l'Audit visibilité publique et voulez une évaluation complète de la qualité et de la sécurité
- ✓Un donneur d'ouvrage, un client institutionnel ou un assureur cyber exige une démonstration de diligence raisonnable sur votre site
- ✓Votre site WordPress n'a pas été audité depuis plus de 12 mois et vous voulez vérifier les vulnérabilités connues
- ✓Vous avez subi une tentative d'intrusion, un incident, ou avez des doutes sur la configuration de votre installation
Les 4 volets d'évaluation
Chaque volet produit un statut clair par critère (✅ conforme · ⚠️ partiel · ❌ non conforme).
Loi 25 publique — 7 critères
Politique de confidentialité, formulaires de collecte, cookies et outils de suivi, exposition de données personnelles, communication de conformité, coordonnées du RPRP, conservation des données.
Sécurité de surface — 12 critères
HTTPS et certificat TLS, HSTS, en-têtes HTTP (CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy), fichiers sensibles non exposés, xmlrpc, version CMS masquée, contrôle wp-json, protection page login.
Vulnérabilité du site — 4 tests web-spécifiques
Grade SSL Labs (certificat TLS du site), grade Mozilla Observatory (en-têtes HTTP du site), fichiers sensibles exposés (.env, wp-config.bak, .git), énumération utilisateurs WordPress via ?author=N. Tests passifs uniquement. La sécurité du domaine, courriel, sous-domaines, fuites et ports réseau est évaluée dans le service CQ Numérique.
Privé approfondi — Niveau 2 uniquement
Lecture stricte de votre installation. WordPress : wp-config.php (debug, salts, table prefix), .htaccess, plugins et thèmes (versions, MAJ, plugins abandonnés). Autres CMS : fichiers de configuration équivalents, modules et intégrations tierces. Dans tous les cas : comptes utilisateurs, rôles et paramètres de confidentialité.
Normes et lois évaluées
Le contrôle qualité repose sur six cadres normatifs combinés — standards internationaux de cybersécurité appliqués au contexte légal québécois.
Référence mondiale des risques applicatifs web. A02 (cryptographie), A05 (config), A06 (composants).
Évaluation des en-têtes HTTP de sécurité par Mozilla. Note A+ à F.
Contrôles de cybersécurité du Center for Internet Security. Bonnes pratiques PME (IG1).
Norme internationale de gestion de la vie privée. Référentiel de structure du rapport.
Loi québécoise sur la protection des renseignements personnels dans le secteur privé. Volet web (art. 8, 9, 12).
Publications officielles de la Commission d'accès à l'information du Québec sur les sites web.
Correspondance Volet → Norme → Exemple
Exemple de livrable
Extrait du rapport de contrôle qualité que vous recevez à la fin de l'analyse.
Statut consolidé par volet, sans score chiffré.
Pour chaque critère, un constat qualifié avec preuve citée.
Constat : Une requête GET /?author=1 renvoie une redirection 301 vers /author/admin/. Le compte administrateur principal porte le nom d'utilisateur trivial admin, exposé publiquement.
Risque : Un attaquant connaît immédiatement le nom du compte administrateur. Combiné à l'absence de blocage après tentatives échouées (à valider avec wp-config.php en Mode B), cela facilite considérablement les attaques par force brute. Si l'attaquant obtient un accès, exposition des renseignements personnels traités par le site (Loi 25 art. 10).
Recommandation : Renommer le compte administrateur en évitant admin, root, ou le nom de l'organisation. Bloquer les redirections ?author=N via un plugin de durcissement (iThemes Security, WP Hide & Security Enhancer) ou des règles WAF côté hébergeur.
Actions classées par horizon, avec lien direct aux critères évalués.
- V4 — Renommer le compte « admin » et bloquer l'énumération WordPress
- S8 — Bloquer accès aux fichiers
/.envet/wp-config.php.bak(404) - P3 — Régénérer les salts de wp-config.php (actuellement valeurs par défaut)
- L6 — Nommer le RPRP dans la politique et le pied de page
- S10 — Masquer la version WordPress (meta generator)
- V1 — Bloquer l'énumération via
?author=N
- S4-S7 — Configurer en-têtes HTTP (CSP minimal, X-Frame-Options DENY, etc.)
- P2 — Désinstaller les 3 plugins abandonnés > 2 ans
- L3 — Activer une bannière cookies avec option de refus
Comment ça fonctionne
Formulaire de contact sécurisé. Vous précisez le niveau choisi (349 $ ou 399 $) et l'URL du site. Pour le niveau 399 $, vous me transmettrez ensuite le ZIP du site OU les identifiants admin lecture seule.
Visibilité Loi 25, sécurité de surface, vulnérabilité de base, et analyse privée si Niveau 2. Tous les tests sont passifs — aucune intrusion active, aucune modification de votre site.
Rapport client signé, livré via lien sécurisé sur infrastructure hébergée au Québec.
- ✓ 4 volets : L, S, V, P (P en Niveau 2)
- ✓ OWASP Top 10 + Mozilla Observatory + SSL Labs
- ✓ ISO 27701 + CIS Controls v8
- ✓ Loi 25 + lignes directrices CAI
- ✓ WPScan en mode public (non intrusif)
- ✓ Constats détaillés et cités
- ✓ Plan d'action priorisé (🔴🟠🟡)
- ✓ Rapport client signé Kaven Chamberland
- ✓ Confidentialité — hébergement Québec
En résumé
Le contrôle qualité site web Loi 25, en bref
Définition : le contrôle qualité du site web est un service d'audit indépendant qui évalue la qualité réelle d'un site web sous 4 angles — conformité Loi 25 publique, sécurité de surface, vulnérabilités de base et analyse privée approfondie en option. Cadre combiné OWASP Top 10 (2021), Mozilla Observatory, CIS Controls v8, ISO/IEC 27701:2019, Loi 25 (LPRPSP) et lignes directrices de la Commission d'accès à l'information du Québec.
3 faits clés
- Cadre normatif combiné : OWASP Top 10 + Mozilla Observatory + CIS Controls v8 + ISO 27701 + Loi 25 + CAI
- Périmètre : 4 volets (L, S, V, P) — tests passifs et non intrusifs uniquement
- Tarification : 349 $ (surface publique) ou 349 $ (avec analyse privée via ZIP ou admin RO), livraison en moins de 48h
Action recommandée
Site simple, prospect, ou pas d'accès admin partageable → Niveau 1 (349 $). Site WordPress critique, après incident, ou démonstration formelle de diligence → Niveau 2 (349 $) avec ZIP ou admin lecture seule. Pas encore fait l'audit présentiel ? Commencer par l'Audit visibilité publique (199 $).
Questions fréquentes
Quelle est la différence entre l'Audit visibilité publique (Bilan, 199 $) et le Contrôle qualité site web (Diagnostic, 299–349 $) ?
L'Audit visibilité publique de la Phase Bilan vérifie la présence des éléments Loi 25 visibles sur votre site (politique de confidentialité, avis de collecte sur les formulaires, bannière cookies, coordonnées du responsable PRP). Le Contrôle qualité site web de la Phase Diagnostic va beaucoup plus loin : il évalue la qualité réelle de la conformité Loi 25, ajoute une analyse de sécurité de surface (HTTPS, en-têtes HTTP, configuration WordPress publique), des tests de vulnérabilité de base (WPScan, Mozilla Observatory, SSL Labs) et, en option, une analyse privée approfondie de votre installation WordPress via ZIP ou accès administrateur lecture seule.
Que se passe-t-il si je ne suis pas encore prêt — pas de ZIP, pas d'accès admin, ou doutes sur la conformité Loi 25 du site ?
Plusieurs options selon votre situation.
Pas sûr de l'état Loi 25 publique de votre site ? Commencez par l'Audit visibilité publique (Phase Bilan, 199 $) qui vérifie la présence des éléments visibles.
Vous voulez monter ou corriger les éléments par vous-même ? Suivez les formations dans cet ordre :
1. Formation Initiation PRP aux employés — principes de base.
2. Formation Gouvernance PRP — fondations (RPRP, politique, registres, conservation, sous-traitants, EFVP). Nécessaire pour bien comprendre la Formation Site web.
3. Formation Site web et Loi 25 — sept modules pratiques sur la cartographie des collectes, la politique de confidentialité, les avis sur les formulaires, les outils tiers et l'hébergement, la bannière cookies, les renseignements sensibles publics, ainsi que les droits et la conservation.
Pas d'accès admin partageable pour le moment ? Commencez par le Niveau 1 (349 $) en surface publique uniquement, corrigez ce qui ressort, puis revenez plus tard au Niveau 2 (349 $) avec ZIP ou admin lecture seule.
Quelle est la différence entre les niveaux 349 $ et 349 $ ?
Le niveau à 349 $ couvre la surface publique de votre site : tout ce qui est visible sans authentification — visibilité Loi 25, sécurité de surface, vulnérabilités de base. Le niveau à 349 $ ajoute une analyse privée approfondie : lecture du fichier wp-config.php, des plugins et thèmes installés, des paramètres de confidentialité et des comptes utilisateurs, à partir d'un ZIP de votre site ou d'un compte administrateur en lecture seule. Cette profondeur supplémentaire permet de détecter des vulnérabilités invisibles depuis l'extérieur.
Le test de vulnérabilité va-t-il attaquer ou perturber mon site ?
Non. Tous les tests effectués sont passifs et non intrusifs. Aucune tentative d'intrusion active (injection SQL, brute force, exploitation de faille) n'est réalisée. Les outils utilisés (WPScan en mode public, Mozilla Observatory, SSL Labs, Firecrawl) consultent uniquement des informations publiquement accessibles ou interrogent des APIs de tests passifs. En mode 349 $, l'analyse via ZIP ou admin lecture seule se fait également en lecture stricte — aucune modification n'est apportée à votre site.
Le rapport peut-il servir à démontrer ma conformité à un donneur d'ouvrage ou un assureur cyber ?
Oui. Le rapport documente formellement la conformité de votre site face à la Loi 25 et à plusieurs cadres de sécurité reconnus (OWASP Top 10 2021, ISO/IEC 27701:2019, Mozilla Observatory, CIS Controls v8). Il est utilisable pour répondre à un appel d'offres, à un questionnaire d'assurance cyber ou à une demande de démonstration de diligence raisonnable de la part d'un donneur d'ouvrage.
Combien de temps prend l'analyse ?
Moins de 48 heures à compter de la réception complète des informations (URL pour le mode 249 $, et ZIP ou identifiants admin lecture seule pour le mode 349 $). Le rapport final fait 10 à 14 pages, livré sur infrastructure hébergée au Québec.
Les autres services de la Phase Diagnostic
Le contrôle qualité existe pour chacun des trois domaines évalués au Bilan, et le Diagnostic Stratégique les regroupe.
Qualité réelle de vos 10 documents essentiels de gouvernance PRP. 349 $.
Qualité de votre infrastructure numérique, accès et sous-traitants techniques. 349 $.
Les 3 contrôles qualité réunis + analyse stratégique transversale + score % global. 999 $.
Vous n'êtes pas encore prêt pour le Diagnostic ? Voir la Phase Bilan (199 $ unitaire ou 599 $ complet).