Renforcez votre défense avec des audits de vulnérabilités tests d'intrusion audits de sécurité pentests

L’objectif de la sécurité au sens large est de couvrir un ensemble de risques
Vérifiez le degré de perméabilité de votre entreprise face aux vulnérabilités
Une mise à l’épreuve de vos systèmes dans un cadre hautement professionnel

une plateforme web

Application web, Saas, boutique ecommerce, API…

Une application logicielle

Logiciel métier, logiciel on premise…

une infrastructure et réseaux

Réseau d’entreprise, Active Directory,  serveurs internes, postes de travail, parc d’imprimantes…

Une base de données

MariaDB, PostgreSQL, MongoDB, Oracle… 

Un environnement cloud

AWS, Azure, environnement virtualisé (Citrix, VMWare..)

D'autres services

Audit de vulnérabilités

Mesurer le niveau de sécurité du système d'information et de déterminer les faiblesses, le degré d’exposition aux risques ou menaces extérieures.

Test d'intrusion / pentest

Tester la sécurité du système informatique en simulant des attaques dans le but d'identifier des vulnérabilités et de proposer un plan de remédiation.

Expert certifié OSCP (Offensive Security Certified Professional), je suis spécialisé dans la sécurité offensive.

Je m’appuie sur différents référentiels d’organisations et institutions de cybersécurité de confiance tels que :

Je m’adapte aux enjeux des TPE comme des plus grandes entreprises. Chaque client choisit jusqu’où il souhaite pousser le niveau des audits.

0 %
Des entreprises rançonnées ont déclaré avoir payé la rançon
2022 Rapport Hiscox sur la gestion des cyber-risques. Hiscox.
0 %
des entreprises ont été ciblées par au moins une cyberattaque au cours des 12 derniers mois
2022 Rapport Hiscox sur la gestion des cyber-risques. Hiscox.
0 j
La durée moyenne d’exposition des vulnérabilités critiques de l’infrastructure
2022 Vulnerability Statistics Report. Edgescan.
0 %
Des entreprises ont vu leur solvabilité menacée après une cyberattaque
2022 Rapport Hiscox sur la gestion des cyber-risques. Hiscox.

Pour toute autre question ou demande de précisions, n’hésitez pas à me contacter.

Aucune entité n’est à l’abri d’une cyberattaque, y compris celles qui n’ont aucune donnée sensible.

Les attaques sont généralement automatisées à grande échelle sur des dizaines de milliers de sites web ou d’équipements connectés à internet, et les victimes ne sont pas ciblées précisément.

Les motivations des hackers pour prendre le contrôle de votre serveur peuvent être de :

  • S’entraîner ou s’amuser
  • Attaquer vos utilisateurs/visiteurs
  • L’utiliser comme proxy pour lancer d’autres attaques
  • Miner de la cryptomonnaie
  • Demander une rançon

Dans le cas d’une cyberattaque, votre entreprise pourrait subir la plupart de ces effets :

  • Demande de rançon
  • Destruction de votre infrastructure
  • Perte de revenus et solvabilité menacée due aux interruptions de service
  • Perte de confiance des clients et des partenaire commerciaux dans votre entreprise
  • Amendes pour non-respect des lois sur la protection des données et de la vie privée
  • Pertes dues au vol de propriété intellectuelle
  • Perte de données critiques

Le prix de l’audit va varier en fonction :

  • De la durée de l’audit
  • Du tarif journalier
  • Du niveau d’expérience
Ma mission est de démocratiser la sécurité et les tests d’intrusions aux entreprises d’outre-mer et de France.

La cybersécurité est souvent mise de côté pour des raisons de budget, de priorité ou de compétence.

Je propose donc un tarif minimum de 1300€ HT afin donner accès à tous les budgets un accompagnement expert en sécurité notamment pour les petites et les jeunes entreprises qui ont moins les moyens de se protéger face aux cyberattaques.

La durée d’un audit va varier en fonction :

  • Du périmètre de l’audit
  • Du niveau de profondeur attendu (se limiter aux failles les plus courantes ou non)
  • Du choix de l’approche (boîte noire/boîte grise)
  • De la complexité des services à auditer
  • Du budget
Dans le cas d’un audit de vulnérabilité la durée variera généralement entre 3 et 4 jours tandis qu’elle variera entre 5 et 15 jours pour un pentest

Pour sécuriser au mieux vos systèmes, il est préconisé de mener un audit de sécurité de manière régulière, selon le niveau de criticité du système en place ou après chaque modifications majeure. Cela peut-être :

  • Mensuellement (recommandé pour l’audit de vulnérabilité)
  • Trimestriellement
  • Semestriellement
  • Annuellement

L’idéal étant de ne pas attendre d’avoir des dommages, qui se révéleront bien plus coûteux qu’un audit, avec des dégâts parfois difficiles à chiffrer en termes de dégradation d’image, de baisse de référencement, de perte de clientèle…

La criticité des failles est évaluée selon 4 niveaux (faiblemodéréélevécritique).

Les critères sont habituellement basés sur la norme du Common Vulnerability Scoring System (CVSS) et sur le contexte de l’entreprise. Trois critères principaux sont pris en compte pour évaluer le niveau de risque :

  • L’impact potentiel est basé sur les effets qu’elle produirait en termes de :
    • Disponibilité
    • Intégrité des données
    • Confidentialité
  • L’exploitabilité potentielle mesure la complexité à exploiter la faille. Elle influe sur :
    • La vraisemblance
    • L’occurrence
    • La probabilité qu’un scénario d’attaque se réalise en fonction de la complexité opérationnelle et technique, du vecteur d’accès, des droits accès requis, etc.
  • L’impact business d’un point de vue :
    • Opérationnel
    • Légal
    • Financier
    • Image
  • Avoir une solution de sauvegarde
  • Définir vos priorités de sécurité
  • Ne pas essayer de corriger ou dissimuler des failles la veille de l’audit de sécurité
  • Révéler au pentester les failles déjà connues pour ne pas perdre inutilement du temps d’audit de sécurité
  • Prévenir son équipe et ses sous-traitants (infogérant ou hébergeur)
  • Vérifier la présence d’une clause d’auditabilité dans les contrats des sous-traitants
  • Ne pas prévoir un audit pendant une opération informatique ou business majeure

Diverses mesures sont prises en amont et au cours de l’audit pour prévenir l’impact potentiel des tests sur la stabilité de l’environnement technologique et la continuité des opérations de production.

Un plan d’audit est initialement mis en place afin de prendre en compte les risques techniques, les plages horaires de réalisation des tests… et prévenir tout impact potentiel.