Aller au contenu
HackingByte
EN Demander un échange de cadrage

Notre façon de travailler — et pourquoi le rapport est le produit.

Un cycle de mission mené par des seniors, bâti sur des standards cités, relu par les pairs avant livraison, et finalisé par le dossier de mission HackingByte.

Demander un échange de cadrage Voir nos services
  • Praticiens seniors uniquement.
  • Aucun outil vendu.
  • Reporting fondé sur des preuves.

Notre méthodologie publiée de test d'intrusion et d'évaluation de sécurité — ce que nous faisons à chaque étape, les standards que nous suivons, les preuves que nous collectons, et la façon dont le rapport est construit pour être lu par vos équipes techniques, votre direction et votre conseil d'administration.

Le cycle de la mission.

Le cycle de la mission : six étapes connectées, du cadrage à la clôture.

Ce qui se passe à chaque étape.

Les six étapes, en détail public.

  1. 01 — Cadrage

    Nous commençons par un échange de cadrage mené par un senior afin d'établir le véritable déclencheur (un audit à venir, un questionnaire de sécurité client, une migration cloud récente, une transaction en cours de diligence, un périmètre imposé par un régulateur) et la surface d'actifs concernée. Nous convenons du type de mission, des standards auxquels le travail se référera, des règles d'engagement (fenêtres de test, limites de périmètre d'impact, contacts d'escalade) et des critères de réussite — la forme que le rapport final doit prendre pour celles et ceux qui le liront.

  2. 02 — Lancement

    Le lancement confirme les accès (identifiants cloud en lecture seule, accessibilité réseau, comptes de test, fenêtres de gestion du changement) et aligne les chemins d'escalade pour les constats critiques. L'équipe qui mène la mission est celle qui l'a cadrée — uniquement des praticiens seniors, sans transfert à des juniors — et le fondateur est garant de la mission du début à la fin. Nous confirmons l'inventaire des actifs, des environnements et des contraintes, afin que le travail qui suit s'appuie sur ce que votre organisation exploite réellement.

  3. 03 — Exécution

    L'exécution est guidée par des hypothèses et manuelle là où cela compte. Pour la sécurité applicative, nous suivons OWASP WSTG et l'OWASP API Security Top 10. Pour les surfaces réseau et cloud, nous nous appuyons sur PTES, NIST SP 800-115 et les CIS Benchmarks. Pour les exercices red team, nous modélisons le comportement de l'adversaire à l'aide de MITRE ATT&CK. Les outils accélèrent ; le jugement senior décide de ce qui constitue un constat. Nous n'appliquons pas une chaîne « scanner puis copier » — la sortie automatisée est vérifiée à la main avant d'apparaître dans le moindre rapport.

  4. 04 — Reporting

    Le reporting est le produit. Chaque constat est documenté avec les preuves permettant de le reproduire (captures requête/réponse, captures de trafic, transcriptions de commandes, copies d'écran), les composants affectés, l'impact métier et la remédiation recommandée. La première version est relue par les pairs au regard de la matrice des standards avant de quitter le cabinet ; le fondateur relit personnellement les parties destinées à la direction. Le résultat est le dossier de mission à trois livrables — voir le modèle de reporting ci-dessous.

  5. 05 — Restitution

    La réunion de restitution est une séance de travail, le rapport à l'écran — les équipes techniques parcourent les constats techniques, la direction parcourt la Synthèse exécutive des risques, et nous convenons ensemble de l'ordre de priorité du Plan d'action. C'est à ce moment que le contexte d'impact métier prend tout son sens : un constat à CVSS élevé sans chemin d'exploitation réel est revu à la baisse ; un constat à CVSS moyen qui rompt un engagement de sécurité pris envers un client est revu à la hausse.

  6. 06 — Clôture

    La clôture couvre le périmètre de contre-test (quels constats sont re-testés et selon quel calendrier), la conservation des preuves (les preuves de la mission sont conservées selon notre politique de rétention standard et détruites sur demande) et le canal de conseil qui reste ouvert pour les questions de suivi. Pour les forfaits récurrents, nous passons à la cadence convenue au cadrage — généralement une revue mensuelle et une réévaluation trimestrielle.

Les standards sur lesquels nous nous appuyons.

  • PTES

  • OWASP

  • MITRE ATT&CK

  • ISO 27005

  • NIST

Appliqués par des praticiens seniors, et non suivis comme un script.

Comment chaque standard s'applique.

Nous citons les standards dont s'inspire chaque travail — non comme une liste de cases à cocher, mais pour que vous puissiez auditer la méthodologie dans son intégralité.

PTES (Penetration Testing Execution Standard)
Régit le cycle de vie des tests d'intrusion réseau et infrastructure — pré-engagement, collecte de renseignements, modélisation des menaces, analyse des vulnérabilités, exploitation, post-exploitation, reporting.
OWASP WSTG (Web Security Testing Guide)
Le corpus de tests de sécurité applicative que nous appliquons lors des tests d'intrusion web — authentification, gestion des sessions, contrôle d'accès, failles de logique métier, validation des entrées, et le reste de la liste WSTG.
OWASP API Security Top 10
La référence correspondante pour les API REST et GraphQL — autorisation au niveau objet défaillante, autorisation au niveau fonction défaillante, affectation massive (mass assignment), falsification de requête côté serveur (SSRF) et les modes de défaillance d'API associés.
MITRE ATT&CK
La taxonomie des comportements adverses que nous utilisons pour les exercices red team — accès initial, persistance, élévation de privilèges, évasion des défenses, accès aux identifiants, découverte, déplacement latéral, collecte, commande et contrôle, exfiltration, impact. Elle ancre la mission dans des tactiques d'attaquant réelles plutôt que dans un langage de risque abstrait.
CIS Benchmarks
La base de configuration que nous prenons comme référence pour les contrôles de sécurité cloud et hôte — AWS, GCP, Azure, Kubernetes, Linux, Windows — lorsqu'il s'agit d'évaluer si les configurations sécurisées par défaut de l'environnement sont réellement en place.
NIST SP 800-115
Technical Guide to Information Security Testing and Assessment — la référence pour la manière dont les tests sont planifiés, exécutés et analysés, et le contrôle croisé avec PTES pour la rigueur du périmètre.
CVSS v3.1 avec lecture d'impact métier
La gravité est notée avec le CVSS, puis enrichie d'une justification d'impact métier propre à votre environnement — un même constat peut être élevé dans un contexte de flux de paiement et moyen sur un site vitrine. Voir la section sur la grille de notation ci-dessous.
ISO 27001 (et référentiels associés)
Lorsque le conseil GRC fait partie du périmètre, les contrôles sont rattachés à l'Annexe A d'ISO 27001 et au référentiel pertinent pour votre audience d'acheteurs (SOC 2 Trust Services Criteria, article 21 de NIS 2, DORA, RGPD). Nous ne réalisons pas l'audit de certification — rester indépendant de l'audit, c'est tout l'intérêt.

Le dossier de mission HackingByte

Chaque mission se conclut par trois livrables connectés.

Rapport technique

constats reproductibles + preuves

Synthèse exécutive des risques

impact métier pour la direction et le conseil

Plan d'action

priorisé, responsable désigné, calibré sur la capacité

Le modèle de reporting en détail.

Trois livrables pour qu'exploitation, lacune de contrôle et impact métier racontent la même histoire.

  • Rapport technique — pour vos équipes techniques.

    Le corps reproductible du travail. Chaque constat comporte : un titre et une catégorie clairs ; le composant, le point d'accès ou l'actif affecté ; les étapes de reproduction, suffisamment complètes pour qu'un ingénieur interne puisse les exécuter dans un environnement de test ; les preuves capturées (couple requête/réponse, transcription, capture de trafic ou copie d'écran) ; le score CVSS avec sa chaîne vectorielle ; la justification d'impact métier qui a transformé le score technique en gravité finale ; et la remédiation recommandée, rédigée pour l'ingénieur qui la mettra en œuvre. Les constats sont regroupés par composant affecté, afin qu'un seul responsable puisse voir tout ce qui concerne son périmètre.

  • Synthèse exécutive des risques — pour la direction et le conseil.

    Le récit de niveau conseil d'administration. Pas de tableaux CVSS — l'audience de direction ne note pas les vulnérabilités, elle prend des décisions de gestion du risque. La synthèse répond à quatre questions : qu'a révélé la mission, qu'est-ce que cela signifie pour l'activité si rien ne change, quel est l'ordre de priorité pour le trimestre à venir, et quelles preuves étayent ces conclusions. Le même document sert aussi de réponse lorsqu'une équipe sécurité cliente ou un régulateur demande comment le risque cyber est géré.

  • Plan d'action — pour celles et ceux qui corrigeront.

    Priorisé, avec un responsable désigné et calibré sur la capacité réelle de l'équipe. Le Plan d'action fait le lien entre les constats du Rapport technique et votre feuille de route d'ingénierie. Chaque action de remédiation comporte un responsable clair, une estimation de l'effort, ses dépendances vis-à-vis d'autres actions et un critère de vérification, afin que le contre-test puisse confirmer la clôture. Maintenir les contrôles de sécurité à jour suppose que ce plan soit réellement réalisable par l'équipe — et non une liste de 50 points qui n'aboutit nulle part.

Exigences de qualité.

  • Réalisation exclusivement par des seniors.

  • Chaque rapport relu par les pairs avant de quitter le cabinet.

  • Gravité notée avec une lecture d'impact métier.

  • Une escalade des constats critiques sous 4 heures.

Collecte des preuves et réponse aux menaces.

Chaque constat est livré avec les preuves permettant de le reproduire — et un chemin de remédiation sur lequel votre équipe peut agir.

Les preuves sont collectées pendant l'exécution : couples requête/réponse HTTP pour les constats web et API ; transcriptions de commandes et copies d'écran pour les constats hôte et cloud ; captures de trafic et artefacts de preuve de concept pour les exploitations chaînées ; et, pour les exercices red team, un récit de chemin d'attaque qui rattache chaque étape à la tactique MITRE ATT&CK correspondante. Les preuves sont anonymisées lorsqu'elles touchent à de vraies données clients et conservées selon notre politique standard de rétention des preuves de mission.

Chaque constat associe les preuves à un chemin de remédiation. La recommandation est rédigée pour l'ingénieur qui appliquera le correctif — changement de configuration, de code, de contrôle ou de processus concret — et non une note générique du type « appliquez les bonnes pratiques ». Lorsqu'un constat porte fondamentalement sur la manière dont un logiciel malveillant ou une entrée non fiable peut atteindre une surface sensible, la remédiation cible la couche qui aurait dû l'arrêter, et non celle où il a été détecté.

Pour les programmes continus, le Plan d'action s'intègre aux flux d'ingénierie et de gestion du risque déjà en place dans l'équipe — Jira, Linear, GitHub Issues, ServiceNow — afin que la gestion des vulnérabilités fasse partie de la façon dont l'équipe livre déjà, et non d'un tableur parallèle.

Comment nous notons la gravité.

Le CVSS pour le score technique ; une lecture d'impact métier pour la gravité finale.

Chaque constat technique est noté avec le CVSS v3.1 — le standard utilisé par le reste de l'industrie, afin que le score soit transposable dans vos outils de sécurité existants et vos questionnaires de sécurité clients. La chaîne vectorielle CVSS est publiée avec le constat, pour que le score puisse être recalculé, contesté ou ajusté à mesure que l'environnement évolue.

Le score CVSS est ensuite enrichi d'une justification d'impact métier propre à votre environnement. Un même constat ne mérite pas la même gravité finale dans tous les contextes : une SSRF sur une pile de site vitrine isolée ne représente pas le même risque qu'une SSRF sur une surface de traitement des paiements ; un contournement d'authentification sur un environnement bac à sable ne représente pas le même risque que sur une surface de production exposée aux clients. La Synthèse exécutive des risques porte la gravité finale ; le Rapport technique porte à la fois le score CVSS et la justification.

Les décisions de gravité sont auditables. Le relecteur pair doit valider le score ; le fondateur valide les parties destinées à la direction ; le Plan d'action hérite de la gravité finale pour la priorisation. C'est ce que nous entendons par réalisation exclusivement senior : les décisions de gravité ne sont pas déléguées.

Engagement de reproductibilité.

Chaque constat peut être reproduit par votre équipe dans un environnement de test.

Si vos ingénieurs ne peuvent pas reproduire un constat à partir du seul rapport, il n'a pas sa place dans le rapport. Tel est l'engagement de reproductibilité.

Concrètement : les transcriptions de commandes et les captures requête/réponse sont incluses telles quelles ; les préconditions requises (état d'authentification, données de test, indicateurs de configuration, variables d'environnement) sont listées ; l'outillage ayant produit la preuve est nommé ; et lorsqu'un constat ne s'est manifesté que dans des conditions de temporisation ou de concurrence précises, le rapport décrit explicitement la condition. L'engagement vaut pendant toute la mission et durant la fenêtre de contre-test.

Si un constat ne peut pas être reproduit — parce que l'environnement a changé, que le chemin d'accès s'est fermé ou que le défaut sous-jacent était transitoire — le constat est revu à la baisse ou retiré. Nous préférons publier moins de constats que d'en faire figurer un non reproductible dans votre plan de remédiation.

Ce que nous ne faisons pas.

  • Nous ne vendons pas d'outils.

  • Nous ne percevons pas de commissions d'éditeurs.

  • Nous n'exploitons pas de SOC.

  • Nous ne réalisons pas l'audit de certification.

Ainsi, nos recommandations sont sans parti pris.

Questions fréquentes

Qui réalise le travail — le fondateur ou une équipe junior ?
Des praticiens seniors mènent chaque mission. La personne qui cadre votre travail est celle qui le réalise ; le fondateur relit personnellement les parties destinées à la direction de chaque rapport et valide les livrables finaux. Nous ne confions pas le travail à un banc de juniors — c'est là toute la différence entre ce modèle de mission et une usine à tests d'intrusion pilotée par les outils.
Comment HackingByte traite-t-il les faux positifs et la sortie des outils ?
Chaque constat automatisé est vérifié à la main avant d'apparaître dans le moindre rapport. Les outils accélèrent la couverture ; le jugement senior décide de ce qui constitue un constat. L'engagement de reproductibilité — chaque constat peut être reproduit par votre équipe — est le dernier filtre : si nous ne pouvons pas le reproduire à la demande, il n'est pas livré.
Les constats sont-ils notés avec le CVSS, votre propre échelle, ou les deux ?
Le CVSS v3.1 pour le score technique (afin que le score soit transposable dans vos outils de sécurité existants et vos questionnaires de sécurité clients), puis une lecture d'impact métier qui produit la gravité finale pour la Synthèse exécutive des risques et le Plan d'action. La chaîne vectorielle CVSS est publiée avec chaque constat, pour que le score soit auditable et ajustable.
HackingByte réalise-t-il l'audit ISO 27001 / SOC 2 / NIS 2 ?
Non — nous vous préparons et travaillons aux côtés de votre auditeur ou de votre organisme de certification. Rester indépendant de l'audit, c'est tout l'intérêt : nos recommandations sont sans parti pris, et nos conseils sur ce qu'il faut corriger ne sont pas contraints par ce que nous aurions ensuite à valider nous-mêmes.
Que deviennent les preuves après la mission ?
Les preuves de la mission sont conservées selon notre politique standard — assez longtemps pour soutenir la fenêtre de contre-test convenue et d'éventuelles questions de suivi — puis supprimées, ou détruites plus tôt sur demande écrite. Les preuves touchant à de vraies données clients sont anonymisées avant de figurer dans le rapport.
Et si un constat est critique — comment est-il escaladé ?
Une escalade des constats critiques sous 4 heures est garantie dès le cadrage. Si, pendant l'exécution, nous mettons au jour un constat critique (exploitation active en cours, contournement complet de l'authentification, exposition de données sensibles nécessitant un confinement immédiat), nous contactons le point d'escalade désigné au lancement dans les quatre heures ouvrées, avant la rédaction du rapport.

Si c'est ainsi que vous voudriez voir votre propre travail réalisé, cadrons une mission ensemble.

Demander un échange de cadrage