Rayan Dib
CTO & co-fondateur
Pilote l'expertise offensive : pentest web et API, audit IA, méthodologie OWASP/PTES, qualité des livrables techniques. Signe la majorité des rapports remis aux dirigeants.
- OSCP
- OSEP
- OSWE
À propos · cabinetsection · qui nous sommesLaucked SAS
Cabinet français · Toulouse métropole · équipe interne
Un cabinet de pentest, pas une plateforme de scan.
Laucked est un cabinet français de test d'intrusion fondé en 2026, basé à Tournefeuille (métropole toulousaine). On cadre, on teste, on rédige et on restitue nous-mêmes — pas de sous-traitance, pas d'assemblage de rapports automatiques.
équipe · Toulouse · 2026- ~0
- missions livrées depuis 2026
- 0 %
- équipe interne, 0 sous-traitance
- 0
- certifications offensives perso
01 · mission
Pourquoi un cabinet plutôt qu'un scan automatique
Un scanner SaaS trouve les vulnérabilités connues sur des cibles standards. Il ne sait pas comprendre votre logique métier, ni chaîner trois petites failles en une compromission qui matérialise un vrai risque business. C'est exactement là que se cachent les findings qui font signer un client grand compte ou refuser une couverture cyber.
Notre rôle, c'est ce travail-là : reproduire ce qu'un attaquant motivé ferait sur votre portail, votre API, votre intégration IA, et le restituer dans un format qui se relit en CODIR sans traduction technique. Pas plus de findings que nécessaire, pas moins d'impact que la réalité.
02 · structure
SAS française, 100 % détenue par les fondateurs
Laucked SAS, SIREN 907 522 304, siège à Tournefeuille (métropole de Toulouse). Pas de levée de fonds, pas d'actionnaire financier qui pousse à dégrader la qualité pour scaler. Les arbitrages se prennent entre nous, alignés sur la durée de la relation client — pas sur un objectif trimestriel.
- Siège social à Tournefeuille (Occitanie)
- Équipe interne, 0 freelance sur les missions
- Indépendant : pas de revente d’éditeurs
- Interventions France métropolitaine + DOM-TOM
03 · équipe
Les deux fondateurs, sur chaque mission
Pas d'intermédiaire commercial qui vendrait sans comprendre la cible. Vous parlez aux personnes qui exécutent.
Reda Slimani
Co-fondateur
Cadre les missions avec le client, traduit le besoin réel (vente, assurance, conformité, revue fournisseur) en périmètre testable et livrables exploitables côté direction.
- Cadrage
- Livrables CODIR
04 · certifications
Six certifications offensives, portées en interne
Les certifications ci-dessous sont des qualifications personnelles, vérifiables auprès des organismes émetteurs. Elles ne se sous-traitent pas : c'est la personne qui les détient qui exécute la mission.
émis par OffSec
OSCP
Offensive Security Certified Professional
OSEP
Offensive Security Experienced Penetration Tester
OSWE
Offensive Security Web Expert
émis par EC-Council
CEH
Certified Ethical Hacker
CASE
Certified Application Security Engineer
émis par Amazon Web Services
AWS Security
AWS Certified Security – Specialty
Affiliation
Membre de l'OWASP Foundation. Veille active sur les Top 10 web, API et LLM, et contribution aux discussions publiques sur les pratiques offensives appliquées aux PME.
05 · engagements
Ce qu'on garantit, par écrit
Avant la mission
- NDA systématique avant tout échange technique.
- Atelier de cadrage avec un pentester senior — périmètre, accès, fenêtre de tir et règles d'engagement validés par écrit.
- Devis chiffré, pas de tarif forfaitaire qui ignore la cible.
Pendant la mission
- Preuves d'exploitation tracées, capturées et rejouables.
- Arbitrages en temps réel sur les zones sensibles (production, données réelles, services tiers).
- Point d’étape à mi-mission si la durée le justifie.
Après la restitution
- Livrable dirigeant + rapport technique + plan de remédiation hiérarchisé.
- Re-test inclus sur les findings corrigés, dans la même mission.
- Hotline post-livrable : on reste joignable jusqu’à la clôture des correctifs.
06 · références
Trois missions, trois contextes différents
Cas anonymisés tirés de missions réelles. Chaque fiche complète détaille le périmètre, la profondeur de test, les findings avec score CVSS et OWASP, et le résultat obtenu côté client.
LCK-2024-001
SaaS B2B — questionnaire sécurité client
Portail multi-tenant, BOLA inter-tenant CVSS 8.7 fermée sous 6 jours, contrat grand compte signé dans le mois.
LCK-2024-014
Sous-traitant industriel — pression NIS2 indirecte
Chaîne d'accès admin CVSS 9.1, cloisonnement déployé sous 10 jours, base de réponse pour la revue fournisseur donneur d'ordre.
LCK-2025-003
Marketplace e-commerce — audit ISO 27001
Race condition paiement et webhook HMAC fermés, intégrés comme preuve du contrôle A.8.29 dans le dossier ISO.
07 · méthodologie
Une méthode publique, pas une boîte noire
Les frameworks qu'on suit sont publics, documentés et auditables. Vous pouvez les confronter à n'importe quelle autre offre de pentest.
- OWASP WSTG (web)
- OWASP API Security Top 10
- OWASP LLM Top 10
- PTES (Penetration Testing Execution Standard)
- Scoring CVSS v3.1 + impact métier
- MITRE ATT&CK (lateral movement, post-exploitation)
On commence par un diagnostic gratuit
Diagnostic de surface gratuit pour les dossiers retenus, atelier de cadrage avec un pentester senior, puis devis. Pas de tarif forfaitaire, pas de mission engagée sans NDA.
Besoin d'une réponse plus courte avant d'aller plus loin ? Voir la fiche synthétique « Laucked en bref ».