Cybersécurité offensive · pour PME, ETI et décideurs français
Blog cybersécurité
Pentest, NIS2, OWASP, assurance cyber, sans bullshit. 46 articles techniques signés Laucked. Guides piliers pour les décideurs, fiches courtes pour les développeurs et RSSI, analyses sectorielles fintech / healthtech. Pas de contenu auto-généré, pas de réécriture d'OWASP : chaque page est ancrée sur des missions réelles et des sources publiques.
Guides piliers · long-read
Les 5 articles à lire en premier
sommaire · TOC sticky · drop-cap · auteur signé · sources publiques
Test d'intrusion : guide complet 2026 (méthodologies, scopes, conformité)
Pillar du cluster pentest : définition, méthodologies PTES et OWASP WSTG, typologies de scopes (web, API, cloud, IA), obligations NIS2 / DORA / HDS / RGPD / PCI DSS, critères de choix d'un prestataire et cadrage sur devis.
Cybersécurité PME : le guide complet pour protéger votre entreprise en 2026
43 % des cyberattaques ciblent les PME. Les 7 mesures prioritaires, obligations légales (NIS2, RGPD) et checklist actionable pour sécuriser votre entreprise.
Qu'est-ce qu'un test d'intrusion (pentest) ? Définition et guide PME
Définition, méthodes (black/grey/white box), étapes, différence avec un scan de vulnérabilités. Tout comprendre sur le pentest pour les PME.
Combien coûte un pentest pour une PME en 2026 ?
Fourchettes de marché du test d'intrusion en France, facteurs de prix, ROI et comparatif audit vs scan. Chez Laucked : sur devis après cadrage technique.
Tous les articles · par date
Le reste du fil
Prix d'un pentest réseau en 2026 : de 2 000 à 18 000 € selon le périmètre
Fourchettes marché d'un pentest réseau : externe ciblé, réseau interne, Active Directory, Wi-Fi et segmentation. Jours-homme typiques et contenu attendu d'un devis sérieux.
Prompt injection PME : 5 cas pratiques anonymisés, payloads et garde-fous
5 cas réels de prompt injection observés en mission PME : chatbot client compromis, RAG SharePoint piégé, assistant Slack abusé, agent email exfiltrant, classifieur biaisé. Payloads, scénarios et garde-fous (OWASP LLM01).
Fuite de données via LLM et RAG : risques RGPD, scénarios et prévention
Comment un chatbot ou un système RAG fuit des données personnelles : mémorisation du modèle, retrieval mal cloisonné, prompt injection extractive, logs non pseudonymisés. Risques RGPD (Art. 32 et 35) et garde-fous techniques.
Checklist EU AI Act PME 2026 : 12 obligations à cocher
Classification des systèmes IA, obligations selon le niveau de risque, AIPD/FRIA, transparence, logs et sanctions. Plan d'action 2026 pour les PME françaises utilisant chatbots, LLM ou systèmes IA en production.
Pentest PME Toulouse et Occitanie : aérospatial, SaaS et ETI industrielles
Pentest pour PME et ETI à Toulouse et en Occitanie : écosystème aéronautique (chaîne Airbus, Safran, ATR, Thales), scale-up SaaS de la French Tech, sous-traitants industriels. Déclencheurs locaux et exigences donneurs d'ordre.
Pentest SaaS B2B : multi-tenant, SSO, API et back-office
Pentest SaaS B2B pour éditeurs PME : risques multi-tenant, isolation des données, SSO, back-office support et API. 6 surfaces à tester, méthodologie OWASP + ASVS, déclencheurs clients et assurance cyber.
Cabinet pentest PME : 8 critères pour bien choisir et les signaux d'alerte
Comment choisir un cabinet pentest pour une PME française : 8 critères de sélection, signaux d'alerte à éviter, certifications à exiger et modèle de devis défendable. Cabinet vs plateforme vs freelance selon votre contexte.
Pentest pour assurance cyber : exigences, prime et refus de couverture
Ce qu'attendent réellement les assureurs cyber (Stoïk, Beazley, Hiscox, AXA, AIG) pour souscrire ou renouveler : pentest exigé, délais d'obtention, impact sur la prime (-10 à -25%) et cadrage de la mission pour qu'elle passe au dossier.
Combien coûte un test d'intrusion ? Budget, ROI et décision CFO 2026
Budget réaliste, ROI, impact assurance cyber et cadre de décision pour CEO et CFO de PME française. Chiffres concrets pour justifier un pentest en CODIR.
Prix pentest web 2026 : fourchettes marché par périmètre
Fourchettes marché indicatives d'un pentest d'application web : par taille d'app (CMS, SaaS, SPA, marketplace), jours-homme typiques, ce qui doit être inclus dans un devis.
Pentest fintech 2026 : DORA, DSP2 et exigences ACPR
Pentest pour fintech, néobanque et établissement de paiement : conformité DORA, DSP2/SCA, exigences ACPR, scope typique, vulnérabilités récurrentes et cadrage sur devis.
Pentest healthtech 2026 : HDS, PGSSI-S et Ségur
Pentest pour healthtech et éditeurs de logiciels santé : certification HDS, référentiel PGSSI-S de l'ANS, exigences Ségur, scope typique et cadrage sur devis.
Pentest cloud AWS & Azure : IAM, services managés et exfiltration
Méthodologie pentest cloud AWS (IAM, S3, Lambda, EKS) et Azure (Entra ID, App Services, Storage) : surface d'attaque, exploitations récurrentes et cadrage sur devis.
DORA TLPT : threat-led penetration testing pour fintech et ETI
Cadre TLPT de la directive DORA : prérequis ACPR, TIBER-EU, scope threat-intelligence driven, différences avec un pentest classique et préparation d'un programme conforme.
Red team vs pentest : quelle mission pour quel niveau de maturité ?
Comparatif complet entre mission red team (objectif métier, threat-led, long terme) et pentest classique (scope défini, livrables structurés) : quand choisir l'un ou l'autre.
Rapport de pentest : exemple complet et guide de lecture
Structure d'un rapport de test d'intrusion professionnel : synthèse exécutive, vulnérabilités classées CVSS, preuves d'exploitation et plan de remédiation.
Pentest API : les 10 failles OWASP API Security à tester
BOLA, injection, SSRF, mass assignment : les vulnérabilités API les plus critiques selon l'OWASP et comment un pentest les détecte.
Coût d'une cyberattaque pour une PME en France (2026)
Chiffres clés, coûts directs et indirects, impact sur la réputation et ROI d'un pentest préventif pour les PME françaises.
Pentest obligatoire pour l'assurance cyber ? Ce que demandent les assureurs
Prérequis des assureurs cyber, rôle du pentest dans la souscription et la réduction de prime, et checklist pour votre dossier.
Pentest vs audit de sécurité : quelle différence ?
Comparatif complet entre test d'intrusion et audit de sécurité : objectifs, méthodes, livrables et quand choisir l'un ou l'autre.
Pentest interne vs externe : quel périmètre choisir ?
Différences entre test d'intrusion interne et externe, scénarios d'attaque couverts et recommandations selon votre exposition.
Pentest automatisé vs manuel : avantages et limites
Scan automatisé ou test d'intrusion manuel ? Comparatif des approches, faux positifs, profondeur d'analyse et coûts.
Score CVSS : comprendre la criticité des vulnérabilités
Guide complet du Common Vulnerability Scoring System : métriques, calcul du score, interprétation et utilisation dans un rapport de pentest.
Injection SQL : comprendre et prévenir cette vulnérabilité critique
Fonctionnement d'une injection SQL, exemples concrets, impact sur les données et mesures de prévention pour les développeurs.
XSS (Cross-Site Scripting) : types, risques et protection
XSS réfléchi, stocké et DOM-based : comment ces attaques fonctionnent et comment protéger vos applications web.
SSRF (Server-Side Request Forgery) : attaque et défense
Comment un attaquant exploite une SSRF pour accéder aux services internes, et comment sécuriser vos applications côté serveur.
IDOR : la faille d'autorisation la plus courante en SaaS
Insecure Direct Object Reference : comment un simple changement d'ID peut exposer les données d'autres utilisateurs.
OWASP Top 10 (2021) : les 10 risques web les plus critiques
Présentation détaillée du classement OWASP Top 10 2021 : broken access control, injection, SSRF et les 7 autres risques majeurs.
Bug bounty : fonctionnement, avantages et mise en place
Comment fonctionne un programme de bug bounty, différences avec un pentest classique et étapes pour lancer le vôtre.
Vulnérabilité zero-day : définition, risques et protection
Qu'est-ce qu'un zero-day, comment ces failles sont découvertes et exploitées, et comment réduire votre exposition.
Ransomware : comprendre, prévenir et réagir face à une attaque
Mécanismes d'un ransomware, vecteurs d'infection, impact financier et plan d'action pour protéger votre PME.
Phishing : reconnaître et bloquer les tentatives d'hameçonnage
Techniques de phishing modernes, signaux d'alerte, outils de protection et formation des équipes pour les PME.
Comment répondre à un questionnaire sécurité client sans improviser
Preuves crédibles, périmètre, erreurs fréquentes et méthode simple pour répondre à une due diligence sécurité sans se piéger.
Pentest API : ce qui est vraiment testé sur une API exposée
Auth, authorization, BOLA, scopes, webhooks et logique métier : ce qu’un audit API vérifie au-delà d’un simple scan.
Audit sécurité SaaS B2B : que faut-il vraiment tester ?
Produit B2B, rôles, multi-tenant, portail client, back-office et SSO : comment cadrer un audit SaaS utile.
NIS2 PME : êtes-vous concerné ? Checklist de conformité 2026
La directive NIS2 concerne 15 000+ entreprises françaises. 18 secteurs visés, 10 obligations clés et checklist pour vérifier votre conformité.
Pentest vs scan de vulnérabilités : quelle différence pour votre PME ?
Comparatif complet : approche, profondeur, coût, faux positifs. Quand utiliser un scan automatisé vs un test d'intrusion manuel, et pourquoi combiner les deux.
RGPD et chatbot IA : comment être conforme
Obligations RGPD pour les chatbots IA en entreprise : données personnelles, base légale, AIPD, risques LLM et checklist de conformité.
Audit IA : évaluer et sécuriser vos modèles d'intelligence artificielle
Méthodologie complète pour auditer la sécurité de vos modèles IA : prompt injection, data poisoning, OWASP ML Top 10 et cadre réglementaire EU AI Act.
Assurance cyber PME : pourquoi et comment s'assurer
Guide complet de l'assurance cyber pour les PME : couverture, prérequis des assureurs, lien avec le pentest et comment réduire sa prime.
OWASP Top 10 2021 : guide pratique pour les PME françaises
Les 10 vulnérabilités web les plus critiques selon l'OWASP, expliquées avec des exemples concrets et des mesures correctives adaptées aux PME.
Étape suivante
Lire un article ne remplace pas un cadrage technique.
Si vous avez un besoin concret (questionnaire client, conformité NIS2, audit avant levée, assurance cyber), commencez par un atelier de cadrage gratuit avec un pentester senior. Devis chiffré sous 48 h.