Tests d'intrusion offensifs

    Pentest applicatif & infrastructure

    Tests d'intrusion industrialisés. Méthodologies OWASP, PTES, NIST. Rapport actionable, retest inclus.

    6 000 - 14 000 € HT·1 à 2 semaines·OWASP / PTES
    Cadrer un pentestAudit gap ISO 27001

    Pour qui ?

    Quatre profils typiques pour qui un pentest applicatif ou infrastructure devient un passage incontournable.

    Éditeurs SaaS B2B

    Avant un audit ISO 27001 ou SOC 2, le pentest est attendu pour démontrer la maîtrise de vos vulnérabilités applicatives.

    Scale-ups en pré-levée

    Vous recevez des questionnaires sécurité de grands comptes ou d'investisseurs et avez besoin d'un rapport tiers crédible.

    ETI avec API ou portail B2B

    Vous exposez une API ou un portail métier critique, sans avoir jamais fait challenger sa surface d'attaque par un externe.

    Architectures critiques

    Vous voulez valider la robustesse d'une architecture (segmentation, AD, services exposés) avant mise en production.

    Périmètres possibles

    On adapte la cible du test au risque réel. Quatre périmètres types, isolés ou combinés selon votre contexte.

    Application web

    Front-end et back-end, OWASP Top 10, business logic, contrôles d'accès, gestion de session, upload, injection.

    API REST / GraphQL

    OWASP API Security Top 10, IDOR, broken auth, rate-limit, mass assignment, SSRF, manipulation de tokens.

    Infrastructure interne

    Segmentation réseau, Active Directory, lateral movement, escalade de privilèges (EOP), Kerberos, GPO.

    Infrastructure externe

    Périmètre exposé, services publics, contournement de filtres web, exposition involontaire, fuites DNS.

    Méthodologies de référence

    Pas de cuisine maison. On applique les standards reconnus du secteur pour garantir une couverture exhaustive et des résultats comparables d'un audit à l'autre.

    PTES

    Penetration Testing Execution Standard

    Le cadre de référence en 7 phases : pre-engagement, intelligence gathering, threat modeling, vulnerability analysis, exploitation, post-exploitation, reporting. Garantit qu'aucune étape n'est sautée.

    OWASP WSTG

    Web Security Testing Guide

    La checklist exhaustive des contrôles à dérouler sur une application web : authentification, session, validation des entrées, business logic, cryptographie, configuration.

    OWASP API Security Top 10 (2023)

    Risques majeurs sur les API

    BOLA, broken authentication, broken object property level authorization, unrestricted resource consumption, SSRF, security misconfiguration. Le cadre dédié pour challenger une API moderne.

    OSSTMM

    Open Source Security Testing Methodology Manual

    Approche scientifique et mesurable de la sécurité opérationnelle. Utile pour structurer les tests d'infrastructure et produire des métriques de sécurité (RAV).

    NIST SP 800-115

    Technical Guide to Information Security Testing

    Le guide officiel américain pour planifier, exécuter et restituer un test d'intrusion. Utile pour les contextes réglementaires exigeants (clients US, secteur régulé).

    Outillage & certifications

    Standards de l'industrie

    Notre référentiel s'aligne sur les certifications reconnues du marché (OSCP, CRTO, GWAPT, GPEN). On combine outillage open source (Burp, nuclei, BloodHound, impacket) et exploitation manuelle.

    Phases d'une mission type

    Un pentest standard se déroule en 5 étapes claires, de 1 à 2 semaines. Vous avez de la visibilité à chaque jalon.

    01

    Cadrage

    1 jour

    Périmètre, comptes de test, fenêtres autorisées, NDA, autorisation écrite.

    02

    Reconnaissance & énumération

    1 à 2 jours

    Cartographie de la surface, technologies, points d'entrée, comptes, endpoints.

    03

    Exploitation & post-exploit

    3 à 7 jours

    Validation des vulnérabilités, chaînes d'attaque, pivot, élévation de privilèges.

    04

    Rédaction du rapport

    1 à 2 jours

    Rapport structuré, executive summary, findings détaillés, scoring CVSS.

    05

    Restitution & retest

    Inclus

    Présentation orale, accompagnement remédiation, retest des correctifs.

    Le livrable

    Un rapport est utile s'il est lu et appliqué. On structure le document pour qu'il parle à la fois à la direction et aux équipes techniques, et que chaque vulnérabilité soit reproductible et corrigeable.

    Le retest est inclus dans le tarif : une fois vos correctifs déployés, on revalide chaque finding et on émet une attestation à jour, exploitable dans une SoA ISO 27001 (contrôle A.8.8).

    Executive summary (1 page)

    Niveau de risque global, faits marquants, recommandations prioritaires. Lisible direction non-technique.

    Detailed findings avec scoring CVSS

    Chaque vulnérabilité avec sévérité CVSS 3.1, vecteur d'attaque, impact métier, contexte de découverte.

    Proof-of-concept reproductible

    Étapes exactes, requêtes brutes, captures, code d'exploitation lorsque pertinent. Vos équipes peuvent rejouer.

    Remediation guidance contextualisée

    Ce qu'il faut corriger, comment, pour combien d'effort. Pas de recommandation générique copiée d'un guide.

    Retest inclus dans le tarif

    Après application des correctifs, revalidation de chaque finding et attestation de remédiation à jour.

    Tarification transparente

    Pas de devis opaques. Quatre formats types, calibrés sur la charge réelle d'une mission menée selon les standards.

    FormatTarif HTDurée
    Mini-pentest applicatif6 000 - 8 000 €5 jours
    Pentest applicatif standard10 000 - 12 000 €8 à 10 jours
    Pentest infrastructure interne12 000 - 14 000 €10 jours
    Mission red team25 000 € +4 à 6 semaines

    Tarifs indicatifs hors taxes. Le périmètre exact (nombre de rôles applicatifs, taille de la surface, environnement de test) est cadré pendant la phase 01.

    Pourquoi M-KIS plutôt qu'un pentest à 1 500 € ?

    Le marché regorge d'offres « pentest » à très bas prix qui se résument à un scan automatisé exporté en PDF. Trois différences concrètes.

    Méthodologies réelles vs scan automatisé

    Un scanner trouve les vulnérabilités connues sur des signatures publiques. Un pentest sérieux teste la business logic, l'IDOR, les chaînes d'attaque — ce qu'aucun outil ne sait faire seul.

    Livrable réellement actionnable

    Pas de copier-coller de descriptions CWE génériques. Chaque finding est contextualisé à votre stack, avec un PoC reproductible et une remédiation exploitable par vos équipes.

    Cohérence avec votre démarche ISO 27001

    Un pentest sérieux coche le contrôle A.8.8 (gestion des vulnérabilités techniques) attendu dans la plupart des SoA. Un scan auto ne suffit pas à un auditeur sérieux.

    Pour aller plus loin sur le sujet, on a écrit un article dédié au vrai coût d'un pentest et à ce que cache une offre à 1 500 €.

    Lire l'article

    Questions fréquentes

    Les six questions qui reviennent à chaque cadrage.

    Boîte noire, grise ou blanche : quel mode choisir ?+
    Boîte noire (zéro information) : simule un attaquant externe, mais coût plus élevé pour une couverture moindre. Boîte grise (comptes de test fournis) : meilleur rapport couverture / budget, c'est le mode recommandé par défaut. Boîte blanche (accès au code) : pertinente sur composants critiques ou pour valider une architecture en profondeur.
    Combien de temps dure un pentest ?+
    1 à 2 semaines pour la phase technique sur un format applicatif ou infra standard. Comptez 2 à 3 semaines de bout en bout en incluant cadrage, rapport et restitution. Une mission red team dure 4 à 6 semaines.
    Le retest est-il vraiment inclus ?+
    Oui, dans le tarif annoncé. Une fois vos correctifs déployés, on revalide chaque finding identifié et on émet une attestation à jour. Le retest doit être planifié dans les 3 mois suivant le rapport initial.
    Signez-vous un NDA avant la mission ?+
    Oui, systématiquement. Un NDA est signé avant tout échange technique sensible. Une autorisation écrite de test (lettre d'autorisation) est également signée par votre direction avant le démarrage de la phase d'exploitation, conformément aux exigences PTES.
    Tests en production ou en pré-production ?+
    On privilégie un environnement de pré-production iso-prod lorsqu'il existe, pour éviter tout impact sur vos utilisateurs. Si seule la production est disponible, on cadre des fenêtres de tirs précises et on évite les classes de tests à risque (DoS, fuzzing massif). C'est négocié pendant la phase 01.
    Quelles responsabilités légales et assurance ?+
    M-KIS dispose d'une RC Pro couvrant l'activité de tests d'intrusion. Le contrat précise le périmètre autorisé, les exclusions et les cas de force majeure. Tout test hors périmètre est interdit, conformément à l'article 323-1 du Code pénal — ce qui protège les deux parties.

    Accompagnement ISO 27001

    Le pentest est demandé dans la plupart des SoA (contrôle A.8.8).

    Audit gap ISO 27001

    Cartographier l'écart vs Annexe A 2022 avant d'investir dans un pentest.

    Cadrons votre pentest en 30 minutes

    Un échange court pour qualifier le périmètre, choisir le format et calibrer un devis. Sans engagement.

    Cadrer un pentestAudit gap ISO 27001