Nous supposons que vous êtes déjà compromis.
Puis nous concevons pour le jour d'après.
Audits de sécurité, tests d'intrusion, durcissement d'infrastructure, frameworks de conformité. Nous ne vendons pas la paranoïa. Nous concevons les systèmes et processus qui survivent à une vraie attaque.
Comment nous sécurisons les systèmes.
Six modèles d'attaque. Six postures défensives.
La plupart des brèches d'entreprise tombent dans l'un de six modèles. Nous concevons des contrôles défensifs spécifiques contre chacun.
Ransomware & chiffrement de données
Les attaquants chiffrent vos données et demandent un paiement pour la clé. La plupart des ransomwares entrent par phishing, RDP ou VPN non patchés.
Attaques sur la chaîne d'approvisionnement
Une dépendance de confiance (package npm, image Docker, fournisseur) est compromise. L'attaquant exploite la confiance jusqu'à votre production.
Vol d'identifiants & attaques d'identité
Identifiants volés, contournement MFA, hijacking de session, abus OAuth. Le point d'entrée le plus courant des brèches modernes.
Exploitation web & API
OWASP Top 10 — injection, auth cassée, IDOR, SSRF, désérialisation. La plupart des apps publiques en ont au moins une.
Menaces internes & abus de privilèges
Un employé, sous-traitant ou compte compromis exfiltre des données ou plante des backdoors. Difficile à détecter car l'accès est légitime.
Mauvaise configuration cloud
Buckets S3 publics, IAM trop permissif, APIs Kubernetes exposées, secrets dans le code. La cause #1 des brèches à l'ère cloud.
Six frameworks. Nous vous aidons à tous les atteindre.
La conformité, c'est de l'ingénierie, pas de la paperasse. Nous construisons les contrôles avant l'arrivée des auditeurs.
Gestion de la sécurité de l'information
Standard international de gestion de la sécurité de l'information. Orienté processus, audité annuellement. Nous construisons l'ISMS et préparons à la certification.
Service Organization Control
Requis pour les ventes B2B SaaS aux US. Type 1 = contrôles en place ; Type 2 = contrôles efficaces dans le temps. Nous concevons les contrôles et préparons les preuves.
Règlement Général Protection Données
Régulation européenne avec portée mondiale. Droits des personnes, notification de brèche, base légale du traitement. Nous cartographions les flux de données.
Payment Card Industry
Requis pour tout système traitant des données de carte. Segmentation réseau, chiffrement, contrôles d'accès, scans trimestriels.
Health Insurance Portability
Régulation US des données de santé. Requis pour systèmes traitant du PHI. Nous aidons avec les protections techniques, audit trails, chiffrement.
EU Network & Information Security
Nouvelle directive EU — applicable aux entités essentielles et importantes des secteurs critiques. Gestion des risques, reporting d'incidents.
Quatre phases. Audit. Pentest. Durcissement. Monitoring.
Audit de sécurité
1–2 semaines · prix fixeCadrer l'environnement, threat-model, revue de code et infrastructure, identifier les risques à plus fort effet de levier. Sortie : rapport d'audit avec findings priorisés.
Test d'intrusion
2–4 semaines · périmètre fixeTests adversariaux autorisés sur web, mobile, API, cloud ou cibles réseau. Exploitation réelle, preuves réelles. Sortie : rapport détaillé avec PoC et scores CVSS.
Durcissement & remédiation
4–12 semainesImplémenter les contrôles identifiés. Corrections de code, changements infra, nettoyage IAM, segmentation réseau, rotation de secrets, durcissement CI/CD.
Monitoring continu
En continuSIEM, alertes, on-call, rapports mensuels, re-tests trimestriels. La sécurité n'est pas un projet — c'est une capacité opérationnelle qui nécessite de l'ingénierie continue.
Sur tous les clients que nous opérons ou avons durcis, le nombre de brèches confirmées est zéro. Ce n'est pas un chiffre marketing — c'est le seul chiffre qui compte en cybersécurité.
Questions fréquentes.
Combien coûte un audit de sécurité ou un pentest ?
Un audit cadré commence à 8K€ et va jusqu'à 30K€ selon la taille de l'environnement. Un test d'intrusion est tarifé par cible — un pentest d'app web typique se situe entre 12K€ et 20K€. Cadrage gratuit avant tout engagement.
Quelle est la différence entre un audit et un pentest ?
Un audit est une revue structurée de votre posture sécurité contre un framework (OWASP ASVS, ISO 27001…). Un pentest est un test adversarial autorisé — nous essayons activement d'exploiter le système. La plupart des clients ont besoin des deux.
Pouvez-vous nous certifier SOC 2 ou ISO 27001 ?
Nous n'émettons pas de certificats — seuls les auditeurs accrédités le peuvent. Mais nous concevons les contrôles, documentons les politiques, et vous préparons à l'audit. La plupart des clients atteignent SOC 2 Type 1 en 4-6 mois.
Gérez-vous la réponse aux incidents ?
Oui. Nous proposons des retainers de réponse aux incidents — temps de réponse engagés pour les incidents confirmés. Triage, confinement, forensics, post-mortem, et (si nécessaire) coordination avec les autorités.
Réparez-vous aussi les problèmes que vous trouvez ?
Oui. Nous ne croyons pas aux rapports d'audit qui disent juste 'corrigez ça'. Nous faisons l'audit, écrivons le plan de remédiation, et (si vous le voulez) implémentons les corrections. Même équipe — pas de transfert à un tiers.
Formez-vous les équipes internes ?
Oui. Formation au code sécurisé, simulations de phishing, exercices d'incident, programmes de security champions. Mieux fait après un audit pour ancrer la formation dans vos vrais findings.