Cybreach Consulting Diagnostic éclair
Retour à l'accueil
Pentest web · mobile · infrastructure · Active Directory · red team

Je teste votre système
comme quelqu'un qui
cherche vraiment à entrer.

Pas un audit conformité. Une chaîne d'attaque réelle, exécutée par quelqu'un qui sait par où passe un attaquant motivé en 2026, et qui vous restitue ensuite ce qui doit être corrigé, dans quel ordre, à quel coût.

Le livrable type

Un rapport qui dit la vérité.

Résumé exécutif page 1, lisible par un dirigeant non-technique. Preuves, chemins d'attaque, captures, payloads détaillés pour l'équipe sécu. Remédiations priorisées par effort × impact.

Cybreach Consulting Rapport · v1.0 · 14.05.26
En début de rapport

Trois chemins critiques mènent à Domain Admin depuis n'importe quel poste du domaine.

Le plus rapide tient en 12 minutes. Les trois reposent sur une combinaison d'AD CS mal configuré, de comptes de service kerberoastables, et d'une délégation contrainte non contrainte. Détails p. 14.

3Critique
2Haut
5Moyen
3Bas
2Info
# proof — kerberoast krbtgt SPN
$ impacket-GetUserSPNs -request corp.local/svc_sql
[+] Got hash · cracked in 00:04:21
Les prestations offensives

Pentest web, mobile, API & red team : une seule façon de travailler.

Pentest mobile

iOS et Android, backends Firebase et APIs tierces, stockage local, SSL pinning, jailbreak / root.

  • Reverse de l'application
  • Analyse runtime (Frida, Objection)
  • Test des règles Firestore / RTDB
  • Vérif protections anti-tampering

Pentest web & API

Applications métier, SaaS, APIs REST/GraphQL, authentification, logique métier, contrôles d'accès.

  • OWASP Top 10 et au-delà
  • Authn / Authz / IDOR
  • Logique métier (panier, paiement, droits)
  • API non documentées, GraphQL introspection

Audit cloud

Règles Firestore/RTDB/Storage, IAM, buckets, permissions, chaîne de configuration cloud.

  • Revue IAM, rôles, least privilege
  • Buckets, secrets, expositions publiques
  • Configurations multi-cloud (AWS, GCP, Azure)
  • Chaîne CI/CD et supply chain

Red Team

Scénarios réalistes multi-vecteurs : logique, physique, humaine. Calqué sur vos menaces.

  • Initial access par phishing ciblé
  • Intrusion physique site, badges, USB
  • Lateral movement, persistance, exfiltration
  • Restitution COMEX et tactique

Audit IA / vibe coding

Apps générées par IA, LLM, prototypes à itération rapide : là où les défauts passent inaperçus.

  • Prompt injection, jailbreak du modèle
  • Fuite de données via embeddings / contexte
  • Code généré : auth bricolée, secrets en dur
  • Validation logique métier IA-générée

Adversary Simulation

Purple team avec votre SOC, TTPs MITRE ATT&CK, mesure de détection en conditions réelles.

  • Émulation d'un groupe APT identifié
  • Co-exécution avec votre Blue Team
  • Mesure du temps de détection / réponse
  • Plan d'amélioration détection
Tarifs

Lisibles, par mission. Pas de jours fantômes.

Les fourchettes ci-dessous fixent le sol. Devis ferme après cadrage gratuit.

Pentest ciblé
à partir de1 500 €*HT

Web, API ou mobile. 1 à 2 jours de test, rapport et suivi.

  • Périmètre défini et borné
  • Rapport et recommandations priorisées
  • Suivi remédiation 1 mois inclus
Réserver un cadrage
Le plus demandé
Pentest complet
à partir de4 500 €*HT

Périmètre étendu, 3 à 5 jours. Rapport, débrief et 3 mois de suivi.

  • Web, API, mobile ou cloud selon scope
  • Rapport détaillé et débrief oral
  • Feuille de route 90 jours
  • Accompagnement remédiation 3 mois inclus
Réserver un cadrage
Red Team & Simulation
sur devisaprès cadrage

Multi-vecteurs (logique, physique, humain). Durée et scope adaptés.

  • Scénario d'attaque réaliste calqué sur vos menaces
  • Phishing ciblé, intrusion physique, lateral movement
  • Restitution COMEX et restitution tactique
  • Adversary simulation MITRE ATT&CK disponible
Discuter du scope

*Chaque cas est unique et adapté au besoin réel. Devis ferme après un cadrage gratuit de 30 minutes.

Lire nos analyses

Vulnérabilités XSS - Cross-Site Scripting : injecter du code dans le navigateur d'une victime Le XSS permet à un attaquant d'injecter du JavaScript arbitraire dans le navigateur d'une victime. Vol de session, phishing, keylogger, l'impact dépend uniquement de l'imagination de l'attaquant. Mai 2026·10 min de lecture Méthodologie Combien coûte un pentest ? Les critères qui font varier le prix Une journée ou cinq jours, boite noire ou blanche, web ou infrastructure : le prix d'un pentest varie du simple au quadruple selon des critères précis. Ce que vous devez comprendre avant de demander un devis. Mai 2026·6 min de lecture Méthodologie Red team vs pentest : quelle différence, et lequel choisir ? Un pentest cherche des vulnérabilités sur un périmètre défini. Une red team teste votre capacité à détecter et répondre à une attaque réelle. Deux objectifs différents, deux maturités cibles différentes. Mai 2026·6 min de lecture

Vous avez un périmètre en tête ?

Cadrage gratuit en 30 minutes. Devis ferme sous 48 h.

Réserver un cadrage