top of page
Rechercher

Pentest Continu - Ne pas surveiller votre site web et votre espace client : un risque majeur (et évitable)

  • 15 août
  • 2 min de lecture

Peu importe si votre site web et espace client vivent ou pas , des failles apparaissent inévitablement au fil du temps. Sans scans automatiques réguliers et revues manuelles, ces failles deviennent des portes d’entrée : vol de données, fraude, chiffrement (ransomware), indisponibilité… et parfois faillite.

L’ampleur du risque que constituent ces attaques reste néanmoins encore souvent sous-estimée par les dirigeants des PME suisses – qui représentent 99,7% des entreprises du pays.


Le contexte global : l’explosion du trafic malveillant


En 2024–2025, le trafic automatisé a dépassé le trafic humain : 51 % du web est automatisé. Les bad bots représentent ~37 % de tout le trafic (contre 30% en 2023). Les attaques visent de plus en plus les API (44 % du trafic bots avancés) et les bots « simples » progressent vite grâce à l’IA. (Source : Thales Group )


Les chiffres  (signalements/indicateurs)


  • En Suisse :


    • 2024 Semestre 1 : 34 789 cyberincidents signalés à l’OFCS/NCSC. 2024 S2 : 28 165 supplémentaires. Total ~63 000 signalements sur l’année (+13 500 vs 2023). (Source : Office Fédéral de la Cybersécurité)


    • Une PME suisse sur trois a déjà été victime d’une cyberattaque et le risque ne cesse d’augmenter, selon l'Office fédéral de la cybersécurité (OFCS)


    • Cas concrets :

      • Attaque sur Vidymed (déc. 2024) : dossiers médicaux partiellement inaccessibles. (Source : RTS)

      • Des retards causés, entre autres, par un hacking sur la régie Brolliet. (Source : TDG)

      • Une PME romande a survécu à une cyberattaque dévastatrice du rançongiciel Akira début 2025. (Source : 24 Heures)

      • DBS Group, possédant plusieurs entreprises immobilières dont Domicim, avait été la victime de pirates informatiques. (Témoignage Le Temps)


Ce que les scans doivent couvrir (check-list express)


  • Automatique, en continu :

    • Scan de vulnérabilités (CVE) sur site + API + espace client

    • Analyse OWASP Top 10 & API Top 10 ; détection API shadow

    • Détection d’exposition (admin, backups, .git, listings, buckets)

    • SAST/DAST en CI/CD ; alertes diff / nouvelles libs


  • Manuel, Mensuel/trimestriel/semestriel :

    • Tests de logique métier (inscription, réinitialisation, panier/paiement, upload, parcours client)

    • Escalade de privilèges, IDOR, contournement MFA, réutilisation de jetons

    • Abus d’API (rate limit, mass assignment, injection, BOLA)

    • Revues de configuration (WAF, CDN, headers, TLS, CSP) et journalisation/corrélation


Pentest Continu - Pourquoi scanner automatiquement et manuellement ?


  • Automatique (continu) : détecte tôt les vulnérabilités connues (CVE), erreurs de config, endpoints exposés (API, admin, S3…), et régressions après déploiement. Plus efficace et complémentaire au Pentest annuel classique

  • Manuel (humain) : trouve ce que les robots ratent : logique métier contournable, enchaînements d’étapes, escalades de privilèges, IDOR, workflows de paiement, etc.

  • Ensemble : l’automatique surveille 24/7 ; le manuel valide l’impact réel, priorise, et alerte sur les chemins d’attaque.


Chez S&Y Security Labs, notre mission est de reproduire la vision qu’un acteur externe pourrait avoir sur les actifs exposés à Internet à travers le Pentest continu, afin de réduire le risque Cyber.

Pentest Continu Dashboard
Pentest Continu Dashboard

Commentaires

bottom of page