SÉCURITÉ OFFENSIVE

Test d'intrusion

Applications et infrastructures

Problème

Vous développez ou exploitez des applications critiques. Vos clients, votre assureur ou une réglementation (NIS2, DORA) vous demandent une évaluation de sécurité. Ou vous souhaitez simplement connaître votre exposition réelle avant qu'un incident ne survienne.

Ce que je fais

Simulation d'attaque ciblée pour identifier vos vulnérabilités exploitables. Le périmètre et les conditions de test sont définis ensemble, à partir d'une analyse de risque qui permet de concentrer l'effort sur vos actifs critiques.

Périmètres couverts

  • Applicatif — Applications web, API REST/SOAP, applications mobiles Android
  • Infrastructure — Serveurs, configurations système, chemins d'élévation de privilèges, Active Directory

Modes de test

  • Blackbox — Sans information préalable, simulation d'un attaquant externe. Approche la plus réaliste pour évaluer votre surface d'attaque.
  • Greybox — Avec comptes utilisateurs fournis, simulation d'une compromission de compte. Idéal pour tester la ségrégation des privilèges.

Méthodologie

  • Applications web et API : OWASP Testing Guide, OWASP ASVS
    Couverture des 10 vulnérabilités les plus critiques (injection SQL, XSS, authentification cassée...)
  • Infrastructure : PTES (Penetration Testing Execution Standard)
    Méthodologie reconnue : reconnaissance, exploitation, post-exploitation, reporting
  • Mobile Android : OWASP MASTG
    Sécurité applicative mobile : stockage local, communication réseau, reverse engineering

Livrable

Rapport détaillé comprenant :

  • Vulnérabilités identifiées, classées par sévérité (CVSS v3.1)
  • Preuves d'exploitation (captures, requêtes HTTP, scénarios d'attaque)
  • Recommandations de remédiation pour chaque vulnérabilité (code, configuration, architecture)
  • Synthèse pour la direction (non technique) avec scoring de risque global

Pour qui

Éditeurs logiciels

Éditeurs logiciels souhaitant auditer leur produit avant mise en production ou à la demande d'un client. SaaS, applications métier, plateformes web.

PME/ETI

PME/ETI avec applications métier critiques : ERP, CRM, plateformes de facturation, systèmes de gestion de stock, portails clients.

Conformité réglementaire

Entreprises soumises à des exigences réglementaires : NIS2 (secteur énergie, santé), DORA (finance), certifications ISO 27001, HDS.

Évaluation de périmètre gratuite

Décrivez votre contexte technique : je vous réponds sous 48 h avec une estimation de charge et une proposition d'intervention.

Demander une évaluation