Contactez-nous
Contactez-nous

Test d'intrusion Web

"Un test d'intrusion web (pentest web) est une simulation contrôlée d'attaques visant à identifier et exploiter des vulnérabilités techniques d'un site web pour réduire l'exposition aux risques."

Contexte

En 2025, la France est championne d'Europe de fuite de données, avec 90% de la population qui a vu ses informations personnelles vendues sur le dark web.

Le risque zéro n'existe pas, ainsi la CNIL ne sanctionne pas systématiquement les fuites. En revanche, l'absence de mesures préventives est pénalement répréhensible avec des amendes allant jusqu'à 4% du chiffre d'affaires.

Afin de protéger les données de vos clients, nous avons développé une offre de tests d'intrusion Web axés sur des méthodologies éprouvées et effectués par un professionnel.

A qui s'adresse cette offre ?

Vous êtes une PME et souhaitez renforcer votre application web contre les menaces ? Bienvenue à bord.

Le marché de la cybersécurité est vaste, il est essentiel de bien choisir son prestataire. Les grands cabinets disposent d'une force commerciale et d'une présence sur les réseaux, mais leurs tarifs sont parfois élevés, ils offrent peu de flexibilité et la qualité n'est pas toujours au rendez-vous.

Comme Raphaël et bien d'autres, faites le choix d'un prestataire réactif assurant un niveau de qualité à l'état de l'art, et ce pour un tarif 20% inférieur au marché.

Étapes

En nous faisant confiance pour effectuer cette prestation, voici ce à quoi vous pouvez vous attendre.

Réunion de cadrage

Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation, incluant :

  • L'expert en charge des tests ;

  • Votre RSSI ;

  • Votre collaborateur en charge de l'application ;

  • Votre collaborateur en charge de l'infrastructure.

Ce point doit idéalement être planifié 3 semaines en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités.

Déroulement des tests - méthodologie

Les tests se déroulent en plusieurs phases selon les éléments inclus dans la prestation :

  • Tests en boite noire : effectués sans comptes. L'objectif est de déterminer ce que l'attaquant peut faire sans accéder à des fonctionnalités authentifiées.

  • Tests en boite grise : effectués avec comptes applicatifs. L'objectif est d'analyser le niveau de sécurité des fonctionnalités authentifiées de l'application, vérifier l'efficacité du cloisonnement horizontal et vertical des permissions. Ainsi, un utilisateur ne doit pas pouvoir accéder à des données d'un autre utilisateur, ni à des fonctionnalités d'administration.

  • Tests en boite blanche : l'accès au code source et à la configuration du serveur Web est fourni à l'expert en charge des tests. Ces éléments permettent des tests exhaustifs et des recommandations personnalisées basées sur l'existant.

Ces phases se basent sur l'expertise du consultant, notre capitalisation interne ainsi que sur des référentiels éprouvés :

  • La méthodologie OWASP ASVS dont la pertinence est mondialement reconnue ;

  • Les résultats du pentest sont mis en perspective avec les exigences ISO27001 ;

  • Les recommandations tiennent compte des guides et bonnes pratiques de l’ANSSI.

Remise du rapport d'audit

Un rapport d'audit au format PDF vous sera remis à l'issue des tests. Il se compose notamment des éléments suivants :

  • Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques ;

  • Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées, ordonnées par score CVSS ;

  • Une synthèse technique détaillant les différents tests effectués sur l'application ;

  • Le détail des vulnérabilités identifiées, preuves à l'appui, avec pour chacune d'elles :

    • Une description de la vulnérabilité ;

    • Le constat ;

    • L'impact métier et technique ;

    • Les mesures de remédiation à implémenter.

N'hésitez pas à nous contacter si vous souhaitez obtenir une version exemple d'un rapport de test d'intrusion Web.

Réunion de restitution

Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport.

L'objectif n'est pas de détailler le rapport dans une présentation, mais de présenter les principaux risques, les vulnérabilités les plus critiques, leurs recommandations et conclure sur le niveau de sécurité observé durant la prestation.

C'est également l'occasion de traiter des points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.

Et ensuite ?

Quelles que soient les conclusions de l'audit, il est pertinent d'organiser un pentest annuel afin de maintenir un niveau de sécurité optimal.

De manière immédiate, 2 possibilités s'offrent à vous :

  • L'audit a révélé des défauts majeurs, voire critiques ? Un contre-audit est vivement recommandé. Effectué sur 1 à 2 jours, il a pour objectif de vérifier que les vulnérabilités identifiées ont bien été corrigées.

    • En piste complémentaire, une formation développement web sécurisé pour les développeurs est à considérer.

    • Mettre l'accent sur la sécurité dès le recrutement permet de produire du code sécurisé dès la naissance des fonctionnalités. Nous collaborons avec un cabinet de recrutement et prenons en charge l'entretien technique afin d'attribuer, à chaque candidat proposé, une note en cybersécurité.

  • L'audit n'a révélé aucun risque majeur ? Félicitations, vous avez atteint un excellent niveau de maturité technique sur l'applicatif audité. Afin d'aller plus loin, un audit de code source (complet, puis différentiel par la suite) est une excellente piste d'amélioration.

Contactez-nous

Mentions légales