Aller au contenu
HackingByte
Global EnglishFrançais Maroc EnglishFrançais Europe EnglishFrançais

Choisir la région et la langue

Région
Langue
Cadrage

Un test d’intrusion qui met fin aux débats — pas un export de scanner.

Tests manuels menés par des seniors qui montrent comment un attaquant atteint réellement ce qui compte, et ce que cela vous coûterait — pas une liste dédoublonnée de CVE.

Demander un échange de cadrage Voir notre méthode
  • Praticiens seniors uniquement.
  • Indépendant des éditeurs.
  • Reporting fondé sur des preuves.

Réalisé au Maroc

Des tests menés par des seniors, depuis une équipe basée à Casablanca.

HackingByte S.A.R.L. est basée à Casablanca : les missions marocaines sont menées par une équipe locale qui connaît les attentes de la DGSSI, les directives de Bank Al-Maghrib pour les établissements financiers et les revues de sécurité que mènent vos clients. La méthodologie et le reporting suivent le même standard fondé sur les preuves que nos missions transfrontalières.

Au Maroc, le déclencheur d’un test d’intrusion est généralement l’un de trois : un client à l’étranger qui mène une revue de sécurité avant de signer, un assureur ou un établissement supervisé par Bank Al-Maghrib qui demande des garanties, ou les attentes de la DGSSI pour les systèmes sensibles. Un test mené par des seniors répond aux trois avec la même preuve — ce qui est exploitable, pourquoi, et quoi y faire.

Nous sommes basés à Casablanca et menons le travail sur le terrain lorsque c’est utile, avec la même méthodologie PTES, OWASP et NIST que nos missions transfrontalières. Cela compte ici : une banque marocaine, un éditeur SaaS exportateur ou un BPO manipulant des données clients a besoin d’un rapport qui satisfait à la fois la DGSSI et l’équipe sécurité d’un client étranger. Nous produisons la preuve technique ; la lecture juridique d’une obligation reste à votre conseil.

Là où nous testons

Web et API pour exportateurs et plateformes

Les applications qu’un éditeur SaaS exportateur, une fintech ou un BPO présente à des clients internationaux — testées manuellement pour les failles qu’un scan automatisé et un questionnaire de sécurité client laissent passer.

Cloud et périmètres internes

Les environnements AWS, Azure, GCP, ainsi que l’on-prem et Active Directory courants chez les banques et sociétés d’offshoring marocaines, examinés au regard des CIS Benchmarks et des chemins d’attaque réels.

Sur site là où il le faut

Pour les réseaux segmentés ou sensibles — financiers, infrastructures sensibles ou relevant de la DGSSI — nous pouvons tester sur le terrain à Casablanca ou chez vous, pas uniquement à distance.

Un reporting pour deux publics

Des constats rédigés pour répondre à la fois aux attentes de la DGSSI et à la revue fournisseur d’un client international, sans refaire le même travail deux fois.

Quand les équipes marocaines nous appellent

Les moments où les organisations marocaines nous sollicitent pour un test d’intrusion :

  • L’équipe sécurité ou achats d’un client international envoie un questionnaire avant de signer.
  • Un établissement supervisé par Bank Al-Maghrib, un assureur ou un partenaire vous demande d’attester votre sécurité.
  • Vous manipulez des données sensibles ou clients et voulez répondre aux attentes de la DGSSI par des preuves, pas des affirmations.
  • Vous êtes un BPO, une fintech ou un éditeur SaaS exportateur et le contrat d’un client étranger exige désormais un test indépendant.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

  1. Rapport technique

    Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.

  2. Synthèse exécutive des risques

    Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.

  3. Plan d’action

    Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission type.

Un test d’intrusion externe ou interne représentatif s’étend sur environ quatre à six semaines : une semaine de cadrage jusqu’à un énoncé de travaux signé, une à trois semaines de test selon la taille de la surface, une semaine de reporting et de relecture par les pairs, puis une restitution une fois le rapport en main. Un contre-test des constats critiques et élevés ajoute une à trois semaines lorsque votre équipe est prête.

Les missions web et API suivent la même forme ; les très grandes applications allongent la fenêtre de test. Les exercices guidés par la menace et red team ajoutent en amont une étape de renseignement et de conception de scénarios. Le calendrier est fixé au cadrage autour de votre échéance — une revue d’achat client, une date d’audit ou un renouvellement d’assurance.

En quoi c’est différent

  1. Tests manuels menés par des seniors — les chemins d’attaque chaînés et les abus de logique métier qui comptent viennent de quelqu’un qui l’a déjà fait, pas d’un junior avec une licence de scanner. Chaque livrable est validé par un senior avant de quitter le cabinet.

  2. Constats reproduits avec preuves — chaque constat comporte des étapes de reproduction et des preuves capturées suffisantes pour que votre équipe le recrée de façon indépendante.

  3. Gravité notée avec une lecture d’impact métier, pas seulement le CVSS — un « moyen » sur un système qui traite des paiements n’est pas un « moyen » sur un site vitrine. L’inflation de gravité est ici un défaut de qualité, pas une tactique commerciale.

Test externe

Test d’intrusion externe.

Le test d’intrusion externe répond à la question que posent réellement toute revue de sécurité client et tout renouvellement d’assurance : que pourrait atteindre un attaquant compétent depuis Internet aujourd’hui ? Nous attaquons votre surface exposée — applications web, API exposées, infrastructure et intégrations tierces associées — à partir d’OSINT et de découverte d’actifs, car les actifs oubliés sont souvent ceux qui comptent. C’est le point de départ le plus fréquent, et la base attendue par la plupart des obligations externes.

Test interne

Test d’intrusion interne.

Le test d’intrusion interne est une mission en hypothèse de compromission : nous partons d’un point d’ancrage dans le réseau et mesurons jusqu’où un attaquant progresse avant d’être arrêté. L’objectif est généralement Domain Admin, un magasin de données privilégié ou une charge de travail critique. Le résultat est une vue quantifiée du périmètre d’impact interne et de l’exposition aux rançongiciels — un chiffre qu’un conseil et un directeur financier peuvent réellement utiliser.

Choisir un prestataire

Choisir un prestataire de tests d’intrusion.

Tous les prestataires de tests d’intrusion ne livrent pas la même chose. Ce qui distingue un test utile d’un export de scanner, ce sont des praticiens seniors qui réalisent le travail, des preuves reproductibles pour chaque constat, une gravité notée selon l’impact métier et un plan de remédiation sur lequel votre équipe peut agir. Avant de signer, demandez qui réalisera réellement le test, comment le périmètre est fixé et ce que contient le rapport.

Notre méthode

Standards cités, un cycle en six étapes, validation senior à chaque étape.

Nous n’inventons pas de méthodologie — nous utilisons, citons et étendons des standards reconnus, et vous indiquons lesquels avant le début de la mission. Chaque test suit le même cycle en six étapes, pour que vous sachiez toujours ce qui vient ensuite.

Cadrage. Nous définissons les objectifs, les actifs, le modèle de menace, les règles d’engagement, les livrables et une tranche tarifaire, jusqu’à un énoncé de travaux signé.

Lancement. Nous confirmons les règles d’engagement, les contacts, les chemins d’escalade, le calendrier, les canaux de communication sécurisés et les accès en un seul appel de 60 minutes.

Exécution. Le test lui-même, calibré sur la classe d’actifs. Les constats critiques sont remontés sous quatre heures ouvrées après leur découverte — jamais retenus jusqu’au rapport.

Reporting. Nous produisons le dossier de mission à trois livrables et le soumettons à une relecture interne par les pairs avant que vous ne le voyiez.

Restitution. Deux séances — un parcours technique avec vos ingénieurs et une restitution exécutive avec la direction — ainsi que des échanges sur le plan d’action.

Clôture et contre-test optionnel. Le plan d’action est remis à ses responsables, et vous pouvez choisir un contre-test ciblé des constats critiques et élevés avec une attestation mise à jour.

La base de standards dépend de l’actif : PTES et MITRE ATT&CK pour le travail externe et interne ; l’OWASP Web Security Testing Guide et l’API Security Top 10 pour le web et les API ; OWASP MASVS pour le mobile ; la matrice MITRE ATT&CK Cloud et les CIS Benchmarks pour le cloud.

Voir la méthode complète

Cadrage et tarification

Comment les tests d’intrusion sont tarifés.

Nous facturons à prix fixe, par tranche de périmètre — pas à la journée. Pour un test externe ou interne, la tranche dépend du nombre d’actifs concernés et de la complexité de l’environnement ; pour le web et les API, du nombre de rôles, de points d’accès et de la complexité de logique métier de l’application. Nous vous communiquons la tranche au cadrage, avant toute signature, sans surprise de taux journalier.

Quelques choses que nous ne faisons délibérément pas : nous ne vendons pas de taux journaliers, nous ne revendons ni ne sur-vendons d’outils, et nous ne percevons aucune commission d’éditeur — le test est ainsi calibré pour répondre à votre vraie question, et non pour maximiser la mission. Si vous travaillez avec un budget, indiquez-le au cadrage et nous serons clairs sur ce qu’il couvre.

Questions fréquentes

Travaillez-vous sur site au Maroc ?

Oui — HackingByte S.A.R.L. est basée à Casablanca, et lorsqu’un réseau est segmenté ou sensible nous testons sur le terrain plutôt qu’uniquement à distance. C’est le seul marché où notre présence locale est littérale.

Le rapport satisfera-t-il la DGSSI et un client international ?

C’est ainsi que nous le rédigeons — un seul rapport qui répond aux attentes de la DGSSI et aux questions de revue fournisseur d’un client étranger, pour ne pas commander deux fois le même test.

À quels standards testez-vous ?

PTES, OWASP, MITRE ATT&CK, NIST SP 800-115 et CIS Benchmarks — les mêmes standards internationaux que nos missions transfrontalières, pour que la preuve tienne où que soient vos clients.

Pouvez-vous aussi couvrir la loi 09-08 / protection des données ?

Un test d’intrusion produit la preuve de sécurité du traitement qu’attend la loi 09-08 ; la préparation complète à la protection des données (les formalités CNDP) est une mission distincte que nous menons aussi. L’interprétation de la loi reste à votre conseil.

Indiquez-nous le système qui vous préoccupe et l’échéance que vous visez — nous cadrerons le test autour des deux.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage