Test d'intrusion (Pentest)

Simuler une attaque réelle pour identifier et exploiter les vulnérabilités de votre système d'information avant qu'un attaquant ne le fasse.

OWASP PTES OSSTMM

Méthodologie

Une approche structurée en 5 phases pour des résultats exhaustifs

1

Reconnaissance

Collecte d'informations sur la cible sans interaction directe. Cette phase permet de cartographier la surface d'attaque.

OSINT

DNS Enumeration

Subdomain Discovery

Google Dorking

Shodan

2

Scanning & Énumération

Identification active des services, ports ouverts et technologies utilisées. Détection des vulnérabilités potentielles.

Nmap

Nessus

Burp Suite

Nikto

Directory Fuzzing

3

Exploitation

Tentative d'exploitation des vulnérabilités identifiées pour démontrer l'impact réel. Accès initial au système cible.

SQL Injection

XSS

RCE

Auth Bypass

SSRF

4

Post-Exploitation

Évaluation de l'impact d'une compromission : élévation de privilèges, mouvement latéral, persistance et exfiltration de données.

Privilege Escalation

Lateral Movement

Data Exfiltration

Persistence

5

Rapport & Remédiation

Livraison d'un rapport détaillé avec preuves de concept, évaluation des risques (CVSS) et recommandations priorisées.

Executive Summary

Technical Details

CVSS Scoring

Remediation Plan

Types de tests

Adaptés à vos besoins et votre contexte

Web Application

Test des applications web : injection SQL, XSS, CSRF, authentification, autorisation, logique métier.

OWASP Top 10

Mobile (iOS/Android)

Analyse des applications mobiles : stockage local, communications, reverse engineering, API backend.

OWASP MASTG

Infrastructure

Test du réseau interne/externe : services exposés, Active Directory, segmentation, escalade de privilèges.

Internal/External

Cloud (AWS/Azure/GCP)

Audit de la configuration cloud : IAM, S3, secrets management, network security groups.

Cloud Security

API / Web Services

Test des API REST/GraphQL/SOAP : authentification, injection, rate limiting, business logic.

API Security

Social Engineering

Campagnes de phishing, vishing et tests de sensibilisation des employés aux attaques par ingénierie sociale.

Red Team

Livrables

Ce que vous recevez à l'issue de la mission

Rapport Exécutif

Synthèse pour la direction avec niveau de risque global

Rapport Technique

Détails des vulnérabilités avec preuves de concept

Plan de Remédiation

Actions correctives priorisées par criticité

Restitution

Présentation des résultats à vos équipes

Besoin d'un test d'intrusion ?

Discutons de votre projet et définissons ensemble le périmètre adapté

Demander un devis