Pentest Web Whitebox
Le code dit la vérité. On le lit ligne par ligne.
Test d'intrusion web en boîte blanche, mené par un pentester certifié OSWE avec accès au code source, à l'architecture et idéalement à l'infra. Revue de code manuelle, SAST outillé puis trié à la main, DAST guidé par le code, revue d'archi, audit des configs serveurs, BDD et cloud, analyse crypto. On sort les failles de logique métier, les race conditions et la crypto cassée que le blackbox ne voit jamais. NDA strict, code analysé en environnement isolé et supprimé après la mission. Rapport exécutif et technique avec PoC, CVSS et remédiation priorisée, retests inclus. C'est la profondeur humaine qui complète l'EASM (surface externe) et SecAI (SAST IA continu).
Méthodologie
Le déroulé d'une mission
Une mission monte par étapes, du périmètre jusqu'au re-test : reconnaissance, exploitation avec preuves de faille à l'appui, mesure de l'impact réel, puis un rapport orienté remédiation. On revient vérifier vos correctifs une fois qu'ils sont en place.
Tarifs
Des tarifs lisibles, sans surprise.
- TJM 600 € net, TVA non applicable (art. 293 B CGI)
- Revue de code + archi + configs + crypto
- Rapport exécutif et technique, PoC, CVSS, remédiation priorisée
- 1 retest inclus pour valider les correctifs
- Non destructif, staging ou préprod par défaut
- TJM 600 € net, TVA non applicable (art. 293 B CGI)
- Périmètre élargi : plusieurs modules, archi complète, infra
- Rapport exécutif et technique, PoC, CVSS, remédiation priorisée
- 2 retests inclus pour valider les correctifs
- Restitution orale et transfert de connaissance
- Sur devis, TJM 600 € net
- Pour monorepo, multi-repos ou périmètre large
- Nombre de jours et de retests adaptés au scope
- Implémentation des correctifs en option, forfait séparé
- Attestation post-remédiation pour la conformité
Fonctionnalités
Tout ce qu'il faut pour sécuriser, sans le superflu.
Revue de code source manuelle
Un pentester OSWE lit votre code, pas un scanner. On cherche les failles logiques, les chaînes d'exploitation et les erreurs de conception que les outils ne savent pas suivre. Le code est analysé en lecture seule, dans un environnement isolé.
SAST outillé, faux positifs triés à la main
On passe des outils d'analyse statique pour couvrir le volume, puis on trie chaque résultat manuellement. Vous recevez des vulnérabilités confirmées avec leur impact réel, pas une liste brute de 200 alertes dont la moitié est du bruit.
DAST guidé par le code
Les tests dynamiques sont orientés par ce que la lecture du code a révélé. On va directement sur les endpoints et les chemins sensibles au lieu de tâtonner à l'aveugle, ce qui rend l'exploitation plus rapide et plus profonde qu'en blackbox.
Revue d'architecture
On regarde comment les composants communiquent, où sont les frontières de confiance, comment l'authentification et les autorisations sont conçues. Beaucoup de failles graves viennent de l'archi, pas d'une seule ligne de code.
Audit des configurations
Serveurs web, bases de données, services cloud. On vérifie les durcissements, les droits, les secrets exposés, les en-têtes, les expositions inutiles. Une config par défaut laissée en place suffit souvent à ouvrir la porte.
Analyse cryptographique
Revue de l'usage de la crypto dans le code : algorithmes, gestion des clés, génération d'aléa, stockage des mots de passe, signatures et tokens. Les erreurs de crypto sont invisibles de l'extérieur et coûtent cher en cas de fuite.
Détection des failles invisibles en blackbox
Logique métier détournée, race conditions, contrôles d'accès incohérents, secrets en dur, dépendances tierces vulnérables. Avec le code sous les yeux, on trouve ce qu'un test externe rate par construction.
Comment ça marche
Du cadrage au retest.
- 01
Cadrage et convention d'audit
On définit le périmètre, les dépôts concernés, les accès nécessaires et les fenêtres d'intervention. NDA signé. Tout est borné par écrit avant la moindre ligne lue. Cadrage sans engagement.
- 02
Lecture du code et cartographie
Revue manuelle du code source, de l'architecture et des configurations, en appui d'outils SAST dont on trie les résultats à la main. On reconstitue le fonctionnement réel de l'application et ses zones à risque.
- 03
Exploitation guidée par le code
Tests dynamiques ciblés sur les chemins identifiés, exploitation manuelle selon l'autorisation écrite. Non destructif, sur staging ou préprod par défaut. On va jusqu'à l'impact réel pour qualifier la gravité.
- 04
Rapport, restitution et retest
Rapport exécutif et technique livré sous 5 à 10 jours ouvrés, avec PoC, score CVSS et remédiation priorisée. Restitution orale, puis retests inclus pour vérifier que les correctifs tiennent.
Bénéfices
L'impact concret pour vos équipes.
Vous voyez les failles les plus coûteuses, pas seulement les plus visibles
Les vulnérabilités qui font mal en production sont rarement dans le top 10 d'un scanner. Ce sont des failles de logique métier, des contrôles d'accès cassés, de la crypto mal implémentée. L'accès au code les fait sortir avant un attaquant.
Votre code reste confidentiel et sous contrôle
NDA signé avant la mission, accès au dépôt en lecture seule, analyse dans un environnement isolé, suppression du code après la livraison du rapport. L'objection numéro un d'un CTO est traitée par écrit, pas par une promesse orale.
Vos développeurs montent en compétence
Restitution orale et transfert de connaissance possibles : vos équipes comprennent l'origine des failles et comment les éviter. L'implémentation des correctifs est proposée en option, en forfait séparé, si vous voulez aller jusqu'au bout.
Questions fréquentes
Ce que vous voulez probablement savoir.
Parlons de votre besoin.
Démo, devis ou question technique : réponse sous 48 h ouvrées.