ISO/IEC 27001:2022 · Annexe A
La preuve technique que votre SMSI réclame, faite à la main.
La norme ne prononce pas le mot « pentest », mais la A.8.8 (gestion des vulnérabilités techniques) et la A.8.29 (tests de sécurité) le rendent quasi incontournable pour un auditeur de certification. Je fournis cette preuve : un test manuel, un rapport aligné sur votre déclaration d'applicabilité, et une attestation de remédiation.
Ce que couvre le pentest.
Un scan de vulnérabilités ne constitue pas un test de sécurité au sens de l'A.8.29. Test manuel et approfondi des failles de logique métier et d'autorisation que les outils ignorent, sur votre application. OWASP WSTG + API Top 10, en authentifié comme en non authentifié.
Quatre étapes. Prix et périmètre fixes.
De la prise de contact à l'attestation, votre audit suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste. Prix fixe dès 4 500 €, défini au cadrage.
Cadrage
Un court appel, un prix fixe, des règles d'engagement écrites. Aucune surprise sur la facture ni en production.
~ 1 appelTest
Test manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.
5–10 joursRapport
Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.
2–3 joursContre-test
Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.
gratuit · 30 jQuand ce test devient urgent.
Un pentest n'attend pas l'incident. Voici les déclencheurs les plus fréquents chez les équipes en démarche ISO 27001 qui me contactent.
- Votre certification initiale approche et l'auditeur attend une preuve de test
- Un audit de surveillance annuel ou une recertification (cycle de 3 ans)
- Une non-conformité sur l'A.8.29 relevée à un précédent audit à lever
- Un client ou un appel d'offres exige la certification ISO 27001
- Une évolution du périmètre du SMSI ou une release majeure de l'application
- Un doute sur une fonctionnalité d'auth, de paiement ou de permissions
Ce qu'on me demande avant de signer.
Les vraies questions d'un premier appel de cadrage en démarche ISO 27001. Si la vôtre manque, elle a sa réponse en un e-mail.
Le pentest est-il obligatoire pour l'ISO 27001 ?
La norme ne l'exige pas littéralement, mais les contrôles A.8.8 et A.8.29 le rendent quasi incontournable. Dans les faits, les auditeurs de certification en réclament un.
Quels contrôles de l'Annexe A le pentest couvre-t-il ?
Principalement A.8.8 (gestion des vulnérabilités techniques) et A.8.29 (tests de sécurité en développement et recette). Le rapport nomme les contrôles concernés.
Le rapport convient-il à l'auditeur de certification ?
Oui. Méthodologie, périmètre, findings avec preuve et une attestation de remédiation après contre-test, à verser directement comme preuve d'audit.
Faut-il refaire un pentest chaque année ?
Le rythme courant est annuel et après tout changement majeur, ce qui s'aligne bien avec le cycle d'audit de surveillance ISO 27001.
Comment fixez-vous le prix ?
Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.
Que se passe-t-il une fois les correctifs faits ?
Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour, prête pour vos clients.
Qui mène votre test.
Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.
Saïd Mimouni
Pentest & audit de sécurité · applications web & API
Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.
Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.
Un pentest pour votre ISO 27001 ?
Dites-moi l'application, le périmètre de votre SMSI et votre échéance d'audit. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même.