Contrôlé, légal et entièrement transparent
Chaque engagement de sécurité suit un processus défini. Du premier contact au rapport final — tout est documenté, légalement établi et entièrement transparent.
Toujours légal, toujours avec consentement
GetHacked effectue exclusivement des tests de sécurité sur des systèmes pour lesquels nous avons une autorisation explicite et écrite. Nous ne travaillons jamais sans mandat. Chaque engagement est documenté légalement.
Prise en charge et définition du périmètre
Lors du premier entretien, nous discutons de votre organisation, vos préoccupations et vos objectifs. Ensemble, nous établissons le périmètre exact des tests.
- Discussion de l'environnement IT
- Définition des objectifs et limites
- Évaluation des risques
- Calendrier et planification
- Devis sur mesure
Autorisation et accords légaux
Avant tout test, nous documentons tout légalement. Vous recevez un accord de consentement détaillé. Sans consentement signé, pas de test. Jamais.
- Accord de consentement écrit
- NDA (accord de non-divulgation)
- Document de définition du périmètre
- Procédures d'escalade
- Accord de responsabilité
Environnement de test sécurisé
Nous veillons à ce que les tests aient un impact minimal sur vos opérations quotidiennes. Si souhaité, nous testons en dehors des heures de bureau.
- Alignement des fenêtres de test
- Choix production vs. staging
- Procédure d'arrêt d'urgence
- Canal de communication temps réel
- Monitoring pendant les tests
Reconnaissance
Dans la phase de reconnaissance, nous recueillons des informations sur votre organisation et vos systèmes — comme un vrai attaquant le ferait.
- OSINT (Intelligence Open Source)
- Analyse DNS et découverte de sous-domaines
- Empreinte technologique
- Analyse de collecte d'emails
- Sources de données publiques
Scan de vulnérabilités
Avec des outils spécialisés, nous scannons vos systèmes à la recherche de vulnérabilités connues, logiciels obsolètes et mauvaises configurations.
- Scans de vulnérabilités automatisés
- Vérifications base CVE
- Scan de ports et services
- Analyse SSL/TLS
- Vérifications CMS et frameworks
Tests de sécurité manuels
Le cœur de notre travail : des hackers éthiques expérimentés testent manuellement les vulnérabilités que les outils automatiques manquent.
- Tests de logique métier
- Développement d'exploits avancés
- Tentatives d'élévation de privilèges
- Tests de mouvement latéral
- Tests de payloads personnalisés
Rapport
Tous les constats sont documentés dans un rapport clair et complet. Chaque vulnérabilité reçoit une classification de risque, description technique, proof of concept et recommandations.
- Résumé exécutif (non technique)
- Rapport technique détaillé
- Score CVSS par vulnérabilité
- Captures d'écran et démonstrations POC
- Liste de priorités pour remédiation
Revue des résultats
Nous présentons les résultats à votre équipe lors d'une séance de débriefing. Nous passons en revue les constats, répondons aux questions et discutons des priorités.
- Présentation à la direction
- Débriefing technique avec l'équipe IT
- Session Q&A
- Priorisation des corrections
- Planification de la remédiation
Support de remédiation
En option, nous vous aidons à corriger les vulnérabilités trouvées. Nous fournissons des conseils techniques et soutenons votre équipe dans l'implémentation.
- Conseils techniques par vulnérabilité
- Revue de code des corrections
- Assistance à la configuration
- Implémentation des bonnes pratiques
- Plan d'amélioration de sécurité
Re-test
Après l'implémentation des corrections, nous effectuons un re-test pour confirmer que toutes les vulnérabilités ont été correctement résolues.
- Vérification de toutes les corrections
- Vérification de régression
- Mise à jour des constats dans le rapport
- Rapport de re-test
- Réunion de clôture