Dossier confidentiel · NDA actif

Une exposition critique dormait en clair sur leur surface publique. Personne ne l'avait vue.

Éditeur français d'un SaaS B2B transactionnel critique pour sa base clients corporate. Diagnostic de surface externe non-intrusif, livré en 3 jours, une quarantaine de findings consolidés dont 1 critique et plusieurs élevés remontés à la direction.

Fiche clientCaviardée

Raison sociale

SIREN

Domaine principal

Secteur

SaaS B2B critique

Taille

PME française

Clientèle

Clients corporate

Durée mission

3 jours

Fenêtre d'action

J-6

de la détection
à la restitution direction

Critique détecté au recon initial.
Direction notifiée sous 1h.

40+

findings consolidés

critique

plusieurs

findings élevés

3 j

durée mission

Déclencheur

Une exposition critique sur la surface publique, neutralisée sous 6 jours

Sauvegarde applicative accessible publiquement avec exports clients lisibles et services d'administration exposés sur Internet. L'éditeur opère un SaaS B2B transactionnel critique pour ses clients corporate. Sans action rapide, la sauvegarde applicative restait lisible publiquement, avec des exports incluant de la donnée client identifiable : déclencheur d'une notification de violation au régulateur, exposition contractuelle vis-à-vis des grands comptes, perte de confiance immédiate. La direction n'avait pas l'information.

Périmètre observé

Recon passif, énumération légère hors heures ouvrées

Diagnostic de surface externe non-intrusif sur la surface publique applicative et son écosystème (domaine, sous-domaines, stockages objet, dépôts publics), avec reconnaissance passive, énumération active légère hors heures ouvrées, analyse d'exposition et OSINT.

Surface publique applicative (domaine, sous-domaines, services exposés, stockages objet et dépôts liés)

Reconnaissance passive : DNS historiques, CT logs, OSINT entreprise, dépôts code publics

Énumération active légère hors heures ouvrées, sans intrusion sur les services

Voir aussi : méthodologie complète · exemple de livrable diagnostic

Findings classés

Le ledger des 5 findings prioritaires

Sévérité

CVSS

Description et impact métier

Critique

Score critique

Sauvegarde applicative en accès public, exports clients lisibles

Donnée client en clair accessible sans authentification. Déclencheur potentiel d'une notification de violation au régulateur dans la fenêtre légale, exposition contractuelle vis-à-vis des grands comptes.

Élevée

Score élevé

Interface d'administration accessible publiquement sans liste d'accès

Surface d'attaque directe sur la couche admin. Reconnaissance facilitée, tentatives d'accès non bloquées en amont du formulaire.

Élevée

Score élevé

Secrets techniques publiés dans un dépôt de code public

Identifiants de service exposés en clair sur Internet, pivot possible vers des composants backend, aucune rotation effectuée depuis la publication.

Élevée

Score élevé

Environnement de pré-production joignable depuis Internet

Données quasi-prod accessibles sans isolation réseau suffisante, pivot vers l'infrastructure réelle facilité depuis cette surface secondaire.

Élevée

Score élevé

Composants serveur en fin de support sur l'infrastructure publique

Plus de correctifs sécurité côté éditeur d'origine. Toute vulnérabilité publique remontée reste sans patch officiel.

Les 36 findings restants couvrent des points moyens et faibles (en-têtes HTTP, durcissement de configuration, exposition de métadonnées). Listés dans le rapport complet remis à la direction.

Déroulé temporel

De l'alerte J-6 à la roadmap J+30

J-6
Alerte
Signal critique détecté lors du recon initial : sauvegarde applicative lisible publiquement, exports clients en clair. Direction prévenue dans l'heure.
J-3
Recon achevé
Actifs publics cartographiés, findings consolidés, classification par criticité business prête.
J0
Restitution
Synthèse exécutive remise en main propre. Direction acte la file prioritaire et déclenche les actions P0 en priorité.
J+5
Remédiation P0
Sauvegarde retirée du stockage public, secrets exposés révoqués et rotés, surfaces admin restreintes.
J+30
Plan migration
Roadmap de migration des composants en fin de support et durcissement réseau de la pré-production cadrée avec l'équipe technique, jalons trimestriels.

Résultat

Contrôle restauré sur la surface publique

Une quarantaine de findings consolidés dont 1 critique et plusieurs élevés. Retrait de la sauvegarde publique, révocation et rotation des secrets exposés, restriction des surfaces d'administration, durcissement réseau de la pré-production et plan de migration des composants en fin de support remis en main propre à la direction.

Sauvegarde publique retirée sous 24 h, copies rotées et purgées du stockage exposé.
Services d'administration retirés de l'exposition publique.
Secrets exposés révoqués et rotés sous 48 h, surveillance des dépôts publics renforcée.
Plan de migration des composants en fin de support cadré sur 3 trimestres.

Et votre surface publique, qu'est-ce qu'elle dit aujourd'hui ?

Le diagnostic est gratuit, restitué sous 48 à 72 heures. Pas de carte bancaire, pas d'obligation de pentest derrière.

Lancer le diagnostic gratuit Voir un exemple de livrable

Autres cas clients

Deux autres lectures de surface, deux secteurs différents

PME terrain · domotique & solutions connectées

21-69 kEUR

risque annuel évitable identifié et plan d'actions de 7 à 10 j-h

Occi ServicesLire

Agence créative · social ads & IA

20-51 kEUR

risque annuel évitable + 38 actions consolidées sur 30-60 jours

StoreesLire

Cas client réalisé sous NDA actif. La raison sociale, le domaine, les emails et les identifiants techniques sont caviardés ; les métriques, le déroulé temporel et la nature des findings reflètent fidèlement la mission. La direction du client a relu et validé ce document avant publication.

Une exposition critique dormait en clair sur leur surface publique. Personne ne l'avait vue.

Fiche clientCaviardée

Raison sociale

SIREN

Domaine principal

Secteur

SaaS B2B critique

Taille

PME française

Clientèle

Clients corporate

Durée mission

3 jours

Fenêtre d'action

J-6

de la détection
à la restitution direction

Critique détecté au recon initial.
Direction notifiée sous 1h.

Une exposition critique sur la surface publique, neutralisée sous 6 jours

Recon passif, énumération légère hors heures ouvrées

Surface publique applicative (domaine, sous-domaines, services exposés, stockages objet et dépôts liés)

Reconnaissance passive : DNS historiques, CT logs, OSINT entreprise, dépôts code publics

Énumération active légère hors heures ouvrées, sans intrusion sur les services

Le ledger des 5 findings prioritaires

Sévérité

CVSS

Description et impact métier

Critique

Score critique

Sauvegarde applicative en accès public, exports clients lisibles

Élevée

Score élevé

Interface d'administration accessible publiquement sans liste d'accès

Surface d'attaque directe sur la couche admin. Reconnaissance facilitée, tentatives d'accès non bloquées en amont du formulaire.

Élevée

Score élevé

Secrets techniques publiés dans un dépôt de code public

Identifiants de service exposés en clair sur Internet, pivot possible vers des composants backend, aucune rotation effectuée depuis la publication.

Élevée

Score élevé

Environnement de pré-production joignable depuis Internet

Données quasi-prod accessibles sans isolation réseau suffisante, pivot vers l'infrastructure réelle facilité depuis cette surface secondaire.

Élevée

Score élevé

Composants serveur en fin de support sur l'infrastructure publique

Plus de correctifs sécurité côté éditeur d'origine. Toute vulnérabilité publique remontée reste sans patch officiel.

Les 36 findings restants couvrent des points moyens et faibles (en-têtes HTTP, durcissement de configuration, exposition de métadonnées). Listés dans le rapport complet remis à la direction.

De l'alerte J-6 à la roadmap J+30

J-6
Alerte
Signal critique détecté lors du recon initial : sauvegarde applicative lisible publiquement, exports clients en clair. Direction prévenue dans l'heure.
J-3
Recon achevé
Actifs publics cartographiés, findings consolidés, classification par criticité business prête.
J0
Restitution
Synthèse exécutive remise en main propre. Direction acte la file prioritaire et déclenche les actions P0 en priorité.
J+5
Remédiation P0
Sauvegarde retirée du stockage public, secrets exposés révoqués et rotés, surfaces admin restreintes.
J+30
Plan migration
Roadmap de migration des composants en fin de support et durcissement réseau de la pré-production cadrée avec l'équipe technique, jalons trimestriels.

Contrôle restauré sur la surface publique

Sauvegarde publique retirée sous 24 h, copies rotées et purgées du stockage exposé.

Services d'administration retirés de l'exposition publique.

Secrets exposés révoqués et rotés sous 48 h, surveillance des dépôts publics renforcée.

Plan de migration des composants en fin de support cadré sur 3 trimestres.