Prestations · 02

Mettre votre exposition à l'épreuve d'un attaquant réel.

En environnement strictement contrôlé

Deux modalités selon vos besoins : un pentest externe sur votre périmètre exposé à Internet (sites, portails d'authentification, VPN, DNS, messagerie), et des campagnes de phishing / ingénierie sociale pour mesurer la vigilance réelle de vos équipes. Méthode reproductible, autorisations écrites, rapport opposable.

Demander un diagnostic
Pentest externe
3 à 8 jours
Phishing
3 à 7 jours
Rapport
Tech + exécutif
Périmètre
Strictement défini
02 · Deux modalités

Externe ou humain.
Pas de promesse vague.

Nous proposons deux prestations clairement délimitées plutôt qu'une offre fourre-tout. Pour un audit applicatif web en profondeur ou une revue de code, notre audit de code est plus pertinent, et nous vous le dirons.

01
Périmètre exposé Internet

Pentest externe

Évaluation de la résistance de votre périmètre exposé sur Internet face à une attaque externe. Nous reproduisons le comportement d'un attaquant sans accès préalable : reconnaissance, identification des services, recherche de vulnérabilités connues, tentatives d'exploitation contrôlées sur autorisation.

  • Sites web institutionnels & portails d'authentification
  • Services exposés (VPN, accès distants, messagerie en ligne)
  • Infrastructure DNS et messagerie
  • Reconnaissance passive et active
02
Comportemental

Phishing & ingénierie sociale

Campagne de phishing ciblée pour mesurer la vigilance réelle de vos collaborateurs et identifier les populations à renforcer. Sur autorisation formelle, avec validation des scénarios et alignement préalable avec votre communication interne et vos représentants du personnel le cas échéant.

  • Phishing email classique, spear phishing, faux support IT
  • Tests optionnels de vishing (tél.) et smishing (SMS)
  • Indicateurs : ouverture, clic, soumission, signalement
  • Restitution non nominative par défaut
03 · Déroulé d'une mission

Cinq phases.
Toujours dans cet ordre.

Notre méthode est documentée et reproductible. Vous savez en permanence où nous en sommes, ce que nous avons trouvé, et ce qui reste à explorer.

01

Cadrage

Périmètre, autorisations, fenêtres de tir, contacts.

02

Reconnaissance

Cartographie passive et active de la cible.

03

Exploitation

Vérification manuelle, exploitation contrôlée.

04

Pivot & impact

Mesure de l'impact métier réel des failles.

05

Reporting

Rapport tech, executive summary, restitution.

04 · Engagements

Cinq engagements
contractuels.

Tous nos pentests sont encadrés par une convention d'intervention signée des deux parties. Nous nous engageons sur les points suivants, par écrit.

  • Périmètre écrit, signé, fermé
    Aucun test hors périmètre. Aucune surprise.
  • Aucune action destructrice par défaut
    Pas de DoS, pas de suppression, pas de modification de données réelles.
  • Fenêtres de tir négociées
    Les tests sensibles sont planifiés avec votre équipe d'astreinte.
  • Conservation et destruction des preuves
    Toutes les données collectées sont chiffrées, conservées 12 mois, puis détruites avec PV.
  • Notification immédiate de criticité majeure
    Si nous trouvons une compromission existante ou une faille critique, vous êtes prévenu sous 4 h.
05 · Questions sur le pentest

Avant de
vous lancer.

Pas dans cette version de notre offre. Notre pentest externe couvre votre périmètre exposé (sites institutionnels, portails d'authentification, services exposés, DNS, messagerie) mais ne descend pas en profondeur applicative. Pour un test approfondi d'une application web critique, notre audit de code est plus pertinent et donne des résultats plus actionnables. Nous vous le dirons franchement lors du premier échange.
Un scanner produit un inventaire de vulnérabilités potentielles, sans contexte ni preuve d'exploitation. Nous menons un test manuel : nous reproduisons ce qu'un attaquant ferait, exploitons réellement les failles trouvées (en environnement contrôlé, sur autorisation), démontrons l'impact, et hiérarchisons par criticité réelle, pas par score CVSS théorique.
Minimes et encadrés. Le périmètre est strictement défini dans une convention d'intervention signée, les actions destructrices sont interdites par défaut, les tests intrusifs sont fenêtrés en accord avec votre équipe d'astreinte et des contacts d'urgence sont définis.
Entre 3 et 8 jours de production selon le périmètre, plus la phase de rédaction et de restitution. Une PME avec quelques actifs exposés tourne autour de 5 jours ; une ETI multi-domaines peut aller jusqu'à 8 jours.
Un rapport unique avec une synthèse exécutive pour la direction (impact métier, criticité, priorités) et une partie technique détaillée avec méthodologie, preuves d'exploitation, scoring CVSS et recommandations de remédiation priorisées.
Après cadrage des scénarios et validation par votre direction (et le cas échéant des représentants du personnel), nous concevons les leurres et lançons la campagne. Nous mesurons l'ouverture, le clic, la soumission de credentials et le taux de signalement. Le rapport est non nominatif par défaut et débouche sur des recommandations concrètes de sensibilisation et de mesures techniques complémentaires.
Notre approche s'appuie sur les méthodologies reconnues du secteur et sur l'expérience offensive de notre expert technique. Nous ne sommes pas qualifiés PASSI à ce jour. Si c'est une exigence réglementaire pour vous, nous vous orienterons vers un cabinet qualifié et resterons disponibles pour vous accompagner sur le reste.
Continuer la lecture
Prestation · 01

Audits

Six audits ciblés, du cadre réglementaire au code source, pour comprendre où vous en êtes.

Voir
Prestation · 03

Formations & sensibilisation

Préparer vos équipes, ou répondre aux constats d'un pentest par une action de fond.

Voir
08 · Contact

Un échange,
sans engagement.

Décrivez en deux lignes votre situation. Nous revenons vers vous sous 48 heures ouvrées avec une proposition d'échange ciblée, par téléphone ou en visio, 30 minutes maximum.

Délai
Réponse sous 48 h ouvrées
Zone
France entière
Confidentialité
NDA fourni sur demande

En soumettant ce formulaire, vous acceptez que nous traitions vos données pour vous recontacter.