Applications web et portails clients
Sites transactionnels, espaces clients, extranets, back-offices et logiciels métier exposés au web.
Pentest Belgique / Bruxelles & Wallonie
Pour les PME, scale-ups SaaS et entités régulées NIS2 de Bruxelles et de Wallonie : des tests d'intrusion menés à distance, avec des preuves datées exploitables dans un dossier CyFun, un questionnaire client ou un dossier assureur. Diagnostic de surface gratuit, rapport complet sous 48-72h.
Cabinet français, missions menées en interne, NDA systématique. La distance ne change rien à la méthode : un pentest s'exécute depuis l'extérieur, comme un attaquant.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Contexte belge
La Belgique a transposé NIS2 avant tout le monde : la loi est en vigueur depuis octobre 2024, le CCB supervise activement, et l'échéance d'auto-évaluation CyFun d'avril 2026 est déjà passée. Pour beaucoup d'entités essentielles et importantes, la question n'est plus « faut-il se préparer » mais « comment produire vite des preuves crédibles ».
À côté du réglementaire, les déclencheurs habituels restent les mêmes qu'ailleurs : questionnaire sécurité d'un grand compte, renouvellement d'assurance cyber, due diligence avant levée de fonds, lancement d'un produit SaaS. Dans tous les cas, le livrable attendu est identique : un rapport de test d'intrusion récent, daté et contre-vérifiable. Voir le comparatif NIS2 France / Belgique pour situer les deux cadres.
Périmètre testé
Sites transactionnels, espaces clients, extranets, back-offices et logiciels métier exposés au web.
API REST et GraphQL, intégrations entre CRM, ERP et plateformes SaaS, flux partenaires exposés.
Sessions, rôles, escalades de privilèges, MFA, séparation des environnements et des comptes.
Le diagnostic gratuit cartographie la surface visible depuis Internet avant de cadrer le pentest sur le bon périmètre.
Déroulé de mission
Périmètre, accès, fenêtres de test et niveau de profondeur validés en visio. NDA systématique.
Reconnaissance, recherche de vulnérabilités exploitables, validation d'impact réel sur les composants critiques.
Synthèse dirigeant, détail technique CVSS avec preuves, plan de remédiation priorisé. Le marché livre souvent en 4 à 8 semaines.
Vérification des corrections et attestation datée, la pièce attendue dans un dossier CyFun ou un questionnaire client.
Travailler avec un cabinet français
Ni la loi belge ni le CyFun n'exigent un prestataire national. Ils exigent des tests sérieux, une méthodologie reconnue et des preuves datées. Voici concrètement ce que ça donne.
Un test d'intrusion s'exécute par nature depuis l'extérieur. Cadrage, points d'étape et restitution se font en visio, dans le même fuseau horaire.
Rapport dirigeant + technique en français, adapté aux organismes d’évaluation et aux questionnaires sécurité belges. Synthèse anglaise possible.
Société française, facturation B2B intra-communautaire en autoliquidation de TVA (pas de TVA française sur la facture, mécanisme standard).
Méthodologie OWASP WSTG / PTES, scoring CVSS, preuves d’exploitation. Les exigences CyFun et les questionnaires clients y font directement référence.
Contextes fréquents
L'objectif est de concentrer la mission là où une faille aurait un impact réglementaire, contractuel ou commercial réel.
Éditeurs B2B, fintech et plateformes exposant API et portails clients, sous pression des questionnaires sécurité de leurs grands comptes et investisseurs.
Sous-traitants et opérateurs entrant dans le périmètre NIS2 (annexes de la loi belge) ou tirés par leurs donneurs d'ordre : preuves techniques exigées au niveau CyFun adapté.
Plateformes e-santé et biotechs manipulant des données patients : NIS2 secteur santé, RGPD et exigences hospitalières sur la sécurité applicative.
Cabinets, assureurs et prestataires numériques dont les clients régulés répercutent leurs obligations de chaîne d'approvisionnement NIS2.
FAQ Belgique
Les fourchettes marché sont proches du marché français : de l'ordre de 1 500 à 6 500 € HTVA pour une application web PME standard, davantage pour un périmètre multi-composants. Le prix dépend du périmètre, pas du pays : à distance, aucun surcoût de déplacement.
Voir les fourchettes détailléesNon. La loi NIS2 belge et le CyFun exigent des tests documentés et une méthodologie reconnue (OWASP, PTES), pas une nationalité. Cadrage et restitution en visio, même fuseau horaire, facturation intra-UE en autoliquidation de TVA.
Voir la méthodologieÀ partir du niveau Important, le CyFun attend des évaluations de vulnérabilités et des tests de sécurité documentés. Un test d'intrusion daté avec rapport, remédiation et re-test est la preuve la plus directe pour un organisme d'évaluation ou le CCB.
Lire le guide CyFunSynthèse dirigeant, détail technique CVSS avec preuves d'exploitation, plan de remédiation priorisé et re-test optionnel. Rapport complet sous 48 à 72 heures après la fin des tests, en français.
Voir un exemple de rapportLaucked accompagne les PME, SaaS B2B et entités régulées de Belgique francophone pour cadrer leur exposition web, API et cloud avant une mission de pentest. Les missions se déroulent à distance : pas de déplacement nécessaire.
Suite recommandée
Si votre exposition justifie une mission, nous cadrons un pentest expert sur un périmètre clair, aligné sur votre niveau CyFun cible. Sinon, vous repartez avec une lecture utile de votre surface visible.
Cabinet de rattachement
Laucked est une société française basée en Toulouse métropole. Les missions pour les clients Belgique francophone se déroulent à distance, avec ateliers de cadrage en visio et déplacements ponctuels si la mission l'exige. La facturation B2B intra-UE se fait en autoliquidation de TVA.
Laucked
Bâtiment Gamma, 11 Bd Déodat de Séverac
31770 Colomiers (Occitanie)