Test d'Intrusion Gratuit
Les entreprises françaises qualifiées bénéficient gratuitement d'un test d'intrusion cloud et applicatif complet. Réalisé par des ingénieurs seniors certifiés OSCP et CEH, méthodologie alignée sur les recommandations ANSSI. Entretien de cadrage de 30 minutes, rapport livré en 7 jours ouvrés.
Qui est éligible
Entreprises françaises établies de 50+ collaborateurs opérant sur AWS, Azure ou GCP. Priorité aux Opérateurs d'Importance Vitale (OIV), entreprises soumises à NIS2 (entités essentielles ou importantes), et organisations avec un audit ISO 27001 ou une homologation RGS à court terme. Un test d'intrusion gratuit par entreprise et par année civile.
Jour 1-3
1. Candidature & entretien de cadrage
Soumettez votre candidature. Nous répondons sous 2 jours ouvrés et planifions un entretien de cadrage de 30 minutes. Nous y confirmons l'éligibilité, définissons le périmètre, et signons un accord de confidentialité (NDA) mutuel et une Lettre d'Autorisation (LdA).
Jour 4-9
2. Test d'intrusion
Notre équipe exécute le périmètre convenu : audit IAM, exposition S3/Blob, benchmark CIS, OWASP Top 10 sur une application web publique, test du périmètre externe. Tous les tests sont autorisés par écrit.
Jour 10-12
3. Rapport & restitution
Rapport PDF avec mapping sur les guides ANSSI (PTES-F, PASSI), NIS2 Art. 21, et votre framework de conformité. Restitution de 45 minutes avec un ingénieur senior. Remédiation disponible séparément, en option.
Inclus dans le test
- Audit de configuration cloud AWS ou Azure (IAM, S3/Blob, KMS, security groups)
- Scan du périmètre externe des services publics
- OWASP Top 10 sur une application web (jusqu'à 20 pages)
- Détection de secrets exposés (GitHub, endpoints publics)
- Analyse d'écart CIS Benchmark
- Rapport PDF aligné ANSSI, NIS2 Art. 21, RGPD Art. 32
- Restitution de 45 min avec un ingénieur senior (OSCP / CEH / AWS Security)
Non inclus
- Ingénierie sociale ou test de sécurité physique
- Infrastructure on-premise (charges de travail cloud uniquement)
- Analyse binaire d'applications mobiles
- Engagement red team complet
- Remédiation (proposée séparément après le pentest gratuit)
- Qualification PASSI (c'est une certification distincte)
Rapport aligné sur votre cadre de conformité
Guide ANSSI PASSI
Méthodologie alignée sur le référentiel PASSI pour les tests d'intrusion.
NIS2 (Directive 2022/2555)
Mesures de gestion des risques Art. 21 — preuve technique pour entités essentielles et importantes.
RGPD Art. 32
Mesures techniques et organisationnelles — pentest comme procédure standard de vérification régulière.
LPM (Loi de Programmation Militaire)
Pour les Opérateurs d'Importance Vitale (OIV) — test d'intrusion obligatoire tous les 2 ans.
ISO/IEC 27001:2022
A.8.29 Tests de sécurité pendant le développement et la réception.
PCI DSS 4.0
Exigence 11.4.1-3 tests d'intrusion internes et externes.
Qui réalise le test
Questions fréquentes
Est-ce vraiment gratuit ? Où est le piège ?
Vraiment gratuit. Le pentest est notre façon de démontrer notre capacité à des prospects qualifiés. Nous investissons 40-60 heures d'ingénieur par mission avec l'attente qu'une partie des clients nous engagera pour la remédiation payante ou des services managés continus. Environ 35% des bénéficiaires deviennent clients payants dans les 12 mois. Aucun frais caché.
Pourquoi une candidature plutôt qu'un simple formulaire ?
Parce qu'une mission de 40-60 heures d'ingénieur senior représente un coût réel. Nous filtrons pour les entreprises qui en bénéficieraient et que nous pourrions plausiblement servir — typiquement 50+ collaborateurs avec des charges de travail cloud en production et une préoccupation de conformité ou de sécurité active.
Le test est-il légalement autorisé ?
Oui, toujours. Après l'entretien de cadrage, nous signons un NDA mutuel et une Lettre d'Autorisation (LdA) documentant le périmètre, le calendrier, les cibles et les techniques autorisées. Votre service juridique reçoit la LdA avant tout test. L'intrusion non autorisée est punie par l'article 323-1 du Code pénal — nous ne faisons aucun compromis sur ce point.
Combien de temps dure le processus complet ?
Environ 12 jours ouvrés. Jour 1-3 : revue de candidature et cadrage. Jour 4-9 : tests actifs. Jour 10-12 : rédaction du rapport et restitution. Nous pouvons compresser pour des échéances d'audit critiques — à discuter lors du cadrage.
Le rapport sera-t-il accepté par l'ANSSI ou mon auditeur NIS2 ?
Généralement oui. Nos rapports suivent le format recommandé par l'ANSSI et sont alignés sur les mesures NIS2 Art. 21. Pour une qualification PASSI formelle vous avez besoin d'un auditeur certifié PASSI en plus — notre rapport fournit les preuves techniques que cet auditeur examine.
Que se passe-t-il si vous trouvez une faille critique ?
Notification dans les 4 heures ouvrées par e-mail chiffré si nous trouvons quelque chose d'activement exploitable ou une compromission en cours. Le rapport écrit arrive à la fin de la mission ; les découvertes critiques sont divulguées le jour même.
Le faites-vous pour les startups de moins de 50 personnes ?
Rarement. Exceptions pour des scaleups Series B+ avec un audit ISO 27001 ou une entrée dans le périmètre NIS2 imminente. Pour les stades plus précoces, nous recommandons un scan automatisé d'abord, puis un pentest plus tard quand la surface de production le justifie.
Qui est propriétaire des découvertes et du rapport ?
Vous. Le rapport est votre propriété ; nous conservons une copie anonymisée dans notre bibliothèque interne pour amélioration continue. Nous ne publions ni ne partageons aucune découverte. Le NDA est bidirectionnel.