Pentest à Paris

Un audit sécurisé à Paris, mené par quelqu'un qui lit le code.

Test d'intrusion web & API pour les startups et agences d'Île-de-France. Un seul interlocuteur francophone, du cadrage à l'attestation, sur site à Paris ou à distance.

  • 10+ ans d'expérience
  • Sur site à Paris
  • Prix fixe au cadrage

Paris · Île-de-France

La proximité d'un artisan, pas la lourdeur d'un cabinet.

Vous parlez directement à la personne qui teste : en français, dans votre fuseau, avec intervention sur site à Paris quand le contexte l'exige. Données traitées selon le RGPD, NDA sur demande, et un rapport que vos clients et auditeurs acceptent tel quel.

échanges en français sur site ou à distance RGPD · NDA sur demande startups & agences

Ce que couvre l'audit.

Test manuel et approfondi, pas un scan automatisé. Les failles de logique métier et d'autorisation que les outils ignorent, sur votre application. OWASP WSTG + API Top 10, en authentifié comme en non authentifié.

Contrôle d'accès défaillantBOLA / IDOR, élévation de privilèges, navigation forcée
Authentification & sessionsflux de connexion, failles MFA, JWT, gestion jetons & cookies
Abus de logique métierconditions de course, contournement de workflow, manipulation prix/quantité
InjectionSQL / NoSQL, commande, template, injection ORM
SSRF & intégrationsmétadonnées cloud, pivots internes, abus de webhooks & OAuth
Exposition de donnéesAPI trop bavardes, mass assignment, secrets exposés

Quatre étapes. Prix et périmètre fixes.

De la prise de contact à l'attestation, votre audit suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste. Prix fixe dès 4 500 €, défini au cadrage.

Cadrage

Un court appel, un prix fixe, des règles d'engagement écrites. Aucune surprise sur la facture ni en production.

~ 1 appel

Test

Test manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.

5–10 jours

Rapport

Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.

2–3 jours

Contre-test

Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.

gratuit · 30 j

Quand ce test devient urgent.

Un pentest n'attend pas l'incident. Voici les déclencheurs les plus fréquents chez les équipes franciliennes qui me contactent.

  • Un client grand compte exige une preuve de test avant de signer
  • Une revue SOC 2 / ISO 27001 réclame un pentest annuel
  • Une levée de fonds et sa due diligence technique approchent
  • Une refonte ou une release majeure change la surface d'attaque
  • Une première mise en production d'une app qui manipule des données sensibles
  • Un doute sur une fonctionnalité d'auth, de paiement ou de permissions

Ce qu'on me demande avant de signer.

Les vraies questions d'un premier appel de cadrage à Paris. Si la vôtre manque, elle a sa réponse en un e-mail.

Intervenez-vous sur site à Paris ?

Oui, sur site en Île-de-France quand le contexte l'exige (atelier de cadrage, environnement isolé). Sinon, tout se fait à distance.

Travaillez-vous hors Île-de-France ?

Oui, toute la France à distance. Le sur-site reste une option propre à Paris et sa région.

Le rapport est-il en français ?

Oui, rapport et échanges en français. Une version anglaise est possible sur demande pour vos clients internationaux.

Quels délais pour une équipe parisienne ?

Cadrage sous quelques jours, test sous ~2 semaines selon le périmètre. Les urgences se discutent à l'appel.

Comment fixez-vous le prix ?

Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.

Que se passe-t-il une fois les correctifs faits ?

Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour, prête pour vos clients.

Qui mène votre test.

Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.

Saïd, expert en pentest et audit de sécurité

Saïd Mimouni

Pentest & audit de sécurité · applications web & API

Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.

Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.

10+ ans d'expérience Basé à Paris, France LinkedIn

Un audit sécurisé à Paris ? Parlons-en.

Dites-moi l'application, l'API et à peu près quand vous en avez besoin. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même.

Réserver un cadrage Contact