Pentest · Sécurité · Hardening
Audit de vulnérabilités sur sites WordPress, applications web, APIs REST et serveurs. Je teste, je documente, je corrige. Rapport clair, plan de remédiation priorisé, retests inclus.
Pourquoi ça compte
Un site compromis, c’est au mieux quelques jours de downtime. Au pire : données clients volées, amendes RGPD, référencement Google effondré, assurance cyber qui refuse de payer. Les PME sont aujourd’hui la cible principale — les hackers savent que vos défenses sont souvent minimales, et ils automatisent.
Un audit de sécurité, ce n’est pas un gadget. C’est identifier concrètement ce qui est exploitable chez vous, avant que quelqu’un d’autre le fasse.
Cadrage
Trois formats selon la maturité sécurité de votre organisation.
Sécurité · B2B
Audit de sécurité d'applications web, WordPress, APIs et serveurs. Tests d'intrusion, hardening, remédiation.
Ce que je teste
Base de départ : OWASP Top 10 Web et OWASP API Security Top 10, complétés par des contrôles spécifiques WordPress et stack PHP moderne.
Comment ça se passe
On définit le périmètre (URLs, environnements, endpoints), les contraintes horaires, les critères de succès.
Cartographie passive : technologies utilisées, versions, exposition publique, chaîne de dépendances.
Scan automatisé + exploration manuelle. Exploitation des vulnérabilités en conditions contrôlées, preuves à l'appui.
Livrable structuré par criticité (CVSS), avec captures, POCs, recommandations opérationnelles. Retest inclus après correctifs.
Questions fréquentes
Un scan (type Nessus, Acunetix, scanner WordPress) est automatisé, rapide, et remonte des milliers d’alertes dont la plupart sont des faux positifs. Un pentest combine l’automatisation AVEC de l’exploration manuelle par un humain qui comprend le métier de votre application. Résultat : beaucoup moins de faux positifs, et des vulnérabilités métier (logique applicative, IDOR, escalade de privilèges) qu’aucun scanner ne trouve.
Dépend du périmètre. Un audit WordPress « quick win » (1 site, surface classique) démarre autour de 1 500 € HT. Un pentest application web complet : 3 500 à 8 000 € HT selon taille. Un audit d’API REST : selon nombre d’endpoints. Devis gratuit après un appel de cadrage.
Oui. Le rapport final peut servir d’attestation pour vos clients, votre assurance cyber ou vos auditeurs externes. Il inclut le périmètre, la méthodologie, la synthèse exécutive, et le détail technique.
Communication immédiate : vous êtes prévenu dans la journée d’une vulnérabilité critique, avant même la finalisation du rapport. Temps de vous protéger sans attendre la livraison formelle.
Oui, sur le périmètre WordPress / code PHP / serveur. Pour les correctifs infra réseau ou tiers, je vous oriente et je challenge les correctifs avec un retest. L’idée : pas vous laisser avec un rapport et un problème, mais avec un rapport et une solution.
Pour les environnements à haute sensibilité (santé, finance, infrastructures publiques), je recommande un cabinet spécialisé PASSI. Sur les PME / e-commerce / SaaS / applications métier classiques, je suis ta personne.
30 minutes d'échange gratuit. Je regarde ce que vous avez, je vous dis si un audit fait sens, et dans quel format.
