Startups · early-stage
Un expert de bout en bout, pas un cabinet qui vend un senior et livre un junior.
Pour une startup, le pentest est souvent une case à cocher imposée par un client ou un investisseur — et un premier budget sécurité qui compte. La personne qui cadre le test est celle qui l'exécute et rédige le rapport : pas de chef de projet, pas de junior, pas de remplissage. Un prix fixe, un périmètre clair, un rapport que vos clients acceptent tel quel.
Ce que couvre le pentest.
Test manuel et approfondi, pas un scan automatisé. Les failles de logique métier et d'autorisation que les outils ignorent, sur votre produit. OWASP WSTG + API Top 10, en authentifié comme en non authentifié.
Quatre étapes. Prix et périmètre fixes.
De la prise de contact à l'attestation, votre audit suit une séquence claire — pas un tunnel. Vous savez toujours où vous en êtes, ce qui a été trouvé et ce qu'il reste. Prix fixe dès 4 500 €, défini au cadrage.
Cadrage
Un court appel, un prix fixe, des règles d'engagement écrites. Aucune surprise sur la facture ni en production.
~ 1 appelTest
Test manuel sur les cibles convenues, canal ouvert en direct. Le critique est signalé le jour où je le trouve.
5–10 joursRapport
Chaque faille : criticité, reproduction, impact réel, correctif concret. Plus une synthèse pour vos clients.
2–3 joursContre-test
Vous corrigez, je vérifie et délivre une attestation propre. Inclus, pas une prestation à part.
gratuit · 30 jQuand ce test devient urgent.
Un pentest n'attend pas l'incident. Voici les déclencheurs les plus fréquents chez les startups qui me contactent.
- Votre premier gros client exige un rapport de pentest avant de signer
- Une levée de fonds et sa due diligence technique approchent
- Un passage SOC 2 ou ISO 27001 réclame un pentest annuel
- Une première mise en production d'un produit qui manipule des données sensibles
- Pas encore d'équipe sécurité et le besoin d'un regard offensif extérieur
- Un doute sur une fonctionnalité d'auth, de paiement ou de permissions
Ce qu'on me demande avant de signer.
Les vraies questions d'un premier appel de cadrage avec une startup. Si la vôtre manque, elle a sa réponse en un e-mail.
On est petits — a-t-on vraiment besoin d'un pentest ?
Si un client, un investisseur ou une norme le demande, oui. Et une faille d'auth ou d'isolation ne dépend pas de votre taille. On cadre au juste périmètre pour que ça reste proportionné.
Combien ça coûte pour une startup ?
Forfait fixe défini au cadrage, à partir du périmètre réel. Pas de facturation à l'heure ni de dépassement surprise. Vous validez le prix avant que je commence.
On n'a pas d'équipe sécurité — vous nous guidez ?
Oui. Chaque faille arrive avec un correctif concret, et je reste joignable pour vos questions pendant les corrections. Vous n'avez pas à parler « sécurité » pour comprendre le rapport.
Le rapport suffit-il pour un client ou un investisseur ?
Oui. Rapport détaillé pour vos développeurs, plus une synthèse et une attestation à remettre telles quelles à un client, un auditeur SOC 2 / ISO 27001 ou une due diligence.
Comment fixez-vous le prix ?
Forfait fixe défini au cadrage, à partir du périmètre. Pas de facturation à l'heure, pas de dépassement surprise. Vous validez le prix avant que je commence.
Que se passe-t-il une fois les correctifs faits ?
Contre-test inclus, gratuit, sous 30 jours. Je revérifie chaque faille corrigée et délivre une attestation à jour, prête pour vos clients.
Qui mène votre test.
Les certifications ne trouvent pas les failles. L'attention méthodique, si. C'est ce que vous payez vraiment.
Saïd Mimouni
Pentest & audit de sécurité · applications web & API
Je teste des applications web et des API à la main, aujourd'hui en solo pour des startups et des agences. Vous parlez à la personne qui ouvre le terminal, du premier e-mail au contre-test.
Je suis aussi le fondateur d'auditdude.com, un audit de code en boîte blanche : même regard sécurité, côté source. Ici, c'est du test manuel en boîte noire, mené par moi.
Prêt pour le premier pentest ?
Dites-moi votre produit, ce qui déclenche le besoin et à peu près quand. Vous recevrez un périmètre et un prix fixe en retour, souvent le jour même.