Aller au contenu
HackingByte
Global EnglishFrançais Maroc EnglishFrançais Europe EnglishFrançais

Choisir la région et la langue

Région
Langue
Cadrage

Un test d’intrusion qui met fin aux débats — pas un export de scanner.

Tests manuels menés par des seniors qui montrent comment un attaquant atteint réellement ce qui compte, et ce que cela vous coûterait — pas une liste dédoublonnée de CVE.

Demander un échange de cadrage Voir notre méthode
  • Praticiens seniors uniquement.
  • Indépendant des éditeurs.
  • Reporting fondé sur des preuves.

Pour les organisations de l’UE

Des tests qui produisent des preuves prêtes pour le régulateur.

Dans l’UE, un test d’intrusion est de plus en plus la preuve derrière une obligation — le test des mesures de sécurité de l’article 32 du RGPD, les tests de résilience de DORA pour les entités financières, et la sécurité qu’attend une revue de chaîne d’approvisionnement NIS 2. Nous le menons par des seniors et rattachons chaque constat au contrôle et à la réglementation qu’il satisfait.

Dans l’UE, un test d’intrusion est rarement un simple exercice de sécurité — c’est de plus en plus la preuve derrière une obligation. L’article 32 du RGPD impose un processus pour tester l’efficacité de vos mesures de sécurité ; DORA impose des tests de résilience aux entités financières ; et NIS 2 attend que les garanties de sécurité descendent la chaîne d’approvisionnement. Un test mené par des seniors vous donne cette preuve sous une forme qu’un superviseur, un auditeur ou un grand client acceptera.

Nous testons les environnements web, API, cloud et internes comme le ferait un attaquant compétent, puis rattachons chaque constat au contrôle qu’il met en défaut et à la réglementation qu’il touche. Comme la même équipe senior mène aussi votre préparation GRC, le rapport sert également de preuve de conformité — une seule mission, pas deux. Savoir si et comment une réglementation s’applique relève de votre conseil ; nous produisons la preuve technique.

Là où nous testons

Web et API — la surface de revue client UE

Les applications que les acheteurs de l’UE et leurs équipes protection des données examinent avant de signer, testées manuellement pour les failles d’autorisation et de logique métier qui échappent aux scanners — avec des preuves rédigées pour un questionnaire de sécurité.

Cloud dans les régions de l’UE

Configuration et identité AWS, Azure et GCP examinées au regard des CIS Benchmarks et des attentes de résidence des données et de sécurité du traitement qui suivent les données personnelles de l’UE.

Interne et Active Directory

Mouvement latéral, élévation de privilèges et les questions de rayon d’impact auxquelles un programme de gestion des risques NIS 2 doit répondre sur votre périmètre interne.

Rapporté comme preuve article 32 / DORA

Chaque mission est cadrée et rédigée pour que le résultat tienne lieu du test régulier qu’exigent à la fois l’article 32 du RGPD et les exigences de résilience de DORA.

Quand les équipes UE nous appellent

Les moments où les organisations de l’UE nous sollicitent pour un test d’intrusion :

  • L’équipe achats ou protection des données d’un grand client de l’UE envoie un questionnaire de sécurité avant de signer.
  • Vous êtes une entité financière, ou un prestataire TIC d’une telle entité, et les attentes de tests de résilience de DORA sont au calendrier.
  • Une revue de chaîne d’approvisionnement NIS 2 vous demande d’attester la sécurité de ce que vous livrez.
  • Vous lancez un produit qui traite des données personnelles de l’UE et voulez le test de l’article 32 avant la mise en production, pas après.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

  1. Rapport technique

    Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.

  2. Synthèse exécutive des risques

    Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.

  3. Plan d’action

    Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission type.

Un test d’intrusion externe ou interne représentatif s’étend sur environ quatre à six semaines : une semaine de cadrage jusqu’à un énoncé de travaux signé, une à trois semaines de test selon la taille de la surface, une semaine de reporting et de relecture par les pairs, puis une restitution une fois le rapport en main. Un contre-test des constats critiques et élevés ajoute une à trois semaines lorsque votre équipe est prête.

Les missions web et API suivent la même forme ; les très grandes applications allongent la fenêtre de test. Les exercices guidés par la menace et red team ajoutent en amont une étape de renseignement et de conception de scénarios. Le calendrier est fixé au cadrage autour de votre échéance — une revue d’achat client, une date d’audit ou un renouvellement d’assurance.

En quoi c’est différent

  1. Tests manuels menés par des seniors — les chemins d’attaque chaînés et les abus de logique métier qui comptent viennent de quelqu’un qui l’a déjà fait, pas d’un junior avec une licence de scanner. Chaque livrable est validé par un senior avant de quitter le cabinet.

  2. Constats reproduits avec preuves — chaque constat comporte des étapes de reproduction et des preuves capturées suffisantes pour que votre équipe le recrée de façon indépendante.

  3. Gravité notée avec une lecture d’impact métier, pas seulement le CVSS — un « moyen » sur un système qui traite des paiements n’est pas un « moyen » sur un site vitrine. L’inflation de gravité est ici un défaut de qualité, pas une tactique commerciale.

Test externe

Test d’intrusion externe.

Le test d’intrusion externe répond à la question que posent réellement toute revue de sécurité client et tout renouvellement d’assurance : que pourrait atteindre un attaquant compétent depuis Internet aujourd’hui ? Nous attaquons votre surface exposée — applications web, API exposées, infrastructure et intégrations tierces associées — à partir d’OSINT et de découverte d’actifs, car les actifs oubliés sont souvent ceux qui comptent. C’est le point de départ le plus fréquent, et la base attendue par la plupart des obligations externes.

Test interne

Test d’intrusion interne.

Le test d’intrusion interne est une mission en hypothèse de compromission : nous partons d’un point d’ancrage dans le réseau et mesurons jusqu’où un attaquant progresse avant d’être arrêté. L’objectif est généralement Domain Admin, un magasin de données privilégié ou une charge de travail critique. Le résultat est une vue quantifiée du périmètre d’impact interne et de l’exposition aux rançongiciels — un chiffre qu’un conseil et un directeur financier peuvent réellement utiliser.

Choisir un prestataire

Choisir un prestataire de tests d’intrusion.

Tous les prestataires de tests d’intrusion ne livrent pas la même chose. Ce qui distingue un test utile d’un export de scanner, ce sont des praticiens seniors qui réalisent le travail, des preuves reproductibles pour chaque constat, une gravité notée selon l’impact métier et un plan de remédiation sur lequel votre équipe peut agir. Avant de signer, demandez qui réalisera réellement le test, comment le périmètre est fixé et ce que contient le rapport.

Notre méthode

Standards cités, un cycle en six étapes, validation senior à chaque étape.

Nous n’inventons pas de méthodologie — nous utilisons, citons et étendons des standards reconnus, et vous indiquons lesquels avant le début de la mission. Chaque test suit le même cycle en six étapes, pour que vous sachiez toujours ce qui vient ensuite.

Cadrage. Nous définissons les objectifs, les actifs, le modèle de menace, les règles d’engagement, les livrables et une tranche tarifaire, jusqu’à un énoncé de travaux signé.

Lancement. Nous confirmons les règles d’engagement, les contacts, les chemins d’escalade, le calendrier, les canaux de communication sécurisés et les accès en un seul appel de 60 minutes.

Exécution. Le test lui-même, calibré sur la classe d’actifs. Les constats critiques sont remontés sous quatre heures ouvrées après leur découverte — jamais retenus jusqu’au rapport.

Reporting. Nous produisons le dossier de mission à trois livrables et le soumettons à une relecture interne par les pairs avant que vous ne le voyiez.

Restitution. Deux séances — un parcours technique avec vos ingénieurs et une restitution exécutive avec la direction — ainsi que des échanges sur le plan d’action.

Clôture et contre-test optionnel. Le plan d’action est remis à ses responsables, et vous pouvez choisir un contre-test ciblé des constats critiques et élevés avec une attestation mise à jour.

La base de standards dépend de l’actif : PTES et MITRE ATT&CK pour le travail externe et interne ; l’OWASP Web Security Testing Guide et l’API Security Top 10 pour le web et les API ; OWASP MASVS pour le mobile ; la matrice MITRE ATT&CK Cloud et les CIS Benchmarks pour le cloud.

Voir la méthode complète

Cadrage et tarification

Comment les tests d’intrusion sont tarifés.

Nous facturons à prix fixe, par tranche de périmètre — pas à la journée. Pour un test externe ou interne, la tranche dépend du nombre d’actifs concernés et de la complexité de l’environnement ; pour le web et les API, du nombre de rôles, de points d’accès et de la complexité de logique métier de l’application. Nous vous communiquons la tranche au cadrage, avant toute signature, sans surprise de taux journalier.

Quelques choses que nous ne faisons délibérément pas : nous ne vendons pas de taux journaliers, nous ne revendons ni ne sur-vendons d’outils, et nous ne percevons aucune commission d’éditeur — le test est ainsi calibré pour répondre à votre vraie question, et non pour maximiser la mission. Si vous travaillez avec un budget, indiquez-le au cadrage et nous serons clairs sur ce qu’il couvre.

Questions fréquentes

Un test d’intrusion satisfait-il l’article 32 du RGPD ?

L’article 32 impose un processus pour tester et évaluer régulièrement l’efficacité de vos mesures de sécurité ; un test d’intrusion cadré est le moyen le plus direct de produire cette preuve, et nous le rapportons pour qu’il tienne face à une autorité de contrôle ou au DPO d’un client. Savoir s’il suffit pour votre traitement précis relève de votre conseil.

Cela peut-il tenir lieu de test de résilience DORA ?

Souvent, oui — DORA attend des tests de vulnérabilité et guidés par la menace pour les entités financières. Nous cadrons sur le pilier qu’il vous faut, et pour l’exigence guidée par la menace livrons un TLPT via notre pratique red teaming. L’interprétation de DORA reste à votre conseil.

Le rapport conviendra-t-il à une revue de sécurité client UE ?

C’est le rôle de la Synthèse exécutive des risques : les mêmes constats exprimés en risque métier, dans un langage que les équipes sécurité et achats d’un grand client acceptent — sans tableaux CVSS à décoder.

Tenez-vous compte du lieu d’hébergement des données de l’UE ?

Nous testons là où tourne votre périmètre et signalons où la résidence des données ou un transfert hors UE entre en jeu, pour que la preuve de sécurité et l’image protection des données concordent. L’analyse juridique des transferts reste à votre conseil.

Indiquez-nous le système qui vous préoccupe et l’échéance que vous visez — nous cadrerons le test autour des deux.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage