Pentalpina

Trouvez
la faille
avant quelqu'un d'autre.

Votre infrastructure testée comme un vrai attaquant le ferait. Une seule personne, périmètre complet, entière responsabilité.

Demander un appel de cadrageVoir les services
62
<48h
~5j
Processus

Du zero-day au risque zéro.

Phase 011 / 6

Cadrage

Périmètre défini. NDA signé avant tout début de reconnaissance.

  • Règles d'engagement et cibles autorisées documentées
  • Protocole de divulgation d'urgence établi
  • Modèle de menace et tolérance au risque définis
  • Délais et format de livraison confirmés
Phase 022 / 6

Reconnaissance

Cartographier la surface d'attaque. Passif avant actif.

  • Transparence des certificats et énumération des sous-domaines
  • Identification de la stack technique et profilage des versions
  • Scan de secrets et identifiants exposés
  • Découverte des ressources tierces
Phase 033 / 6

Exploitation

Chaînage manuel. Méthodologie d'un vrai attaquant.

  • Contournement d'authentification et manipulation de session
  • Injections, SSRF, chemins de désérialisation
  • Élévation de privilèges et mouvement latéral
  • Failles logiques et contrôles d'accès défaillants
Phase 044 / 6

Triage

Chaque découverte scorée, prouvée et contextualisée.

  • Score CVSS v3.1 de base et environnemental
  • Preuve d'exploitation reproductible documentée
  • Impact évalué par rapport à votre modèle de menace
  • Critiques divulguées immédiatement, pas retenues pour le rapport
Phase 055 / 6

Rapport

Résumé exécutif + détail technique complet.

  • Découvertes classées par sévérité et exploitabilité
  • Recommandations de remédiation par découverte
  • Session de débrief en direct incluse
  • Livré dans le délai convenu
Phase 066 / 6

Retest

Chaque correctif vérifié. Clôturé par écrit.

  • Retest inclus pour toutes les vulnérabilités HAUTE et CRITIQUE
  • Validation des corrections avec le PoC original
  • Rapport mis à jour reflétant le statut de clôture
  • Attestation de clôture fournie
Services

Ce que j'évalue

01

Sécurité cloud

Une seule permission mal configurée peut donner à un attaquant le contrôle total de votre environnement AWS ou GCP. Chaque chemin d'escalade cartographié de l'accès initial à la prise de contrôle complète.

AWS / GCPRevue des permissionsVol d'identifiants
Voir le détail
02

Sécurité Linux

D'un compte utilisateur standard au contrôle total du serveur. Chaque chemin d'élévation de privilèges tracé et documenté pour être corrigé avant qu'un attaquant ne le trouve.

Élévation de privilègesDurcissement serveurIdentifiants
Voir le détail
03

Sécurité Kubernetes

Une seule permission de conteneur mal configurée peut exposer tous les services que vous exécutez. Évaluation complète du chemin d'attaque d'un conteneur compromis à la prise de contrôle totale du cluster.

Évasion de conteneurRevue des permissionsDurcissement cluster
Voir le détail
04

CI/CD & chaîne d'approvisionnement

Votre pipeline de build a accès à la production. Une commande injectée dans une pull request ou un identifiant fuité dans un log de build peut compromettre tout ce qu'il déploie.

Pipeline de buildFuite de secretsSécurité des dépendances
Voir le détail
05

Sécurité OAuth & SSO

Une redirection mal configurée dans votre flux de connexion peut permettre à un attaquant de prendre le contrôle de n'importe quel compte utilisateur. Tests approfondis d'OAuth 2.0, SAML et SSO.

Prise de contrôle de compteTest du flux de connexionSSO / SAML
Voir le détail
06

Sécurité applicative web

Quelqu'un peut-il se connecter en tant qu'autre utilisateur ? Accéder à des données sans mot de passe ? Abuser de votre flux de paiement ?

Bypass d'authentificationFuite de donnéesContrôle d'accès
Voir le détail
07

Tests de sécurité API

Votre API peut exposer les données de tous les utilisateurs en changeant un seul chiffre dans l'URL. Chaque endpoint testé pour les contrôles d'accès défaillants, les fuites de données et les failles d'authentification.

Exposition données utilisateurContournement authCouverture des endpoints
Voir le détail

* Windows / Active Directory : pas proposé. La vie est trop courte :)

Pourquoi Pentalpina

Vous savez exactement
qui a évalué
votre système.

Pentalpina, c'est un seul praticien. La même personne qui cadre votre mission la teste, la documente et signe le rapport. Aucun transfert de dossier, pas de sous-traitants anonymes, aucun livrable généré par template.

1 personnede bout en bout. Du cadrage aux constats clôturés.
62failles trouvées
<48hpremière critique
~5jdurée moyenne
01
Juridiction suisse

NDA signé avant le premier appel. Mission régie par le Code des obligations suisse.

02
Aucun sous-traitant

Un seul praticien nommé du cadrage au rapport. Vous savez toujours exactement qui a testé votre système.

03
Prix fixe par périmètre

Convenu en amont avant tout début de reconnaissance. Pas de facturation horaire, pas de surprises liées à l'évolution du périmètre.

04
Critiques le jour même

Les découvertes bloquantes divulguées le jour même, pas retenues jusqu'à la livraison du PDF.

05
Retest inclus*

Chaque découverte HAUTE et CRITIQUE retestée après remédiation, dans les 30 jours suivant la livraison du rapport. Clôture confirmée par écrit.

* Fenêtre de retest : 30 jours à compter de la date de livraison du rapport.

FAQ

Questions fréquentes

Prix fixe par périmètre, convenu avant le début des tests. Pas de tarification par découverte, pas de dépassement en régie. Chaque mission est tarifée à forfait selon le périmètre, et vous approuvez le montant avant le démarrage. Si le périmètre évolue, nous le redéfinissons ensemble.

Prix fixe par périmètre, convenu avant le début des tests. Pas de tarification par découverte, pas de dépassement en régie. Chaque mission est tarifée à forfait selon le périmètre, et vous approuvez le montant avant le démarrage. Si le périmètre évolue, nous le redéfinissons ensemble.

Un scanner de vulnérabilités effectue des vérifications automatisées et produit une liste de CVE connus correspondant aux versions de logiciels détectées. Il n'a aucune compréhension du contexte, de la logique métier ou des chemins d'attaque enchaînés. Un test d'intrusion est un processus manuel où un praticien pense comme un attaquant, chaîne les découvertes et teste les failles que les scanners ne trouveront jamais : contrôles d'accès défaillants, abus de logique, relations de confiance mal configurées. Le livrable est un rapport de problèmes réellement exploitables, pas l'impression de ce qu'un outil a signalé.
Cela dépend du périmètre. Une évaluation ciblée d'application web dure généralement 3 à 5 jours. Une revue complète de l'infrastructure couvrant le cloud, Kubernetes et les pipelines CI/CD est habituellement de 7 à 10 jours. Le périmètre est défini par écrit avant le démarrage, et le calendrier est fixé dans la lettre de mission.
Oui. La plupart des découvertes significatives ne se manifestent qu'en production. Les environnements de staging manquent souvent des vrais flux de données, des intégrations et des patterns de trafic qui comptent pour la sécurité. Les tests sont menés avec soin pour éviter toute perturbation. Tout risque d'impact sur le service est discuté et convenu avant le démarrage de la mission.
Un rapport de découvertes écrit avec une description de chaque problème, les étapes exactes pour le reproduire, un score de risque et une recommandation de remédiation concrète. Les découvertes critiques sont divulguées verbalement le jour même de leur confirmation. Un débrief en direct est inclus pour chaque mission. Le retest des découvertes HAUTE et CRITIQUE est inclus sans frais supplémentaires dans les 30 jours suivant la livraison du rapport.
Oui. Un NDA mutuel est signé avant tout échange d'information. Les découvertes, l'identité du client et toutes les données de mission sont traitées comme strictement confidentielles. Rien n'est divulgué à des tiers. Les données de mission sont supprimées après la livraison du rapport et sa validation.
Un appel de cadrage vient en premier. Vous décrivez la cible, la stack technologique et les éventuelles restrictions d'accès. Une lettre de mission est ensuite préparée, définissant le périmètre, les règles d'engagement et le calendrier. Vous devrez généralement fournir des identifiants de test et informer votre hébergeur ou votre équipe cloud que des tests auront lieu sur une plage de dates spécifique.
Vous êtes contacté immédiatement, avant que le reste de la mission ne continue. Vous décidez si vous souhaitez mettre en pause pour remédier, continuer avec la découverte notée, ou ajuster le périmètre. Aucune découverte critique n'est retenue jusqu'à la fin du rapport.
Contact

Démarrer votre évaluation

Remplissez le formulaire de cadrage et nous répondrons dans les 24 heures. Informations sensibles ? Utilisez PGP.

Services souhaités *