Surfshark VPN : audits 2025 validés (Deloitte + SecuRing)
Mise à jour janvier 2026 : audit complémentaire SecuRing
En complément de l’audit Deloitte de juin 2025 (politique no-log et infrastructure Nexus), Surfshark a publié les résultats d’un second audit mené par SecuRing en décembre 2025.
Périmètre SecuRing : pentest grey-box de l’infrastructure réseau externe (sécurité, configuration, vulnérabilités).
Résultat : aucune vulnérabilité critique détectée. Une configuration SSL/TLS à améliorer (Medium) a été identifiée et corrigée.
Complémentarité des audits :
Deloitte (juin 2025) : valide ce que Surfshark ne conserve pas (policy no-log)
SecuRing (décembre 2025) : valide la robustesse de l’infrastructure face aux attaques (pentest)
Ces deux approches distinctes renforcent la transparence du programme d’audit de Surfshark. L’historique complet des audits a été mis à jour dans le tableau ci-dessous.
Le fournisseur de VPN Surfshark a une nouvelle fois passé avec succès un audit indépendant de sa politique no-logs. C’est le cabinet Deloitte, l’un des cabinets d’audit les plus réputés au monde (fait partie des Big Four), qui a mené cette évaluation rigoureuse.
Ce n’est pas une première pour Surfshark, qui confie régulièrement ce type de vérification à Deloitte afin d’assurer à ses utilisateurs que leur activité en ligne n’est ni suivie ni enregistrée.
Pourquoi les fournisseurs de VPN sont-ils audités ?
Les cabinets d’audit VPN en cybersécurité sont des entités légitimes et indépendantes qui fournissent des services d’évaluation de la sécurité informatique à d’autres entreprises.
En utilisant des méthodes de test transparentes et approfondies, ils ont pour objectif d’identifier les vulnérabilités et les risques potentiels des systèmes informatiques et des réseaux d’une entreprise. Ils peuvent également fournir des recommandations pour corriger les failles détectées.
Les audits indépendant VPN incluent des vérifications de la conformité aux normes de sécurité établies, des tests d’intrusion, des évaluations de la configuration de la sécurité et des analyses de la sécurité des applications.
Surfshark n’en est pas à son premier audit et faisait auparavant appel à Cure53.
📋 Historique détaillé des audits de Surfshark
| Date | Cabinet d’audit | Type d’audit | Résultat | Remarques |
|---|---|---|---|---|
| Nov. 2018 | Cure53 | Audit extension navigateur | Réussi | Chrome & Firefox |
| Avr. 2021 | Cure53 | Audit infrastructure serveur | Réussi | Évaluation sans faille critique |
| Janv. 2023 | Deloitte | Audit politique no‑logs | Réussi | Premier audit indépendant Big Four |
| Avr. 2025 | SecuRing | Évaluation sécurité (apps & extensions) | Aucun risque critique | Test OWASP (black/gray‑box) |
| Juin 2025 | Deloitte | Deuxième audit no‑logs (ISAE 3000) | Réussi | Confirmation complète et renouvelée |
| Dec 2025 | SecuRing | Pentest Infrastructure | Réussi | aucune faille critique détectée. Une faiblesse corrigée. |
Pour en savoir plus : Politique de confidentialité de Surfshark, est-il un VPN no logs ?
Sur quoi portait l’audit de Surfshark ?
Cet audit de juin 2025 se concentrait sur le point le plus crucial pour un VPN : l’absence de journaux d’activités (no-logs). Pour cela, Deloitte a appliqué la norme ISAE 3000 (norme internationale encadrant les audits indépendants de type non financier), qui encadre les vérifications indépendantes liées aux systèmes d’information et à la protection des données.
Bien qu’un audit puisse, en théorie, couvrir l’intégralité des services, la plupart des fournisseurs de VPN sans log, y compris Surfshark, se concentrent sur les composants essentiels liés à la confidentialité. Deloitte a donc analysé en profondeur les éléments suivants :
- La configuration des serveurs VPN (standards, multi-hop, statiques)
- Les processus de déploiement automatisé
- Les API et microservices internes
- L’architecture réseau (SDN)
- Les politiques internes via des entretiens avec les employés clés
Ces vérifications visaient à confirmer que les déclarations de Surfshark en matière de non-conservation des données sont bien appliquées dans la pratique. Résultat : aucune incohérence n’a été relevée.
Voici un extrait des conclusions du rapport de Deloitte :
« Sur la base des procédures effectuées et des preuves obtenues, à notre avis, la configuration des systèmes informatiques et la gestion des opérations informatiques de soutien sont correctement préparées, dans tous les aspects matériels, conformément à la description par Surfshark de sa politique de non-enregistrement. »
Le rapport officiel est accessible aux utilisateurs directement depuis leur interface Surfshark.
En savoir plus sur Surfshark VPN
Surfshark est un excellent choix pour ceux qui cherchent un VPN pas cher. Il propose des tarifs abordables tout en offrant une large gamme de fonctionnalités de sécurité pour protéger votre vie privée en ligne. Il vous permet de contourner les restrictions géographiques et de protéger vos données en utilisant des protocoles de sécurité nouvelle génération.
En utilisant Surfshark, vous pouvez vous connecter à plus de 4 500 serveurs dans plus de 100 emplacements dans le monde, ce qui vous permet de débloquer des contenus géo-restreints et de naviguer sur Internet de manière totalement confidentielle. Il vous offre également la possibilité d’utiliser l’application sur un nombre illimité d’appareils en même temps, avec un seul abonnement.
Surfshark s’appuie sur des protocoles, tels que OpenVPN, WireGuard® et IKEv2, pour protéger vos données et garantir votre vie privée. Il dispose également d’une fonctionnalité de « CleanWeb » qui bloque les publicités et les trackers en ligne.
A propos de l'auteur : Lisa
Fondatrice de VPN Mon Ami
Experte en cybersécurité avec plus de 12 ans d'expérience dans le domaine des VPN, j'écris de nombreux articles pour sensibiliser les internautes à la confidentialité en ligne.
