// services
Chaque mission reproduit les méthodes d'un adversaire réel, dans un cadre contractualisé : NDA, règles d'engagement écrites, traçabilité complète — et un livrable exploitable par votre direction comme par vos équipes techniques.
Intrusion réaliste, assumed breach, social engineering.
Des scénarios d'intrusion menés dans les conditions d'un adversaire réel : pentest web, API et mobile, opérations Red Team face à votre équipe de défense, assumed breach et social engineering. Vous obtenez les chemins d'attaque réellement exploitables chez vous — et l'ordre dans lequel les fermer.
Rapport technique + synthèse exécutive, scoring CVSS, plan de remédiation priorisé, débrief oral avec vos équipes.
NDA systématique, règles d'engagement écrites, traçabilité complète, aucun impact hors périmètre convenu.
Votre exposition publique, vue avant qu'elle ne soit exploitée.
Toute attaque commence par le renseignement en sources ouvertes. Je cartographie votre exposition — identifiants compromis, fuites de données, infrastructure exposée, mentions de marque — et je surveille le dark et le deep web pour détecter une fuite avant qu'elle ne devienne un incident.
Rapport d'exposition et alertes sur fuites détectées, qualifiées par sévérité, avec recommandations.
NDA systématique, règles d'engagement écrites, traçabilité complète, aucun impact hors périmètre convenu.
Veille continue sur les menaces qui ciblent votre secteur.
Une veille continue, là où un audit reste une photographie. Vous suivez les menaces qui ciblent précisément votre secteur, votre supply chain et votre infrastructure — et vous disposez, en cas d'incident, d'un interlocuteur qui connaît déjà votre contexte.
Abonnement — veille continueRapport périodique + alertes temps réel sur incidents critiques. Abonnement mensuel ou hebdomadaire.
NDA systématique, règles d'engagement écrites, traçabilité complète, aucun impact hors périmètre convenu.
// comment_ça_se_passe
Périmètre, objectifs, règles d'engagement, NDA. Nous définissons ce qu'un adversaire réel pourrait cibler — et ce qui reste hors périmètre.
Reconnaissance, exploitation, persistance, mouvement latéral. Chaque action est tracée et reste dans le cadre contractualisé.
Rapport en deux niveaux : synthèse exécutive et détail technique. Chemins d'attaque, impact métier réel — pas une liste de CVE générique.
Remédiation priorisée par risque, débrief avec vos équipes, contre-vérification des correctifs. La mission se termine quand la faille est fermée, pas quand le rapport est envoyé.
// financement
Avant d'établir le devis, nous vérifions ensemble ce que les dispositifs publics, votre assurance cyber et vos obligations réglementaires peuvent couvrir. Je monte le dossier avec vous — vous n'engagez que le reste à charge.
Ordre de grandeur : audits offensifs à partir de ~3 000 € HT, reste à charge réduit selon les dispositifs ci-dessus. Devis précis à l'issue du cadrage.
L'éligibilité, les taux et le cumul relèvent des organismes concernés — toute estimation s'entend « sous réserve d'éligibilité ». Les dispositifs évoluent : vérification systématique sur les sources officielles.
4 champs. Retour sous 24h. Sans engagement.
// faq
Toute mission est encadrée par un NDA et des règles d'engagement écrites : périmètre, objectifs, interdictions, créneaux. Chaque action est tracée. Aucune action hors périmètre convenu — le cadre légal n'est pas négociable.
Un pentest ciblé tient en quelques jours à deux semaines. Une Red Team complète, c'est 3 à 6 semaines selon le périmètre et les scénarios. La veille threat intel est un abonnement mensuel ou hebdo, par construction.
C'est un bon résultat — ça arrive, et ça veut dire quelque chose. Vous repartez avec un rapport qui documente ce qui a été testé, ce qui tient, et les écarts de posture à surveiller. Un audit sans trouvaille n'est pas un échec, c'est une garantie datée.
PME et ETI principalement, ainsi que des organisations plus grandes sur des missions ciblées. L'essentiel est d'avoir un interlocuteur capable d'agir sur les recommandations : un RSSI, une DSI ou un dirigeant impliqué.
NDA systématique avant tout échange technique. Les livrables sont remis en main propre ou via un canal chiffré convenu, puis détruits ou archivés selon ce qu'on décide ensemble. Aucune donnée client n'est réutilisée ou partagée.
Le cadrage de 30 minutes est offert et le devis dépend du périmètre — un ordre de grandeur figure dans la section financement. Une partie du coût peut être couverte par des dispositifs publics (Bpifrance, Cyber PME) ou par votre assurance cyber.
Premier échange offert, devis sous 24h, NDA dès le premier échange technique.
Demander un audit