Pentest SaaS : tester la sécurité de votre plateforme

Un éditeur SaaS expose une surface d'attaque spécifique : application web multicouche, API REST ou GraphQL, gestion des sessions multi-tenant, et souvent une infrastructure AWS en arrière-plan. Le pentest SaaS évalue chaque vecteur de manière coordonnée.

Demander un audit

Spécificités d'un pentest SaaS

Un SaaS n'est pas une simple application web. Plusieurs caractéristiques l'exposent à des risques propres :

  • Architecture multi-tenant : une faille d'isolation peut permettre à un tenant d'accéder aux données d'un autre. C'est souvent l'impact le plus sévère.
  • API first : la surface d'attaque comprend les endpoints REST ou GraphQL, souvent moins audités que le frontend.
  • Authentification et autorisation complexes : SSO, SAML, OAuth, permissions par rôle : chaque intégration est un vecteur potentiel.
  • Hébergement cloud (AWS) : une SSRF ou une mauvaise configuration IAM peut compromettre l'ensemble de l'infrastructure sous-jacente.
  • Vélocité de déploiement : les nouvelles fonctionnalités introduisent des régressions de sécurité si le test n'est pas intégré au cycle de développement.

Périmètre testé

Application web (frontend + backend)

  • Injections SQL, NoSQL, commande
  • Cross-Site Scripting (XSS stocké, réfléchi, DOM)
  • Traversée de répertoires et LFI
  • Logique métier et contournements de workflow

API REST / GraphQL

  • IDOR et autorisation au niveau des objets
  • Exposition de champs sensibles (introspection GraphQL)
  • Abus de rate limiting et mass assignment
  • Fuites de données via erreurs et réponses verboses

Authentification et gestion des sessions

  • Contournement MFA et reset de mot de passe
  • JWT mal configurés (alg:none, faible secret)
  • Fixation de session et CSRF
  • OAuth / SAML hijacking

IAM AWS si hébergement cloud

  • SSRF vers l'endpoint IMDS EC2 (voir notre guide sur SSRF et IMDSv2)
  • Escalade de privilèges IAM depuis les credentials récupérés
  • Rôles Lambda et permissions cross-service
  • Accès S3 et données sensibles exposées

Livrables

Synthèse exécutive

Résumé des risques, score de criticité global, recommandations prioritaires pour les décideurs non techniques.

Rapport technique détaillé

Pour chaque vulnérabilité : description, preuve d'exploitation (screenshot, requête), score CVSS, impact et recommandation de correction.

Retest post-correction

Vérification ciblée des vulnérabilités critiques après correction pour confirmer l'efficacité des correctifs.

Atelier de restitution

Session de présentation des résultats avec l'équipe technique pour prioriser les corrections et répondre aux questions.

Pour en savoir plus sur notre méthode de pentest web, consultez la fiche service dédiée.

Questions fréquentes

La durée dépend du périmètre applicatif et de la complexité de l'infrastructure AWS. Pour un SaaS Web exposé publiquement, un pentest complet nécessite généralement entre 5 et 10 jours afin d'évaluer l'exploitabilité réelle des vulnérabilités. Un cadrage préalable permet d'affiner cette estimation.

Oui, si votre SaaS est hébergé sur AWS. L'analyse des rôles IAM, des trust policies et des permissions effectives fait partie intégrante du pentest SaaS pour identifier les escalades de privilèges et les accès cross-service non justifiés.

Oui. Un retest ciblé est réalisé sur les vulnérabilités critiques et hautes pour vérifier que les correctifs appliqués sont efficaces et que la surface d'attaque de votre SaaS a été réellement réduite.

Tester la sécurité de votre SaaS ?

Réponse sous 24h. Décrivez votre stack et votre périmètre : application, API, hébergement.

Contacter CodiTrust