Protégez vos systèmes grâce à des tests de
sécurité offensifs.
Ils nous ont fait confiance
Nos évaluations de sécurité, réalisées par des experts, identifient les failles de votre entreprise
pour protéger vos systèmes, vos données et votre réputation.
Test d'intrusion en aveugle, sans aucune connaissance préalable de votre infrastructure. Nous simulons une attaque externe réelle pour identifier les vulnérabilités visibles depuis l'extérieur, comme le ferait un véritable attaquant.
Test avec accès partiel à vos systèmes (comptes utilisateurs, documentation limitée). Approche équilibrée qui simule une menace interne ou un attaquant ayant obtenu des accès initiaux, pour une couverture optimale.
Test complet avec accès total : code source, architectures, credentials. Permet une analyse approfondie de votre sécurité, idéal pour les audits de conformité et une couverture maximale des risques potentiels.
Nous évaluons les fondations de votre application en combinant la puissance des outils d'analyse statique à l'expertise minutieuse de nos consultants. Cette approche permet de déceler les vulnérabilités, même dormantes, qui échapperaient à un test dynamique.
Évaluation offensive de vos processus KYC au moyen de scénarios de contournement réalistes. Nous testons la résistance aux documents falsifiés et aux contournements biométriques (synthèse d'image) afin de valider l'efficacité de vos contrôles automatiques et humains.
Nous créons des campagnes de phishing personnalisées et des scénarios de manipulation humaine afin de mesurer et renforcer la vigilance de vos équipes.
Besoin d'une offre sur-mesure adaptée à votre contexte ?
Une approche éprouvée et adaptée à chaque mission, pour identifier et réduire
les risques techniques, humains et procéduraux avant qu’ils ne soient exploités.
Nous définissons ensemble le périmètre, les objectifs et les contraintes. Cette phase garantit que nos tests correspondent parfaitement à vos besoins et respectent vos contraintes opérationnelles.
Nous analysons l'architecture technique, les flux de données ou le code source selon la mission. Cette phase permet d'identifier les zones critiques et les points de contrôle clés pour concentrer nos efforts là où le risque est le plus élevé.
Qu'il s'agisse d'analyser du code ou de tenter de contourner un processus KYC, nos consultants déploient des méthodologies spécifiques pour identifier les vulnérabilités techniques et humaines.
Enfin, nous livrons un rapport détaillé incluant les preuves d'exploitation, la classification des risques et des recommandations prioritaires. Une réunion de restitution est organisée pour présenter nos conclusions et vous guider dans la compréhension des correctifs à appliquer.
Découvrez nos dernières analyses, guides techniques et actualités en cybersécurité.
Vulnérabilités
Lors d'un récent test d'intrusion réalisé pour l'un de nos clients, nous avons été mandatés pour évaluer la sécurité d'un serveur web Linux exposé sur Internet. Dans cet article, nous allons détailler pas à pas le chemin complet, en exploitant deux CVE récentes qui affectent la majorité des distributions Linux.
Lire l'article
Cloud
Vos accès AWS se vendent entre 100 € et 1500 € sur les forums underground. L'audit simule cette compromission pour quantifier le 'blast radius' : vérifier si une configuration IAM laxiste permet de transformer un accès limité en une prise de contrôle totale de l'infrastructure.
Lire l'article
Red Team
L'ingénierie sociale n'est pas une question de chance, c'est un processus industriel. Découvrez pourquoi vos outils techniques échouent là où la manipulation psychologique commence, et comment tester la réelle résilience de vos processus de confiance.
Lire l'article
Notre expertise, notre rigueur et notre engagement font de nous
le partenaire idéal pour sécuriser votre entreprise.
Phorsys agit comme une extension de votre équipe technique. Du diagnostic ponctuel au suivi continu, nos interventions s'ajustent en temps réel à votre rythme de croissance et à l'évolution de vos risques de sécurité.
Nos experts détiennent les titres les plus exigeants du secteur (OSCP, CRTP, OSEP). Plus qu'un prestige, ces certifications garantissent une maîtrise totale des attaques modernes et une méthodologie rigoureuse, validée par les plus hauts standards internationaux.
Phorsys n'est lié à aucun éditeur de solutions. Nos préconisations sont dictées par un seul objectif : votre sécurité. Cette indépendance vous garantit des conseils objectifs et adaptés à vos besoins réels.
Notre savoir-faire s'appuie sur une connaissance profonde et concrète des techniques de fraude, nous permettant d'anticiper les vecteurs d'attaque là où les autres échouent.
Nous adaptons nos tests à votre réalité métier. Que vous soyez une FinTech ou une plateforme e-commerce, nos scénarios d'attaque sont calqués sur vos risques réels.
Comprendre comment l'attaquant réfléchit pour mieux l'anticiper. Plus qu'un audit, nous transmettons à vos équipes la vision nécessaire pour transformer vos faiblesses en une culture de défense proactive.
Notre équipe est à votre disposition pour discuter de vos besoins
en cybersécurité et vous proposer une solution adaptée.
Tout ce que vous devez savoir sur nos services de cybersécurité offensive
Un test d'intrusion (ou pentest) est une évaluation de sécurité offensive qui simule une cyberattaque réelle contre vos systèmes. Contrairement à un simple scan automatisé, nous adoptons le raisonnement d'un attaquant pour identifier et exploiter les vulnérabilités : failles de logique métier, injections SQL, élévations de privilèges, accès non autorisés. L'objectif est de découvrir comment un cybercriminel pourrait compromettre vos données sensibles, avant qu'il ne le fasse réellement.
Un scanner automatisé détecte les vulnérabilités connues (patchs manquants, configurations erronées) mais génère de nombreux faux positifs et ne teste pas l'exploitabilité réelle. Un pentest combine outils automatisés et expertise humaine pour : identifier les vulnérabilités logiques invisibles aux scanners, enchaîner plusieurs failles pour démontrer l'impact réel, ou encore tester les interconnexions entre systèmes. Le pentest prouve concrètement ce qu'un attaquant peut accomplir.
Black Box : Nous testons votre système comme un attaquant externe, sans aucune information préalable. Grey Box : Nous disposons d'accès utilisateur pour effectuer des tests plus approfondis. White Box : Nous avons accès au code source et à l'architecture pour une analyse complète. Le Grey Box offre généralement le meilleur compromis entre couverture de sécurité et tarif.
Les pentests sont essentiels pour : respecter les exigences de conformité (PCI-DSS, ISO 27001, SOC 2, RGPD), préparer une levée de fonds ou une acquisition, valider la sécurité après un changement architectural majeur, identifier proactivement les failles avant les cybercriminels, démontrer votre engagement sécurité auprès de vos clients, et investiguer après un incident de sécurité. Un pentest annuel minimum est recommandé, trimestriel pour les environnements critiques (fintech, santé).
Nous testons l'ensemble de votre surface d'attaque : applications web et APIs, applications mobiles iOS et Android, infrastructures réseau, environnements cloud (AWS, Azure, GCP), Active Directory, réseaux sans fil, dispositifs IoT, audits de code source etc... Nous adaptons notre méthodologie à votre stack technologique spécifique.
Nous tentons de contourner vos processus de vérification d'identité en utilisant les techniques employées par les fraudeurs : faux documents, deepfakes vidéo, manipulation d'images par intelligence artificielle. Pour les fintechs et néobanques, ce test permet de vérifier si vos contrôles KYC résistent aux techniques de fraude actuelles.
Cela dépend de vos objectifs. Le pentest identifie les failles exploitables immédiatement. L'audit de code révèle les vulnérabilités latentes dans votre base de code : mauvaises pratiques, failles dormantes, dette de sécurité. Si vous préparez une levée de fonds ou une certification, nous recommandons de combiner les deux approches.
Cela dépend de la portée : une application web simple nécessite 3 à 5 jours, une infrastructure complète 2 à 3 semaines. L'audit de code varie selon la taille du projet (5 à 10 jours en moyenne). Les campagnes de phishing s'étendent sur 2 à 4 semaines. Le rapport final vous est livré sous 48 à 72 heures après les tests, avec un contre-audit optionnel pour valider vos corrections.
Le tarif dépend de plusieurs facteurs : la complexité et la taille du périmètre, le type de test (Black/Grey/White Box), les exigences de conformité spécifiques. À titre indicatif, comptez entre 2 400 et 8 000 € pour une application web simple, 8 000 à 15 000 € pour un application de taille moyenne, et 15 000 € et plus pour des environnements complexes ou hautement réglementés. Nous proposons systématiquement un devis détaillé après analyse de votre périmètre.
La fréquence recommandée dépend de votre secteur et de votre niveau de risque : minimum annuel pour la conformité réglementaire et les environnements standards, trimestriel ou semestriel pour les secteurs critiques (finance, santé, e-commerce), après chaque déploiement majeur ou changement architectural significatif, et avant tout événement important (levée de fonds, acquisition, lancement produit). Les fintechs et néobanques bénéficient généralement de tests trimestriels.
Non. Nous testons dans un environnement contrôlé et validons chaque action critique avant son exécution. Si un test potentiellement impactant est nécessaire, nous vous prévenons au préalable et le planifions en dehors de vos heures de production. Aucune interruption non planifiée.
Les données collectées durant la mission sont stockées exclusivement sur nos supports de travail intégralement chiffrés. Elles sont systématiquement supprimées sous 30 jours après la livraison du rapport final. Nos interventions sont strictement encadrées par un NDA et respectent les exigences du RGPD.
Nos pentesteurs sont des experts certifiés en cybersécurité offensive, titulaires de certifications reconnues internationalement : OSCP (Offensive Security Certified Professional), CRTP (Certified Red Team Professional), OSEP (Offensive Security Experienced Penetration Tester), . Chaque testeur possède une expérience vérifiable sur des environnements comparables au vôtre.
Non, la confidentialité est essentielle pour l'efficacité du test. Nous créons des emails imitant vos fournisseurs ou votre service informatique, seuls les décideurs clés sont informés. Après la campagne, vous recevez un rapport détaillant les interactions (clics, saisies de mots de passe) et nous proposons des formations ciblées pour les équipes les plus vulnérables.
Chaque rapport comprend : un résumé exécutif non-technique pour les décideurs (risques business, impacts, priorités), une description détaillée de chaque vulnérabilité découverte avec preuves d'exploitation (captures d'écran, extraits de données etc.), une évaluation des risques avec classification par criticité (Critique, Haute, Moyenne, Faible), des recommandations de remédiation détaillées avec références techniques, et la méthodologie complète des tests réalisés.
Absolument. Chaque rapport comprend un résumé exécutif non-technique destiné à la direction, exposant les risques business, les impacts et les priorités. Une section technique détaillée accompagne ce résumé pour vos équipes de développement.
Notre équipe est là pour répondre à toutes vos interrogations
Nous utilisons des cookies pour améliorer votre expérience et analyser l'audience de notre site. En poursuivant votre navigation, vous acceptez leur utilisation conformément à notre Politique de Confidentialité.
