Process & Livrables
Ce document décrit notre process de mission, les standards que nous appliquons, les livrables contractuels et la politique de confidentialité. Il est destiné aux équipes techniques, DSI, et responsables de la conformité qui ont besoin d'évaluer notre prestation avant engagement.
OWASP Top 10
Les 10 risques critiques pour les applications web, mis à jour en 2021. Couvre injection, authentification, exposition de données sensibles, etc.
OWASP API Top 10
Les 10 risques spécifiques aux API. Couvre BOLA, authentification, exposition excessive de données, SSRF.
OWASP LLM Top 10
Référentiel OWASP pour les systèmes basés sur des LLM. Couvre prompt injection, jailbreak, data leakage et supply chain IA. Activable dans le pentest full selon votre périmètre.
PTES
Penetration Testing Execution Standard. Cadre méthodologique complet qui définit les phases de test, la documentation et les livrables attendus.
CVSS v3.1
Common Vulnerability Scoring System. Utilisé pour noter chaque finding de manière objective et comparable.
CVE / CWE
Référencement des vulnérabilités connues (CVE) et des faiblesses logicielles (CWE) utilisé dans la documentation technique.
Cadrage & NDA
Premier appel de 30 min pour qualifier le périmètre (domaines, API, intégrations IA). Signature d'un accord de confidentialité (NDA) avant tout échange de données techniques. Définition des rules of engagement (plages horaires, systèmes exclus, contacts d'urgence).
Reconnaissance & cartographie
Recensement passif des actifs exposés : DNS, sous-domaines, technologies, endpoints publics. Identification des surfaces d'attaque prioritaires avant toute interaction active avec les systèmes.
Tests actifs
Exécution des tests selon le périmètre contractualisé : web (OWASP Top 10), API (OWASP API Top 10), et le cas échéant audit des intégrations IA (OWASP LLM Top 10 — prompt injection, jailbreak, data leakage). Chaque vecteur est documenté au fil des tests.
Rapport & remise
Livraison du rapport complet : executive summary, findings techniques classés par sévérité (CVSS v3.1), preuves de concept, et plan de remédiation priorisé. Debriefing oral inclus sur demande.
Remédiation & re-test
Période de correction par vos équipes. Re-test de validation des vulnérabilités corrigées inclus selon le périmètre de mission retenu. Le rapport final est émis après validation.
Executive summary
Synthèse en langage non-technique : posture de sécurité, risque global, priorités de correction. Utilisable en comité de direction et pour les dossiers assurance cyber.
Rapport technique détaillé
Pour chaque finding : titre, description, vecteur d'exploitation, sévérité CVSS v3.1, preuve de concept (capture ou reproduction pas-à-pas), et recommandation de correction.
Plan de remédiation priorisé
Liste ordonnée des corrections selon l'impact et la faisabilité. Distingue les quick wins (< 48h) des remédiations structurelles.
Attestation de re-test
Document signé attestant que les vulnérabilités identifiées ont bien été vérifiées après correction. Peut être fourni aux auditeurs ou assureurs.
Les délais dépendent du périmètre contractualisé et de la disponibilité convenue lors de l'appel découverte. Ils sont confirmés par écrit dans le bon de commande.
Couvert par défaut
Hors périmètre standard
Un accord de confidentialité (NDA) bilatéral est signé avant tout partage d'informations techniques. Il couvre l'ensemble des données échangées pendant la mission : périmètre, credentials de test, findings intermédiaires, et rapport final.
Les données techniques utilisées pendant les tests ne sont pas stockées au-delà de la durée de la mission et de la période de re-test. Les rapports finaux sont conservés de manière sécurisée pendant 12 mois après livraison, puis détruits.
Toutes les données sont hébergées en France. Aucun sous-traitant non-UE n'intervient dans le process d'exécution de la mission.
Des questions sur le process, le périmètre, ou les livrables ? Prenez 30 minutes avec nous.