Conformité
Conforme. Preuves à l'appui.
Votre auditeur demande des preuves de tests de sécurité. Votre régulateur aussi. Chaque finding de nos rapports est mappé vers NIS2, DORA, SOC 2, ISO 27001 ou PCI DSS — un seul audit couvre vos correctifs techniques et vos obligations réglementaires.
6
Réglementations couvertes
1 audit
Plusieurs preuves réglementaires
100%
Des findings mappés conformité
48h
Rapport disponible
Contexte réglementaire
Pourquoi un pentest est devenu obligatoire
Votre board demande où en est la conformité. Votre prospect Enterprise exige un rapport de pentest avant de signer. Votre auditeur SOC 2 veut des preuves de tests. Et votre équipe dev corrige des failles sans produire la documentation que ces interlocuteurs attendent. Le problème n'est pas la sécurité — c'est l'écart entre ce que vous faites et ce que vous pouvez prouver.
Le cadre réglementaire européen a accéléré entre 2023 et 2025. NIS2 élargit les obligations de cybersécurité aux éditeurs SaaS, fournisseurs de services numériques et hébergeurs. DORA impose des tests d'intrusion aux entités financières. SOC 2 exige des preuves de détection des vulnérabilités. ISO 27001 impose le contrôle A.8.8. PCI DSS v4.0 rend les pentests annuels obligatoires. La sécurité ne peut plus être déclarative — elle doit être documentée.
Salvor Labs élimine cet écart. Chaque audit produit les correctifs techniques pour votre équipe et les preuves réglementaires pour votre auditeur — dans un seul rapport, livré sous 48 heures. Vos développeurs corrigent, votre auditeur valide, votre board avance.
Réglementations
6 cadres réglementaires, un seul audit
Chaque vulnérabilité identifiée est mappée vers les articles et contrôles spécifiques des réglementations applicables à votre secteur.
NIS2
Directive UE 2022/2555, Article 21
La directive NIS2 impose aux entités essentielles et importantes de mettre en œuvre des mesures de gestion des risques cyber, incluant des tests de sécurité réguliers. L'article 21 exige une évaluation de l'efficacité des mesures de sécurité.
Couvert par :
DORA
Règlement UE 2022/2554, Article 26 TLPT
Le Digital Operational Resilience Act rend obligatoires les tests d'intrusion avancés (TLPT) pour les entités financières. L'article 26 impose des tests de pénétration fondés sur la menace au moins tous les trois ans.
Couvert par :
SOC 2
Trust Services Criteria CC7.1 / CC7.2
Les critères CC7.1 et CC7.2 exigent que l'organisation détecte et surveille les vulnérabilités de ses systèmes. Un rapport de pentest constitue la preuve la plus directe de conformité à ces critères lors d'un audit SOC 2.
Couvert par :
ISO 27001
Annexe A, contrôle A.8.8
Le contrôle A.8.8 de l'annexe A exige la gestion des vulnérabilités techniques, incluant des tests réguliers pour identifier les failles. Un pentest documenté démontre la mise en œuvre effective de ce contrôle dans votre SMSI.
Couvert par :
HDS
Hébergement Données de Santé
La certification HDS impose des audits de sécurité réguliers et la conformité ISO 27001. Les hébergeurs de données de santé doivent démontrer que leurs systèmes sont testés contre les vulnérabilités connues et les attaques courantes.
Couvert par :
PCI DSS
v4.0, Requirement 11.4
Le Requirement 11.4 de PCI DSS v4.0 impose des tests d'intrusion internes et externes au moins une fois par an et après toute modification significative. Les tests doivent couvrir les vulnérabilités réseau et applicatives.
Couvert par :
Matrice
Quel audit couvre quelle réglementation
| Réglementation | Pentest web | Revue code | Audit API | Audit cloud | Audit mobile | Due diligence |
|---|---|---|---|---|---|---|
| NIS2 | — | |||||
| DORA | — | |||||
| SOC 2 | ||||||
| ISO 27001 | ||||||
| HDS | — | — | ||||
| PCI DSS | — | — | — |
Le périmètre exact est défini lors du cadrage en fonction de vos obligations réglementaires spécifiques.
NIS2
Le pentest est-il obligatoire sous NIS2
La directive NIS2 (UE 2022/2555) élargit considérablement le périmètre des entités soumises à des obligations de cybersécurité. Son article 21 impose aux entités essentielles et importantes de mettre en œuvre des mesures techniques et organisationnelles proportionnées pour gérer les risques — incluant explicitement l'évaluation de l'efficacité de ces mesures.
Concrètement, un test d'intrusion régulier constitue la méthode la plus directe pour démontrer cette évaluation. Les entités concernées — éditeurs SaaS servant des secteurs critiques, fournisseurs de services numériques, hébergeurs — doivent pouvoir prouver que leurs systèmes ont été testés contre des scénarios d'attaque réalistes.
Salvor Labs mappe chaque finding de ses rapports vers les exigences spécifiques de NIS2. Votre rapport de pentest devient une pièce justificative directement exploitable par votre DPO ou votre responsable conformité lors d'un contrôle.
DORA
DORA et les tests d'intrusion dans le secteur financier
Le règlement DORA (UE 2022/2554) est entré en application en janvier 2025. Son article 26 impose aux entités financières de réaliser des tests de pénétration fondés sur la menace (Threat-Led Penetration Testing — TLPT) au moins tous les trois ans. Pour les entités identifiées comme significatives, la fréquence peut être plus élevée.
Les fintechs, néobanques, prestataires de services de paiement et assurtechs sont directement concernés. Le périmètre des tests TLPT couvre les fonctions critiques ou importantes, ce qui inclut systématiquement les applications de paiement, les APIs d'agrégation bancaire et les portails clients.
Salvor Labs structure ses audits pour répondre aux exigences DORA : périmètre aligné sur les fonctions critiques, scénarios de menace documentés, findings classés par impact opérationnel. Le rapport livré est directement exploitable pour votre mise en conformité DORA et les échanges avec votre régulateur.
SOC 2
Quelles preuves de pentest votre auditeur SOC 2 attend
Lors d'un audit SOC 2 Type II, votre auditeur examinera les Trust Services Criteria CC7.1 (détection des vulnérabilités) et CC7.2 (surveillance des anomalies). Un rapport de test d'intrusion constitue la preuve la plus convaincante que ces critères sont satisfaits — à condition qu'il soit structuré correctement.
Votre auditeur attend un rapport qui documente le périmètre testé, la méthodologie suivie, chaque vulnérabilité identifiée avec son scoring CVSS, les preuves d'exploitation, et surtout les actions de remédiation entreprises. Un simple scan de vulnérabilités ne suffit pas : il faut démontrer une démarche de test manuelle et contextualisée.
Les rapports Salvor Labs sont conçus pour passer l'examen d'un auditeur SOC 2. Chaque finding inclut le score CVSS 3.1, le mapping CWE/OWASP, la preuve d'exploitation, le correctif proposé et le statut de remédiation après retest. La synthèse exécutive fournit le narratif dont votre auditeur a besoin.
ISO 27001
Le pentest est-il requis pour la certification ISO 27001
Le contrôle A.8.8 de l'annexe A d'ISO 27001:2022 exige la gestion des vulnérabilités techniques. Cela implique d'identifier les vulnérabilités, d'évaluer leur criticité et de mettre en œuvre les mesures correctives appropriées. Un test d'intrusion régulier est le moyen le plus efficace de satisfaire ce contrôle.
Dans le cadre d'un Système de Management de la Sécurité de l'Information (SMSI), le rapport de pentest s'intègre comme preuve de fonctionnement du processus de gestion des vulnérabilités. L'auditeur de certification vérifiera que les tests sont planifiés, exécutés, et que les findings sont traités dans un délai raisonnable.
Salvor Labs fournit un rapport compatible avec les exigences ISO 27001 : findings classés par sévérité, plan de remédiation priorisé, attestation de retest post-correction. Le cycle complet — identification, traitement, vérification — est documenté et prêt pour votre audit de certification ou de surveillance.
Livrables
Ce que votre auditeur reçoit
Chaque rapport est structuré pour deux lecteurs : vos développeurs corrigent avec les détails techniques, votre auditeur valide avec les preuves formelles.
Mapping réglementaire
Chaque vulnérabilité est mappée vers les articles et contrôles spécifiques des réglementations applicables à votre secteur.
Scoring CVSS 3.1
Score de sévérité standardisé et reconnu par les auditeurs. Chaque finding reçoit un vecteur CVSS détaillé et un score de 0.0 à 10.0.
Preuves d'exploitation
Requêtes HTTP, captures d'écran, payloads utilisés. Chaque vulnérabilité est reproductible par votre équipe et vérifiable par votre auditeur.
Plan de remédiation
Correctifs priorisés par sévérité et par impact réglementaire. Extraits de code, configurations recommandées, applicables immédiatement.
Attestation de retest
Après correction, un retest vérifie que chaque vulnérabilité est effectivement corrigée. L'attestation documente le statut final.
Synthèse exécutive
Résumé non technique pour la direction, le board et les auditeurs. Score de risque global, nombre de findings par sévérité, statut de conformité.
Questions fréquentes
Pentest et obligations réglementaires
Un pentest est-il obligatoire pour être conforme NIS2 ?
NIS2 n'impose pas explicitement un test d'intrusion, mais son article 21 exige l'évaluation de l'efficacité des mesures de sécurité. Un pentest est la méthode la plus directe et la plus reconnue pour satisfaire cette exigence. Les autorités de contrôle s'attendent à voir des preuves de tests réguliers.
Les tests DORA sont-ils obligatoires pour les fintechs ?
Oui. Le règlement DORA impose des tests de pénétration fondés sur la menace (TLPT) aux entités financières, y compris les prestataires de services de paiement et les fintechs. La fréquence minimale est de trois ans, mais peut être plus élevée pour les entités identifiées comme significatives par le régulateur.
Un rapport de pentest suffit-il pour passer l'audit SOC 2 ?
Un rapport de pentest est une preuve essentielle pour les critères CC7.1 et CC7.2, mais il ne suffit pas seul pour la certification SOC 2 complète. Il couvre le volet technique de la détection des vulnérabilités. Votre auditeur examinera également les politiques, les processus et les autres contrôles organisationnels.
Le pentest est-il nécessaire pour obtenir la certification ISO 27001 ?
Le contrôle A.8.8 exige la gestion des vulnérabilités techniques. Un test d'intrusion régulier est le moyen le plus courant de démontrer la mise en œuvre de ce contrôle. Sans preuve de tests, l'auditeur de certification signalera une non-conformité sur ce point.
Quelle est la différence entre un audit de conformité et un pentest ?
Un audit de conformité vérifie l'existence de politiques et de processus documentés. Un pentest vérifie que vos systèmes résistent à des attaques réelles. Les deux sont complémentaires : le pentest fournit les preuves techniques que l'audit de conformité exige. Salvor Labs livre un rapport qui sert les deux objectifs.
Un seul audit peut-il couvrir plusieurs réglementations ?
Oui. Chaque finding est mappé vers toutes les réglementations applicables simultanément. Un IDOR identifié sur votre API sera mappé vers NIS2 (article 21), SOC 2 (CC7.1), ISO 27001 (A.8.8) et DORA (article 26) si ces réglementations s'appliquent à votre secteur. Un seul audit, plusieurs preuves.
À quelle fréquence faut-il tester pour rester conforme ?
La fréquence dépend de la réglementation : DORA impose un minimum tous les 3 ans (TLPT), PCI DSS exige un test annuel minimum. Pour NIS2 et ISO 27001, un test annuel est la pratique recommandée. Nous recommandons un test après chaque changement majeur de l'application et au minimum une fois par an.
Vos rapports sont-ils acceptés par les auditeurs externes ?
Oui. Nos rapports suivent les standards méthodologiques reconnus (OWASP WSTG, PTES, CVSS 3.1) et sont structurés pour être directement exploitables par les auditeurs SOC 2, ISO 27001 et les régulateurs DORA. La synthèse exécutive, le scoring standardisé et les preuves d'exploitation répondent aux attentes des cabinets d'audit.
Votre prochain audit peut couvrir
toutes vos obligations
Décrivez vos réglementations en 2 minutes. On revient vers vous le même jour avec un périmètre d'audit adapté et un devis détaillé.
Réponse le jour même · Sans engagement · Retest inclus