Pentest · 01
Pourquoi tester vos applications web et API
Une application exposée est testée en permanence par des attaquants automatisés et opportunistes. Le pentest web reproduit ces tentatives, puis les dépasse : injection, cross-site scripting, désérialisation, mauvaise gestion des sessions, contournement d'authentification. Sur les API, il examine l'authentification, l'autorisation objet par objet et l'exposition excessive de données.
Nos chercheurs ne s'arrêtent pas aux signatures connues. Ils comprennent le rôle métier de chaque fonctionnalité pour repérer ce qu'aucun outil ne voit : un utilisateur qui accède aux données d'un autre, un tarif que l'on manipule, un workflow que l'on court-circuite.
Pentest · 02
OWASP Top 10, mais pas seulement
Le référentiel OWASP structure la couverture technique, du Top 10 applicatif à l'OWASP API Security Top 10. Il garantit qu'aucune grande famille de vulnérabilités n'est oubliée. Mais l'essentiel de la valeur d'un pentest réside dans les failles de logique métier, absentes des référentiels et invisibles au scan.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Le pôle Test d'intrusion / Pentest
La vue d'ensemble et les prestations sœurs de ce pôle d'expertise.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
Testez-vous les applications en production ?
Oui, avec des règles d'engagement strictes. Lorsque les tests risquent d'altérer des données, nous privilégions un environnement de pré-production iso-production ou des fenêtres convenues, pour ne pas perturber le service.
Un scan applicatif suffit-il ?
Non. Un scan repère des motifs connus mais ignore le contexte métier et génère du bruit. Il ne détecte ni les failles de logique, ni les contournements d'autorisation, qui exigent l'analyse d'un chercheur.