Vos clients vont auditer votre sécurité. Faisons-le avant eux.

Un seul expert traque à la main les failles exploitables que les scanners ratent — contrôle d'accès, logique métier, injection. Vous repartez avec un rapport que vos devs corrigent et que vos clients acceptent.

  • 10+ ans d'expérience
  • Rapport actionnable
  • Réponse sous 24 h

Un seul expert, du cadrage au rapport.

La personne qui répond à votre premier e-mail est celle qui teste votre application et signe le rapport. Pas de cabinet, pas de junior, pas de chef de projet entre vous et le terminal. « Solo » n'est pas une limite, c'est l'argument.

Une seule paire de mains

Cadrage, test, rapport et contre-test : le même expert sur toute la chaîne. Rien ne se perd dans une passation, parce qu'il n'y en a pas.

Ligne directe pendant le test

Un canal partagé, en direct avec moi. Vous demandez ce que je vois et obtenez la réponse du testeur, pas un résumé relayé par un intermédiaire.

Pas de remplissage

Périmètre fixe, criticité sur laquelle agir, langage clair. Je vous dis ce qui compte, y compris quand vous n'avez pas encore besoin de moi.

Ce que je teste, à la main.

Pentest manuel et approfondi de vos applications web et API : les failles de logique et d'autorisation que les scanners ratent. OWASP WSTG + API Top 10, en authentifié comme en non authentifié.

Contrôle d'accèsBOLA / IDOR, élévation de privilèges, navigation forcée
Authentification & sessionsConnexion, MFA, JWT, jetons & cookies
Logique métierConditions de course, contournement de workflow, prix & quantités
InjectionSQL / NoSQL, commande, template, ORM
SSRF & intégrationsMétadonnées cloud, pivots internes, webhooks & OAuth
Exposition de donnéesAPI bavardes, mass assignment, secrets exposés
Côté clientXSS, CSRF, CORS, postMessage, clickjacking
Fichiers & uploadsTraversée de chemin, parsing non sécurisé, content-type

Les stacks que je connais en profondeur.

Je teste n'importe quelle application web, quelle que soit la stack — Python, Go, .NET compris. Mais si la vôtre tourne en Ruby, JavaScript ou PHP, sachez que je pratique ces trois écosystèmes depuis plus de 10 ans : je sais exactement où chacun laisse traîner ses failles.

Quatre étapes. Prix et périmètre fixes.

De la prise de contact à l'attestation, votre pentest suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste.

Cadrage

Un court appel, un prix fixe, des règles d'engagement écrites. Aucune surprise sur la facture ni en production.

~ 1 appel

Test

Pentest manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.

5–10 jours

Rapport

Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.

2–3 jours

Contre-test

Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.

gratuit · 30 j

Deux façons de travailler ensemble.

Une évaluation ponctuelle quand vous visez un instant T, ou une couverture continue qui teste chaque release. Même testeur, même profondeur dans les deux cas.

Test ponctuelLe plus demandé

Prestation unique à périmètre fixe sur votre application web ou votre API. Le bon choix avant un lancement, un contrat grand compte ou une revue SOC 2.

  • Test manuel complet web & API, périmètre convenu
  • Rapport : criticité, reproduction, impact, correctif
  • Synthèse d'une page pour clients & auditeurs
  • Contre-test gratuit sous 30 jours
dès 3 000 € · prix fixe défini au cadrage
Réserver un cadrage Réponse sous 24 h ouvrées
En continurécurrent

Couverture continue pour les équipes qui livrent souvent. Je teste les nouvelles fonctionnalités et releases au fil de l'eau, pour que la sécurité suive le rythme du produit.

  • Tests récurrents sur tout votre cycle de release
  • Failles communiquées le jour même, pas seulement à la fin
  • Canal partagé permanent, en direct avec moi
  • Attestation toujours à jour pour vos clients
dès 1 500 €/mois · forfait selon le rythme
Réserver un cadrage

Qui mène votre test.

Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.

Saïd, expert en pentest et audit de sécurité

Saïd Mimouni

Pentest & audit de sécurité · applications web & API

Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.

Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.

10+ ans d'expérience Basé à Paris, France LinkedIn

À qui ce test s'adresse.

Startups SaaS avant une revue SOC 2, agences web qui livrent des apps clientes, produits fintech ou API-first : c'est là que j'apporte le plus. Un bon cadrage commence par savoir quand ce n'est pas le moment : vous ne payez pas pour un test dont vous n'avez pas besoin.

Un bon fit

  • App web ou API en production, avant un lancement ou un contrat grand compte
  • Vous devez passer une revue SOC 2 ou un contrôle de sécurité client
  • Une équipe technique capable de lire et corriger un rapport

Pas encore le moment

  • Site vitrine statique, sans back-office ni données sensibles
  • Besoin d'un scan automatisé à bas prix, pas d'un test manuel
  • Réseau interne ou postes de travail, hors périmètre web & API

Ce qu'on me demande avant de signer.

Les vraies questions d'un premier appel de cadrage. Si la vôtre manque, elle a sa réponse en un e-mail.

Pentest, test d'intrusion ou audit de sécurité : quelle différence ?

Souvent les mêmes mots pour la même prestation. Un pentest (test d'intrusion) cherche activement à exploiter les failles ; un audit de sécurité applicatif couvre le même périmètre. Ici, c'est un test manuel, mené par un humain — pas un scan automatisé.

Combien de temps dure un test ?

5 à 10 jours de test selon le périmètre, plus 2-3 jours de rapport. La durée exacte est fixée au cadrage, pas découverte en route.

Testez-vous en production ?

Oui si besoin, avec des règles d'engagement écrites : fenêtres convenues, rien de destructif sans accord, et je préviens avant toute action à risque.

Et si quelque chose casse ?

Tests non destructifs par défaut. Je recommande une sauvegarde avant de commencer et je signale tout test sensible avant de le lancer, pas après.

Le rapport passe-t-il les revues SOC 2 et les contrôles clients ?

C'est exactement pour ça qu'il est écrit : synthèse pour décideurs, détail technique reproductible, et une attestation signée que vous transmettez tel quel.

Signez-vous un NDA ?

Oui, sur simple demande. Vos données restent les vôtres et sont supprimées après la mission. La divulgation est coordonnée, jamais publique sans votre accord.

Pourquoi solo plutôt qu'un cabinet ?

La même personne cadre, teste et signe. Pas de junior sur votre périmètre, pas de passation où l'information se perd. « Solo » est l'argument, pas la limite.

Comment fixez-vous le prix ?

Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.

Que se passe-t-il une fois les correctifs faits ?

Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour. Pas une prestation facturée à part.

Devis

Décrivez la cible, recevez un prix.

Trois champs suffisent. Vous recevez un périmètre et un prix fixe, souvent le jour même, sans séquence commerciale.

  • Réponse sous 24 h ouvrées, par un humain
  • NDA sur simple demande, avant tout échange
  • Sans engagement : un devis n'est pas une commande
ou réserver un appel

Trouvons vos failles pendant qu'elles vous appartiennent encore.

Dites-moi l'app, l'API, et quand. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même. Pas de séquence commerciale, juste une vraie réponse.

Réserver un cadrage Devis