Un test d'intrusion qui tient devant votre client, votre assureur, votre auditeur
Mission web, API et systèmes IA, chiffrée après diagnostic. Rapport exécutif + technique, preuves d'exploitation reproductibles, re-test inclus. Tout est défendable, rien n'est générique.
pentests cumulés (équipe fondatrice)
vulnérabilités critiques découvertes
mission réalisée en interne
rapport initial selon périmètre
Chiffres internes vérifiables sur demande. Cabinet jeune (fondé 2026). L'expérience offensive des fondateurs est antérieure à Laucked et détaillée sur la page À propos.
Le seul livrable qui survit à la mission
Vous n'achetez pas un test, vous achetez un document que vous allez devoir remettre. À votre direction, à votre client, à votre assureur ou à un auditeur. Voici ce que vous recevez, dans cet ordre.
1-2 pages direction · score consolidé · priorités
Trié par sévérité + effort · prêt sprint
& vérifié
Avenant signé après correction · J+30
POST /api/v2/users/████/role Authorization: Bearer eyJh████... Content-Type: application/json { "role": "admin" } → 200 OK escalation horizontale user ████ promu admin tenant
Anonymisée · reproductible · mappée CWE/CVSS
Une méthodologie, plusieurs surfaces
Web, API, IA, SaaS, cloud, mobile, multi-surfaces, plus une couche transverse de logique métier qui ne se réduit pas à du scan automatisable. Voici ce qui est testé et selon quel standard.
| Surface | Ce qu'on teste | Standard appliqué |
|---|---|---|
Web applicatif | OWASP Top 10, logique métier, SSRF, RCE | OWASP WSTG |
API REST/GraphQL | BOLA, BFLA, auth, rate-limit, secrets | OWASP API Top 10 |
Systèmes IA / LLM | Prompt injection, jailbreak, data leakage, supply chain | OWASP LLM Top 10 |
SaaS multi-tenant | Isolation, cross-tenant, RBAC, workflows | OWASP + custom |
Cloud / Infrastructure | Configurations, IAM, exposition, secrets | CIS Benchmarks |
Mobile iOS / Android | Stockage local, communications, API associées | OWASP MASTG |
Multi-surfaces | Combinaisons cadrées au diagnostic | Sur devis |
Logique métier (transverse) | Workflows critiques, race conditions, escalation, paiement, signature, abus de fonctionnalités | OWASP BLT + custom |
Pentest des systèmes IA (LLM, RAG, agents)
Surface d'attaque nouvelle, encore mal couverte sur le segment PME française. Méthodologie OWASP LLM Top 10, conformité EU AI Act art. 9-15 et RGPD art. 22.
Prompt injection
Directe et indirecte. Tests OWASP LLM01 sur 80+ payloads. Contournement des garde-fous via instructions craftées ou contenu injecté en RAG.
Data leakage
Fuite du system prompt, extraction d'historique conversationnel, exposition de données sensibles via le contexte RAG ou les embeddings.
Supply chain LLM
Audit des modèles tiers, du fine-tuning, des plugins et function calling. Vérification des dépendances et des sources d'embeddings.
Autonomie d'agent
Excessive agency, overreliance, chaînes d'outils. Tests sur les agents qui interagissent avec votre infra ou des systèmes tiers.
Du premier appel au rapport final
Cinq étapes avec un délai par étape et des détails qui sonnent vrai.
Diagnostic gratuit
· 15 minCadrage du périmètre, NDA mutuel, lecture experte de la surface exposée.
Diagnostic gratuit
15 minCadrage du périmètre, NDA mutuel, lecture experte de la surface exposée.
Devis ferme
· sous 48hJours-homme + TJM détaillés. Périmètre, livrables et calendrier validés avant signature.
Devis ferme
sous 48hJours-homme + TJM détaillés. Périmètre, livrables et calendrier validés avant signature.
Tests offensifs
· 5 à 12 j-hPentester senior, méthodologie OWASP/PTES, preuves d'exploitation trackées et reproductibles.
Tests offensifs
5 à 12 j-hPentester senior, méthodologie OWASP/PTES, preuves d'exploitation trackées et reproductibles.
Restitution
· 30-45 min visioDirection + équipe tech ensemble. Questions, priorités, planning de remédiation.
Restitution
30-45 min visioDirection + équipe tech ensemble. Questions, priorités, planning de remédiation.
Re-test critiques/hauts
· J+30Validation des correctifs sur findings critiques et hauts. Attestation signée « Corrigé et vérifié ».
Re-test critiques/hauts
J+30Validation des correctifs sur findings critiques et hauts. Attestation signée « Corrigé et vérifié ».
Quatre engagements vérifiables, sans nous croire sur parole
Méthode auditable
Facteurs de chiffrage publiés. Référentiels OWASP/PTES nommés. Tout est vérifiable à l'extérieur de la mission.
Le pentester qui exécute est celui qui a vendu
Pas de commercial entre vous et le technique. Le senior signe le devis, fait les tests, écrit le rapport et restitue.
Re-test inclus systématiquement
Re-test des findings critiques et hauts inclus à J+30. Attestation signée. Pas un add-on facturé après coup.
Devis sous 48h après diagnostic
Jours-homme détaillés, TJM affiché, livrables énumérés. Comparable ligne par ligne à un autre devis.
Les 7 questions qu'un acheteur pose vraiment
Un MSP / prestataire IT gère votre infrastructure ; un cabinet de pentest la teste de manière offensive. Ce sont deux métiers complémentaires. Si votre prestataire fait des scans automatisés, ce n'est pas équivalent à un pentest manuel : on teste la logique métier, on chaîne les vulnérabilités, on rédige un rapport défendable. Voir /comparatifs pour la différence pentest vs scanner vs PTaaS.
Deux entrées selon votre maturité d'achat
Selon votre niveau d'information, choisissez le bon point d'entrée. Les deux sont sans engagement.