Sécurité offensive

Audit de sécurité
& Pentest

Nous simulons une attaque réelle sur votre SI pour identifier les failles exploitables avant qu'un attaquant ne le fasse. Rapport détaillé, plan de remédiation priorisé.

Demander un devis Questions fréquentes

Types d'audits

Chaque mission est cadrée en fonction de votre contexte, vos objectifs et vos contraintes.

3-5 jours

Pentest applicatif

Application web, API, mobile. Couvre l'OWASP Top 10 : injections, authentification, autorisations, exposition de données.

1-2 semaines

Pentest infrastructure

Réseau interne, Active Directory, VPN, services exposés sur internet. Simulation d'un attaquant externe ou interne.

2-3 jours

Audit d'architecture

Revue de la conception de votre SI : segmentation réseau, flux de données, gestion des accès, points de défaillance.

2-4 jours

Audit de configuration

Durcissement (hardening) des systèmes : serveurs, firewalls, équipements réseau, environnements cloud.

Méthodologie

Un processus structuré, de la définition du périmètre au suivi post-audit.

01

Cadrage

Définition du périmètre, des objectifs et des contraintes. Choix du type de test (boîte noire, blanche ou grise). Signature de la lettre d'autorisation.

02

Reconnaissance

Collecte d'informations sur les cibles (OSINT, énumération de services, cartographie de l'exposition externe).

03

Exploitation

Tentatives d'intrusion contrôlées sur les vecteurs identifiés. Recherche de failles et validation d'exploitabilité.

04

Post-exploitation

Évaluation de l'impact réel : élévation de privilèges, mouvement latéral, accès aux données sensibles.

05

Rapport

Rapport exécutif + rapport technique détaillé. Criticité CVSS, preuve d'exploitation, plan de remédiation priorisé.

06

Debriefing

Restitution orale des résultats avec vos équipes. Réponses aux questions, aide à la priorisation des correctifs.

Ce que vous recevez

Rapport exécutif

Synthèse pour la direction, sans jargon technique

Rapport technique

Détail des vulnérabilités avec preuves d'exploitation

Plan de remédiation

Actions priorisées par criticité (critique, haute, moyenne, faible)

Attestation

Document certifiant la réalisation du test d'intrusion

Questions fréquentes

Quelle différence entre un audit et un pentest ?
L'audit analyse globalement le SI (processus, architecture, configurations). Le pentest simule une attaque réelle pour identifier les failles exploitables. Les deux approches se complètent : l'audit donne le contexte global, le pentest teste les défenses en conditions réelles.
Faut-il couper les systèmes pendant un pentest ?
Non. Les tests sont réalisés de façon contrôlée pour ne pas perturber l'activité. Le périmètre, les plages horaires et les règles d'engagement sont définis ensemble avant le démarrage.
Quels délais pour démarrer une mission ?
Généralement sous 5 à 10 jours ouvrés après validation du périmètre et signature de la lettre d'autorisation.
Proposez-vous un accompagnement après le rapport ?
Oui. Au-delà du rapport, nous accompagnons la mise en œuvre des correctifs et assurons un suivi dans le temps. Possibilité de retest pour vérifier les corrections.

Besoin d'un pentest ?

Décrivez-nous votre périmètre, nous vous répondons avec une proposition sous 48h.

Demander un devis

contact@ackteck.com

RSSI externalisé Conformité & Gouvernance Sécurisation SI