← Sécurité

Pentest & audit offensif

On pense comme un attaquant. Pour ne pas en subir un.

Pentest web, mobile, API, cloud et infrastructure. Méthodologie OWASP & PTES, exploit-proven, rapport CVSS-scored, plan de remédiation priorisé. Re-test après correction inclus.

Demander un devis pentest Voir notre méthodologie
  • OWASP Top 10 & ASVS Level 2/3
  • PTES & OSSTMM
  • Preuve d'exploitation incluse
  • Re-test gratuit après remédiation

Périmètre

Ce qu'on teste vraiment.

Pas de scan automatisé renommé en « audit ». Chaque mission combine outillage industriel et expertise manuelle sur les zones critiques.

01

Pentest applicatif web

OWASP Top 10 complet, broken auth, IDOR, SSRF, XSS stockés, désérialisation. Tests black-box, grey-box et white-box selon ton besoin.

02

Pentest mobile (iOS & Android)

Reverse engineering, jailbreak detection bypass, certificate pinning, stockage local, communications API. OWASP MASVS référentiel.

03

Pentest API & micro-services

REST, GraphQL, gRPC. Auth, rate-limiting, BOLA/BFLA, mass assignment. OWASP API Security Top 10.

04

Pentest infrastructure & cloud

AWS, GCP, Azure : IAM, configurations CIS, network segmentation, secrets exposés. Audit interne & externe.

05

Red Team & social engineering

Campagnes phishing ciblées, OSINT, intrusion physique simulée. Pour entreprises mûres voulant tester leur détection.

06

Pentest IoT & embarqué

Firmware analysis, reverse hardware, protocoles propriétaires, BLE, MQTT. Pour objets connectés et équipements industriels.

Méthodologie

Cinq phases, traçables.

Chaque mission suit PTES (Penetration Testing Execution Standard). Tu sais à tout moment où on en est, et tu reçois les findings critiques en temps réel.

01

Pre-engagement

Cadrage du scope, rules of engagement, fenêtres de test, contacts d'urgence. Contrat NDA signé avant tout accès.

02

Reconnaissance & mapping

OSINT, énumération, fingerprinting. Cartographie complète de la surface d'attaque avant toute tentative d'exploitation.

03

Exploitation

Tentatives manuelles + outillage (Burp Suite Pro, Metasploit, custom scripts). Chaque vulnérabilité est prouvée par exploit reproductible.

04

Reporting

Executive summary (1 page) pour la direction + rapport technique détaillé. Chaque finding avec preuve, CVSS 3.1, impact business, remédiation chiffrée.

05

Re-test après remédiation

Sous 30 jours, on revérifie que les vulnérabilités critiques et élevées sont effectivement fermées. Inclus dans tous les forfaits.

Livrables

Ce que tu reçois.

Executive summary (1 page)

Synthèse non-technique pour la direction, le board ou l'assurance cyber. Risques majeurs, score global, recommandations top.

Rapport technique détaillé

20 à 80 pages selon la mission. Chaque finding : description, preuve, CVSS 3.1, impact, remédiation, références CWE/CVE.

Restitution orale

Une session de 1 à 2h en visio ou sur site avec ton équipe tech. On répond aux questions, on priorise ensemble.

Plan de remédiation chiffré

Chaque vulnérabilité avec effort estimé (jours/homme), impact × probabilité, ordre de priorité. Roadmap directement actionnable.

Attestation de pentest

Document signé pour tes clients, partenaires, certifications ISO/SOC, assurance cyber. Sans divulguer les détails techniques.

Re-test gratuit (30j)

On revérifie sous 30 jours que les findings critiques sont effectivement corrigés. Pas un mois de plus pour facturer.

Tarification

Chaque projet est unique. Le devis aussi.

Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.

Réponse sous 48 h ouvrées Demander un devis