Pentest Web Blackbox
Test d'intrusion web blackbox, sans accès au code. La position exacte d'un attaquant externe.
Un pentester certifié OSWE attaque votre application depuis Internet, sans accès au code ni à l'architecture. Exploitation réelle des failles selon votre autorisation, pas un scan automatique recraché en PDF. On couvre l'OWASP Top 10 et vos API (REST, GraphQL, SOAP), on enchaîne les vulnérabilités jusqu'à l'impact réel, et on vous livre un rapport à deux niveaux : synthèse exécutive pour la direction, détail technique avec PoC, score CVSS et remédiation priorisée. Tests non destructifs, staging ou préprod par défaut. Retest inclus pour vérifier que vos correctifs tiennent. Le pentest, c'est la profondeur humaine qui complète l'EASM (surveillance de la surface externe) et SecAI (SAST IA continu).
Méthodologie
Le déroulé d'une mission
Une mission monte par étapes, du périmètre jusqu'au re-test : reconnaissance, exploitation avec preuves de faille à l'appui, mesure de l'impact réel, puis un rapport orienté remédiation. On revient vérifier vos correctifs une fois qu'ils sont en place.
Tarifs
Des tarifs lisibles, sans surprise.
- TJM 450 € net, TVA non applicable (art. 293 B CGI)
- Test d'intrusion externe blackbox d'une application web
- OWASP Top 10, API REST/GraphQL/SOAP, exploitation réelle selon autorisation
- Rapport exécutif et technique (PoC, CVSS, remédiation priorisée)
- 1 retest inclus pour valider les correctifs
- Rapport livré sous 5 à 10 jours ouvrés
- TJM 450 € net, TVA non applicable (art. 293 B CGI)
- Périmètre plus large ou application complexe (multi-rôles, multi-API)
- Recherche approfondie de logique métier et chaînes d'exploitation
- Rapport exécutif et technique (PoC, CVSS, remédiation priorisée)
- 2 retests inclus pour valider les correctifs
- Rapport livré sous 5 à 10 jours ouvrés
- TJM 450 € net, TVA non applicable (art. 293 B CGI)
- Durée ajustée à votre périmètre après cadrage
- Plusieurs applications, environnements ou contraintes spécifiques
- Nombre de retests défini au devis
- Pentester certifié OSWE, méthodologie OWASP/OSSTMM/PTES
- Cadrage du périmètre avant chiffrage
Fonctionnalités
Tout ce qu'il faut pour sécuriser, sans le superflu.
Exploitation réelle, pas de la détection
On ne se contente pas de lister des alertes. On enchaîne les vulnérabilités jusqu'à l'impact concret (accès données, prise de compte, contournement d'authentification), dans la limite de votre autorisation écrite.
Position d'attaquant externe
Aucun accès au code source ni à l'architecture. On part de zéro, comme un attaquant sur Internet : reconnaissance, énumération, puis attaque de ce qui est réellement exposé.
Couverture des API modernes
REST, GraphQL et SOAP testées spécifiquement. C'est souvent la vraie porte d'entrée, celle que les scans génériques ratent : objets exposés, contrôles d'accès cassés, injection côté API.
OWASP Top 10, OSSTMM, PTES
Méthodologie cadrée et reproductible, défendable en audit de conformité. Pas de recette maison opaque : un référentiel reconnu, des phases tracées, des résultats vérifiables.
Rapport exécutif et technique
Deux livrables dans un même document. Une synthèse de risque pour la direction, et le détail technique avec PoC reproductible, score CVSS et remédiation priorisée pour vos équipes.
Triage manuel des faux positifs
L'outillage (scanners, proxies) sert d'appui, jamais de livrable. Chaque vulnérabilité retenue est confirmée à la main. Vous recevez ce qui est exploitable, pas une sortie d'outil brute.
Comment ça marche
Du cadrage au retest.
- 01
Cadrage et autorisation
On définit le périmètre, les environnements visés (staging ou préprod par défaut), les fenêtres d'intervention et les comptes de test éventuels. Convention d'audit et autorisation écrite signées avant toute action.
- 02
Reconnaissance et énumération
Cartographie de la surface exposée depuis Internet : sous-domaines, points d'entrée, technologies, API REST/GraphQL/SOAP. On identifie les chemins d'attaque sans rien connaître de l'interne.
- 03
Exploitation contrôlée
Attaque manuelle des vulnérabilités selon l'OWASP Top 10, OSSTMM et PTES. On exploite réellement pour mesurer l'impact, on enchaîne les failles, on confirme chaque finding et on écarte les faux positifs.
- 04
Rapport et retest
Livraison sous 5 à 10 jours ouvrés du rapport exécutif et technique (PoC, CVSS, remédiation priorisée). Après vos correctifs, le retest inclus vérifie que les vulnérabilités sont bien fermées.
Bénéfices
L'impact concret pour vos équipes.
Vous savez ce qui est vraiment exploitable
Un scanner liste des symptômes. Le pentest blackbox démontre le chemin jusqu'à vos données et écarte le bruit. Vous priorisez sur des failles confirmées, pas sur 200 lignes de rapport automatique.
Le prix est écrit, pas négocié
TJM 450 € net affiché, missions chiffrées (5 j = 2 250 €, 10 j = 4 500 €). Vous budgétez sans appel commercial obligatoire. TVA non applicable, article 293 B du CGI, donc pas de +20 %.
Votre production n'est pas perturbée
Tests non destructifs, sur staging ou préprod par défaut. Périmètre et fenêtres d'intervention cadrés par écrit avant de commencer. Et un retest inclus pour confirmer que vos correctifs ferment bien la faille.
Questions fréquentes
Ce que vous voulez probablement savoir.
Parlons de votre besoin.
Démo, devis ou question technique : réponse sous 48 h ouvrées.