Aller au contenu principal
Rooting/studio
Pentest web · Recherche de vulnérabilités

Pentest web, infra et Active Directory — par un chercheur de CVE actif.

10 vulnérabilités publiées dont 5 HIGH. J'audite vos applications, vos infrastructures internes et vos environnements AD pour PME, agences et éditeurs SaaS. Démarrage sous 10 jours, pas 8 semaines.

Discuter 20 min Voir mes 10 CVE publiées
10 CVE publiéesCPTS · eWPT · eCPPT · CBBHDémarrage J+10NDA · RC pro
Vérifiable. Chaque CVE renvoie au GitHub Security Advisory et au CVE Record officiel.
CVE-2026-42550CVE-2025-48091CVE-2026-42551CVE-2026-42552CVE-2026-42548CVE-2025-13835CVE-2025-54746CVE-2026-42549CVE-2025-45525CVE-2025-45526
Pourquoi maintenant

En 2026, l'audit n'est plus un coût. C'est une condition de signature.

NIS2 transposée, DORA en vigueur pour le secteur financier, exigences DPA des clients enterprise. Le pentest annuel n'est plus un luxe — c'est ce qui débloque vos prochains contrats.

NIS2

TPE, PME, agences, éditeurs SaaS : dès que vous fournissez des services numériques en B2B, vos clients vont vous demander vos preuves d'audit. Préparez-les en amont.

DORA

Tests d'intrusion réguliers obligatoires pour les acteurs financiers et leurs prestataires critiques. Rapports auditables.

DPA enterprise

Vos clients grand-compte exigent désormais une attestation de pentest annuel dans leurs DPA. Sans, pas de signature.

Levée / due diligence

Investisseurs et acquéreurs demandent désormais une attestation d'audit sécurité dans leurs due diligences. Anticipez avant la phase de négociation.
Sécurité offensive

Prestations

Cœur de métier : pentest web, infra & AD, recherche de vulnérabilités.

Cœur de métier

Pentest web

Audit OWASP + business logic, par un chercheur de CVE. Rapport actionnable, re-tests inclus.

Découvrir
Cœur de métier

Pentest infrastructure & Active Directory

Réseau interne, AD, élévation de privilèges, latéralisation, audit d'équipements (switches, AP, MFP).

Découvrir
Cœur de métier

Recherche de vulnérabilités

Audit de code en profondeur, recherche de 0-day, divulgation responsable et publication CVE.

Découvrir

Pentest Wi-Fi & physique

Audit Wi-Fi (WPA2/3, EAP, rogue AP), tests d'intrusion physique, contrôles d'accès et badge cloning.

Découvrir

Formation cybersécurité

Sensibilisation devs, OWASP Top 10 en pratique, ateliers d'exploitation, écoles & entreprises.

Découvrir
En complément

Création web & développement

Pour les clients existants ou ceux qui veulent un partenaire technique unique sur tout le cycle de vie de leur produit.

Création de site web

Vitrine, e-commerce, SaaS. Performance, SEO technique, sécurité by design.

Découvrir

Développement logiciel

API, outils métier, intégrations. Tests, sécurité, code propre.

Découvrir
Process

Du premier contact au rapport, en 4 semaines

Pas de zone grise. Vous savez ce qui arrive, quand, et ce que vous recevez.

1
J+0
Premier contact
Brief 20 min, identification du périmètre, NDA mutuel envoyé.
2
J+3
Cadrage signé
Devis, scope précis, fenêtres de test, comptes de test fournis.
3
J+10
Kickoff
Démarrage des tests. Communication continue avec votre équipe tech.
4
J+24
Tests terminés
Reproduction des findings, validation des PoC, rédaction.
5
J+28
Rapport livré
Rapport exécutif + technique + matrice CVSS. Atelier de restitution.
6
J+60
Re-tests inclus
Validation des correctifs, rapport final de remédiation.
Tarifs pentest web

Fourchettes transparentes

Tous les forfaits incluent NDA mutuel, rapport exécutif + technique, matrice CVSS, atelier de restitution et re-tests. Pas de coût caché.

Porte d'entrée

Audit Flash

Première mission, idéal pour tester la collaboration

1 200 – 1 500 €
2-3 jours
  • Scan OWASP Top 10 ciblé
  • Top 5 findings priorisés
  • Rapport synthétique 10 pages
  • Sans atelier ni re-test
Discuter 20 min

Focus

Application web simple, 1 rôle utilisateur

2 400 – 3 000 €
4-5 jours
  • OWASP Top 10 complet
  • Authentification & sessions
  • Rapport exécutif + technique
  • Re-tests inclus 30 jours
Discuter 20 min
Le plus demandé

Standard

App + auth + business logic, multi-rôles

4 200 – 5 400 €
7-9 jours
  • OWASP Top 10 + business logic
  • Tests d'autorisation multi-rôles
  • JWT, sessions, fédération d'identité
  • Rapport + atelier de restitution
  • Re-tests inclus 30 jours
Discuter 20 min

Étendu

App + API + chaînes d'exploitation

6 000 – 8 400 €
10-14 jours
  • Périmètre app web + API REST/GraphQL
  • Recherche de chaînes d'exploitation
  • Tests d'autorisation profonds
  • Rapport + atelier + accompagnement
  • Re-tests inclus 60 jours
Discuter 20 min
Pentest infrastructure

Réseau interne & Active Directory

Pentest Infrastructure
Réseau interne + Active Directory + équipements
5 400 – 8 400 €
8-12 jours
  • Pentest interne réseau + AD
  • Élévation de privilèges, latéralisation
  • Audit d'équipements (switches, AP, MFP)
  • Rapport + atelier + re-tests 30 jours
Discuter 20 min
Pas sûr du tarif pour votre application ?
Simulateur en 10 questions. Estimation immédiate, sans email demandé.
Estimer mon tarif
NDA mutuel inclus RC pro Démarrage J+10

Avis clients sur mes missions de développement

Mes missions de pentest sont sous NDA — références disponibles sur demande après signature d'un NDA mutuel.

Réactif, rapide et pro. Je recommande très fortement. Top du top !

RolandMigration Joomla

Lucas est très réactif et très professionnel, il formule bien les demandes et met de la rigueur dans son travail, je recommande.

RedhaCréation outil de suivi

Super, je recommande vivement, merci Lucas. Ajout d'un nouveau produit sur un site e-commerce.

RoseE-commerce
Contact

Parlons de votre besoin

Brief en 20 minutes. Je vous renvoie un cadrage écrit sous 48h ouvrées avec fourchette de tarif et planning de démarrage.

contact@rootingstudio.fr
France · Remote · Présentiel sur Paris/Lyon possible
Réponse sous 24h ouvrées · Cadrage sous 48h
NDA mutuel signé avant tout échange technique
RC pro · Tests jamais sur prod sans accord écrit
Périmètre cadré, scope creep limité à ±20%

Brief rapide

Une minute pour lancer l'échange.

Cookies
Cookies analytiques pour mesurer l'audience. Aucun tracking publicitaire.