Pentest
SaaS
Multi-tenant, APIs exposees, isolation insuffisante : le SaaS concentre les risques les plus sous-estimes.
Tests d’intrusion specifiques aux architectures SaaS : isolation des tenants, APIs REST/GraphQL, logique d’abonnement, privilege escalation multi-tenant, securite des webhooks.
A partir de
Sur devis HT
Duree
Rapport
Ce qui est inclus
Perimetre d'intervention
Un cadre precis, des livrables concrets et contractualises.
Isolation multi-tenant
Tests de cloisonnement entre tenants : acces aux donnees d’un autre client, elargissement de privileges
Logique d'abonnement
Contournement des niveaux d’abonnement, acces a des fonctionnalites premium sans paiement
IAM et configuration cloud
Mauvaises configurations AWS/Azure/GCP, permissions IAM excessives, buckets exposes
Securite APIs REST/GraphQL
Authentification, autorisation, rate limiting, injection, introspection GraphQL, shadow APIs
Securite des webhooks
Validation des signatures, replay attacks, SSRF via URL de webhook, exposition de donnees
Rapport avec impact metier
Chaque finding est traduit en impact metier concret : fuite de donnees clients, perte de revenus…
Comment ca se passe
Deroulement de la mission
Chaque etape est balisee, documentee et validee.
01
Cadrage
Perimetre, tenants de test, comptes multi-niveaux, acces API, NDA
02
Architecture
Comprehension de l’architecture SaaS, cartographie des APIs et flux de donnees
03
Tests offensifs
Multi-tenant, APIs, logique metier, IAM cloud, webhooks
04
Exploitation
PoC tenant escape, privilege escalation, fuites de donnees inter-tenant
05
Rapport
Impact metier, remediation priorisee, re-test apres corrections
Reglementation
Articles de loi couverts
Chaque livrable est tracable et opposable lors de vos audits.
OWASP
API Security Top 10
Couverture des 10 risques OWASP specifiques aux APIs : BOLA, authentification cassee, exposition excessive…
SOC 2
Les findings du pentest SaaS alimentent directement votre programme de conformite SOC 2 Type II.
RGPD
Art. 25 & 32
Privacy by Design et securite du traitement. La separation des tenants est une exigence de protection des donnees.
Pour aller plus loin
Services associés
Prolongez l’impact de votre investissement.
Surveillance Dark Web continue
Service de monitoring permanent : alertes en temps reel sur toute nouvelle apparition de vos donnees
Pentest apres exposition
Si des identifiants sont trouves, un pentest valide l’impact reel et ferme les acces compromis
Vos donnees sont peut-etre deja exposees
Prouvez que cette confiance est meritee.
Devis sous 24h. Equipe specialisee architectures SaaS et cloud. NDA signe des le premier echange.
Ils gagnent du temps et de la clarté
4,7 | 5 – Basé sur 26 avis
Références clients disponibles sur demande, avec NDA signé pour assurer confidentialité et confiance.
Nathan
Des experts réactifs et pédagogues, qui vont bien au-delà du simple audit. Grâce à eux, notre sécurité a clairement franchi un cap.
Raphaël
Merci à toute l’équipe, nous avons une visibilité complète sur nos risques. Leur réactivité et leur approche pédagogique rendent les audits beaucoup plus faciles à comprendre et à exploiter.
Ava
Ces rapports nous ont aidés à assurer la conformité DORA et à présenter des preuves claires et vérifiables pour nos appels d’offres.