Services de test d'intrusion et d'audit

Trois offres complémentaires pour couvrir vos applications, votre gouvernance des identités sur AWS et un suivi récurrent adapté à la vélocité de vos changements.

Accès rapide

Expert en sécurité analysant une application web sur plusieurs écrans, code et tableau de bord de test d'intrusion

Offre applicative

Pentest web

Objectif : identifier les vulnérabilités réellement exploitables sur vos applications web et API, avec des preuves de concept contrôlées.

Les tests suivent une approche offensive structurée (reconnaissance, cartographie, tests ciblés, chaînage de failles) en s'appuyant sur les risques métiers associés à vos données et flux.

Exemples de vulnérabilités recherchées

  • Cross-Site Scripting (XSS) et problèmes de confiance du contenu
  • Injections SQL / NoSQL et fuites de données
  • IDOR et contrôles d'accès insuffisants
  • CSRF et gestion de session fragile
  • Authentification / MFA contournable, mauvaise gestion des jetons

Bénéfices métier

  • Réduire le risque d'intrusion avant mise en production
  • Mieux protéger les données clients et la conformité
  • Renforcer la sécurité applicative sans ralentir inutilement la livraison

Livrables

Rapport détaillé, synthèse exécutive, matrice de criticité, recommandations priorisées, reprise possible en atelier avec vos développeurs.

Demander un audit

Oui, sur demande le périmètre inclut les API REST/GraphQL et les flux mobiles associés, avec adaptation des tests aux contrats et à l'authentification.
Sécurité cloud AWS : identités, rôles IAM et architecture des permissions

Cloud & identités

Audit IAM (AWS)

Focus : revue des identités, rôles, politiques et comptes à privilèges sur Amazon Web Services.

L'audit examine la cohérence des politiques IAM, la séparation des duties, les chemins d'escalade possibles et les mauvaises pratiques récurrentes (clés longue durée, rôles trop larges, accès transverses non justifiés).

Périmètre typique

  • Utilisateurs, groupes, rôles et politiques inline / managées
  • Comptes de service et intégrations tierces
  • Organisations, SCP (si applicable) et garde-fous de gouvernance

Bénéfices métier

  • Réduction des surpermissions et de la surface d'abus interne
  • Limitation des scénarios d'escalade de privilèges
  • Amélioration de la gouvernance sécurité du cloud

Livrables

Cartographie des chemins sensibles, liste de remédiations priorisées, modèles de politiques cibles et plan de durcissement.

Demander un audit Voir la veille IAM

Le cœur de l'offre est AWS ; des missions GCP/Azure peuvent être étudiées sur brief précis et périmètre adapté.
Tableau de bord de supervision sécurité avec alertes et métriques en temps réel

Accompagnement

Pentests continus

Principe : des campagnes de tests régulières alignées sur vos releases et l'évolution du SI, pour suivre le risque dans la durée.

Au lieu d'un snapshot annuel, vous bénéficiez d'un rythme défini (trimestriel, mensuel ou par sprint) avec des comptes-rendus courts et un suivi des correctifs déjà identifiés.

Bénéfices

  • Sécurité suivie dans le temps, cohérente avec votre vélocité
  • Détection plus rapide des régressions après changements
  • Réduction du risque lié aux déploiements fréquents

Livrables

Planning partagé, rapports de sprint, indicateurs de progression et points réguliers avec le RSSI ou le lead sécurité.

Demander un audit

Besoin d'un devis ou d'un périmètre personnalisé ?

Décrivez votre contexte : charge utile, contraintes légales, fenêtres de test.

Contacter CodiTrust