Audit de sécurité applicative

Pentest applicatif.
Rapport sous 48h.

Sécurisez votre application avant votre prochaine levée, certification ou contrat Enterprise. Chaque vulnérabilité est livrée avec sa preuve d'exploitation et un correctif prêt à merger.

Obtenir un devis gratuit Voir un rapport exemple
Rapports conformes SOC 2 et ISO 27001 Réponse le jour même Retest gratuit sous 30 jours

48h

Délai moyen de livraison

100%

Des findings vérifiés manuellement

30j

Retest gratuit après correction

J+0

Réponse le jour même

Le problème

Ce qui vous empêche de dormir

01

Les pentests classiques prennent 6 semaines.

Cadrage, devis, planification, tests, rapport... Votre fenêtre de release est passée depuis longtemps.

02

Votre équipe dev n'a pas le temps d'auditer.

Ils shippent des features. La sécurité passe après — jusqu'au jour où elle passe en premier.

03

Les rapports de 80 pages finissent dans un tiroir.

Vulnérabilités théoriques, faux positifs, correctifs inapplicables. Personne ne les lit, personne ne les corrige.

04

NIS2 et DORA arrivent. Votre board pose des questions.

La conformité n'est plus un nice-to-have. Il faut des preuves, pas des promesses.

Services

Un audit de sécurité conçu pour les équipes qui shippent

Chaque prestation s'intègre dans votre cycle de release — sans le bloquer. Rapport livré en jours, pas en semaines. Zéro faux positif, zéro recommandation inapplicable.

Pentest application web

Couverture OWASP Top 10, logique métier, authentification. Tests manuels par un expert SaaS.

En savoir plus →

Revue de code source

Audit white-box combinant analyse statique et revue manuelle. PHP, Node.js, Python, Go, Java, Ruby.

En savoir plus →

Audit sécurité API

REST, GraphQL, WebSocket. Tests BOLA, BFLA, injection, rate limiting sur chaque endpoint.

En savoir plus →

Audit configuration cloud

AWS, GCP, Azure. Politiques IAM, réseau, stockage, secrets, conformité CIS Benchmarks.

En savoir plus →

Pentest application mobile

iOS et Android. Analyse binaire, interception réseau, stockage local. Tests sur device physique.

En savoir plus →

Due diligence cyber

Évaluation technique pour investisseurs. Architecture, dette sécurité, conformité. Livrable en 5 jours ouvrés.

En savoir plus →

Méthodologie

Du cadrage au correctif en 4 étapes

Un processus structuré pour des résultats reproductibles. Chaque audit suit le même protocole, que ce soit votre premier ou votre dixième.

01

Cadrage

Appel de 30 minutes pour définir le périmètre, les objectifs et les contraintes. Vous recevez une proposition détaillée sous 24h.

1 jour

02

Tests

Tests d'intrusion manuels et analyse de code en conditions réelles. Méthodologie OWASP WSTG et ASVS. Chaque finding est vérifié et documenté.

2–10 jours

03

Rapport

Rapport structuré avec chaque vulnérabilité classée par sévérité (CVSS 3.1), accompagnée de sa preuve d'exploitation et d'un correctif applicable.

Inclus

04

Restitution

Présentation orale des résultats à votre équipe technique. Questions, priorisation des correctifs, plan de remédiation concret.

Inclus

OWASP WSTG OWASP ASVS PTES OSSTMM CVSS 3.1 CWE

Extrait de rapport

Voici ce que vous recevez

Votre rapport contiendra entre 10 et 40 findings documentés comme celui ci-dessous. Pas de généralités, pas de faux positifs : une preuve d'exploitation, un score de sévérité, et un correctif que votre équipe peut appliquer immédiatement.

4.2.1 Broken Object-Level Authorization (IDOR)
HIGH
CVSS 3.1: 7.5 OWASP: A01:2021 Verification: Live-Confirmed

Description

L'endpoint /api/v1/documents/{id} permet à un utilisateur authentifié d'accéder aux documents de n'importe quel tenant en modifiant le paramètre id. Aucune vérification d'appartenance au tenant n'est effectuée côté serveur.

Requête

GET /api/v1/documents/1337 HTTP/2
Host: app.example.com
Authorization: Bearer eyJhbGci...{token_tenant_A}

Réponse — document du tenant B

200 OK
{
  "id": 1337,
  "tenant_id": "tenant_B",
  "title": "Contrat de financement — Série A",
  "content": "[DONNÉES CONFIDENTIELLES]"
}

Correctif proposé

// app/Http/Controllers/DocumentController.php
public function show(Request $request, int $id)
{
    $document = Document::where('id', $id)
        ->where('tenant_id', $request->user()->tenant_id)
        ->firstOrFail();

    return $document;
}
Voir le rapport exemple complet Demander un rapport pour votre application

Qui audite votre application

Des pentesters seniors, pas des commerciaux

Chaque audit est réalisé par un pentester senior spécialisé SaaS — pas de sous-traitance, pas de juniors. Nous ne faisons pas d'audit réseau — uniquement de l'applicatif.

100+ audits réalisés depuis 2015

+10 ans

d'expérience en pentest applicatif

SaaS & fintech

Spécialistes des architectures multi-tenant

Certifications & standards

OWASP WSTG OWASP ASVS PTES CVSS 3.1

Rapports conformes SOC 2 et ISO 27001

Mapping OWASP, CVSS 3.1, prêts pour vos auditeurs

Délai de livraison

Rapport complet en 48h.
Pas 48 jours.

Les cabinets traditionnels prennent des semaines de cadrage avant de commencer. Salvor Labs livre un rapport de pentest complet — vulnérabilités, preuves d'exploitation, correctifs — en 48 heures ouvrées. Parce que chaque jour sans audit est un jour où vos failles sont exploitables.

Obtenir un devis gratuit

Conformité

Chaque audit couvre vos obligations réglementaires

Les findings de chaque rapport sont systématiquement mappés vers les référentiels de conformité applicables à votre secteur. Un seul audit peut servir simultanément votre remédiation technique et vos obligations réglementaires NIS2, DORA, SOC 2 ou ISO 27001.

OWASP

Référentiel de test standard pour la sécurité applicative

NIS2

Directive européenne sur la cybersécurité des entités essentielles

DORA

Tests d'intrusion obligatoires pour le secteur financier

SOC 2

Preuves de pentest requises pour les Trust Services Criteria

ISO 27001

Tests de sécurité réguliers exigés par l'annexe A

PCI DSS

Tests d'intrusion obligatoires pour le traitement de paiements

Voir le mapping complet par prestation

Questions fréquentes

Ce que nos clients demandent

Combien de temps dure un test d'intrusion ?

Notre format Rapide livre un rapport complet en 48 heures ouvrées. Les audits à périmètre étendu (revue de code + pentest) prennent 5 à 10 jours ouvrés selon la complexité de l'application.

Que contient le rapport de pentest ?

Chaque vulnérabilité est documentée avec son score CVSS 3.1, une preuve d'exploitation reproductible, et un correctif applicable par votre équipe de développement. Le rapport inclut également une synthèse exécutive pour votre direction.

Est-ce que les tests risquent de perturber notre environnement de production ?

Non. Le périmètre et les conditions de test sont définis lors du cadrage. Nous pouvons intervenir sur un environnement de staging ou de production avec des précautions adaptées (pas de tests destructifs, fenêtres horaires définies).

Quelles technologies couvrez-vous ?

Nous auditons les applications web, APIs REST/GraphQL, applications mobiles iOS et Android, et infrastructures cloud AWS, GCP et Azure. Côté langages : PHP, Node.js, Python, Go, Java, Ruby et leurs frameworks principaux.

Comment vos audits aident-ils à la conformité NIS2 ou DORA ?

Chaque finding du rapport est mappé vers les référentiels de conformité applicables (NIS2, DORA, SOC 2, ISO 27001, PCI DSS). Un seul audit fournit à la fois les correctifs techniques et les preuves documentaires pour vos obligations réglementaires.

Êtes-vous qualifiés PASSI par l'ANSSI ?

Salvor Labs applique les référentiels méthodologiques utilisés par les prestataires PASSI (OWASP WSTG, ASVS, PTES). Nos rapports suivent le même format et la même rigueur que ceux exigés par l'ANSSI.

Que se passe-t-il après la livraison du rapport ?

Le rapport est suivi d'une restitution orale avec votre équipe technique pour prioriser les correctifs. Les forfaits projet incluent un retest gratuit sous 30 jours pour valider les corrections appliquées. Les packs annuels incluent des retests illimités.

Tarifs

Trois formats, un même niveau d'exigence

Le périmètre exact et le prix sont fixés après un appel de cadrage de 30 minutes — sans engagement.

Le plus demandé

Pentest Rapide

Prix fixe, périmètre défini, rapport livré sous 48 heures ouvrées. Votre audit passe en priorité.

  • Périmètre défini en 1h
  • Tests d'intrusion manuels
  • Rapport PDF complet
  • Synthèse exécutive
  • Retest inclus (30j)
  • Mapping OWASP
Lancer un audit rapide

Forfait projet

Prix fixe après cadrage détaillé. Pour les audits qui demandent une couverture étendue.

  • Cadrage sur mesure
  • Tests + revue de code
  • Rapport détaillé
  • Restitution orale
  • Retests inclus (30j)
  • Mapping conformité
Demander un cadrage

Pack annuel

2 à 4 audits par an avec retests illimités et accès prioritaire.

  • 2–4 audits/an
  • Retests illimités
  • Accès prioritaire
  • Rapport de suivi
  • Interlocuteur dédié
  • Tarif préférentiel
Discuter d'un pack

Prêt à sécuriser votre application ?

Décrivez votre projet en 2 minutes. On revient vers vous le même jour avec une proposition de périmètre et un devis détaillé.

Obtenir un devis gratuit Voir un rapport exemple

Réponse le jour même · Sans engagement · 4 missions par mois maximum

Obtenir un devis gratuit