Scénarios de sécurité concrets
Scénarios illustratifs basés sur des problèmes de sécurité typiques que nous rencontrons. Les noms des clients sont anonymisés.
Boutique en ligne avec paiement vulnérable
Le défi
Une boutique en ligne croissante traite des centaines de paiements quotidiens. Le propriétaire suspecte des problèmes de sécurité dans le processus de paiement.
Notre approche
Nous avons effectué un pentest sur l'application web, ciblant le flux de paiement, les intégrations de paiement et les comptes clients.
Constats
- ›Manipulation de prix possible via la falsification de paramètres
- ›Validation insuffisante des codes de réduction
- ›Tokens de session non invalidés après déconnexion
- ›Commandes d'autres clients visibles via IDOR
Résultat
Après un re-test intensif, toutes les vulnérabilités critiques ont été résolues. La boutique est maintenant conforme aux directives PCI DSS.
PME avec politique de mots de passe faible
Le défi
Un cabinet comptable de 25 employés n'a jamais réfléchi activement à la cybersécurité. Après un incident chez un confrère, ils décident d'agir.
Notre approche
Évaluation du réseau interne, simulation de phishing et audit des mots de passe, combinés avec un test de l'environnement Microsoft 365.
Constats
- ›73% des employés ont cliqué sur la simulation de phishing
- ›Plusieurs comptes utilisaient des variantes de 'NomEntreprise2023'
- ›Pas de MFA actif sur les systèmes critiques
- ›Deux anciens employés avaient encore des comptes actifs
Résultat
MFA activé, gestionnaire de mots de passe introduit, tous les employés formés. Lors du re-test 3 mois plus tard, seulement 8% ont cliqué sur le phishing.
Plateforme SaaS avec fuite d'API
Le défi
Une entreprise SaaS lance une nouvelle plateforme avec une API RESTful. Elle veut s'assurer que l'API est sécurisée avant le lancement public.
Notre approche
Test complet de sécurité API incluant les flux d'authentification, le rate limiting, l'analyse d'exposition des données et les tests d'élévation de privilèges.
Constats
- ›L'API retournait des données utilisateur sensibles dans les messages d'erreur
- ›Pas de rate limiting sur les endpoints d'authentification
- ›Tokens JWT manipulables via une clé de signature faible
- ›Endpoints admin insuffisamment protégés via RBAC
Résultat
Tous les constats critiques résolus avant le lancement. La plateforme a été lancée sans incidents de sécurité.
Entreprise vulnérable au phishing
Le défi
Une société de conseil financier reçoit de plus en plus d'emails suspects. Elle veut savoir comment ses employés sont protégés.
Notre approche
Campagne de phishing multi-phase : fraude au PDG, usurpation d'identité IT helpdesk et fausses factures. Combiné avec un audit de sécurité email.
Constats
- ›DMARC non configuré — domaine pouvait être usurpé
- ›62% des employés ont ouvert l'email de phishing
- ›28% ont saisi leurs identifiants sur la fausse page
- ›Pas de procédure de signalement des emails suspects
Résultat
DMARC, SPF et DKIM correctement configurés. Formation pour tous les employés. Re-test : seulement 6% ont cliqué — réduction de 90%.
Environnement cloud avec permissions incorrectes
Le défi
Une scale-up a toute son infrastructure sur AWS mais n'a jamais fait de revue de sécurité. Elle suspecte des buckets S3 publiquement accessibles.
Notre approche
Revue complète de sécurité cloud AWS basée sur le CIS Benchmark. Analyse des rôles IAM, politiques S3, groupes de sécurité et configuration CloudTrail.
Constats
- ›3 buckets S3 publiquement accessibles avec données clients
- ›Plusieurs utilisateurs IAM avec droits trop larges
- ›Journalisation CloudTrail inactive dans certaines régions
- ›Secrets codés en dur dans des fonctions Lambda
Résultat
Tous les buckets publics sécurisés. Permissions IAM réduites au minimum. Secrets Manager implémenté. Risque de fuite de données complètement éliminé.