Process & Livrables
Comment se déroule un pentest, quels livrables vous recevez (rapport technique, plan de remédiation, attestation de re-test) et en combien de temps. Les livrables sont détaillés section par section pour les équipes techniques, DSI et responsables conformité.
OWASP Top 10 (2021)
Les 10 risques critiques pour les applications web. Référentiel mondial de facto utilisé par la plupart des assureurs cyber et des questionnaires de due diligence. Couvre : A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Auth Failures, A08 Software Integrity Failures, A09 Logging Failures, A10 SSRF. Chaque finding est mappé explicitement à la catégorie OWASP correspondante dans le rapport.
OWASP API Security Top 10 (2023)
Les 10 risques spécifiques aux API REST et GraphQL. Indispensable pour les SaaS B2B et les architectures multi-tenant. Couvre : API1 BOLA (Broken Object Level Authorization), API2 Broken Authentication, API3 BOPLA, API4 Unrestricted Resource Consumption, API5 BFLA, API6 Unrestricted Access to Sensitive Business Flows, API7 SSRF, API8 Security Misconfiguration, API9 Improper Inventory Management, API10 Unsafe Consumption of APIs.
OWASP WSTG (Web Security Testing Guide)
Guide de test exhaustif pour les applications web (plus de 90 contrôles). Sert de checklist pour la phase d'exécution : contrôle d'accès, gestion des sessions, validation des entrées, cryptographie, logique métier, APIs, client-side. Garantit qu'aucune catégorie de test n'est oubliée.
OWASP LLM Top 10
Référentiel OWASP pour les systèmes basés sur des LLM. Couvre LLM01 Prompt Injection, LLM02 Insecure Output Handling, LLM03 Training Data Poisoning, LLM04 Model Denial of Service, LLM05 Supply Chain, LLM06 Sensitive Information Disclosure, LLM07 Insecure Plugin Design, LLM08 Excessive Agency, LLM09 Overreliance, LLM10 Model Theft. Activable selon votre périmètre IA.
OWASP MASTG (Mobile Application Security Testing Guide)
Guide de test spécifique pour les applications iOS et Android. Couvre le stockage local, la cryptographie embarquée, l'authentification, les communications réseau, la résistance au reverse engineering, la manipulation d'exécution. Activable sur périmètre mobile.
PTES (Penetration Testing Execution Standard)
Cadre méthodologique complet qui définit les 7 phases d'un pentest : Pre-engagement Interactions, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post Exploitation, Reporting. Référence pour la structuration globale de la mission et la défense de la démarche face à un auditeur.
MITRE ATT&CK
Base de connaissance des techniques, tactiques et procédures (TTPs) utilisées par les attaquants réels. Chaque finding d'un pentest Laucked est mappé à une technique ATT&CK (ex : T1190 Exploit Public-Facing Application, T1078 Valid Accounts). Permet à votre SOC / MSSP d'aligner détections et remédiations.
CIS Benchmarks
Référentiels de durcissement pour les environnements cloud (AWS, Azure, GCP), Kubernetes, bases de données, systèmes d'exploitation. Utilisés en configuration review pour les pentests cloud et hybrides.
CVSS v3.1 & v4.0
Common Vulnerability Scoring System. Utilisé pour noter chaque finding de manière objective et comparable. Score de base (exploitabilité + impact) + score temporel + score environnemental contextualisé à votre architecture. CVSS v4.0 sur demande pour les livrables à destination d'assureurs exigeants.
CVE / CWE
Référencement des vulnérabilités connues (CVE) et des catégories de faiblesses logicielles (CWE) utilisé dans la documentation technique. Chaque finding est associé à la CWE correspondante pour aider les développeurs à remonter à la cause racine.
ANSSI — recommandations d'hygiène
Référentiel d'hygiène informatique de l'ANSSI et recommandations sectorielles françaises (RGS, LPM). Sert de base pour cadrer les attentes face aux audits réglementés et aux cadres PME français. Laucked n'est pas qualifié PASSI ANSSI — cette qualification reste requise pour les audits RGS / LPM / OIV où nous orientons vers un prestataire qualifié.
Conformité NIS2 & DORA
Alignement des pentests avec les obligations NIS2 (directive européenne, entités essentielles et importantes) et DORA (secteur financier, TLPT pour les entités significatives). Le rapport documente les preuves de test utilisables pour les audits de conformité.
Cadrage & NDA — phase pré-engagement PTES
Premier appel de 30-45 min pour qualifier le périmètre (domaines, API, intégrations IA, environnements cloud, mobile). Signature d'un accord de confidentialité (NDA) avant tout échange de données techniques. Définition formelle des rules of engagement : plages horaires autorisées, systèmes exclus, contacts d'urgence 24/7, conditions d'arrêt d'urgence, hypothèses sur le profil d'attaquant simulé (externe sans crédentials, authentifié avec compte de test, insider avec accès limité). Correspond à la phase "Pre-engagement Interactions" du Penetration Testing Execution Standard (PTES) et à la préparation ATT&CK Tactic "Reconnaissance" pour la cartographie initiale.
Reconnaissance & cartographie — intelligence gathering
Recensement passif des actifs exposés : énumération DNS, sous-domaines (certificate transparency, DNS brute), technologies (Wappalyzer, Retire.js), endpoints publics, leaks GitHub / pastebin, fuites Shodan / Censys. Cartographie active bornée : crawl authentifié de l'application, découverte d'endpoints API cachés, fingerprinting des frameworks et versions. Identification des surfaces d'attaque prioritaires avant toute interaction active avec les systèmes. Corresponds aux phases "Intelligence Gathering" et "Threat Modeling" de PTES + tactic ATT&CK TA0043 (Reconnaissance).
Tests actifs — exploitation bornée et chaînage
Exécution des tests selon le périmètre contractualisé et les référentiels ouverts. Web : OWASP Testing Guide (OWASP WSTG) + Top 10 2021 (injection, broken auth, SSRF, IDOR, RCE). API : OWASP API Security Top 10 2023 (BOLA, BFLA, unrestricted resource consumption, injection, mass assignment). Mobile : OWASP MASTG si applicable. Cloud : CIS Benchmarks AWS/Azure/GCP + exploitation post-exploitation (IAM escalation, lateral movement bornée). IA / LLM : OWASP LLM Top 10 (prompt injection, jailbreak, data leakage, supply chain). Chaque vecteur est documenté en temps réel : requête brute, réponse, preuve d'impact, mapping MITRE ATT&CK technique. Le chaînage de findings mineurs vers un impact critique est systématiquement recherché (ex : SSRF + métadonnées IMDS AWS → RCE).
Rapport & remise — chain-of-custody et preuves
Livraison du rapport complet : executive summary 2 pages pour la direction, rapport technique détaillé avec preuves de concept reproductibles, findings classés par sévérité CVSS v3.1 (remontée vers CVSS v4.0 sur demande), matrice d'impact business, mapping CWE / MITRE ATT&CK. Chain-of-custody documentée : chaque preuve est horodatée, signée cryptographiquement (SHA-256 sur les captures), archivée dans un bundle chiffré (AES-256-GCM) pendant la durée contractuelle. Debriefing oral planifié avec l'équipe technique et/ou le comité de direction selon le cadrage. Le rapport est défendable face à un auditeur ISO 27001, un assureur cyber, un client final en due diligence.
Remédiation & re-test — validation fermée
Période de correction par vos équipes avec accompagnement technique asynchrone (Slack partagé ou email priorisé). Re-test de validation inclus dans le devis sur les findings critiques et majeurs, à réaliser sous 60 jours après livraison du rapport initial. Le re-test vérifie que le correctif ferme effectivement le vecteur d'exploitation original et ne crée pas de régression. Émission d'une attestation de re-test signée listant les vulnérabilités vérifiées et leur statut (fermée / toujours exploitable / partiellement fermée avec compensation), utilisable pour les audits externes, les assureurs ou les questionnaires de due diligence client.
Executive summary — 2 pages
Synthèse en langage non-technique : posture de sécurité globale, top 3 des risques critiques avec impact business, priorités de correction, statut global (acceptable / à remédier / critique). Conçu pour être lu en comité de direction et joint aux dossiers assurance cyber, aux questionnaires de due diligence client, aux audits ISO 27001.
Rapport technique détaillé
Pour chaque finding : identifiant unique, titre, description technique, vecteur d'exploitation pas-à-pas, catégorisation OWASP (Top 10 ou API Top 10), CWE correspondante, mapping MITRE ATT&CK (tactique + technique), score CVSS v3.1 (vecteur complet + justification du score environnemental), preuve de concept reproductible (requête brute, réponse, capture), impact business contextualisé, recommandation de correction au niveau code et au niveau configuration, références bibliographiques.
Plan de remédiation priorisé
Liste ordonnée des corrections selon l'impact (exploitation confirmée + données sensibles exposées) et la faisabilité (effort de développement, criticité du composant). Distingue les quick wins (correctifs < 48h : configurations, headers, rate-limit) des remédiations structurelles (< 30 jours : refonte d'un flux d'autorisation, migration de librairie). Chaque remédiation inclut une estimation d'effort en jours-homme.
Matrice d'impact business
Tableau croisant chaque finding avec les actifs métier concernés (données clients, données financières, propriété intellectuelle, continuité de service, conformité réglementaire). Permet au dirigeant et au DPO de relier un risque technique à un impact RGPD, une clause contractuelle, une obligation NIS2 ou DORA.
Attestation de re-test signée
Document signé listant chaque vulnérabilité vérifiée après correction avec son statut final : fermée (correctif valide), toujours exploitable (correctif absent ou contournable), partiellement fermée avec mesure compensatoire documentée. Utilisable auprès des auditeurs externes, des assureurs cyber, des clients finaux en due diligence.
Bundle de preuves chiffré (chain-of-custody)
Archive AES-256-GCM contenant les preuves brutes (captures, requêtes/réponses HTTP, exports de bases, journaux d'exploitation), horodatées UTC et signées SHA-256. Conservée pendant la durée contractuelle (typiquement 12 mois), accessible à vous sur demande, détruite à échéance. Défendable face à un auditeur ISO 27001 ou un client exigeant des preuves objectives.
Chaque vulnérabilité est classée selon le scoring CVSS v3.1. Voici des exemples concrets pour chaque niveau :
Critique (CVSS 9.0-10.0)
Injection SQL permettant l'extraction complète de la base de données clients, ou contournement d'authentification donnant accès administrateur.
Haute (CVSS 7.0-8.9)
IDOR permettant à un utilisateur d'accéder aux données d'un autre compte, ou XSS stocké dans un champ visible par d'autres utilisateurs.
Moyenne (CVSS 4.0-6.9)
Absence de rate-limiting sur l'endpoint de login, ou headers de sécurité manquants (CSP, HSTS) exposant à des attaques secondaires.
Basse (CVSS 0.1-3.9)
Divulgation de version serveur dans les headers HTTP, ou cookies sans flag Secure sur des pages non sensibles.
Les délais dépendent du périmètre contractualisé et de la disponibilité convenue lors de l'appel découverte. Ils sont confirmés par écrit dans le bon de commande.
Couvert par défaut
Hors périmètre standard
Un scan automatisé (Nessus, Qualys, etc.) est utile en première ligne, mais il a des angles morts structurels qu'un pentest manuel comble :
Pour une comparaison complète avec les prix associés, consultez notre guide des prix pentest PME.
Un accord de confidentialité (NDA) bilatéral est signé avant tout partage d'informations techniques. Il couvre l'ensemble des données échangées pendant la mission : périmètre, credentials de test, findings intermédiaires, et rapport final.
Les données techniques utilisées pendant les tests ne sont pas stockées au-delà de la durée de la mission et de la période de re-test. Les rapports finaux sont conservés de manière sécurisée pendant 12 mois après livraison, puis détruits.
Toutes les données sont hébergées en France. Aucun sous-traitant non-UE n'intervient dans le process d'exécution de la mission.
Un pentest Laucked suit la méthodologie PTES en 5 étapes : (1) cadrage et signature du NDA avec rules of engagement formelles ; (2) reconnaissance passive + cartographie active bornée (DNS, sous-domaines, technologies, endpoints) ; (3) tests actifs selon OWASP Top 10, OWASP API Top 10, OWASP WSTG et MITRE ATT&CK ; (4) remise du rapport complet avec executive summary, findings CVSS v3.1, preuves d'exploitation et plan de remédiation ; (5) re-test de validation inclus sous 60 jours après correction.
Quatre livrables systématiques : un executive summary 2 pages pour la direction (utilisable en comité de direction et dossier assurance cyber) ; un rapport technique détaillé avec pour chaque finding un titre, une description, un vecteur d'exploitation, un score CVSS v3.1 (et v4.0 sur demande), une preuve de concept reproductible, un mapping CWE / MITRE ATT&CK et une recommandation de correction ; un plan de remédiation priorisé distinguant quick wins et remédiations structurelles ; une attestation de re-test signée après correction.
Le premier appel de cadrage est organisé sous 48h après demande. La durée des tests dépend du périmètre : 5 à 12 jours pentester pour une application web PME standard, 10 à 20 jours pour une plateforme SaaS multi-tenant, 15 à 25 jours pour un périmètre incluant API, back-office, infrastructure cloud et mobile. Le rapport est livré sous 48-72h après la fin des tests. La fenêtre de re-test est de 60 jours après livraison du rapport initial.
Un scan automatisé (Nessus, Qualys, OpenVAS) détecte les vulnérabilités connues via signatures CVE avec 30-50% de faux positifs et ne teste jamais la logique métier. Un pentest manuel simule un attaquant réel : il teste la logique métier (contournement de paiement, escalade entre rôles), chaîne les vulnérabilités (SSRF → RCE, IDOR → privilege escalation), fournit des preuves d'exploitation concrètes avec moins de 5% de faux positifs, et produit un rapport défendable face à un auditeur ou un assureur. Les deux sont complémentaires : le scan pour la couverture continue, le pentest pour la profondeur.
Chaque preuve (capture d'écran, réponse HTTP brute, payload, journal d'exploitation) est horodatée UTC, signée cryptographiquement en SHA-256, et archivée dans un bundle chiffré AES-256-GCM. Le bundle est conservé pendant la durée contractuelle (typiquement 12 mois), accessible à vous sur demande, et détruit à la fin de la durée de conservation. Cette chain-of-custody est défendable face à un auditeur ISO 27001, un assureur cyber ou un client final en due diligence.
La méthodologie suit le Penetration Testing Execution Standard (PTES) pour la structuration globale des 7 phases (pre-engagement, intelligence gathering, threat modeling, vulnerability analysis, exploitation, post-exploitation, reporting). L'exécution s'appuie sur l'OWASP Testing Guide (WSTG) pour le web, l'OWASP API Security Top 10 pour les API, l'OWASP MASTG pour le mobile, les CIS Benchmarks pour le cloud, et le framework MITRE ATT&CK pour le mapping tactique. Chaque finding est mappé à sa catégorie OWASP et à sa technique ATT&CK dans le rapport.
Oui, le re-test sur les findings critiques et majeurs est inclus par défaut dans chaque devis Laucked, à réaliser sous 60 jours après livraison du rapport initial. Il vérifie que le correctif ferme effectivement le vecteur d'exploitation et ne crée pas de régression. Une attestation de re-test signée est remise listant chaque vulnérabilité vérifiée avec son statut final (fermée / toujours exploitable / partiellement fermée avec mesure compensatoire).
Non. Laucked n'est pas qualifié PASSI (Prestataire d'Audit de Sécurité des Systèmes d'Information) par l'ANSSI. Cette qualification reste requise pour les audits réglementés RGS, LPM et OIV. Pour ces cadres, nous orientons vers un prestataire qualifié. Nos pentests suivent les méthodologies de référence (PTES, OWASP, MITRE ATT&CK) et les recommandations d'hygiène informatique de l'ANSSI, ce qui les rend adaptés aux pentests PME, SaaS B2B, ETI et grands comptes hors périmètre OIV.
Chaque finding est noté en CVSS v3.1 par défaut (score de base + score temporel + score environnemental contextualisé à votre architecture). CVSS v4.0 est disponible sur demande pour les livrables destinés à des assureurs cyber exigeants ou à des audits ISO 27001 récents. Le score est accompagné du vecteur CVSS complet, d'une justification écrite du score environnemental, et du mapping CWE correspondant.
Applications web authentifiées et publiques, API REST et GraphQL, SaaS multi-tenant, portails client, back-offices admin, logiciels métier, applications mobile iOS / Android, environnements cloud AWS / Azure / GCP, conteneurs Kubernetes et serverless, systèmes IA et LLM (chatbots, agents, RAG), workflows d'automatisation (N8n, Zapier, Make). Les périmètres hors zone de compétence (ICS / SCADA industriel, hardware embarqué, red team physique) sont explicitement déclinés et orientés vers un confrère qualifié.
Des questions sur le process, le périmètre, ou les livrables ? Prenez 30 minutes avec nous.
$laucked-scan --report executive
[>]Executive summary generated
[>]12 findings, 3 critical, CVSS scored
[OK]Report delivered — PDF + JSON