M'auditer.

Un pentest, c'est un attaquant en blanc qui essaie vraiment de rentrer, pas un scanner automatique qui rend un PDF. Nos consultants reproduisent les TTP réels observés sur le terrain et chaque vulnérabilité est rejouable par vos équipes.

• Pentest web et API (OWASP Top 10, BOLA, logique métier)
• Pentest mobile iOS / Android et reverse
• Pentest interne, Active Directory, élévation de privilèges
• Pentest cloud AWS / Azure / GCP

Là où le pentest cherche des vulnérabilités, le red team teste votre capacité à détecter et réagir. Pendant 4 à 8 semaines, une équipe simule un adversaire réel avec un objectif précis (exfiltration, sabotage, fraude) et seul un petit cercle (« white team ») est au courant.

• Phishing ciblé, intrusion physique, OSINT approfondi
• Émulation d'adversaire (APT, ransomware operator)
• Évaluation continue de la blue team / SOC
• Purple team : transfert vers vos équipes défensives

Les processus tiennent ou ne tiennent pas. L'audit organisationnel mesure l'écart entre ce qui est écrit, ce qui est fait, et ce qui devrait l'être, sans juger, avec des preuves objectives.

• Audit blanc avant certification ISO 27001 / HDS
• Diagnostic NIS2 (10 mesures, plan de transposition)
• Revue de la gestion de crise (exercices, RTO/RPO réels)
• Évaluation de la chaîne fournisseurs (third-party risk)

Beaucoup de vulnérabilités sont visibles dans le code ou la configuration sans qu'on ait besoin de les exploiter. L'audit de code et de configuration les remonte avant qu'elles n'arrivent en production, beaucoup moins cher que de les corriger en urgence.

• Revue de code applicatif (backend, frontend, mobile)
• Revue d'images Docker et de chaînes CI/CD
• Revue Terraform / IaC et postures cloud (CSPM)
• Revue de configuration M365, Google Workspace, AD