Cyber-sécurité
Vulnerability assessment, tests d'intrusion (web, mobile, infrastructure), audits de sécurité, mise en conformité RGPD et ISO 27001, modélisation des menaces, SOC-as-a-Service et réponse aux incidents. Équipe certifiée OSCP, CISSP et CEH.
Ce que nous livrons
- Tests d'intrusion sur applications web selon l'OWASP Top 10
- Tests d'intrusion sur applications mobiles (iOS/Android, OWASP MASVS)
- Évaluation des vulnérabilités des infrastructures réseau et cloud
- Audit de sécurité et analyse d'écart par rapport à l'ISO/IEC 27001
- Mise en conformité technique et organisationnelle RGPD (Art. 32, AIPD)
- Modélisation des menaces avec les méthodes STRIDE et MITRE ATT&CK
- SOC as a Service avec supervision SIEM 24h/24 et alertes en temps réel
- Réponse aux incidents et investigation numérique post-intrusion
Quand vous en avez besoin
Éditeur SaaS bloqué par une exigence de sécurité côté client
Un client grand compte refuse de signer tant qu'il n'a pas reçu un rapport de test d'intrusion validé. Vous avez besoin d'un prestataire capable de réaliser l'évaluation rapidement, de produire un rapport exploitable par les équipes juridiques et achats, et de vérifier les corrections apportées.
Entreprise en préparation d'une certification ISO 27001
L'échéance de certification approche et aucun SMSI formalisé n'est en place. Vous cherchez une équipe qui réalise l'analyse d'écart, constitue la documentation requise et accompagne l'audit, sans mobiliser durablement vos équipes techniques sur autre chose que leur cœur de métier.
Site e-commerce touché par une violation de données avérée
Suite à une intrusion — vol d'identifiants, défacement ou exfiltration de données — vous disposez de 72 heures pour notifier l'autorité de contrôle. Il vous faut une réponse immédiate : confinement, analyse forensique et accompagnement dans les communications réglementaires.
Entreprise en croissance qui externalise la surveillance sécurité
Constituer un SOC interne n'est pas justifiable économiquement en dessous d'une certaine taille. Vous avez besoin d'une couverture 24h/24, d'une corrélation des événements et d'un interlocuteur technique disponible lorsqu'une alerte se déclenche — sans gérer l'infrastructure SIEM en interne.
Questions fréquentes
Quelle est la durée d'un test d'intrusion web et que contient le rapport livré ?
Pour une application de taille moyenne, le test nécessite entre 5 et 15 jours ouvrés selon la surface d'attaque. Le rapport comprend une sévérité CVSS pour chaque vulnérabilité, une preuve de concept reproductible et un plan de remédiation priorisé. Un résumé exécutif destiné à la direction est également fourni.
Le test d'intrusion risque-t-il de provoquer une interruption de service en production ?
En règle générale, non. Nous intervenons sur des environnements de recette lorsqu'ils existent. Les techniques les plus intrusives — exploitations actives — ne sont exécutées qu'avec votre autorisation écrite et dans des plages horaires définies conjointement. Aucune action n'est menée en production sans validation explicite de votre part.
Par où commencer concrètement pour engager une démarche ISO 27001 ?
Le point de départ est une analyse d'écart de 2 à 3 jours sur votre environnement actuel. Nous produisons ensuite une feuille de route priorisée avec estimations d'effort et d'impact. Les organisations qui partent de zéro atteignent généralement la certification en 6 à 12 mois, selon la complexité organisationnelle et la vitesse de prise de décision interne.
Votre SOC as a Service est-il compatible avec notre SIEM existant ?
Oui. Nous travaillons avec les principales plateformes du marché — Splunk, Microsoft Sentinel, IBM QRadar, Elastic SIEM. Si vous disposez déjà d'un environnement, nous nous y intégrons. Si vous partez de zéro, nous vous aidons à choisir la solution adaptée à votre contexte, sans conflit d'intérêt lié à la revente d'une plateforme particulière.
Comment vérifier les certifications de votre équipe avant de signer ?
Nous communiquons les justificatifs des certifications en cours de validité — OSCP, CISSP, CEH — avant la signature du contrat, sur simple demande. Pour les clients qui l'exigent, le nom et la certification du testeur principal figurent dans chaque rapport livré, afin que vous sachiez précisément qui a conduit les travaux.
Besoin d'un support technique ?
Nous sommes prêts à intervenir.
Remplissez le formulaire ou échangez avec notre assistant IA : nous vous répondons sous 24 heures ouvrées.