FleetOps - Site Fleet Command

$ security audit

26 checks // 15 pass // 1 fail // 5 warn // 5 todo

58%

~/audit/score

15 PASS5 WARN1 FAIL5 TODO

~/audit/critical

WARN

Env vars cloisonnées

Chaque site a ses propres variables CF Pages, pas de cross-contamination

bien-etre-vendee.fr

WARN

API keys in source

Aucune clé API dans le code source / JS client

FAIL

FleetOps dashboard protected

Dashboard non accessible publiquement (CF Access ou auth)

🔒 CLOISONNEMENT5/7

PASS

DNS isolationChaque site utilise sa propre zone CF, pas de zone partagée

CRITICAL

PASS

Hosting separationPas de shared hosting, chaque site sur son propre projet CF Pages

CRITICAL

PASS

Git repo isolationChaque site a son propre repo, pas de monorepo

HIGH

WARN

Env vars cloisonnéesChaque site a ses propres variables CF Pages, pas de cross-contamination

bien-etre-vendee.frCRITICAL

PASS

Stripe webhooks isolésChaque site a son propre endpoint webhook, signature dédiée

bien-etre-vendee.frCRITICAL

WARN

Brevo sender isolationChaque site envoie depuis son propre domaine/sender

HIGH

PASS

Analytics isolationPas de tracking ID partagé entre sites (anti-footprint)

HIGH

👁 EXPOSITION2/6

TODO

Whois privacyToutes les infos whois sont masquées (privacy protection)

HIGH

WARN

API keys in sourceAucune clé API dans le code source / JS client

CRITICAL

PASS

.env.example cleanPas de vraies clés dans les fichiers example

HIGH

TODO

Git history cleanPas de secrets dans l'historique git

CRITICAL

PASS

Source maps disabledPas de source maps en production

MEDIUM

FAIL

FleetOps dashboard protectedDashboard non accessible publiquement (CF Access ou auth)

CRITICAL

🔑 AUTHENTIFICATION3/4

PASS

Admin authPages admin protégées par authentification

bien-etre-vendee.frCRITICAL

PASS

Webhook signaturesTous les webhooks vérifient la signature

bien-etre-vendee.frCRITICAL

PASS

Magic link tokensTokens d'accès expirent et sont single-use

bien-etre-vendee.frHIGH

TODO

CORS policyCORS restrictif sur les API endpoints

HIGH

🏗 INFRASTRUCTURE4/5

PASS

SSL/TLS valideTous les sites en HTTPS avec certificats valides

CRITICAL

PASS

VPS firewallUFW actif, seul SSH ouvert + fail2ban

CRITICAL

PASS

SSH key onlyPas d'auth par mot de passe sur le VPS

HIGH

PASS

Redirections www/non-wwwToutes les redirections HTTPS en place

bien-etre-vendee.frMEDIUM

TODO

Headers sécuritéX-Frame-Options, CSP, HSTS configurés

HIGH

📋 DONNEES / RGPD1/4

PASS

RGPD mentions légalesMentions légales et politique confidentialité sur chaque site

bien-etre-vendee.frHIGH

TODO

Cookie consentBandeau cookies si tracking/analytics

HIGH

WARN

Backup dataBackup régulier des données (Airtable, DB)

HIGH

WARN

Token rotationRotation régulière des clés API et tokens

MEDIUM