Nos audits mettent en lumière des scénarios de risque réalistes, parmi lesquels :
Vol de données sensibles
Usurpation d'identité
Perturbation de l'activité
Demande de rançon
Pour vous prémunir des attaques, nous réalisons des audits de sécurité de votre site web via des tests d’intrusion afin de détecter les vulnérabilités avant qu’elles ne soient exploitées. Grâce à notre méthodologie basée sur des standards reconnus en cybersécurité, nous sommes capables d'analyser la sécurité de tout type d'application Web: CMS (Joomla, Drupal, WordPress, etc.) ou développées via un Framework (Symfony, Laravel, Django, Node.js, etc.). Nous vous accompagnons pour sécuriser vos applications web et fournissons des recommandations détaillées et concrètes. Ainsi, vous protégez vos données sensibles, rassurez vos clients et poursuivez votre activité sereinement.
Un pentest web peut être effectué suivant des conditions initiales différentes. Lors de notre premier échange, nous décidons ensemble le scénario le plus adapté à votre besoin.
L'audit d'application web en boite noire simule une attaque réaliste d'un hacker externe n'ayant aucun accès préalable à l'application
Le test d'intrusion web en boite grise simule une attaque d'un utilisateur malintentionné ou d'un attaquant ayant obtenu un accès illégitime à l'application
En boite blanche, nous utilisons le code source pour une analyse approfondie et plus exhaustive des vulnérabilités présentes dans votre application
Nos tests d'intrusion Web suivent une méthodologie éprouvée nous permettant de couvrir la totalité de l'exposition de votre application web, allant des défauts de configuration serveurs à la validation des données soumises par les utilisateurs
Identification des technologies utilisées (frameworks, proxy, WAF, serveurs, etc.) et analyses des fonctionnalités pour comprendre le contexte de l’application
Exploration des fonctionnalités et des points d’entrée (interfaces web, API, etc.) pour repérer les éléments vulnérables. Recensement des fonctionnalités sensibles (paiement, upload de fichiers, ...)
Recherche des failles courantes (SQLi, XSS, SSRF, SSTI, Request Smuggling, CSRF) à l’aide de scanners et de tests manuels approfondis
Mise en pratique des attaques pour valider leur exploitation en conditions réelles. Analyse de leur impact et de leur niveau de criticité.
La phase précédente nous donnant accès à de nouvelles informations, nous cherchons à identifier et exploiter d'autres vulnérabilités dans ce nouveau contexte
Classification des failles selon leur criticité et estimation de l'impact sur l’application et l’entreprise
Discutons ensemble de vos besoins et attentes pour vous proposer un service sur mesure
