Vous pensez que votre SI tient la route. Tant que personne n'a vraiment essayé d'entrer, vous n'en savez rien. Nos experts se mettent dans la peau d'un attaquant et tentent de rentrer chez vous : ils cherchent les failles, les exploitent, poussent aussi loin qu'ils peuvent. À la sortie : deux rapports — un pour la direction, un pour les équipes IT — et un re-test à 30 jours pour valider vos corrections.
Pour qui
Entreprises à partir de 5 M€ de CA : direction générale, DSI ou RSSI qui veut vérifier la solidité réelle de son système avant un moment clé. Vous décidez du périmètre, on s'occupe de l'attaque.
Pourquoi maintenant
Vous lancez un nouveau produit. Un client important exige une preuve de sécurité. Votre assureur pose des questions. Ou aucun test n'a jamais été fait et vous voulez savoir où vous en êtes vraiment.
OWASP Top 10 / API Top 10
Injection SQL, XSS, CSRF, authentification, contrôle d'accès (IDOR, BOLA), logique métier. Tests authentifiés et non-authentifiés, exploitation manuelle au-delà du scan automatisé.
MITRE ATT&CK · escalade & mouvements latéraux
Cartographie réseau, escalade de privilèges locale et domaine, Kerberoasting, Pass-the-Hash, mouvements latéraux et pivoting. Test interne avec ou sans compte de départ selon le scénario.
AWS / Azure / GCP · CIS Benchmarks
IAM et permissions excessives, buckets / blobs exposés, SSRF via Metadata API, configurations Kubernetes et conteneurs, secrets et clés exposés.
OWASP Mobile Top 10 · iOS & Android
Reverse engineering APK / IPA, stockage local non chiffré, interception et MITM du trafic, authentification et gestion de sessions. Analyse statique et dynamique.
Rapport pour la direction
Synthèse claire : niveau de risque, failles critiques, impact métier, 3 actions immédiates. Sans jargon, prêt pour le COMEX et présentable à vos clients ou assureur.
Rapport technique
Chaque finding avec score CVSS, preuve de concept, étapes de reproduction et correctif recommandé. Directement exploitable par vos équipes ou votre prestataire.
Plan de remédiation
Backlog priorisé. Actions classées immédiat / 30 j / 90 j avec niveau d'effort estimé.
Attestation J+30
Re-test des findings critiques après correction. Attestation officielle exploitable pour audit, assureur ou client.
Tarif
Sur devis
Selon le périmètre et la durée retenus (5 à 10 jours en général). Méthodologie OWASP & MITRE ATT&CK.
Convention de test
Obligatoire
Convention signée et règles d'engagement validées avant toute action offensive. Interlocuteur unique du devis au rapport.
Re-test
Inclus J+30
Vérification des correctifs sur les failles critiques à J+30. Restitution live 2 h comprise dans la prestation.
Red Team à partir de 14 000 € pour un scénario d'attaque réaliste multi-vecteurs : technique, humain (phishing) et physique, avec objectif métier. Pack NIS2 / ISO 27001 à partir de 7 500 € pour préparer la certification. Cyber Résilience pour un programme annuel incluant un pentest récurrent et la supervision continue.