Un seul expert, du cadrage au rapport.
La personne qui répond à votre premier e-mail est celle qui teste votre application et signe le rapport. Pas de cabinet, pas de junior, pas de chef de projet entre vous et le terminal. « Solo » n'est pas une limite, c'est l'argument.
Une seule paire de mains
Cadrage, test, rapport et contre-test : le même expert sur toute la chaîne. Rien ne se perd dans une passation, parce qu'il n'y en a pas.
Ligne directe pendant le test
Un canal partagé, en direct avec moi. Vous demandez ce que je vois et obtenez la réponse du testeur, pas un résumé relayé par un intermédiaire.
Pas de remplissage
Périmètre fixe, criticité sur laquelle agir, langage clair. Je vous dis ce qui compte, y compris quand vous n'avez pas encore besoin de moi.
Ce que je teste, à la main.
Pentest manuel et approfondi de vos applications web et API : les failles de logique et d'autorisation que les scanners ratent. OWASP WSTG + API Top 10, en authentifié comme en non authentifié.
Les stacks que je connais en profondeur.
Je teste n'importe quelle application web, quelle que soit la stack — Python, Go, .NET compris. Mais si la vôtre tourne en Ruby, JavaScript ou PHP, sachez que je pratique ces trois écosystèmes depuis plus de 10 ans : je sais exactement où chacun laisse traîner ses failles.
Quatre étapes. Prix et périmètre fixes.
De la prise de contact à l'attestation, votre pentest suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste.
Cadrage
Un court appel, un prix fixe, des règles d'engagement écrites. Aucune surprise sur la facture ni en production.
~ 1 appelTest
Pentest manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.
5–10 joursRapport
Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.
2–3 joursContre-test
Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.
gratuit · 30 jDeux façons de travailler ensemble.
Une évaluation ponctuelle quand vous visez un instant T, ou une couverture continue qui teste chaque release. Même testeur, même profondeur dans les deux cas.
Prestation unique à périmètre fixe sur votre application web ou votre API. Le bon choix avant un lancement, un contrat grand compte ou une revue SOC 2.
- Test manuel complet web & API, périmètre convenu
- Rapport : criticité, reproduction, impact, correctif
- Synthèse d'une page pour clients & auditeurs
- Contre-test gratuit sous 30 jours
Couverture continue pour les équipes qui livrent souvent. Je teste les nouvelles fonctionnalités et releases au fil de l'eau, pour que la sécurité suive le rythme du produit.
- Tests récurrents sur tout votre cycle de release
- Failles communiquées le jour même, pas seulement à la fin
- Canal partagé permanent, en direct avec moi
- Attestation toujours à jour pour vos clients
Qui mène votre test.
Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.
Saïd Mimouni
Pentest & audit de sécurité · applications web & API
Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.
Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.
À qui ce test s'adresse.
Startups SaaS avant une revue SOC 2, agences web qui livrent des apps clientes, produits fintech ou API-first : c'est là que j'apporte le plus. Un bon cadrage commence par savoir quand ce n'est pas le moment : vous ne payez pas pour un test dont vous n'avez pas besoin.
Un bon fit
- App web ou API en production, avant un lancement ou un contrat grand compte
- Vous devez passer une revue SOC 2 ou un contrôle de sécurité client
- Une équipe technique capable de lire et corriger un rapport
Pas encore le moment
- Site vitrine statique, sans back-office ni données sensibles
- Besoin d'un scan automatisé à bas prix, pas d'un test manuel
- Réseau interne ou postes de travail, hors périmètre web & API
Ce qu'on me demande avant de signer.
Les vraies questions d'un premier appel de cadrage. Si la vôtre manque, elle a sa réponse en un e-mail.
Pentest, test d'intrusion ou audit de sécurité : quelle différence ?
Souvent les mêmes mots pour la même prestation. Un pentest (test d'intrusion) cherche activement à exploiter les failles ; un audit de sécurité applicatif couvre le même périmètre. Ici, c'est un test manuel, mené par un humain — pas un scan automatisé.
Combien de temps dure un test ?
5 à 10 jours de test selon le périmètre, plus 2-3 jours de rapport. La durée exacte est fixée au cadrage, pas découverte en route.
Testez-vous en production ?
Oui si besoin, avec des règles d'engagement écrites : fenêtres convenues, rien de destructif sans accord, et je préviens avant toute action à risque.
Et si quelque chose casse ?
Tests non destructifs par défaut. Je recommande une sauvegarde avant de commencer et je signale tout test sensible avant de le lancer, pas après.
Le rapport passe-t-il les revues SOC 2 et les contrôles clients ?
C'est exactement pour ça qu'il est écrit : synthèse pour décideurs, détail technique reproductible, et une attestation signée que vous transmettez tel quel.
Signez-vous un NDA ?
Oui, sur simple demande. Vos données restent les vôtres et sont supprimées après la mission. La divulgation est coordonnée, jamais publique sans votre accord.
Pourquoi solo plutôt qu'un cabinet ?
La même personne cadre, teste et signe. Pas de junior sur votre périmètre, pas de passation où l'information se perd. « Solo » est l'argument, pas la limite.
Comment fixez-vous le prix ?
Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.
Que se passe-t-il une fois les correctifs faits ?
Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour. Pas une prestation facturée à part.
Devis
Décrivez la cible, recevez un prix.
Trois champs suffisent. Vous recevez un périmètre et un prix fixe, souvent le jour même, sans séquence commerciale.
- Réponse sous 24 h ouvrées, par un humain
- NDA sur simple demande, avant tout échange
- Sans engagement : un devis n'est pas une commande
Trouvons vos failles pendant qu'elles vous appartiennent encore.
Dites-moi l'app, l'API, et quand. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même. Pas de séquence commerciale, juste une vraie réponse.