SaaS · multi-tenant
Un client qui lit les données d'un autre : la faille qui coule un SaaS.
Sur une application multi-tenant, la sécurité tient à un tenant_id vérifié partout, à chaque requête, sans exception. Un seul endpoint qui l'oublie et un client accède aux données d'un autre. Je teste l'isolation en me connectant à deux comptes et en essayant de franchir la cloison — pas en lisant votre schéma.
Ce que couvre le pentest SaaS.
Test manuel et approfondi, pas un scan automatisé. Les failles propres au modèle multi-tenant et à une API-first, testées à la main sur votre produit. OWASP WSTG + API Top 10, avec plusieurs comptes et plusieurs rôles.
tenant_id non vérifié, filtrage côté serveurQuatre étapes. Prix et périmètre fixes.
De la prise de contact à l'attestation, votre audit suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste. Prix fixe dès 4 500 €, défini au cadrage.
Cadrage
Un court appel, un prix fixe, des règles d'engagement écrites. Aucune surprise sur la facture ni en production.
~ 1 appelTest
Test manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.
5–10 joursRapport
Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.
2–3 joursContre-test
Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.
gratuit · 30 jQuand ce test devient urgent.
Un pentest n'attend pas l'incident. Voici les déclencheurs les plus fréquents chez les éditeurs SaaS qui me contactent.
- Un client grand compte exige un rapport de pentest dans son questionnaire sécurité
- Une certification SOC 2 / ISO 27001 réclame un pentest annuel
- Une levée de fonds et sa due diligence technique approchent
- L'ouverture d'une API publique ou d'un système de webhooks élargit la surface
- Un passage à l'entreprise : SSO, rôles, gestion d'équipes et de permissions fines
- Un doute sur l'isolation entre vos clients ou sur un accès mal cloisonné
Ce qu'on me demande avant de signer.
Les vraies questions d'un premier appel de cadrage sur un produit SaaS. Si la vôtre manque, elle a sa réponse en un e-mail.
Testez-vous en production ou sur un environnement dédié ?
De préférence sur un environnement de recette iso-production, avec des comptes de test. Le test en production reste possible, encadré par des règles d'engagement écrites.
Comment testez-vous l'isolation entre tenants ?
Avec au moins deux comptes clients distincts, je tente d'atteindre les données de l'un depuis l'autre : identifiants d'objets, appels d'API directs, jetons rejoués. C'est le cœur d'un pentest SaaS.
Avez-vous besoin de plusieurs rôles et comptes ?
Oui. Un jeu de comptes par rôle (admin, membre, invité) et par tenant me permet de vérifier chaque frontière d'autorisation, pas seulement le compte principal.
Le rapport convient-il pour SOC 2 ou ISO 27001 ?
Oui. Le rapport et l'attestation sont conçus pour être remis tels quels à un auditeur ou à un client dans un questionnaire sécurité.
Comment fixez-vous le prix ?
Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.
Que se passe-t-il une fois les correctifs faits ?
Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour, prête pour vos clients.
Qui mène votre test.
Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.
Saïd Mimouni
Pentest & audit de sécurité · applications web & API
Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.
Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.
Un SaaS à mettre à l'épreuve ?
Dites-moi votre stack, votre modèle multi-tenant et à peu près quand vous en avez besoin. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même.