Secureaks

Protégez vos données avec un expert en cybersécurité

Je suis Romain Garcia et fort de 8 ans d'expérience, je mets à votre disposition mon expertise pour identifier et corriger les vulnérabilités de votre système ou de votre site web.

Certified Ethical Hacker

Valide l'expertise en tests d'intrusion éthiques, permettant d'identifier et de corriger les vulnérabilités des systèmes informatiques.

BurpSuite Certified Practionner

Atteste des compétences avancées dans la recherche et l'exploitation des vulnérabilités des applications Web.

Comment je réalise votre audit de sécurité ?

La réalisation d'un audit de sécurité est une étape cruciale pour assurer la protection de votre système d'information ou de votre application web contre les vulnérabilités potentielles et les cyberattaques. Voici comment je procède pour mener à bien cette mission essentielle :

  • On définit ensemble votre cible, vos besoins et quelle sera l'approche qui vous correspondra le mieux (Blackbox, Greybox, Whitebox)
  • On signe ensemble un contrat et un mandat de test sur la cible définie pour une durée et une date spécifiques
  • J'effectue le test d'intrusion en suivant les méthodologies recommandées par l'OWASP
  • Je vous présente en visioconférence mon rapport d'audit comportant le détail des vulnérabilités découvertes et les solutions pour les corriger
Je me protège avec un audit de sécurité

Sérieux et professionnel

“Kriptown à fait appel à Romain dans le cadre d'un audit sécurité / pentest de notre plateforme. La prestation a été réalisée avec excellence et nous avons été ravis de travailler avec quelqu'un d'aussi sérieux et professionnel que Romain. Il n'y a aucun doute sur le fait que nous referons appel à toi si nous avons à nouveau besoin de prestation dans ce domaine.”


profile picture
Mathieu Esteve
CTO & Founder at Kriptown

Qualité du compte rendu final

“Prismea, néobanque à destination des professionnels a eu le plaisir de collaborer avec Romain pour un audit sécurité complet de la plateforme (AWS, APIs, ...). La collaboration avec Romain et nos équipes a été excellente sur toute la durée de la mission. De plus, la qualité du compte rendu final est irréprochable : En anglais, détails des faiblesses, recommandations, bonnes pratiques, alternatives, ...
En tant que Leader, je recommande Romain à tous ceux qui souhaitent faire auditer leur plateforme ou effectuer des Pentests.”


profile picture
Philippe Leboc
Développeur senior chez Prismea

Travail de qualité

“Romain a réalisé une mission de pentest chez un de nos clients. Il a produit un travail de qualité et la restitution du rapport de pentest est claire et exhaustive. Je recommande de travailler avec Romain car il est très professionnel !”


profile picture
Patrice Giraud
MD6

Ma méthodologie d'audit

Afin de réaliser un audit de sécurité le plus fiable et précis possible, je m'appuie sur les standards du métier, et notamment sur les recommandations et méthodologies de l'OWASP. Je réalise de nombreux tests manuels et j'utilise également de nombreux outils spécialisés dans la sécurité me permettant d'automatiser et d'approfondir certaines tâches.

1. Reconnaissance


Je recherche des informations publiques sur vous et sur la cible.

Cela me permet de bien comprendre et appréhender la cible et son environnement et de vérifier si des données sensibles vous concernant sont présentes sur internet et/ou sur le darknet.

2. Mapping


J'étudie en détail le fonctionnement de l'application ou du système cible et son environnement. Je liste précisément les différentes fonctionnalités et les différents services disponibles.

Je peux grâce à cela avoir une vision d'ensemble de sorte à bien répartir le temps qui m'est imparti.

3. Découverte


C'est là que je vais réellement chercher des vulnérabilités sur l'application ou le système cible. Je ne vais cependant pas les exploiter de manière approfondie, car je pourrais manquer de temps pour découvrir d'autres vulnérabilités.

Je vais donc en identifier un maximum et effectuer l'exploitation lors de la phase suivante.

4. Exploitation


Je vais réellement exploiter les vulnérabilités que j'ai découvertes lors de la phase précédente.

Je peux bien évaluer l'impact qu'elles peuvent avoir afin de vous conseiller au mieux. Cela peut également me permettre de découvrir d'autres vulnérabilités.

Les différentes approches d'un pentest

Il existe généralement trois approches avec chacune leurs avantages et inconvénients

Blackbox


  • Conditions réelles
  • Aucune information particulière fournie
  • Evaluation à un instant précis
  • Echanges techniques possibles
  • Permet d'évaluer son niveau de sécurité à un instant précis
  • Parfait pour un premier audit

Greybox


  • Informations communiquées (accès utilisateurs spécifiques, documentation technique...)
  • Permet de mieux évaluer l'impact des vulnérabilités
  • Couvre une plus grande partie de l'application
  • Echanges techniques plus poussés
  • Parfait pour aller plus loin qu'un audit blackbox

Whitebox


  • Informations très précises et exhaustives communiquées (compte administrateur, code source...)
  • Découverte de vulnérabilités qu'il aurait été très difficile de détecter par des moyens plus conventionnels
  • Parfait pour couvrir une application ou un système complexe

La présentation des résultats

Dans un souci de transparence et d'efficacité, il est primordial de bien comprendre comment les résultats de votre audit de sécurité sont structurés et communiqués. Voici un aperçu détaillé de ce que contient le rapport d'audit de sécurité et comment nous procédons pour vous le présenter et vous accompagner dans les étapes suivantes.

Que contient mon rapport d'audit de sécurité ?

  • Toutes les vulnérabilités identifiées triées par criticité ainsi que les éléments découverts pendant la phase de reconnaissance.
  • Pour chaque vulnérabilité, vous retrouverez une description du type de vulnérabilité et de ce qu'elle implique.
  • Vous aurez ensuite des détails techniques vous permettant de comprendre et de reproduire les vulnérabilités découvertes.
  • Pour chaque élément, je vous proposerais des pistes vous permettant de le corriger.

Comment on procède ?

  • Je vous envoie un mail pour vous informer que l'audit est terminé.
  • On convient ensemble d'un rendez-vous en visioconférence.
  • Je vous présente le rapport d'audit de sécurité.
  • Après la présentation, je vous envoie le rapport d'audit de manière sécurisée.
  • Si vous le souhaitez, nous pouvons prévoir une phase de vérification des corrections appliquées.
J’évite les risques avec un audit de sécurité

Un audit découverte offert*

Vous souhaitez découvrir mes services ?

Je vous propose un audit découverte offert* et sans engagement de votre site internet jusqu'au 30 juin 2024.

Qu'est ce que cela vous apporte ?

  • Un diagnostic rapide de votre site internet
  • Vous aurez une idée de l'état de la sécurité de votre plateforme
  • Si des vulnérabilités sont découvertes vous pourrez déjà les corriger
  • Vous saurez si un audit plus important est nécessaire

Que comporte cette prestation ?

  • Un test d'intrusion rapide d'une ou deux heures
  • La même méthodologie qu'un audit standard
  • Les mêmes outils sont utilisés
  • Un rapport d'audit vous sera remis
  • Une présentation des résultats sera effectuée en visioconférences

* Audit gratuit et sans engagement jusqu'au 30 juin 2024 réservé aux professionnels dans la limite d'une prestation par client et selon disponibilités

Questions fréquentes

Combien coûte un audit de sécurité ?

Le coût d'un pentest dépend de plusieurs facteurs, tels que la complexité et la taille du système à tester, le type de pentest (black box, white box, grey box), ainsi que la durée et la profondeur du test. Nous offrons des devis personnalisés après avoir évalué vos besoins spécifiques pour vous fournir une estimation précise mais le budget moyen se situe entre 1 500 et 4 500 € HT.

Comment choisissez-vous les méthodes de test à appliquer ?

Les méthodes de test sont choisies en fonction des objectifs spécifiques du client, de l'environnement à tester et des types de menaces les plus pertinents. Nous utilisons une combinaison de tests automatisés et manuels, incluant des techniques de black box, de white box et de grey box.

Quel est le résultat d'un pentest ?

Le résultat d'un pentest est un rapport détaillé qui inclut les vulnérabilités découvertes, une évaluation de leur gravité, et des recommandations pour leur mitigation. Ce rapport aide les organisations à comprendre leur posture de sécurité et à prendre des mesures correctives.

Un pentest est-il vraiment nécessaire pour ma petite/moyenne entreprise ?

Oui, quelle que soit la taille de votre entreprise, vous êtes susceptible d'être la cible de cyberattaques. Un pentest peut révéler des vulnérabilités inattendues dans votre système de sécurité et vous aider à les corriger avant qu'elles ne soient exploitées par des attaquants. Cela peut non seulement protéger vos actifs et données critiques mais aussi renforcer la confiance de vos clients dans votre capacité à protéger leurs informations.

Comment puis-je justifier le coût d'un pentest à ma direction ?

Vous pouvez justifier le coût d'un pentest en mettant en avant le retour sur investissement en termes de prévention des pertes financières dues aux violations de données, de protection de la réputation de l'entreprise et de conformité réglementaire. Un pentest peut également être considéré comme une assurance contre les coûts bien plus élevés associés à une cyberattaque réussie, y compris les amendes, les dommages légaux, et la perte de confiance des clients.

Quelle est la durée d'un audit de sécurité ?

La durée d'un pentest peut varier en fonction de la complexité du système testé, de l'étendue des objectifs et des méthodes utilisées. En général, un pentest peut durer de quelques jours à plusieurs semaines, la moyenne se situant autour de trois jours.

Quels types d'organisations ont besoin de services de cybersécurité et de pentesting ?

Toutes les organisations qui dépendent des technologies de l'information pour leurs opérations peuvent bénéficier de services de cybersécurité et de pentesting. Cela inclut les entreprises de toutes tailles, les gouvernements, les institutions financières, les établissements de santé, et plus encore.

Comment puis-je me préparer à un pentest ?

Pour vous préparer à un pentest, assurez-vous que toutes les parties prenantes sont informées de l'exercice, définissez clairement le périmètre du test, sauvegardez vos données importantes et fournissez les accès nécessaires à l'équipe de pentest.

À quelle fréquence devrais-je réaliser un pentest ?

Nous recommandons de réaliser un pentest au moins une fois par an ou à chaque fois que vous apportez des modifications significatives à votre système informatique. Cela peut inclure l'ajout de nouvelles applications, la modification de votre infrastructure réseau ou après une fusion/acquisition.

Comment les résultats d'un pentest sont-ils communiqués ?

Les résultats d'un pentest sont généralement communiqués sous forme d'un rapport détaillé qui comprend une vue d'ensemble des vulnérabilités identifiées, une analyse de l'impact, et des recommandations pour la mitigation. Nous proposons également une séance de debriefing, généralement en visioconférence, pour discuter des résultats, clarifier toute question et aider à planifier les étapes suivantes pour améliorer votre sécurité.

Me contacter

Vous avez des questions ou vous souhaitez demander un pentest ? N'hésitez pas à me contacter.

Envoyez-moi un mail :

Envoyez-moi un courriel pour toute question d'ordre général.

garciar@secureaks.com

Appelez-moi :

N'hésitez pas à m'appeler pour toute question d'ordre général.

+33 (0)4 44 44 93 73

Rendez-vous

Réservez un rendez-vous pour discuter de vos besoins en sécurité.

calendly.com/secureaks-garcia