Pentest réseau externe
Évaluation du périmètre Internet selon PTES + NIST SP 800-115 : énumération, analyse de vulnérabilité, exploitation manuelle des services exposés, chaînes d'attaque sur les identifiants, et le scénario de compromission que votre CISO doit voir consigné par écrit.
Pentest d'application web
Couverture OWASP ASVS L1/L2/L3 : authentification, session, contrôle d'accès (y compris BOLA/IDOR), validation des entrées, abus de logique métier, gestion des fichiers, surface d'API, et les dix chapitres de l'OWASP Top 10 2021 avec exploitation active.
Pentest mobile (iOS + Android)
Couverture OWASP MASVS avec les cas de test MASTG : interaction avec la plateforme, stockage des données, cryptographie, réseau, authentification, qualité du code, résilience (détection root/jailbreak, anti-débogage), et l'analyse statique + dynamique des IPA/APK que réalisent aussi les validateurs des stores.
Pentest API
OWASP API Security Top 10 2023 : BOLA (API1), authentification défaillante (API2), BOPLA (API3), consommation de ressources non restreinte (API4), BFLA (API5), SSRF (API7), mauvaise configuration de sécurité (API8), gestion d'inventaire inadéquate (API9). REST, GraphQL et gRPC.
Audit de configuration cloud
AWS/GCP/Azure par rapport aux CIS Benchmarks ainsi qu'au pilier sécurité du Well-Architected Framework du fournisseur : IAM, chiffrement, journalisation, exposition réseau, gestion des secrets, configuration conteneur/serverless, et la revue des frontières cross-compte/cross-tenant.
Rapport & retest
Résumé exécutif, méthodologie citant les phases PTES et les chapitres ASVS/MASVS/API Top 10, vulnérabilités avec vecteurs CVSS v4.0 et PoC, récit d'attaque, suivi de remédiation importable dans JIRA, et un retest gratuit dans les 90 jours avec réémission d'une lettre propre.