Dans un contexte où les cyberattaques se multiplient, connaître ses propres failles est le premier réflexe d’une organisation sérieuse en matière de sécurité. Grafe, en partenariat avec OPIX, vous propose des missions de pentest structurées et adaptées à votre environnement, qu’il soit cloud, on-premise ou hybride
Qu’est-ce qu’un pentest ?
Un test d’intrusion (ou pentest) consiste à simuler l’attaque d’un utilisateur malveillant voire d’un logiciel malveillant sur l’infrastructure d’un système ou d’un réseau informatique, dans un cadre légal et maîtrisé. Le consultant, ou pentester, analyse les risques potentiels liés à une mauvaise configuration, à un défaut de programmation ou à une vulnérabilité propre aux solutions en place.
Contrairement à un simple audit de sécurité, le pentester ne se contente pas d’identifier les failles : il les exploite réellement, afin de mesurer le niveau de risque associé à chacune. L’objectif n’est pas d’endommager le système, mais de produire un plan d’actions concret pour renforcer la sécurité du système d’information.
Notre offre pentest : Grafe & OPIX
Grafe intègre dans son offre sécurité et infrastructure des missions de test d’intrusion réalisées en partenariat avec OPIX, expert en cybersécurité offensive. Cette complémentarité entre notre connaissance de vos environnements de gestion et l’expertise technique d’OPIX garantit des missions pertinentes, contextualisées et directement exploitables.
Les types de tests
Il existe 3 types de tests :
White box : le pentester dispose de toutes les informations sur votre système (codes sources, architectures, accès). Idéal pour un audit approfondi en interne.
Grey box : le pentester dispose de quelques informations, comme le ferait un prestataire ou un collaborateur avec un accès limité. Approche équilibrée entre réalisme et exhaustivité.
Black box : le pentester ne dispose d’aucune information préalable et opère exactement comme un attaquant externe. C’est l’approche la plus représentative d’une vraie cyberattaque.
Nous avons choisis la méthodologie Black Box
Les 9 étapes de notre méthodologie
La mission suit une progression rigoureuse en 9 phases, conforme aux standards du secteur.
Phase 1 — Reconnaissance : collecte d’informations passive (OSINT) sur le périmètre convenu, l’entreprise et ses collaborateurs clés, les IP et URLs exposées.
Phase 2 — Cartographie et énumération : scans de ports TCP/UDP, identification des services, applicatifs et versions, découverte de sous-domaines et de ressources sensibles (logs, outils de gestion ou de debug).
Phase 3 — Recherche de vulnérabilités : analyse des CVE (Common Vulnerabilities and Exposures) connues, des problèmes de configuration, des certificats SSL, des fichiers robots.txt et sitemaps, ainsi que des éventuelles fuites liées au versioning.
Phase 4 — Exploitation : tentatives d’exploitation réelles des vulnérabilités identifiées, injections SQL, XSS, SSRF, CSRF, SSTI, RCE, injections de commandes, HTTP Smuggling, log poisoning, bypass d’authentification, directory traversal, manipulation des cookies et tokens, attaques Man In The Middle, et bien d’autres.
Phase 5 — Élévation de privilèges : une fois un premier accès obtenu, tentative d’escalade de privilèges verticale et latérale pour mesurer l’étendue de la compromission possible.
Phase 6 — Maintien d’accès : simulation d’installation de charges malveillantes persistantes pour évaluer la capacité de détection de vos systèmes.
Phase 7 — Propagation et déplacements latéraux : pivoting entre les environnements pour mesurer l’impact d’une compromission initiale sur l’ensemble du SI.
Phase 8 — CleanUp : nettoyage des traces laissées pendant la mission.
Phase 9 — Présentation du rapport : restitution complète des résultats, avec une synthèse des risques par criticité et un plan d’actions priorisé.
Pourquoi réaliser un pentest avec Grafe ?
Parce que nous connaissons votre SI. En tant qu’intégrateur de solutions de gestion, nous intervenons sur vos environnements au quotidien. Cette proximité nous permet d’orienter les tests vers les zones réellement sensibles de votre organisation, et de mettre en perspective les résultats avec vos enjeux métier.
Parce qu’OPIX apporte l’expertise offensive. Notre partenaire spécialisé en cybersécurité offensive dispose des compétences techniques et des certifications nécessaires pour mener des missions de haut niveau, avec une neutralité totale.
Parce que vous avez besoin d’un rapport utilisable. Nous ne vous livrons pas une liste de CVE incompréhensible. Nous produisons un rapport structuré, hiérarchisé par criticité, avec des recommandations adaptées à votre contexte et à vos ressources.
À qui s’adresse cette offre ?
Notre offre pentest s’adresse aux PME et ETI qui souhaitent évaluer leur niveau de sécurité avant un audit externe, une certification ou une mise en conformité réglementaire (NIS2, RGPD, ISO 27001). Elle s’adresse également aux organisations ayant récemment subi un incident et souhaitant comprendre leur niveau d’exposition réel, ou encore à toute structure souhaitant instaurer une démarche proactive de sécurité.
Questions fréquentes
Un pentest est-il légal ?
Oui, dès lors qu’il est réalisé dans un cadre contractuel défini, sur un périmètre autorisé par le propriétaire du système. Grafe et OPIX encadrent chaque mission par une convention d’autorisation signée avant tout démarrage.
Quelle est la durée d’une mission ?
Elle dépend du périmètre. Un pentest applicatif ciblé peut se dérouler sur 3 à 5 jours. Une mission plus complète couvrant le réseau, les applications et le social engineering peut s’étaler sur 2 à 3 semaines.
Cela perturbe-t-il mon activité ?
Les tests sont planifiés en accord avec vous, souvent en dehors des heures de pointe ou sur des environnements de pré-production selon vos contraintes. La confidentialité et la continuité de service sont des prérequis à toute mission.
