On ne protège pas ce qu'on ne voit pas. Entre l'EASM (External Attack Surface Management) et l'article 21 NIS2, voici comment cartographier votre surface d'attaque externe, traquer le shadow IT et corréler les CVE avant l'attaquant.
« On a fait un scan, on est bon. » Spoiler : non. Test d'intrusion, scanner de vulnérabilités et EASM répondent à trois questions différentes. On démêle tout : automatisé vs humain, faux positifs, exploitabilité, et lequel choisir.
SAST, DAST, IAST : trois familles d'outils, trois manières de chasser les failles applicatives. Définitions, forces, limites, faux positifs, et ce que le SAST IA et le DAST IA changent vraiment en 2026 (sans le bullshit marketing).
Prix d'un pentest web en 2026 : fourchettes réelles et sourcées, modèle au TJM, facteurs qui font varier le coût (périmètre, blackbox vs whitebox, retest), comment lire un devis et réduire la facture sans sacrifier la qualité.
Pentest IA, pentest autonome, agent IA de pentest : entre la hype et la réalité 2026. Ce que les agents savent vraiment faire, où ils butent encore, et pourquoi « pentest IA » cache souvent un simple scan avancé.
Le sous-domaine de campagne oublié, le bucket S3 d'un prestataire parti, l'API de staging temporaire de 2021 : voilà votre vraie surface d'attaque. Comment cartographier le shadow IT et découvrir les actifs exposés via EASM, OSINT et certificate transparency.
Seuils de taille, entités essentielles vs importantes, effet ruissellement via la sous-traitance, calendrier France 2026 : le guide honnête pour savoir si NIS2 concerne votre PME, et les premières étapes concrètes pour s'y mettre.
Où placer le SAST (sur la PR) et le DAST (en staging) dans votre pipeline, comment brancher SARIF sur GitHub Code Scanning, et comment écrire un security gate qui bloque sans noyer les devs sous le bruit. Exemples GitHub Actions et GitLab CI inclus.
Le classement OWASP a changé en 2025. Broken Access Control toujours en tête, deux nouvelles catégories, SSRF avalé, et le SSDLC qui prend du galon. On vous explique les 10 risques de sécurité web, avec un exemple concret et la parade pour chacun. Sans jargon.
Déroulement d'un test d'intrusion web, phase par phase : cadrage et autorisation, reconnaissance, cartographie, découverte de vulnérabilités, exploitation, post-exploitation, rapport, restitution et retest. Méthodologie PTES et OWASP WSTG, ce qu'on attend de vous, et à quoi ressemble vraiment un pentest.
