Tarifs
prestations

Découvrez nos tarifs

Inspection passive

250€

  • OSINT

  • Analyse TLS / HTTPS

  • En-têtes de sécurité

  • Technologies exposées

  • Endpoints visibles (login, API, admin)

Reconnaissance

Inspection passive

L’inspection passive est proposée sous forme de forfait fixe. Cette approche permet d’obtenir une première évaluation de la surface d’exposition publique sans interaction intrusive ni risque pour vos services.

Le tarif inclut l’analyse des informations accessibles publiquement, l’identification des points d’exposition et la remise d’un rapport synthétique permettant d’orienter d’éventuels tests d’intrusion ultérieurs.

Le forfait inspection passive comprend :

  • 1️⃣ Cartographie publique : Identification domaines, sous-domaines, technologies visibles et services exposés.

  • 2️⃣ Analyse configuration web : Vérification HTTP, TLS, certificats et paramètres de sécurité accessibles publiquement.

  • 3️⃣ Détection endpoints sensibles : Recherche pages login, admin, API, debug et interfaces publiques.

  • 4️⃣ Évaluation maturité sécurité : Observation pratiques publiques et indicateurs de posture globale.

  • 5️⃣ Rapport synthétique : Remise d’un document clair avec constats, risques potentiels et recommandations.

Test d’intrusion ciblé

0€*

  • Authentification & contrôle d’accès

  • Gestion des sessions

  • Autorisations & contrôle des privilèges

  • Tests d’injection

  • XSS (Cross-Site Scripting)

  • CSRF & logique métier

  • Uploads & gestion des fichiers

  • API & services exposés

  • Sécurité côté client

Reconnaissance et exploitation

Tests d’intrusion (Pentest)

Le test d’intrusion ciblé est facturé en fonction des vulnérabilités réellement identifiées. Cette approche garantit une rémunération proportionnelle au risque détecté et une transparence totale pour le client.

Chaque vulnérabilité découverte est classée par niveau de criticité et documentée avec preuves, permettant d’évaluer précisément l’impact potentiel et les priorités de correction.

La tarification du pentest repose sur :

  • 1️⃣ Vulnérabilités faibles : Défauts mineurs sans impact critique direct sur la sécurité globale.

  • 2️⃣ Vulnérabilités modérées : Risques exploitables nécessitant une action corrective rapide.

  • 3️⃣ Vulnérabilités critiques : Failles majeures pouvant compromettre données, accès ou intégrité système.

  • 4️⃣ Preuves techniques : Captures, requêtes ou démonstrations contrôlées attestant l’existence réelle de la faille.

  • 5️⃣ Rapport détaillé : Documentation complète incluant description, impact et recommandations de remédiation.

* La prestation de test d’intrusion ciblé est facturée en fonction des vulnérabilités identifiées suivant la grille tarifaire ci-dessous :

Classification des vulnérabilités

Liste indicative non exhaustive. La classification dépend du contexte, de l’impact et de l’exploitabilité.

🟢

Vulnérabilités Faibles

150€ par vulnérabilité

  • En-têtes de sécurité manquants
  • Certificat TLS mal configuré
  • Version serveur visible
  • Cookies sans Secure / HttpOnly
  • Répertoire listé publiquement
  • Fichiers non sensibles accessibles
  • Informations debug légères
  • Absence de security.txt
  • Sitemap révélateur
  • Politique de cache faible
  • Redirections imprécises
  • Pages d’erreur verbeuses
  • Métadonnées exposées
  • DNS mal optimisé
  • Technologies obsolètes
🟠

Vulnérabilités Modérées

750€ par vulnérabilité

  • Authentification faible
  • Enumeration d’utilisateurs
  • Endpoint API non protégé
  • Upload insuffisamment filtré
  • Accès restreint mal configuré
  • Permissions excessives
  • Exposition d’identifiants internes
  • .env partiellement lisible
  • Mauvaise configuration CORS
  • Absence de MFA
  • Protection brute-force insuffisante
  • Redirections ouvertes
  • Paramètres URL manipulables
  • Logs accessibles publiquement
  • Sous-domaine abandonné
🔴

Vulnérabilités Critiques

1500€ par vulnérabilité

  • Injection SQL / NoSQL
  • XSS exploitable
  • Remote Code Execution
  • Contournement d’authentification
  • Prise de contrôle de compte
  • Base de données exposée
  • .env complet accessible
  • Clés API / tokens exposés
  • Upload menant à exécution
  • Directory traversal sensible
  • Désérialisation dangereuse
  • SSRF critique
  • Escalade de privilèges
  • Back-office sans authentification
  • Dump de données sensibles

Validation & contre-audit

500€

  • Validation des correctifs appliqués

  • Retest ciblé des vulnérabilités

  • Validation des mécanismes de protection

  • Vérification des contrôles d’accès

  • Sécurité des sessions & tokens

  • Validation des correctifs côté client

Contrôle

Validation & contre-audit

La prestation de contrôle permet de vérifier l’efficacité des correctifs appliqués après un test d’intrusion ou un audit de sécurité. Elle garantit que les vulnérabilités identifiées ne sont plus exploitables.

Cette intervention est facturée sous forme de forfait, proportionnel au périmètre initial, et vise à fournir une validation indépendante et documentée de l’état de sécurité actuel.

La tarification du contrôle inclut :

  • 1️⃣ Re-tests ciblés : Vérification des vulnérabilités précédemment identifiées après application des correctifs.

  • 2️⃣ Validation configuration : Contrôle des paramètres serveur, permissions et règles de sécurité modifiées.

  • 3️⃣ Tests de régression : Détection d’éventuelles nouvelles failles introduites lors des corrections.

  • 4️⃣ Analyse cohérence globale : Vérification rapide des accès, autorisations et points sensibles du système.

  • 5️⃣ Rapport de validation : Document attestant l’état de sécurité et la conformité des corrections appliquées.