Test d'intrusion / Pentest

Pentest web et API

Les applications web et les API concentrent l'essentiel de votre exposition en ligne. Le pentest applicatif y cherche les vulnérabilités techniques comme les failles de logique métier, que seul un chercheur qui manipule réellement l'application sait démasquer.
Experts seniors nominatifs
Prix publics affichés
Livrables priorisés par le risque
Intervention partout en France

Pentest · 01

Pourquoi tester vos applications web et API

Une application exposée est testée en permanence par des attaquants automatisés et opportunistes. Le pentest web reproduit ces tentatives, puis les dépasse : injection, cross-site scripting, désérialisation, mauvaise gestion des sessions, contournement d'authentification. Sur les API, il examine l'authentification, l'autorisation objet par objet et l'exposition excessive de données.

Nos chercheurs ne s'arrêtent pas aux signatures connues. Ils comprennent le rôle métier de chaque fonctionnalité pour repérer ce qu'aucun outil ne voit : un utilisateur qui accède aux données d'un autre, un tarif que l'on manipule, un workflow que l'on court-circuite.

Pentest · 02

OWASP Top 10, mais pas seulement

Le référentiel OWASP structure la couverture technique, du Top 10 applicatif à l'OWASP API Security Top 10. Il garantit qu'aucune grande famille de vulnérabilités n'est oubliée. Mais l'essentiel de la valeur d'un pentest réside dans les failles de logique métier, absentes des référentiels et invisibles au scan.

Injections (SQL, commandes, template) et cross-site scripting.
Authentification, gestion des sessions et des jetons.
Contrôle d'accès horizontal et vertical (IDOR, élévation de rôle).
Failles de logique métier et enchaînements de fonctionnalités.
Sécurité des API REST et GraphQL, exposition de données.

Notre méthode

Une intervention cadrée, du premier échange au suivi.

La même rigueur à chaque mission, quel que soit le périmètre.

1

Cadrage

Périmètre, objectifs et règles d'engagement définis avec vous.

2

Intervention

Nos experts exécutent la mission : outillage et analyse manuelle.

3

Restitution

Rapport priorisé par le risque, synthèse direction et plan d'action.

4

Accompagnement

Suivi de la remédiation et contre-vérification des correctifs.

Le pôle Test d'intrusion / Pentest

La vue d'ensemble et les prestations sœurs de ce pôle d'expertise.

Prêt à y voir clair sur votre exposition ?

Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.

Questions fréquentes

Testez-vous les applications en production ?

Oui, avec des règles d'engagement strictes. Lorsque les tests risquent d'altérer des données, nous privilégions un environnement de pré-production iso-production ou des fenêtres convenues, pour ne pas perturber le service.

Un scan applicatif suffit-il ?

Non. Un scan repère des motifs connus mais ignore le contexte métier et génère du bruit. Il ne détecte ni les failles de logique, ni les contournements d'autorisation, qui exigent l'analyse d'un chercheur.