Sécurité offensive

Tests d’intrusion web

Repérez les failles avant qu’elles ne se transforment en incident. Portail client, back-office ou API publique : la plus petite erreur de logique peut exposer des données sensibles. Nos pentesters reproduisent les techniques actuelles – du XSS au contournement complet d’autorisation – et livrent un plan de remédiation clair, priorisé et chiffré.

PMEETIgrands comptes
Logo

Pourquoi réaliser un pentest web ?

Les scanners automatiques détectent les failles évidentes, mais ils passent à côté des enchaînements subtils : élévation de privilèges après changement de rôle, dérivation de workflow ou combinaison d’injections dans plusieurs modules. Un test mené par un auditeur expérimenté parcourt l’application comme le ferait un utilisateur – création de compte, parcours d’achat, appels API – puis vérifie la robustesse de vos contrôles d’accès et de vos journaux. Le rapport obtenu parle autant au COMEX qu’aux développeurs : il chiffre le risque, démontre l’impact et recommande les correctifs à mettre en place.

Méthodologie certifiée PASSI

La démarche suit le Web Security Testing Guide de l’OWASP et les exigences PASSI : elle commence par la cartographie des points d’entrée, se poursuit par l’analyse des contrôles (authentification, session, logique métier), puis par l’exploitation manuelle qui confirme la criticité. L’impact est documenté pas à pas ; le rapport est remis sous format technique et exécutif, et un re-test ciblé valide les correctifs critiques. Toutes les actions sont horodatées et réalisées depuis nos plateformes hébergées en France.

Ils nous font confiance

EDF
MAIF
Vinci
Suez
SNCF
Sodebo

Cas d’usage courants

Portails B2B / B2C

Authentification, gestion de session, injections complexes et détournement de panier.

API REST & GraphQL

Contrôles d’accès horizontaux et verticaux, fuzzing d’endpoints, injections dans requêtes composites.

Back-offices & CMS

Mauvaises configurations, plugins vulnérables, escalade de rôle, exfiltration de données.

informations

Contactez-nous

Besoin d’un test d’intrusion web ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

Expertises liées

Pentests

Tests d’intrusion externes

Exposez vos vulnérabilités pour mieux les corriger : applications web ou mobiles, API, portails VPN, équipements industriels accessibles… Chaque actif ouvert sur Internet peut devenir le point d’entrée d’un attaquant déterminé. Le pentest externe Digitemis reproduit leurs méthodes – collecte OSINT, scans furtifs, exploitation manuelle, contournement des IDS/IPS – afin de mesurer l’impact réel d’une compromission et de remettre à vos équipes un plan d’actions immédiatement exploitable.

ETIgrands comptesPME

Pentests

Tests d’intrusion internes

Une compromission de poste, un accès prestataire trop large ou un VLAN mal cloisonné suffit à transformer votre réseau interne en autoroute pour les attaquants. Notre pentest interne reproduit ces trajectoires : déplacement latéral, élévation de privilèges, persistance, exfiltration. Vous savez précisément jusqu’où un intrus pourrait aller – et comment l’arrêter.

ETIgrands comptesPME

Pentests

Tests d’intrusion mobile

Garantissez la sécurité de vos apps iOS et Android avant qu’elles ne tombent entre de mauvaises mains. Les applications mobiles concentrent authentification, données sensibles et accès aux capteurs de l’appareil. Un seul défaut de stockage, de chiffrement ou de logique API suffit à exposer vos utilisateurs comme votre marque. Le pentest mobile Digitemis reproduit les techniques d’un attaquant — du reverse engineering de l’APK jusqu’au détournement de profils MDM — et traduit chaque faille en plan d’actions.

ETIgrands comptesPME

Pentests

Audit Red Team

Pendant plusieurs semaines, nos opérateurs rejouent le cycle complet d’un adversaire structuré : collecte OSINT, intrusion physique ou logique, latéralisation, persistance furtive, exfiltration contrôlée. Vous mesurez la solidité de vos défenses techniques, la vigilance humaine et la réactivité de vos processus SOC / RSSI ; vous repartez surtout avec une feuille de route chiffrée, priorisée, prête pour le COMEX.

ETIgrands comptes

Pentests

Tests d’intrusion IBM i / AS 400

Banque, assurance, logistique : le serveur IBM i (ex-AS 400) reste le socle de traitements critiques. Sa réputation de robustesse masque pourtant des risques concrets : profils all object, programmes interactifs mal signés, défaut de sécurisation des services réseaux… Le pentest IBM i Digitemis reproduit le mode opératoire d’un attaquant connaissant la plateforme, exploite les spécificités OS/400 et fournit un plan d’actions priorisé – sans perturber la production.

ETIgrands comptes

FAQ

Questions fréquentes

Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !

contactez-nous
Quelle est la durée moyenne d’un pentest web ?

De trois à huit jours ouvrés, selon la taille de l’application, le nombre de rôles et la profondeur souhaitée (boîte noire ou grise).

Oui. Le périmètre inclut habituellement les API REST ou GraphQL qui alimentent l’application, pour évaluer les contrôles d’accès et la robustesse des endpoints.

Les scans de charge sont calibrés ; les exploitations intrusives sont programmées hors pics de trafic ou sur un environnement miroir.

Chaque vulnérabilité est accompagnée d’une preuve d’exploitation pas-à-pas, d’une référence OWASP/CWE et d’une recommandation de correctif prête à être intégrée au backlog (liens code, configuration ou requête API concernés).

cas client

Découvrez notre approche

cas client

Découvrez notre approche projet