Due diligence cyber
Le risque cyber, quantifié en 5 jours
Évaluation technique cybersécurité pour investisseurs et acquéreurs par un pentester senior spécialisé SaaS. Architecture, surface d'attaque, pratiques de développement, conformité réglementaire — on quantifie le risque et estime le budget de remédiation. Score sur 100 points livré en 5 jours ouvrés.
Périmètre
Ce qu'on teste
Architecture technique
Évaluation de l'architecture applicative et infrastructure : choix technologiques, scalabilité, dette technique, patterns de sécurité by design, séparation des environnements.
Surface d'attaque
Cartographie de la surface d'attaque externe : assets exposés, endpoints publics, services cloud, dépendances tierces, intégrations. Score de risque par composant.
Pratiques de développement
Analyse des processus de développement : CI/CD, revue de code, gestion des branches, tests automatisés, déploiement, rollback, gestion des incidents passés.
Conformité réglementaire
Évaluation de la maturité conformité : RGPD, NIS2, DORA, SOC 2, ISO 27001. Identification des écarts et estimation de l'effort de mise en conformité.
Gestion des incidents
Revue du dispositif de réponse aux incidents : plan de réponse, escalade, communication, backups, PRA/PCA, historique des incidents de sécurité.
Scoring de risque
Score de risque cyber sur 100 points. Benchmark sectoriel et estimation du coût de remédiation pour atteindre le niveau cible.
Extrait de rapport
Voici ce que vous recevez
Chaque vulnérabilité est documentée avec sa preuve d'exploitation et un correctif applicable. Pas de généralités, pas de faux positifs.
Description
L'environnement de staging utilise les mêmes credentials que la base de données de production. Toute compromission de l'environnement de staging — accessible à l'ensemble de l'équipe de développement — donne un accès direct aux données de production.
Preuve — fichier de configuration staging
# staging/.env (accessible à tous les développeurs) DATABASE_HOST=prod-db-cluster.eu-west-1.rds.amazonaws.com DATABASE_NAME=production_app DATABASE_USER=app_admin DATABASE_PASS=Pr0d_P@ssw0rd_2024! # Même valeurs que production/.env # 12 développeurs ont accès à ce fichier
Impact business
• Accès complet aux données clients de production (PII, paiements) • Violation RGPD : pas de séparation des accès par environnement • Risque insider : 12 développeurs ont accès aux données prod • Impossible de tracer l'origine d'un incident (logs partagés)
Remédiation recommandée
# Priorité 1 — Séparation immédiate (effort : 2 jours) 1. Créer une base de données dédiée staging avec données anonymisées 2. Rotation des credentials de production 3. Restreindre l'accès prod aux comptes de service uniquement # Priorité 2 — Gouvernance (effort : 1 semaine) 4. Implémenter un vault (AWS Secrets Manager / HashiCorp Vault) 5. Séparer les VPC staging/production 6. Mettre en place un audit log des accès aux secrets
Méthodologie
Notre approche étape par étape
Cadrage
Définition du périmètre avec l'investisseur et/ou la cible. Accord de confidentialité (NDA).
0.5 jour
Collecte
Questionnaire technique, accès documentation, entretiens avec le CTO et l'équipe technique.
1 jour
Analyse
Évaluation de l'architecture, des pratiques et de la surface d'attaque. Tests techniques ciblés.
2–3 jours
Rapport
Livrable structuré : scoring, findings, estimation des coûts de remédiation, recommandations.
Inclus
Restitution
Présentation au comité d'investissement. Synthèse exécutive non technique.
Inclus
Livrable
Contenu du rapport
Synthèse exécutive
Document non technique pour le comité d'investissement. Score de risque, red flags, recommandations.
Restitution investisseur
Présentation orale adaptée au comité d'investissement. Questions/réponses incluses.
Scoring de risque
Score cyber sur 100 points avec benchmark sectoriel. Détail par catégorie : infra, app, process, conformité.
Findings techniques
Les risques documentés avec preuve, impact business et estimation du coût de remédiation.
Gap analysis conformité
Écarts identifiés par rapport à NIS2, DORA, SOC 2, ISO 27001. Roadmap de mise en conformité.
Estimation de remédiation
Budget et calendrier estimés pour atteindre le niveau de sécurité cible. Priorisation quick wins vs chantiers.
Conformité
Chaque audit couvre vos obligations réglementaires
Les findings sont mappés vers les référentiels de conformité applicables à votre secteur.
OWASP
Référentiel de test standard pour la sécurité applicative
NIS2
Directive européenne sur la cybersécurité des entités essentielles
DORA
Tests d'intrusion obligatoires pour le secteur financier
SOC 2
Preuves de pentest requises pour les Trust Services Criteria
ISO 27001
Tests de sécurité réguliers exigés par l'annexe A
PCI DSS
Tests d'intrusion obligatoires pour le traitement de paiements
Tarif indicatif
6 000 – 25 000 €
5 jours ouvrés
Prix fixe après cadrage. Pas de surprise, pas de semaines d'attente.
- Scoring de risque cyber sur 100 points
- Entretiens CTO + équipe technique
- Revue architecture et surface d'attaque
- Gap analysis conformité (NIS2, DORA, SOC 2)
- Estimation budgétaire de remédiation
- Restitution au comité d'investissement
Appel de 30 min — sans engagement
Aller plus loin
Services complémentaires
Audit configuration cloud
Approfondissez l'analyse cloud avec un audit technique AWS/GCP/Azure.
Pentest application web
Validez la sécurité applicative avec un test d'intrusion post-acquisition.
Pentest Rapide
Audit rapide sur un périmètre défini. Rapport complet livré en 48 heures ouvrées.
Questions fréquentes
Ce que nos clients demandent
En combien de temps livrez-vous le rapport de due diligence ?
Le rapport complet est livré en 5 jours ouvrés à partir du début de la mission. Pour les opérations urgentes (closing imminent), on peut accélérer à 3 jours avec un surcoût. La restitution au comité d'investissement est planifiée dans les 48h suivant la livraison.
Quel niveau d'accès est nécessaire ?
On adapte le niveau d'accès au contexte de l'opération. En standard : entretiens avec le CTO, accès read-only à l'infrastructure cloud, documentation technique. En version approfondie : accès au code source et à l'environnement de staging pour des tests techniques ciblés.
Le rapport est-il compréhensible par des non-techniques ?
Le livrable inclut une synthèse exécutive spécifiquement rédigée pour les investisseurs et les boards. Score de risque sur 100, benchmark sectoriel, estimation budgétaire de remédiation. Le détail technique est dans un document séparé pour l'équipe tech.
La due diligence inclut-elle un pentest ?
La due diligence inclut des tests techniques ciblés (surface d'attaque externe, configuration cloud) mais pas un pentest complet. Si des vulnérabilités critiques sont identifiées, on recommande un pentest dédié post-acquisition pour une couverture exhaustive.
Signez-vous un NDA ?
Oui, systématiquement. Un accord de confidentialité est signé avant le début de toute mission de due diligence. On peut utiliser votre template NDA ou un template standard. Les données collectées sont détruites 30 jours après la livraison du rapport.
Combien de temps l'équipe de la cible est-elle mobilisée ?
Un entretien d'une à deux heures avec le CTO et/ou le tech lead de la cible. Le reste de l'analyse se fait en autonomie à partir de la documentation et des accès fournis. L'impact sur l'équipe technique est minimal.
Prêt à sécuriser votre application
Décrivez votre projet en 2 minutes. On revient vers vous le même jour avec une proposition de périmètre et un devis détaillé.
Réponse le jour même · Sans engagement · 4 missions par mois maximum