Service
Cybersécurité
Audits, durcissement, conformité RGPD/NIS2. La sécurité pensée comme une propriété, pas une option.
La sécurité est une propriété du produit, pas une couche ajoutée. Nous réalisons des audits (code, infra, OWASP Top 10), du pentest, du durcissement, et de la mise en conformité RGPD/NIS2/ISO 27001. Notre règle : defense in depth, least privilege, fail secure, zero trust.
Ce que nous livrons
Concret, mesurable, sans surprise.
Audit OWASP Top 10
Revue de code, analyse SAST/DAST, top 10 OWASP, OWASP ASVS, top 10 API. Livrable : rapport priorisé et plan de remédiation.
Pentest & red team
Tests d'intrusion black/grey/white box, scénarios réels, chaines d'exploitation. Rapport exécutif + technique, retest post-fix.
Conformité RGPD & NIS2
Analyse d'impact, registre des traitements, mesures techniques, DPIA, contrats sous-traitants, gouvernance NIS2.
Sécurité applicative
Headers (CSP, HSTS, COOP/COEP), cookies sécurisés, MFA, RBAC, RLS PostgreSQL, sanitization DOMPurify, signature webhooks.
SecOps & SOC
Centralisation logs (SIEM), détection (IDS/EDR), réponses à incident, threat intelligence,逆向 engineering.
Formation & sensibilisation
Formations développeurs (secure coding), ops (hardening), et collaborateurs (phishing, hygiène numérique).
Stack
Nos outils de production.
Indépendants de tout éditeur. Nous sélectionnons les outils adaptés à votre contexte, pas l'inverse.
- OWASP ZAP / Burp Suite Pro
- Semgrep / Trivy / gitleaks
- Wazuh / Splunk
- Cloudflare / Traefik
- Tailscale / WireGuard
- HashiCorp Vault
- YubiKey / WebAuthn
Processus
Quatre étapes, un seul standard.
- 01
Cadrage & menace
Modélisation STRIDE, scoring CVSS, identification des actifs critiques, scénarios d'attaque. Livrable : threat model.
- 02
Audit
Revue de code, scan SAST/DAST, test d'intrusion, audit infra, audit config. Livrable : rapport priorisé.
- 03
Remédiation
Plan de traitement par criticité, fix applicatif/infra, validation par retest. Documentation des écarts résiduels acceptés.
- 04
Conformité &持续
Mise en conformité RGPD/NIS2/ISO 27001, gouvernance, revues périodiques, formation continue, veille CVE.
FAQ
Questions fréquentes.
- Quelle différence entre audit et pentest ?
- Audit = revue méthodique de la posture (code, config, processus). Pentest = simulation d'attaque active, sur cible définie.
- Êtes-vous certifiés ?
- L'équipe compte des profils OSCP, CEH, CISSP. Pour la conformité formelle ISO 27001 / SOC 2, nous travaillons avec des partenaires auditeurs.
- Rédigez-vous la conformité RGPD complète ?
- Oui — registre, AIPD, contrats sous-traitants, information des personnes. Pour le DPO nous recommandons un partenaire juridique spécialisé.
- Comment se déroule un pentest ?
- Cadrage (périmètre, créneaux, modes), reconnaissance, exploitation, post-exploitation, rapport, retest. Durée typique : 1 à 3 semaines.
- Et NIS2 pour les acteurs critiques ?
- Cartographie des actifs, mesures techniques et organisationnelles, gestion des incidents, gouvernance, déclaration. Accompagnement complet possible.
- Formez-vous nos équipes ?
- Oui — secure coding, durcissement infra, sensibilisation phishing. Programmes adaptés dev / ops / généralistes.
Services liés
Aller plus loin.
Prêt à démarrer ?
Parlons de votre projet. Réponse sous 48 h, devis gratuit, sans engagement.