Après un pentest web
Vous êtes une PME basée sur un portail Web ayant fait l'objet de tests d'intrusion web ? Bienvenue à bord.
Prendre rendez-vous Examiner le code d’une application pour détecter les failles de sécurité, les erreurs de conception et les mauvaises pratiques avant qu’elles ne soient exploitées.
En 2025, la France est championne d'Europe de fuite de données, avec 90% de la population qui a vu ses informations personnelles vendues sur le dark web.
Le risque zéro n'existe pas, ainsi la CNIL ne sanctionne pas systématiquement les fuites. En revanche, l'absence de mesures préventives est pénalement répréhensible avec des amendes allant jusqu'à 4% du chiffre d'affaires.
Un test d'intrusion web est une première étape clé dans la sécurisation de vos applications. Afin de consolider votre site web après les résultats satisfaisants d'un pentest web, il est recommandé d'effectuer un audit de code source.
Vous êtes une PME basée sur un portail Web ayant fait l'objet de tests d'intrusion web ? Bienvenue à bord.
Le marché de la cybersécurité est vaste, il est essentiel de bien choisir son prestataire. Les grands cabinets disposent d'une force commerciale et d'une présence sur les réseaux, mais leurs tarifs sont parfois élevés, ils offrent peu de flexibilité et la qualité n'est pas toujours au rendez-vous.
Avec QS, vous faites le choix d'un prestataire réactif assurant un niveau de qualité à l'état de l'art, et ce pour un tarif 20% inférieur au marché.
Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation : l’expert en charge des tests, votre RSSI et un développeur expérimenté en charge de l’application.
Ce point doit idéalement être planifié en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités.
C'est également l'occasion d'échanger avec un développeur maîtrisant l'application afin d'identifier les segments critiques. Ces parties du code devront faire l'objet d'une attention accrue lors de l'audit.
Utilisation d'un outil d'audit comme SonarQube afin d'identifier les vulnérabilités liées à de mauvaises pratiques de développement ou à des fonctions réputées vulnérables.
Analyse de la logique applicative en commençant par les sections critiques identifiées précédemment. L'objectif est de détecter les vulnérabilités liées à la logique applicative qu'un outil automatisé manquerait.
Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques.
Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées, ordonnées par score CVSS.
Une synthèse technique détaillant les différentes analyses effectuées.
Le détail des vulnérabilités identifiées, preuves à l'appui, avec pour chacune d'elles : description, constat, impact métier et technique, mesures de remédiation à implémenter.
Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport. L'objectif n'est pas de détailler le rapport dans une présentation, mais de présenter les principaux risques.
La restitution permet de revenir sur les vulnérabilités les plus critiques, leurs recommandations et de conclure sur le niveau de sécurité observé durant la prestation.
C'est également l'occasion de traiter des points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.