Offre applicative · web & API

Pentest web et API : tester ce qui est réellement exploitable

Vos applications web et vos API portent vos données les plus sensibles et votre logique métier. Le pentest web identifie les vulnérabilités réellement exploitables, les prouve par un PoC reproductible et les restitue à deux niveaux, pas une liste théorique issue d'un scanner.

OWASP / PTES API REST & GraphQL PoC reproductible Retest inclus
Demander mon diagnostic flash

10+ ans d'expérience · 100+ missions · réponse 24-48 h · intervenant unique certifié Qualiopi

Pourquoi un pentest web plutôt qu'un scan ?

Scanner automatique

Détecte des signatures connues et des erreurs de configuration. Génère beaucoup de faux positifs et passe à côté de la logique métier, des contrôles d'accès et du chaînage de failles.

Pentest web (exploitation manuelle)

Un testeur raisonne comme un attaquant : il enchaîne les failles, contourne les contrôles d'accès, exploite la logique métier et prouve l'impact réel sur vos données. Voir notre méthodologie.

Périmètre testé

Application web (frontend + backend)

  • Cross-Site Scripting (XSS stocké, réfléchi, DOM)
  • Injections SQL, NoSQL et commande
  • IDOR et contrôles d'accès insuffisants
  • Logique métier et contournements de workflow
  • Traversée de répertoires, LFI, upload non maîtrisé

API REST / GraphQL

  • BOLA / IDOR et autorisation au niveau objet
  • Introspection GraphQL et exposition de champs sensibles
  • Mass assignment et abus de rate limiting
  • Fuites via erreurs et réponses verboses
  • Voir aussi l'OWASP API Security Top 10

Authentification et sessions

  • Contournement MFA et reset de mot de passe
  • JWT mal configurés (alg:none, secret faible)
  • Fixation de session, CSRF, gestion des jetons
  • OAuth / SAML / SSO mal implémentés

Infrastructure exposée

  • SSRF (et pivot cloud, voir SSRF et IMDS)
  • En-têtes de sécurité et configuration TLS
  • Composants tiers vulnérables connus
  • Si hébergement AWS : voir pentest AWS

Plateforme SaaS multi-tenant ? L'offre pentest SaaS coordonne web, API et infrastructure AWS sur un même périmètre.

Livrables

Rapport à deux niveaux

Synthèse exécutive pour les décideurs et rapport technique détaillé pour les équipes, classé par criticité CVSS.

PoC reproductible

Pour chaque vulnérabilité : requêtes, captures et étapes pour reproduire l'exploitation. Impact prouvé, pas estimé.

Plan de remédiation priorisé

Correctifs hiérarchisés par risque et par équipe (dev, infra), avec recommandations concrètes.

Atelier et retest

Restitution avec vos développeurs et retest des findings critiques après correction, inclus.

Méthode : OWASP Testing Guide et PTES. Pour les bases, voir qu'est-ce qu'un pentest et le top 10 des vulnérabilités web.

Tarif

À partir de 4 500 EUR HT

Périmètre web standard, 5 à 7 jours. API étendues, multi-rôles ou logique métier complexe : sur cadrage.

  • TJM 900 à 1 400 EUR HT selon complexité
  • Web + API REST/GraphQL couvertes
  • PoC reproductible pour chaque faille
  • Synthèse exécutive + rapport technique
  • Atelier de restitution + retest inclus
Demander mon diagnostic flash

ou réserver un appel découverte

Questions fréquentes

Oui. Le périmètre inclut systématiquement les API REST et GraphQL : cartographie des endpoints (Swagger, introspection GraphQL, trafic capturé), tests d'autorisation horizontale et verticale (IDOR, BOLA), mass assignment, exposition de champs sensibles et abus de rate limiting.

Un périmètre web standard demande 5 à 7 jours de tests, selon le nombre de fonctionnalités, de rôles et d'API. Le cadrage précis se fait après un diagnostic flash ou un appel découverte, en fonction de la surface réelle à couvrir.

Les deux sont possibles. La boîte grise (avec des comptes de test pour chaque rôle) est recommandée : elle couvre les contrôles d'accès et la logique métier en profondeur, là où se concentrent les vulnérabilités à fort impact. La boîte noire simule un attaquant externe sans accès initial.

Un environnement de préproduction iso-production est idéal pour autoriser les tests intrusifs sans risque. Les tests en production restent possibles avec des règles d'engagement définies (fenêtres horaires, exclusion des actions destructives).

Un pentest web ou API à cadrer ?

Décrivez votre application (stack, nombre de rôles, API exposées). Findings concrets sous 48 h, devis forfaitaire ensuite.

Demander mon diagnostic flash

ou réserver un appel découverte