Un test d'intrusion n'est pas le point de départ pour la plupart des équipes
Un véritable test d'intrusion est avancé, ciblé et coûteux, et il est rarement le point de départ le plus accessible. Une évaluation de la posture de sécurité vous donne une bonne vue des risques réels et vous permet de corriger d'abord les problèmes les plus importants. Vous investirez dans le test en profondeur plus tard, lorsqu'il sera réellement justifié.
Ce qui est inclus
Revue du périmètre externe et de la surface d'attaque exposée, ainsi que de la configuration de l'authentification et de l'AMF (authentification multifacteur)
Revue des configurations de sécurité aux points faibles courants, avec un outillage conforme aux normes de l'industrie (nmap, nuclei, OWASP ZAP, testssl.sh)
Constats en langage clair, priorisés par ordre de correction. Tout ce que nous ne pouvons pas confirmer est étiqueté Non vérifié, jamais présumé
Une liste de correctifs priorisée, et une lecture claire du moment où un test d'intrusion complet vaut l'investissement
Ce que vous recevez
Un rapport de posture de sécurité avec un sommaire en langage clair pour les lecteurs non techniques et une liste de correctifs priorisée que votre équipe ou la nôtre peut appliquer.
Où s'arrête l'évaluation et où commence le test d'intrusion
Un test d'intrusion complet est un mandat distinct, plus avancé, que nous cadrons avec un partenaire détenteur de la certification OSCP+ ou que nous lui confions. Aussi hors périmètre : la simulation d'attaque (red teaming), l'ingénierie sociale à grande échelle, les tests de déplacement latéral interne, la recherche sur les vulnérabilités inédites et les certifications de conformité comme ISO 27001 et SOC 2.
FAQ évaluation de posture
Une évaluation de posture équivaut-elle à un test d'intrusion ?
Non. Une évaluation de posture met au jour votre exposition évidente et corrigeable et la priorise. Un test d'intrusion est un mandat plus profond, ciblé et coûteux que nous cadrons avec un partenaire spécialisé ou lui référons.
Allez-vous fabriquer des constats pour paraître exhaustifs ?
Jamais. Les constats honnêtes sont une règle absolue. Tout ce que nous ne pouvons pas confirmer est étiqueté Non vérifié avec un suivi recommandé, et non gonflé en faux positif.
Avez-vous besoin de notre autorisation pour analyser ?
Oui. Une autorisation écrite signée est exigée avant toute analyse active. Sans exception.