Audit de sécurité + sécurisation d'un serveur VPS application fintech

Description du projet

Nous recherchons un expert en sécurité informatique / DevSecOps pour réaliser un audit de
sécurité complet de notre serveur VPS et procéder à sa sécurisation si nécessaire.

Notre stack technique

- Serveur : VPS OVH (Ubuntu/Debian)
- Backend : Node.js (API REST)
- Base de données : PostgreSQL (Prisma ORM)
- Reverse proxy : Nginx
- Paiements : Stripe (cartes, Apple Pay, Google Pay)
- Frontend : React Native Web + applications mobiles iOS/Android


Ce que nous attendons

Phase 1 — Audit (diagnostic)
- Analyse de la configuration serveur (SSH, ports ouverts, firewall)
- Vérification des mises à jour et des vulnérabilités connues
- Audit de la configuration Nginx (headers de sécurité, CORS, SSL/TLS)
- Analyse de la sécurité de l'API (injection, authentification, rate limiting)
- Vérification de la configuration PostgreSQL (accès, permissions, backups)
- Vérification de la conformité Stripe / PCI DSS
- Rapport détaillé avec les failles identifiées et leur criticité

Phase 2 — Sécurisation (corrections)
- Hardening SSH (clés, désactivation root, fail2ban)
- Configuration firewall (UFW / iptables)
- Mise en place de headers de sécurité Nginx
- Rate limiting sur l'API
- Sécurisation de la base de données
- Mise en place de backups automatisés
- Recommandations RGPD si applicable

Livrables attendus

- Rapport d'audit détaillé (PDF) avec niveau de criticité par faille
- Corrections appliquées directement sur le serveur
- Documentation des modifications effectuées
- Recommandations pour la maintenance future

Profil recherché

- Expérience prouvée en sécurité serveur / pentest
- Connaissance de l'écosystème Node.js et PostgreSQL
- Idéalement certifié (CEH, OSCP, CompTIA Security+ ou équivalent)
- Connaissance des normes PCI DSS (paiements Stripe) appréciée
- Basé en France (pour les questions RGPD)