Pentest web et API
XSS, injections, IDOR, contournement d'auth : vulnérabilités web et API REST/GraphQL prouvées par PoC reproductible.
Voir l'offre →NIS2 · CRA · Assurance cyber · ANSSI
Des pentests qui réduisent réellement votre surface d'attaque
Contrôles ANSSI, exigences CRA, attestations assureurs : vos équipes doivent prouver un niveau de sécurité approprié. Rapports opposables, PoC reproductibles, retest inclus. Intervention en France et à Toulouse.
✓ 10+ ans d'expérience
✓ 100+ missions réalisées
✓ Certifié Qualiopi
✓ Intervenant unique
10+
années d'expérience en sécurité offensive
100+
audits et missions de test d'intrusion réalisés
24h
délai de réponse sur chaque demande de contact
Pourquoi maintenant
Les déclencheurs d'achat en 2026
Le délai réaliste entre un pentest et un rapport opposable est de 2 à 4 mois. Ne pas attendre le contrôle ou la mise en demeure.
NIS2 · ANSSI
Contrôles ANSSI dès fin 2026
Les entités essentielles et importantes doivent démontrer des mesures de sécurité appropriées. Un pentest mappé article 21 constitue la preuve technique présentable à l'ANSSI ou à votre COMEX.
Voir le pentest conformité NIS2 →
CRA · Éditeurs
Obligations CRA dès sept. 2026
Les éditeurs de logiciels doivent évaluer les exigences essentielles et mettre en place un dispositif de reporting des vulnérabilités. L'audit produit CRA outille cette démarche.
Voir l'audit produit CRA →
Assurance · Donneurs d'ordre
Attestation technique exigée
Assureurs cyber et grands comptes exigent une preuve de test d'intrusion récent. Le rapport CodiTrust est structuré pour répondre à ces exigences contractuelles.
Demander un diagnostic flash →Offres
Les principales interventions
Chaque offre dispose d'une page dédiée avec méthode, livrables et fourchette de prix.
Pentest AWS
Escalade de privilèges IAM, SSRF et IMDS, Lambda, accès cross-account : simulation d'attaque réelle sur votre cloud AWS.
Voir l'offre →
Pentest conformité NIS2
Rapport mappé article 21 NIS2, matrice ReCyF et synthèse exécutive, prêt pour les contrôles ANSSI.
Voir l'offre →Voir aussi : audit IAM AWS · pentest SaaS · audit CRA · AI Red Team · retainer PME · diagnostic flash.
Déroulement
Comment se passe une mission
De la première prise de contact au retest des correctifs, voici les étapes habituelles.
1
Cadrage (1 à 2 h)
Échange technique pour définir le périmètre, les contraintes légales, la fenêtre de test et les livrables attendus. Devis sous 48h.
2
Mission
Tests menés selon la méthodologie convenue (boîte noire, grise ou blanche). Chaque vulnérabilité est exploitée et documentée avec preuve - aucune supposition.
3
Rapport & retest
Livraison du rapport, atelier de restitution avec vos équipes, puis retest ciblé sur les vulnérabilités critiques après correction.
Méthode
Ce qui différencie chaque mission
- Intervenant unique de bout en bout - pas de sous-traitance : vous parlez au consultant qui a conduit les tests.
- Vulnérabilités prouvées, pas supposées - méthodologie OWASP / PTES, chaque finding est démontré avec une preuve d'exploitation reproductible.
- Deux niveaux de lecture du rapport - executive summary pour la direction, détail technique pour les équipes dev et ops.
- Retest inclus sur les vulnérabilités critiques après vos corrections.
- Interventions partout en France, restitutions sur site possibles (Toulouse, Occitanie et déplacements).
Ce que vous recevez à l'issue de la mission
- ✓Rapport PDF complet classé par criticité (CVSS)
- ✓Executive summary d'une page pour la direction
- ✓Preuves d'exploitation détaillées et reproductibles
- ✓Plan de remédiation priorisé par équipe (dev, infra, cloud)
- ✓Atelier de restitution avec vos équipes techniques
- ✓Retest ciblé sur les findings critiques après correction
Diagnostic flash
Analyse de surface d'attaque sous 48 h
Décrivez votre périmètre exposé : je reviens avec des premiers constats concrets et un cadrage de mission réaliste.
Tarif : 1 200 à 1 900 EUR HT, ou offert sur cible stratégique.
Montée en compétences
Formations à la carte
Renforcez la posture sécurité de vos équipes cloud, pentest offensif et sensibilisation humaine.
Formations au titre d'un organisme certifié Qualiopi - détails et certificat.
NIS2 pour dirigeants et RSSI
1 jour · Du diagnostic de conformité au plan d’action. Financement OPCO possible.
Voir la formation
CRA pour éditeurs de logiciels
1 jour · Obligations, exigences essentielles et plan de mise en conformité avant sept. 2026.
Voir la formation
Pentest SaaS Web et AWS Offensif
3 jours · Exploitation web/API, pivot AWS, escalade IAM. VM fournie. Financement OPCO.
Voir la formationVeille
Derniers articles
Comment choisir son prestataire de pentest : critères et questions à poser
Méthodologie, rapport, retest, intervenant unique : les 8 critères pour évaluer un prestataire et les questions à poser avant de signer.
Lire l’article
OWASP API Security Top 10 (2023) : les risques à connaître et à tester
BOLA, authentification cassée, SSRF, mass assignment : chaque entrée expliquée avec exemples concrets et priorités de test.
Lire l’article
Cyber Resilience Act : obligations 2026 pour les créateurs de logiciels
Périmètre CRA, sécurité produit, reporting vulnérabilités/incidents et produits numériques concernés.
Lire l’articleRessources gratuites
Évaluez votre exposition avant d'engager une mission
Deux guides pratiques téléchargeables immédiatement, contre votre adresse email.
PDF gratuit · NIS2
Checklist NIS2 : 40 points de contrôle article 21
40 points couvrant les 10 mesures de l'article 21, traduits en actions concrètes, avec grille d'auto-évaluation. Identifiez vos lacunes avant un contrôle ANSSI.
Télécharger la checklist
PDF gratuit · CRA
Guide CRA : obligations pour les éditeurs logiciels
Périmètre, exigences essentielles, reporting vulnérabilités et incidents : le plan d'action concret avant les obligations de septembre 2026.
Télécharger le guideFAQ
Questions fréquentes
Réponses courtes sur le périmètre, la durée et l’intervention.
Le diagnostic flash est une analyse de surface d’attaque externe réalisée sous 48 h. Il produit des premiers constats concrets sur votre exposition et un cadrage réaliste pour un pentest complet.
Tarif : 1 200 à 1 900 EUR HT selon périmètre, ou offert sur cible stratégique. C’est l’étape zéro avant tout engagement de pentest.
NIS2 s’applique aux entités essentielles et importantes dans 18 secteurs (énergie, santé, transports, numérique, eau, administrations…). En France, la transposition (loi Résilience) est attendue pour l’été 2026, avec des contrôles ANSSI dès fin 2026.
Si vous avez un doute sur votre statut, le guide NIS2 gratuit et le pentest de conformité incluent une première qualification.
En général : réponse sous 24 h, devis sous 48 h après cadrage, mission réalisée dans les 2 à 6 semaines selon disponibilités et périmètre, rapport livré dans les 5 jours après la fin des tests. Pour un dossier NIS2 complet (pentest + retest + rapport structuré), prévoir 2 à 4 mois entre le premier contact et le dossier finalisé.
La fenêtre de test, les périmètres exclus et les contraintes de disponibilité sont définis contractuellement en amont. Les tests sont conduits de façon maîtrisée pour éviter toute interruption non prévue. En cas de découverte d’une vulnérabilité critique pendant la mission, je vous en informe immédiatement.
Avec un intervenant unique, vous parlez directement au consultant qui a conduit les tests, pas à un chef de projet qui résume un rapport qu’il n’a pas écrit. Les findings sont plus précis, les échanges techniques plus rapides, et il n’y a aucune sous-traitance cachée. Le consultant qui signe le rapport est celui qui a ouvert le terminal.
Prêt à valider votre niveau de sécurité ?
Décrivez votre surface exposée : je vous livre des premiers constats concrets sous 48 h et un périmètre de test réaliste.
Demander mon diagnostic flash