Méthodologie de la Revue Externe.
Claire, limitée, reproductible.
Notre approche se concentre sur l'analyse de ce qui est visible et accessible depuis l'extérieur, sans interaction intrusive avec votre environnement de production.
Cadre
Étapes principales
Reconnaissance passive
Cartographie des sous-domaines, routes d'API, pages, documents, configurations et points d'accès exposés.
Détection des expositions sensibles
Identification des données, exports, rôles et configurations visibles ou mal protégés.
Preuves et reproduction
Chaque constat est documenté avec une preuve reproductible ou un contexte vérifiable.
Priorisation métier
Mise en relation des vulnérabilités avec vos données réelles (dossiers collaborateurs, bulletins, contrats, etc.).
Restitution et plan d'action
Restitution claire avec votre équipe et livraison d'une liste priorisée de corrections.
Principes clés
- Aucune modification de votre production.
- Divulgation responsable alignée ANSSI / ISO 29147.
- Langage clair, adapté aux CTO et dirigeants.
- Focus sur les risques réels, exploitables demain.
Ce que nous vérifions en pratique
Surface d'attaque externe
Sous-domaines, environnements de préprod, services oubliés, routes techniques, panels, docs et métadonnées publiques.
Bundles et source maps
Parcours d'authentification, rôles, modèles de données, routes d'API, webhooks, URLs internes, variables publiques et logique client sensible.
API et exposition technique
REST, GraphQL, Swagger/OpenAPI, schémas, routes de back-office, écarts de réponses, contrôle d'accès apparent.
Authentification, rôles et isolation des données
RLS, séparation des tenants, permissions, processus d'admin, logique de réinitialisation, magic links, policies incomplètes.
Stockage et automatisation
Buckets, signed URLs, webhooks, n8n/Make, signatures HMAC, chaînes d'admin déportées, fichiers accessibles par URL directe.
Contexte métier et conformité
Données personnelles, santé, finance, RH, juridique, attentes clients, questionnaires sécurité, CNIL, HDS, DORA, PCI-DSS.
Ce que nous ne faisons pas sans autorisation explicite
- Pas de brute force, de credential stuffing, de stress test ou de fuzzing agressif.
- Pas de création de comptes, pas d'exécution de processus métier sensibles, pas de suppression de données.
- Pas de téléchargement ni d'extraction massive de données personnelles.
- Pas de pivot interne, pas d'intrusion active, pas d'action assimilable à un pentest formel.
Ce que vous recevez
Revue Externe
Une faille critique mise en évidence avec un scénario d'attaque clair et une preuve de faisabilité compréhensible.
Rapport détaillé
Findings classés par criticité, impact réel, niveau de confiance, preuves, recommandations et priorités de correction.
Synthèse pour le dirigeant
Une vue exploitable côté dirigeant ou responsable produit : ce qui est grave, quoi faire maintenant, quoi planifier ensuite.
Point de remédiation
Un cadre de correction directement activable par les développeurs, avec logique de remédiation et zones à reprendre en premier.
Pages à lire ensuite
Audit complet
Le livrable le plus adapté si vous devez corriger plusieurs failles et garder une preuve de diligence.
Revue Externe
Le bon format si vous voulez d'abord objectiver la faille la plus critique.
Revue externe vs pentest
Comparer clairement la portée, le coût et les usages des deux approches.
À propos
Le profil du chercheur derrière CleanIssue et la logique de travail qui guide les audits.