L'enjeu
Seule une attaque simulée révèle ce qu'un adversaire motivé obtiendrait réellement de votre SI. Les institutions financières ouest-africaines sont des cibles de choix, et la plupart découvrent leurs failles critiques pendant un incident — au pire moment.
Ce que nous livrons
Tests d'intrusion externes et internes (réseau, applications web et mobiles)
Campagnes d'ingénierie sociale ciblées avec mesure du taux de compromission
Revue de configuration contre les référentiels CIS
Rapport exécutif direction + rapport technique reproductible
Plan de remédiation priorisé et contre-audit de vérification
Notre méthode
Cadrage : périmètre, règles d'engagement, NDA — rien sans accord écrit.
Exécution contrôlée, sans perturber la production.
Restitution à double niveau : direction et équipes techniques.
Contre-audit après remédiation pour prouver la fermeture des failles.
Pour qui
Banques, établissements de paiement, assurances, administrations et entreprises traitant des données sensibles au Sénégal et dans la zone UEMOA.
Questions fréquentes
Un pentest peut-il perturber notre production ?
Non : les règles d'engagement excluent les actions destructives, les tests sensibles se font hors heures critiques et un canal d'arrêt d'urgence est convenu avant le démarrage.
Quelle différence entre audit de sécurité et test d'intrusion ?
L'audit évalue l'ensemble du dispositif (organisation, configurations, processus) ; le pentest prouve l'exploitabilité réelle des failles. Les deux se complètent — nous les combinons souvent.
À quelle fréquence faut-il tester ?
Au minimum une fois par an et après tout changement majeur du SI ; les exigences PCI DSS et les bonnes pratiques BCEAO vont dans le même sens.
