Pentest
Identifiez vos vulnérabilités avant qu'un attaquant ne le fasse.
Basée à Paris, notre équipe réalise des tests d'intrusion sur vos systèmes, applications et réseaux pour révéler vos failles et fournir un plan de remédiation clair et priorisé.
Label France Cybersecurity Domaines de test
Un test d'intrusion ciblé pour chaque domaine
Web, mobile, IoT, cloud ou LLM : chaque domaine a sa surface d'attaque et sa méthodologie.
Pentest Web
Vos applications web et vos API portent une logique métier qu'un scanner automatisé ne sait pas éprouver.
DécouvrirPentest Mobile
Trouvez les failles de votre application iOS et Android avant qu'un attaquant ne les exploite.
DécouvrirPentest IoT
Avant la mise sur le marché, sachez ce qu'un attaquant peut faire de votre objet connecté.
DécouvrirPentest Cloud
Un rôle IAM trop permissif ou un bucket ouvert suffit à compromettre tout votre cloud.
DécouvrirPentest LLM
Vos applications LLM ouvrent une surface d'attaque que vos tests classiques ne couvrent pas.
DécouvrirDéroulé d'un test d'intrusion
Une méthodologie rigoureuse, un résultat concret.
Cadrage & préparation
Validation du périmètre (URLs, sous-domaines, environnements), des exclusions et des contraintes. Mise en place des accès Grey Box et du plan de test.
Cartographie & reconnaissance
Construction d'une vision exhaustive de la surface d'attaque : pages, endpoints, flux, rôles et composants. Identification des technologies, mécanismes d'authentification et fuites en sources ouvertes.
Tests de sécurité
Tests manuels approfondis et automatisation ciblée sur l'ensemble du spectre OWASP : authentification, autorisations, injections, XSS/CSRF, logique métier, configuration et, si applicable, attaques IA.
Consolidation & évaluation du risque
Validation des constats : reproductibilité, impact, prérequis et scénarios d'exploitation réalistes. Élimination des faux positifs, regroupement par causes racines, notation et priorisation.
Restitution & livrables
Réunion de clôture avec présentation des résultats, top risques, quick wins et recommandations structurantes. Livraison d'un rapport exécutif et technique détaillé.
Types de tests
Test d'intrusion externe
Réalisé depuis nos locaux via une connexion internet standard, ce test évalue la résistance de vos infrastructures et services exposés face à une attaque provenant de l'extérieur. L'objectif est de déterminer si un attaquant distant peut compromettre vos systèmes sans accès préalable.
- Applications web & API
- Infrastructure réseau exposée
- Services cloud
- Authentification & accès distants
Test d'intrusion interne
Réalisé depuis les locaux du client ou via le déploiement d'un implant sur son réseau, ce test simule une menace interne : employé malveillant, machine compromise par phishing, agent d'entretien ou consultant externe. L'objectif est d'évaluer ce qu'un attaquant ayant un accès physique ou réseau peut accomplir.
- Active Directory & réseau interne
- Segmentation & mouvements latéraux
- Postes de travail & serveurs
- Élévation de privilèges
Livrables
Ce que vous recevez
À l'issue de chaque mission, vous disposez d'une documentation complète permettant à vos équipes techniques et à votre direction d'agir avec précision.
Rapport exécutif
Synthèse des risques, niveau de criticité global et recommandations prioritaires, conçu pour les décideurs.
Rapport technique
Détail de chaque vulnérabilité : preuve d'exploitation, impact, scénario d'attaque et recommandation de correction.
Restitution orale
Réunion de clôture avec présentation des résultats, questions-réponses et plan d'action priorisé avec vos équipes.
Retest optionnel
Vérification post-correction des vulnérabilités pour valider l'efficacité des remédiations mises en place.
Secteurs d'intervention
Des expertises métier adaptées à vos enjeux
Pentest pour le secteur bancaire et fintech
Établissements de crédit, néobanques, plateformes de paiement. Nos tests couvrent les exigences DORA et PCI-DSS sur vos flux et applications financières sensibles.
Pentest HDS pour les acteurs de santé
Hébergeurs de données de santé, hôpitaux, éditeurs de logiciels médicaux. Tests adaptés aux exigences de certification HDS et à la PGSSI-S.
Pentest pour SaaS et startups tech
Applications web, API REST, infrastructure cloud et pipelines CI/CD. Nous accompagnons les éditeurs pour valider leur posture de sécurité avant chaque release.
Intervention sur site à Paris
Notre équipe basée à Paris intervient sur site pour les tests réseau interne, les missions Red Team ou les restitutions avec vos équipes techniques.
Questions fréquentes
Ce que vous devez savoir avant de démarrer
Qu'est-ce qu'un test d'intrusion (ou pentest) ?
Un test d'intrusion (ou pentest) est une simulation d'attaque informatique réalisée par des experts en cybersécurité, avec l'autorisation du propriétaire du système. L'objectif est d'identifier les vulnérabilités exploitables avant qu'un vrai attaquant ne le fasse, puis de fournir un plan de remédiation claire et priorisé.
Combien de temps dure un pentest ?
La durée dépend du périmètre. Un test d'intrusion applicatif web standard dure entre 5 et 10 jours ouvrés. Un test d'infrastructure réseau est souvent dimensionné entre 5 et 15 jours. Nous définissons la durée adaptée lors du cadrage initial.
Quelle est la différence entre boîte noire, grise et blanche ?
En boîte noire, les experts n'ont aucune information préalable sur la cible. En boîte grise, notre approche par défaut, des comptes de test et des accès limités sont fournis pour maximiser la couverture fonctionnelle. En boîte blanche, le code source et toute la documentation technique sont mis à disposition.
Faut-il prévenir son hébergeur ou cloud provider avant un pentest ?
Oui, certains fournisseurs (AWS, Azure, OVH…) imposent une déclaration préalable pour les tests de sécurité sur leurs infrastructures. Nous vous accompagnons systématiquement dans cette démarche lors de la phase de cadrage.
Comment se déroule concrètement un test d'intrusion ?
Une mission se décompose en quatre phases. D'abord le cadrage : définition du périmètre, des règles d'engagement et des accès nécessaires. Ensuite la reconnaissance et l'exploitation : nos experts s'appuient sur des méthodologies reconnues, notamment l'OWASP Top 10 pour les applications web, pour cartographier la surface d'attaque, identifier les vulnérabilités et les exploiter de manière contrôlée. Puis la rédaction du rapport : livrable exécutif synthétisant les risques et livrable technique détaillant chaque vulnérabilité avec sa criticité CVSS et sa remédiation. Enfin le retest optionnel : vérification que les correctifs ont bien été appliqués.
Prêt à évaluer votre exposition ?
Nos experts définissent avec vous le périmètre et vous proposent un devis adapté sous 48h.