Services

Tests d'intrusion & audits de sécurité pour SaaS — externe, application web, mobile, API et cloud

Tests d'intrusion manuels par des testeurs certifiés OSCP/OSCE/CREST face aux normes que vos auditeurs et vos clients attendent réellement : méthodologie PTES, OWASP ASVS L1–L3 pour le web, OWASP MASVS pour le mobile, OWASP API Security Top 10 2023, CIS Benchmarks pour le cloud. Chaque vulnérabilité est notée selon CVSS v4.0 avec contexte de risque métier, un résumé exécutif lisible par le conseil d'administration, un suivi de remédiation importable dans JIRA et un retest gratuit dans les 90 jours. Des rapports conçus pour les preuves SOC 2 CC4/CC7, la Req 11.4 de PCI DSS, le §164.308(a)(8) d'HIPAA, l'article 15 du règlement européen sur l'IA et le TLPT DORA. Tests à partir de 5 500 EUR.

Tests d'intrusion et audits de sécurité pour applications SaaS et web

Les scanners automatisés captent le bruit ; les humains captent les bugs qui partent en production. Nos missions sont manuelles, guidées par des hypothèses, et suivent PTES (Penetration Testing Execution Standard) de bout en bout — pré-engagement, renseignement, modélisation des menaces, analyse de vulnérabilité, exploitation, post-exploitation et restitution. Chaque vulnérabilité est livrée avec une PoC fonctionnelle, un vecteur CVSS v4.0 incluant les métriques Threat et Environmental, et un bloc de remédiation que vos développeurs peuvent transformer en ticket dès le lundi matin. Les rapports résistent aux achats grands comptes, au travail de terrain des auditeurs et à la souscription d'assurance cyber, parce que la méthodologie est documentée et les testeurs sont nommés.

Ce que nous livrons

Pentest réseau externe

Évaluation du périmètre Internet selon PTES + NIST SP 800-115 : énumération, analyse de vulnérabilité, exploitation manuelle des services exposés, chaînes d'attaque sur les identifiants, et le scénario de compromission que votre CISO doit voir consigné par écrit.

Pentest d'application web

Couverture OWASP ASVS L1/L2/L3 : authentification, session, contrôle d'accès (y compris BOLA/IDOR), validation des entrées, abus de logique métier, gestion des fichiers, surface d'API, et les dix chapitres de l'OWASP Top 10 2021 avec exploitation active.

Pentest mobile (iOS + Android)

Couverture OWASP MASVS avec les cas de test MASTG : interaction avec la plateforme, stockage des données, cryptographie, réseau, authentification, qualité du code, résilience (détection root/jailbreak, anti-débogage), et l'analyse statique + dynamique des IPA/APK que réalisent aussi les validateurs des stores.

Pentest API

OWASP API Security Top 10 2023 : BOLA (API1), authentification défaillante (API2), BOPLA (API3), consommation de ressources non restreinte (API4), BFLA (API5), SSRF (API7), mauvaise configuration de sécurité (API8), gestion d'inventaire inadéquate (API9). REST, GraphQL et gRPC.

Audit de configuration cloud

AWS/GCP/Azure par rapport aux CIS Benchmarks ainsi qu'au pilier sécurité du Well-Architected Framework du fournisseur : IAM, chiffrement, journalisation, exposition réseau, gestion des secrets, configuration conteneur/serverless, et la revue des frontières cross-compte/cross-tenant.

Rapport & retest

Résumé exécutif, méthodologie citant les phases PTES et les chapitres ASVS/MASVS/API Top 10, vulnérabilités avec vecteurs CVSS v4.0 et PoC, récit d'attaque, suivi de remédiation importable dans JIRA, et un retest gratuit dans les 90 jours avec réémission d'une lettre propre.

Méthodologies, normes et outils que nous utilisons

PTES NIST SP 800-115 OSSTMM 3 OWASP Top 10 2021 OWASP ASVS L1 OWASP ASVS L2 OWASP ASVS L3 OWASP MASVS OWASP MASTG OWASP API Top 10 2023 OWASP LLM Top 10 CVSS v4.0 CWE / CAPEC CIS Benchmarks MITRE ATT&CK OSCP / OSCE / OSEP CREST CRT / CCT CISSP Burp Suite Pro Nuclei / ZAP Frida / Objection MobSF Pacu / Prowler ScoutSuite DORA TLPT CBEST / TIBER-EU

Déroulement d'une mission

  1. 01

    Cadrage & ROE

    Semaine 0 : appel de cadrage, Règles d'engagement (Rules of Engagement) signées (liste des cibles, techniques autorisées, fenêtres horaires, contacts d'urgence), comptes de test provisionnés, accès au code source pour le grey/white-box lorsqu'il est dans le périmètre.

  2. 02

    Test

    Jours 1–N : tests manuels guidés par PTES avec un testeur principal nommé et un testeur en doublure, points d'avancement quotidiens, notification immédiate de toute vulnérabilité Critique avec une PoC fonctionnelle, preuves par captures d'écran tout au long de la mission.

  3. 03

    Rapport & débrief

    Dans les 5 jours ouvrés suivant la fin du test : rapport préliminaire, appel de débrief technique avec l'ingénierie, débrief exécutif avec la direction, rapport final livré en PDF + suivi de remédiation CSV importable dans JIRA.

  4. 04

    Retest

    Dans les 90 jours : retest gratuit de chaque vulnérabilité Élevée et Critique, lettre de retest propre réémise pour remise aux achats/à l'auditeur. Les packs annuels ajoutent une cadence trimestrielle et un retest continu par trimestre.

Formules de prestation

Pentest réseau externe

Cinq jours ouvrés de test + rapport. Périmètre Internet, jusqu'à ~50 hôtes, méthodologie PTES, notation CVSS v4.0, rapport exécutif + technique, retest gratuit dans les 90 jours. 5 500 EUR.

Pentest d'application web

Huit jours ouvrés. Une seule application web, OWASP ASVS L2 par défaut (L3 +30 %), tests authentifiés multi-rôles, OWASP Top 10 complet + logique métier, rapport et retest inclus. 8 500 EUR.

Pentest d'application mobile

Sept jours ouvrés, une seule plateforme (iOS ou Android). MASVS L1+R, analyse statique + dynamique, instrumentation à l'exécution (Frida/Objection), rapport et retest. Les deux plateformes ensemble : 13 500 EUR. Une seule : 7 500 EUR.

Pentest API

Six jours ouvrés. Une seule surface d'API (REST/GraphQL/gRPC), OWASP API Security Top 10 2023, tests authentifiés multi-rôles, rapport et retest inclus. 6 500 EUR.

Audit de configuration cloud

Six jours ouvrés. Un seul compte AWS, GCP ou Azure, CIS Benchmark + pilier sécurité Well-Architected, revue IAM/chiffrement/journalisation/réseau, backlog de durcissement. 7 000 EUR.

Pack annuel de 4 tests

Toute combinaison de quatre tests sur l'année avec planification prioritaire, retest continu au sein de chaque trimestre, résumé exécutif de fin d'année couvrant toutes les missions, référent de relation nommé. 22 000 EUR/an.

Les tests d'intrusion fondés sur la menace (DORA TLPT, CBEST, TIBER-EU) et les missions red team sont devisés séparément sur un périmètre sur mesure. NDA et Règles d'engagement signées avant tout début de test.

Pourquoi les CISO et les comités d'audit choisissent YuSMP pour le pentest

Conforme au RGPD · prêt pour ISO 27001 · SOC 2 Type II en cours · compatible HIPAA · piloté par OSCP/CREST

Des humains, pas seulement des scanners

Chaque mission est dirigée par un testeur nommé et certifié OSCP/OSCE/CREST. Les scanners automatisés interviennent en appui pour maximiser la couverture, mais les vulnérabilités qui comptent proviennent de tests d'hypothèses manuels et d'exploitation en chaîne.

Des rapports que les auditeurs acceptent d'emblée

Méthodologie citant PTES, chapitres des normes OWASP, vecteurs CVSS v4.0, testeurs et certifications nommés, format de lettre de retest qui correspond aux exigences de preuve SOC 2 / PCI / HIPAA. Aucun va-et-vient avec le cabinet d'audit.

Une remédiation qui aboutit

Les vulnérabilités sont rédigées pour le développeur qui doit les corriger : reproduction minimale, analyse de cause racine, conseils au niveau du code, importables dans JIRA. Les équipes d'ingénierie clôturent les vulnérabilités au lieu de discuter le rapport.

Pour une assurance continue, le pack annuel vous associe à un référent de relation qui apprend votre stack tout au long de l'année — le test de chaque trimestre s'appuie sur les vulnérabilités précédentes plutôt que de repartir de zéro.

Ce que disent nos clients

Nos applications iOS et Android avaient divergé au fil d'années de développement séparé. YuSMP a reconstruit une solution unifiée unique avec flux caméra en direct, contrôle d'appareils domotiques et accès multi-utilisateurs basé sur les rôles. Zéro défaut critique durant les six premiers mois après le lancement.
Patrick O'Brien, CTO, Grom SecurityVoir le cas →
Les applications de confidentialité vivent et meurent par la confiance. YuSMP a construit une implémentation WireGuard sans journaux, avec une carte de latence des serveurs, une connexion en un toucher et un kill switch — chaque fonctionnalité que nous avions promise aux utilisateurs. La validation Apple a été acceptée dès la première soumission.
Thomas Bergmann, Responsable produit, LiMP VPNVoir le cas →

Questions fréquentes

De quel type de test d'intrusion ai-je réellement besoin, et quelle norme le test suit-il ?

Cela dépend de votre surface d'attaque. Le pentest réseau externe (méthodologie PTES, NIST SP 800-115) couvre l'infrastructure exposée sur Internet — DNS, messagerie, services de périmètre, interfaces d'administration exposées. Le pentest d'application web couvre la logique de votre application et est cadré selon OWASP ASVS (Application Security Verification Standard) L1 pour les menaces opportunistes, L2 pour la plupart des applications SaaS traitant des données sensibles, L3 pour les exigences de haute assurance (santé, fintech, défense). Le pentest mobile suit OWASP MASVS (Mobile ASVS) couvrant les contrôles de plateforme (iOS/Android), le réseau, la cryptographie, l'authentification et la qualité du code. Le pentest API suit l'OWASP API Security Top 10 2023 (BOLA, authentification défaillante, BOPLA, consommation de ressources non restreinte, etc.) et teste l'authentification/autorisation au niveau de la requête. L'audit de configuration cloud examine AWS/GCP/Azure par rapport aux CIS Benchmarks ainsi qu'au pilier sécurité du Well-Architected Framework propre au fournisseur. La plupart des SaaS ont besoin d'un pentest application web + API + configuration cloud chaque année ; mobile si vous publiez une application mobile.

Quelles certifications vos testeurs détiennent-ils réellement, et pourquoi est-ce important ?

Nos testeurs principaux détiennent une combinaison d'OSCP (Offensive Security Certified Professional — examen pratique de 24 heures), OSCE/OSEP (exploitation plus avancée), CREST CRT/CCT (reconnu par le secteur au Royaume-Uni, accepté par le gouvernement britannique et le CBEST de la Banque d'Angleterre), et le cas échéant CISSP pour le rôle de conseiller senior. Pourquoi c'est important : un titulaire de l'OSCP a démontré sa capacité à exploiter des environnements multi-hôtes sous contrainte de temps ; un scanner automatisé non. Les achats grands comptes, le CBEST de la Banque d'Angleterre, le TIBER-EU et la plupart des assureurs cyber exigent désormais des testeurs nommés et certifiés sur la mission, et pas seulement la promesse marketing d'un cabinet évoquant des « professionnels certifiés ».

Comment notez-vous les vulnérabilités, et à quoi dois-je m'attendre dans le rapport ?

Chaque vulnérabilité est notée selon CVSS v4.0 (le vecteur actuel publié par le FIRST qui inclut les métriques Threat et Environmental, ainsi que les extensions Safety/Automated/Recovery). Nous attribuons aussi une cote de risque métier contextuelle, car CVSS seul ignore le contexte d'isolation des tenants et de classification des données. Le rapport contient : un résumé exécutif lisible par le conseil d'administration, une section méthodologie citant les phases PTES et les chapitres ASVS/MASVS/API Top 10 testés, une section vulnérabilités avec étapes de reproduction, vecteur CVSS, impact métier et remédiation priorisée, un récit d'attaque reconstituant le chemin qu'emprunterait un attaquant, et une annexe de preuves de test. Nous livrons également un suivi de remédiation au format CSV importable dans JIRA.

Comment fonctionne le retest, et est-il inclus ?

Oui — chaque mission inclut un retest gratuit dans les 90 jours suivant le rapport. Nous ré-exécutons la preuve de concept pour chaque vulnérabilité Élevée et Critique, vérifions le correctif et réémettons une lettre de retest propre que vous pouvez remettre aux achats grands comptes ou à un auditeur. Les retests hors périmètre (au-delà de 90 jours, ou à périmètre étendu) sont facturés à 30 % de la mission initiale. Pour une assurance continue, le pack annuel de 4 tests inclut une cadence trimestrielle et un retest continu au sein de chaque trimestre.

Comment votre pentest répond-il aux exigences SOC 2, PCI DSS Req 11.4, HIPAA et règlement européen sur l'IA / DORA ?

SOC 2 attend un pentest régulier comme preuve pour la surveillance CC4.1 et l'identification des vulnérabilités CC7.1 ; nos rapports sont acceptés par tous les grands cabinets d'audit. La Req 11.4.3 de PCI DSS v4.0.1 impose des tests d'intrusion externes/internes annuels ainsi qu'après tout changement significatif ; la Req 11.4.5 impose des tests de segmentation (annuels pour les commerçants, tous les 6 mois pour les prestataires de services). HIPAA ne nomme pas explicitement le « test d'intrusion », mais le §164.308(a)(8) impose une évaluation technique périodique — les pentests en sont la preuve de fait. L'article 15 du règlement européen sur l'IA impose des tests d'exactitude, de robustesse et de cybersécurité ; DORA (règlement (UE) 2022/2554) impose des tests d'intrusion fondés sur la menace (TLPT) aux entités financières significatives à partir de janvier 2025. Nous rattachons chaque vulnérabilité au contrôle pertinent afin que le rapport serve à plusieurs audits.

À quoi ressemble la tarification, et qu'est-ce qui entre dans le périmètre ou non ?

Tarification à la mission. Le Pentest réseau externe est à 5 500 EUR (5 jours ouvrés de test + rapport) — périmètre du périmètre Internet, jusqu'à ~50 hôtes. Le Pentest d'application web est à 8 500 EUR (8 jours) — une seule application ou un multi-app strictement cadré, ASVS L2 par défaut. Le Pentest d'application mobile est à 7 500 EUR (7 jours) — iOS ou Android, MASVS L1+R ; les deux plateformes ensemble sont devisées à 13 500 EUR. Le Pentest API est à 6 500 EUR (6 jours) — une seule surface d'API, OWASP API Top 10 2023. L'Audit de configuration cloud est à 7 000 EUR (6 jours) — un seul compte AWS/GCP/Azure, CIS Benchmark + pilier sécurité Well-Architected du fournisseur. Le Pack annuel de 4 tests est à 22 000 EUR — toute combinaison de quatre tests sur l'année avec planification prioritaire, retest continu et un résumé exécutif de fin d'année couvrant toutes les missions. Retest gratuit dans les 90 jours inclus pour chaque mission.

Besoin d'un rapport de pentest que votre prochain prospect grand compte acceptera dès la première lecture ?

Réserver un appel de cadrage pentest

Demander une proposition

Partagez quelques détails et un consultant senior vous répondra sous un jour ouvré.

Vous préférez échanger directement ? ☎ Appeler le +374 44 871 811 ✉ sales@yusmpgroup.com