EREDIX réalise des tests d’intrusion, audits de sécurité et missions Red Team pour les entreprises, collectivités et éditeurs de logiciels partout en France.
Carte réseau — Pentest infrastructure
LE CONSTAT
Les organisations dépendent aujourd’hui d’un écosystème numérique de plus en plus étendu : applications web, outils cloud, serveurs, comptes Microsoft 365, VPN, API, CRM, ERP, espaces clients, sites WordPress, logiciels métiers, plateformes SaaS. Chacun de ces éléments représente une surface d’attaque potentielle.
Une vulnérabilité peut venir d’un mot de passe trop simple, d’un contrôle d’accès mal configuré, d’une API trop permissive, d’un serveur exposé sur Internet, d’un plugin obsolète, d’un mauvais paramétrage Microsoft 365 — ou d’une simple erreur humaine. Ces failles existent dans des environnements de toutes tailles, y compris les PME, les collectivités et les éditeurs de logiciels.
Un pentest ne sert pas à cocher une case de conformité. Il permet de savoir concrètement ce qu’un attaquant réel pourrait faire — et comment l’en empêcher. C’est la différence entre croire que son système est sécurisé et pouvoir en être certain.
80%
des cyberattaques exploitent une erreur humaine ou une mauvaise configuration
60%
des PME ayant subi une cyberattaque ne s’en remettent pas dans les 6 mois
+40%
d’augmentation des cyberattaques visant les PME et collectivités en France
NOS EXPERTISES
Chaque mission est encadrée contractuellement, réalisée par des experts certifiés et restituée sous forme de rapport exploitable par vos équipes.
Identification des failles exploitables sur vos plateformes web, SaaS, extranet, CRM et espaces clients. Injection SQL, XSS, IDOR, escalade de privilèges.
Sécurisation de vos API REST et GraphQL : authentification, contrôle d’accès, tokens JWT, BOLA, exposition de données, mass assignment.
Tests sur vos serveurs, réseaux, VPN, RDP, services exposés. Infrastructure externe et interne, segmentation, élévation de privilèges.
Chemins vers le Domain Admin, Kerberoasting, AS-REP Roasting, NTLM relay, comptes à privilèges et délégations mal configurées.
MFA, accès conditionnels, partages OneDrive/SharePoint, Azure Entra ID, SPF/DKIM/DMARC, applications tierces et droits administrateurs.
Sécurité des applications iOS et Android : stockage local, communications, authentification, API backend, permissions et reverse engineering.
Plugins vulnérables, thèmes obsolètes, brute force, XML-RPC, comptes administrateurs, fichiers exposés, protection des données clients.
Simulation d’attaque réaliste avec objectif précis. Tests humains, techniques et organisationnels. Détection, réaction, résilience globale.
NOTRE APPROCHE
Chaque mission suit un protocole rigoureux. Les tests sont non destructifs, encadrés contractuellement, et réalisés uniquement dans le périmètre défini avec vous en amont.
01
Définition précise des applications, systèmes et environnements testés. Signature d’une autorisation de test contractuelle.
02
Définition des horaires, des contacts d’urgence, des actions autorisées et des limites à respecter pendant les tests.
03
Collecte d’informations, cartographie des surfaces d’attaque, identification des technologies et des points d’entrée potentiels.
04
Combinaison d’outils professionnels (Burp Suite, Nmap, Metasploit…) et de tests manuels approfondis pour chaque vecteur identifié.
05
Les vulnérabilités identifiées sont exploitées de manière contrôlée pour en démontrer l’impact réel, sans endommager les systèmes.
06
Rapport PDF complet avec preuves, scoring CVSS, synthèse direction et recommandations concrètes. Restitution en visioconférence incluse.
07
Suivi des corrections, vérification des remédiations et possibilité de retest sur les vulnérabilités critiques corrigées.
FORMATS DE MISSION
Black Box
L’auditeur se place dans la position d’un attaquant externe qui ne connaît rien de votre organisation. Le test évalue ce qu’un tiers peut découvrir et exploiter depuis Internet.
Idéal pour : expositions externes, reconnaissance de surface, sites publics.
Grey Box
L’auditeur dispose de comptes utilisateurs et d’informations de base. Ce format permet de tester en profondeur les logiques métier, les séparations de rôles et les vulnérabilités internes.
Idéal pour : applications métier, SaaS, extranet, CRM, ERP, espaces clients multi-rôles.
White Box
L’auditeur a accès aux sources, à l’architecture et à toute la documentation. C’est le format le plus exhaustif, recommandé avant une mise en production ou pour un audit de code approfondi.
Idéal pour : éditeurs logiciels, SaaS, audit avant lancement, revue de code sécurité.
SIMULATION D’ATTAQUE RÉELLE
Là où le pentest cherche à identifier un maximum de vulnérabilités sur un périmètre défini, la Red Team simule un attaquant réel avec un objectif précis : atteindre une cible stratégique (données sensibles, accès critique, infrastructure cœur de métier).
La Red Team teste bien plus que la technique : elle évalue votre détection, vos procédures de réaction, vos chemins d’attaque internes et votre résilience globale face à une menace persistante.
Phishing contrôlé (si autorisé), exploitation d’une vulnérabilité exposée, simulation d’un premier accès réaliste.
Progression dans le système d’information, exploration des chemins d’attaque internes, élévation de privilèges.
Accès aux données critiques ou à l’infrastructure sensible définie en amont — avec preuve de compromission documentée.
Rapport technique et synthèse dirigeant avec timeline de l’attaque, détections manquées, lacunes identifiées et recommandations.
POUR QUI ?
🏢
PME et ETI
🏛️
Collectivités & Mairies
💻
Éditeurs logiciels & SaaS
🏥
Établissements de santé
🌐
Agences web
⚙️
Industries
⚖️
Avocats & Cabinets comptables
🎓
Organismes de formation
ANCRAGE LOCAL, PORTÉE NATIONALE
EREDIX est basé à Saint-Omer et accompagne les organisations de l’Audomarois, du Pas-de-Calais et des Hauts-de-France dans leurs besoins en audit de sécurité, pentest et cybersécurité offensive.
Nous intervenons auprès d’entreprises situées à Saint-Omer, Longuenesse, Arques, Aire-sur-la-Lys, Hazebrouck, Dunkerque, Calais, Boulogne-sur-Mer, Béthune, Lens, Arras et Lille, ainsi que sur l’ensemble du territoire national à distance.
La proximité géographique facilite la compréhension de votre contexte métier et permet un accompagnement réactif, là où les grandes sociétés parisiennes restent souvent hors de portée des PME locales.
Intervention à distance
La grande majorité des missions pentest et audit sont réalisables entièrement à distance. Aucun déplacement n’est requis pour des tests web, API, cloud ou Microsoft 365.
CE QUE VOUS RECEVEZ
Documentation exhaustive de chaque vulnérabilité, avec capture d’écran, reproduction et analyse de l’impact réel.
Document adapté à la direction et aux responsables non techniques : risques, impacts et priorités en langage clair.
Chaque vulnérabilité est classée par criticité (Critique, Élevée, Moyenne, Faible) selon le standard CVSS v3.1 reconnu.
Recommandations concrètes et hiérarchisées pour corriger les failles, avec estimation de la complexité de chaque correction.
Présentation des résultats avec vos équipes techniques et direction, questions/réponses en temps réel.
Suivi des remédiations, vérification des corrections appliquées et possibilité de retest sur les vulnérabilités critiques.
FAQ
Un pentest, ou test d’intrusion, est une mission de sécurité offensive réalisée par un expert mandaté pour simuler les actions d’un attaquant réel sur vos systèmes. L’objectif est d’identifier les vulnérabilités exploitables avant qu’elles ne soient découvertes et utilisées par de vrais attaquants. Contrairement à un audit de conformité, un pentest va jusqu’à l’exploitation contrôlée des failles pour en démontrer l’impact concret.
Le format Black Box simule un attaquant externe sans aucune information préalable. Le Grey Box fournit des comptes utilisateurs et des informations de base, ce qui permet de tester en profondeur les logiques métier et les séparations de rôles — c’est souvent le format le plus pertinent pour les applications avec plusieurs niveaux d’accès. Le White Box donne accès complet au code, à l’architecture et à la documentation, pour une revue exhaustive, idéale avant une mise en production.
La durée dépend du périmètre : un pentest web sur une application de taille moyenne dure généralement entre 3 et 5 jours. Un pentest infrastructure peut prendre 2 à 7 jours selon la complexité. Une mission Red Team s’étend sur plusieurs semaines. Lors du cadrage, nous établissons avec vous une estimation précise basée sur la taille et la complexité du périmètre.
Les tests sont réalisés de manière non destructive. Les règles d’engagement définies en amont précisent les limites à ne pas franchir. Si un doute existe sur l’impact potentiel d’un test spécifique, nous vous en informons avant de l’exécuter. En cas d’urgence, un contact technique direct est disponible pendant toute la durée de la mission.
Absolument. Les PME sont aujourd’hui des cibles privilégiées car elles sont souvent moins bien protégées que les grandes entreprises, tout en manipulant des données sensibles (clients, comptabilité, données de santé…). Un pentest adapté au périmètre d’une PME est une démarche proportionnée, accessible et souvent plus rentable que de gérer une cyberattaque après coup.
Un pentest cherche à identifier le maximum de vulnérabilités sur un périmètre défini. La Red Team simule une attaque ciblée avec un objectif précis — par exemple, accéder à un serveur critique ou exfiltrer des données sensibles. Elle teste non seulement la technique, mais aussi la détection, la réaction des équipes et la résilience organisationnelle globale. C’est une démarche plus longue, plus réaliste et stratégiquement orientée.
Oui, EREDIX est basé à Saint-Omer et intervient auprès des entreprises et collectivités de l’Audomarois, du Pas-de-Calais et de l’ensemble des Hauts-de-France. Nous accompagnons également des clients sur toute la France, la grande majorité de nos missions étant réalisables entièrement à distance.
Oui. La quasi-totalité des missions pentest web, API, cloud et Microsoft 365 se réalisent à distance. Pour les tests d’infrastructure interne ou les missions Red Team avec composante physique, un déplacement peut être envisagé selon le périmètre défini.
Dans le cadre d’un Grey Box ou White Box, des comptes de test sont effectivement fournis en amont. Cela permet de tester les fonctionnalités internes, la séparation des droits et les logiques métier. Ces comptes sont spécifiquement créés pour l’audit et ne donnent pas accès aux données réelles des utilisateurs finaux.
Après réception du rapport, vous disposez d’un plan d’actions priorisé. Nous organisons une restitution en visioconférence avec vos équipes. Nous pouvons également vous accompagner dans la phase de correction, vérifier les remédiations appliquées et réaliser des retests sur les vulnérabilités critiques pour confirmer leur résolution.
Oui, EREDIX propose un audit de sécurité spécifique WordPress et WooCommerce. Ces sites sont particulièrement exposés à cause de plugins vulnérables, de mises à jour mal gérées, de comptes administrateurs peu sécurisés ou de fichiers exposés. L’audit couvre l’ensemble de la surface d’attaque, y compris les données clients et les formulaires de paiement.
Un audit de sécurité évalue votre niveau de conformité par rapport à des référentiels (ISO 27001, bonnes pratiques ANSSI, RGPD…). Il peut inclure des interviews, une revue documentaire et une analyse de configuration. Un pentest va plus loin : il cherche activement à exploiter les failles pour en démontrer l’impact réel. Les deux approches sont complémentaires.
Échangeons sur votre périmètre. Premier contact gratuit, sans engagement. Réponse sous 24h.