Aller au contenu
Cadrage

Choisir la région et la langue

Un test d’intrusion qui met fin aux débats — pas un export de scanner.

Tests manuels menés par des seniors qui montrent comment un attaquant atteint réellement ce qui compte, et ce que cela vous coûterait — pas une liste dédoublonnée de CVE.

Demander un échange de cadrage Voir notre méthode
  • Praticiens seniors uniquement.
  • Indépendant des éditeurs.
  • Reporting fondé sur des preuves.

La plupart des organisations n’achètent pas un test d’intrusion par curiosité. Elles l’achètent parce qu’une équipe sécurité cliente bloque un contrat, qu’un auditeur a signalé un test annuel, qu’un assureur pose des questions précises, ou qu’un conseil veut une réponse indépendante que l’équipe interne est trop proche pour donner.

Nous ne livrons pas un export de scanner dédoublonné avec un logo en couverture. Chaque mission produit des preuves reproductibles, une gravité notée selon l’impact métier plutôt que le seul CVSS, et un plan de remédiation sur lequel votre équipe peut agir.

Ce que nous testons

Test d’intrusion externe

Nous attaquons votre surface exposée sur Internet comme le ferait un adversaire externe — applications web, API exposées, infrastructure et intégrations tierces associées — à partir d’OSINT et de découverte d’actifs. Base : PTES et MITRE ATT&CK, complétés par NIST SP 800-115.

Test d’intrusion interne

Une mission en hypothèse de compromission, depuis un point d’ancrage dans le réseau : nous énumérons et exploitons Active Directory, réutilisons des identifiants, élevons les privilèges et testons la segmentation pour quantifier le périmètre d’impact interne et l’exposition aux rançongiciels.

Test d’intrusion web et API

Tests authentifiés sur chaque rôle utilisateur, au-delà de l’OWASP Top 10 jusqu’aux failles de logique métier et d’autorisation propres à votre domaine, ainsi que l’OWASP API Security Top 10 — chaque constat démontré par un exploit fonctionnel, pas une signature.

Test d’intrusion mobile

Nous testons les applications iOS et Android comme le ferait un attaquant qui contrôle déjà l’appareil — stockage côté client, transport, mauvais usage de la plateforme et back-end avec lequel l’application communique — selon l’OWASP MASVS. Proposé à la demande plutôt que par défaut, car tous les programmes n’en ont pas besoin.

Test d’intrusion cloud

Tests orientés exploitation sur AWS, Azure et GCP — chemins d’identité et de privilèges, services exposés et configurations qui s’enchaînent en impact réel — sur la base de la matrice MITRE ATT&CK Cloud et des CIS Benchmarks.

Périmètre. Le périmètre est toujours fixé sur votre surface d’attaque réelle et les actifs dont dépend l’activité — pas une liste générique. L’externe et l’interne sont les points de départ les plus fréquents ; le web/API et le cloud s’ajoutent là où le risque se concentre.

Quand on nous appelle

Les moments les plus fréquents où les organisations nous sollicitent pour un test d’intrusion :

  • Un nouveau client grand compte exige un test d’intrusion récent avant de signer.
  • Un constat d’auditeur sur le test annuel pour ISO 27001, SOC 2 ou PCI DSS.
  • Le lancement d’un produit sur une infrastructure publique.
  • Un questionnaire de renouvellement de cyber-assurance.
  • Le besoin, après incident, de valider qu’une faille est réellement corrigée.
  • Un conseil demandant une assurance indépendante que l’équipe interne ne peut fournir sur son propre travail.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

  1. Rapport technique

    Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.

  2. Synthèse exécutive des risques

    Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.

  3. Plan d’action

    Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission type.

Un test d’intrusion externe ou interne représentatif s’étend sur environ quatre à six semaines : une semaine de cadrage jusqu’à un énoncé de travaux signé, une à trois semaines de test selon la taille de la surface, une semaine de reporting et de relecture par les pairs, puis une restitution une fois le rapport en main. Un contre-test des constats critiques et élevés ajoute une à trois semaines lorsque votre équipe est prête.

Les missions web et API suivent la même forme ; les très grandes applications allongent la fenêtre de test. Les exercices guidés par la menace et red team ajoutent en amont une étape de renseignement et de conception de scénarios. Le calendrier est fixé au cadrage autour de votre échéance — une revue d’achat client, une date d’audit ou un renouvellement d’assurance.

En quoi c’est différent

  1. Tests manuels menés par des seniors — les chemins d’attaque chaînés et les abus de logique métier qui comptent viennent de quelqu’un qui l’a déjà fait, pas d’un junior avec une licence de scanner. Chaque livrable est validé par un senior avant de quitter le cabinet.

  2. Constats reproduits avec preuves — chaque constat comporte des étapes de reproduction et des preuves capturées suffisantes pour que votre équipe le recrée de façon indépendante.

  3. Gravité notée avec une lecture d’impact métier, pas seulement le CVSS — un « moyen » sur un système qui traite des paiements n’est pas un « moyen » sur un site vitrine. L’inflation de gravité est ici un défaut de qualité, pas une tactique commerciale.

Test externe

Test d’intrusion externe.

Le test d’intrusion externe répond à la question que posent réellement toute revue de sécurité client et tout renouvellement d’assurance : que pourrait atteindre un attaquant compétent depuis Internet aujourd’hui ? Nous attaquons votre surface exposée — applications web, API exposées, infrastructure et intégrations tierces associées — à partir d’OSINT et de découverte d’actifs, car les actifs oubliés sont souvent ceux qui comptent. C’est le point de départ le plus fréquent, et la base attendue par la plupart des obligations externes.

Test interne

Test d’intrusion interne.

Le test d’intrusion interne est une mission en hypothèse de compromission : nous partons d’un point d’ancrage dans le réseau et mesurons jusqu’où un attaquant progresse avant d’être arrêté. L’objectif est généralement Domain Admin, un magasin de données privilégié ou une charge de travail critique. Le résultat est une vue quantifiée du périmètre d’impact interne et de l’exposition aux rançongiciels — un chiffre qu’un conseil et un directeur financier peuvent réellement utiliser.

Choisir un prestataire

Choisir un prestataire de tests d’intrusion.

Tous les prestataires de tests d’intrusion ne livrent pas la même chose. Ce qui distingue un test utile d’un export de scanner, ce sont des praticiens seniors qui réalisent le travail, des preuves reproductibles pour chaque constat, une gravité notée selon l’impact métier et un plan de remédiation sur lequel votre équipe peut agir. Avant de signer, demandez qui réalisera réellement le test, comment le périmètre est fixé et ce que contient le rapport.

Notre méthode

Standards cités, un cycle en six étapes, validation senior à chaque étape.

Nous n’inventons pas de méthodologie — nous utilisons, citons et étendons des standards reconnus, et vous indiquons lesquels avant le début de la mission. Chaque test suit le même cycle en six étapes, pour que vous sachiez toujours ce qui vient ensuite.

Cadrage. Nous définissons les objectifs, les actifs, le modèle de menace, les règles d’engagement, les livrables et une tranche tarifaire, jusqu’à un énoncé de travaux signé.

Lancement. Nous confirmons les règles d’engagement, les contacts, les chemins d’escalade, le calendrier, les canaux de communication sécurisés et les accès en un seul appel de 60 minutes.

Exécution. Le test lui-même, calibré sur la classe d’actifs. Les constats critiques sont remontés sous quatre heures ouvrées après leur découverte — jamais retenus jusqu’au rapport.

Reporting. Nous produisons le dossier de mission à trois livrables et le soumettons à une relecture interne par les pairs avant que vous ne le voyiez.

Restitution. Deux séances — un parcours technique avec vos ingénieurs et une restitution exécutive avec la direction — ainsi que des échanges sur le plan d’action.

Clôture et contre-test optionnel. Le plan d’action est remis à ses responsables, et vous pouvez choisir un contre-test ciblé des constats critiques et élevés avec une attestation mise à jour.

La base de standards dépend de l’actif : PTES et MITRE ATT&CK pour le travail externe et interne ; l’OWASP Web Security Testing Guide et l’API Security Top 10 pour le web et les API ; OWASP MASVS pour le mobile ; la matrice MITRE ATT&CK Cloud et les CIS Benchmarks pour le cloud.

Voir la méthode complète

Cadrage et tarification

Comment les tests d’intrusion sont tarifés.

Nous facturons à prix fixe, par tranche de périmètre — pas à la journée. Pour un test externe ou interne, la tranche dépend du nombre d’actifs concernés et de la complexité de l’environnement ; pour le web et les API, du nombre de rôles, de points d’accès et de la complexité de logique métier de l’application. Nous vous communiquons la tranche au cadrage, avant toute signature, sans surprise de taux journalier.

Quelques choses que nous ne faisons délibérément pas : nous ne vendons pas de taux journaliers, nous ne revendons ni ne sur-vendons d’outils, et nous ne percevons aucune commission d’éditeur — le test est ainsi calibré pour répondre à votre vraie question, et non pour maximiser la mission. Si vous travaillez avec un budget, indiquez-le au cadrage et nous serons clairs sur ce qu’il couvre.

Questions fréquentes

En quoi est-ce différent d’un scan de vulnérabilités ?

Un scan liste des constats ; nous les vérifions et les chaînons manuellement pour démontrer un impact réel et exploitable — avec des preuves que vous pouvez reproduire.

Cela perturbera-t-il la production ?

Non. Le périmètre et les règles d’engagement sont convenus avant de commencer, avec une escalade claire si quelque chose de sensible apparaît.

Combien coûte un test d’intrusion ?

Nous facturons à prix fixe, par tranche de périmètre, et vous communiquons la tranche au cadrage avant tout engagement — sans surprise de taux journalier. Le coût dépend de la taille de la surface d’attaque et de la complexité de l’environnement.

Combien de temps cela prend-il ?

Un test externe ou interne type s’étend sur environ quatre à six semaines : une semaine de cadrage, une à trois semaines de test, une semaine de reporting, puis une restitution.

Pouvez-vous re-tester après nos corrections ?

Oui — un contre-test ciblé des constats critiques et élevés est une option, avec une attestation mise à jour à partager avec vos clients et auditeurs.

Indiquez-nous le système qui vous préoccupe et l’échéance que vous visez — nous cadrerons le test autour des deux.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage