ÉVALUATION DE LA SÉCURITÉ // CHIMERASCOPE
Nous évaluons la surface d'attaque externe de votre organisation et fournissons un rapport chiffré et cartographié en termes de conformité — l'unique évaluation à ce niveau qui cartographie chaque constatation vers des articles réglementaires spécifiques liés aux directives CRA, NIS2, ISO 27001, RGPD, DORA et MiCA.
Nous évaluons l'infrastructure publiquement visible de votre organisation — domaines, sous-domaines, certificats, sécurité des e-mails, services exposés, configurations cloud et dépendances tierces — à l'aide d'une méthodologie d'évaluation propriétaires développée au fil des années de recherche en sécurité.
Chaque constatation est automatiquement associée aux articles des cadres réglementaires applicables à votre organisation. Le résultat est un rapport d'intelligence structuré et chiffré qui s'adresse à la fois à votre équipe technique et à vos responsables de la conformité.
Ce n'est pas un test d'intrusion. Nous n'interagissons pas avec vos systèmes au-delà de ce qu'un observateur externe pourrait voir. Aucune autorisation n'est requise pour l'étendue d'évaluation standard — bien que nous recommandions un accord formel pour toutes les évaluations payantes.
Évaluation complète fournie sous forme de PDF chiffré AES-128 avec table des matières complète, notation exécutive (A–F) et chaîne d'acquisition d'indices. Généralement 30 à 50 pages selon la complexité de l'infrastructure.
Chaque constat cartographié vers des articles spécifiques : CRA Art. 10, 11, 14 — NIS2 Art. 21 mesures — ISO 27001 Annexe A contrôles — GDPR Art. 32 exigences techniques — DORA Art. 5–12, 17, 24, 28 pour les entités financières — MiCA Art. 62, 67, 68, 75, 79, 83 pour les prestataires de services d'actifs cryptographiques — avec fiche de conformité MiCA/DORA dédiée (évaluation PASS/FAIL par article). Annotations sectorielles lorsque pertinentes.
Résumé prêt pour la salle de réunion avec note globale de sécurité, fiche de préparation CRA avec indicateurs de type feux tricolores, et matrice de priorité de correction organisée par impact et effort.
Chaîne d'indices judiciaires hachée SHA-256 avec code QR de vérification. Export JSON lisible par machine compatible avec les plateformes SIEM, Jira et ServiceNow pour une intégration directe dans votre workflow de correction.
La déclaration des vulnérabilités devient obligatoire à partir du 11 septembre 2026. Une conformité totale est exigée d'ici décembre 2027. Nous cartographisons les constats aux Articles 10 (exigences en matière de cybersécurité), 11 (gestion des vulnérabilités) et 14 (obligations de déclaration). Pénalités : jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial.
Évaluation des mesures de sécurité conformément à l'article 21 dans tous les domaines applicables. Une cartographie sectorielle est disponible pour les entités de santé, d'énergie, de transport, d'eau et d'infrastructure numérique. Active en Danemark, en Finlande et en Suède depuis janvier 2026.
Cartographie des contrôles de l'Annexe A avec identification des écarts par rapport aux exigences en matière de gestion de la sécurité de l'information. Particulièrement pertinente pour les organisations poursuivant ou maintenant une certification — nos constats s'intègrent directement dans votre Déclaration d'applicabilité.
Évaluation des mesures techniques et organisationnelles conformément à l'article 32. Évaluation de l'exposition des données, évaluation des risques de violation et identification des activités de traitement visibles depuis la surface d'attaque externe.
Obligatoire pour les entités financières de l'UE. Nous cartographisons les constats aux Art. 5–6 (gestion des risques ICT), Art. 7 (gestion des correctifs), Art. 9 (contrôle d'accès, chiffrement), Art. 10–11 (détecteur et réponse), Art. 17 (déclaration d'incident), Art. 24 (tests de résilience) et Art. 28 (risques tiers). La cartographie de conformité DORA est incluse dans tous les audits payants.
Cadre réglementaire européen pour les fournisseurs de services d'actifs cryptographiques (CASPs), applicable depuis juin 2024 avec une pleine application à partir de décembre 2024. Nous cartographisons les constats aux Art. 62 (gestion des risques ICT), Art. 67 (résilience opérationnelle), Art. 68 (exigences de sécurité), Art. 75 (garde et administration), Art. 79 (services d'échange) et Art. 83 (gestion des réclamations). Les cibles d'actifs cryptographiques reçoivent un tableau de bord dédié à la conformité MiCA/DORA avec une évaluation par article PASS/FAIL/WARN dans le rapport fourni. Essentiel pour les échanges, les fournisseurs de portefeuilles de garde et toute entité offrant des services d'actifs cryptographiques au sein de l'UE.
Protection des données d'essais cliniques, exposition des systèmes de fabrication, vérification de la conformité GxP. L'évaluation couvre les équipements de laboratoire connectés, les portails de recherche et les interfaces API avec les organisations partenaires.
Évaluation de l'environnement de données multi-client, évaluation de la préparation aux audits FDA/EMA. Focus particulier sur l'exposition de la chaîne d'approvisionnement, les risques d'infrastructure partagée et la vérification de l'isolement des données entre clients.
Évaluation de l'écosystème des dispositifs connectés, évaluation de la conformité des produits CRA. Couvre l'analyse d'exposition du firmware, la sécurité des mécanismes de mise à jour, l'authentification API et la posture de la plateforme de gestion cloud.
Évaluation des risques de convergence OT/IT pour les produits CRA-applicables. Exposition des réseaux de capteurs, détection des interfaces SCADA, plateformes de gestion cloud et évaluation de la sécurité du calcul à la périphérie.
Exposition des systèmes de dossiers de santé électroniques, évaluation des risques liés aux données patients. Cartographie des exigences du secteur de la santé selon NIS2, sécurité des plateformes de télésanté et évaluation des points d'intégration.
Évaluation de la préparation à la conformité DORA, évaluation de la posture de sécurité des API. Analyse de l'infrastructure de paiement, exposition de la banque mobile et cartographie des risques des fournisseurs de services tiers.
Préparation à la conformité MiCA pour les fournisseurs de services d'actifs crypto, les échanges et les opérateurs de portefeuilles de garde. Intelligence sur les adresses blockchain avec vérification des sanctions OFAC, analyse d'exposition des portefeuilles, évaluation des risques des jetons, et vérification de la preuve de réserves. Couvre les écosystèmes BTC, ETH, XRP, SOL et ERC-20.
L'évaluation standard couvre la surface d'attaque externe principale décrite ci-dessus. Pour les organisations ayant des exigences réglementaires, opérationnelles ou sectorielles spécifiques, l'étendue de l'engagement peut être élargie avec des activités supplémentaires de reconnaissance et de vérification — sélectionnées pour correspondre à la posture de risque et aux obligations de conformité de l'organisation.
Découverte des plateformes de raisonnement auto-hébergées, des cadres d'agents, des serveurs du protocole de contexte de modèle et des interfaces d'inférence publiques qui constituent de plus en plus la surface d'attaque externe des organisations modernes. Couvre la détection d'exposition, la posture d'authentification des interfaces de gestion et la mise en relation avec les classes de vulnérabilités connues pour les moteurs d'inférence et les plateformes d'orchestration.
Analyse des risques liés aux dépendances JavaScript avec enrichissement CVE, validation de l'intégrité des sous-ressources sur les ressources tierces, attribution des domaines CDN expirés (une voie documentée de prise de contrôle pour des propriétés de marque longue durée), et évaluation de la posture de sécurité des plateformes SaaS tierces pour l'écosystème fournisseur visible depuis votre surface externe.
Analyse chronologique de l'infrastructure via les modèles de changement DNS et BGP, l'évolution du contenu archivé, le dérive des empreintes de service au fil du temps et la corrélation entre certificats TLS actuels et historiques. Révèle les modèles opérationnels et les décisions d'infrastructure que les scans d'état actuel ne peuvent observer.
Identification des locataires SaaS non autorisés opérant sous le périmètre d'identité de l'organisation, des moteurs auto-hébergés opérant en dehors de la gouvernance corporative, et des infrastructures orphelines conservées au-delà de leur durée opérationnelle — les classes d'actifs qui génèrent des incidents car personne n'en détient actuellement la responsabilité.
Test validé des vulnérabilités d'injection (SQL, falsification de requête côté serveur, modèle, commande) sur les points de terminaison inclus dans l'étendue, effectué exclusivement sous autorisation écrite formelle. Cette activité déplace l'engagement du domaine de la reconnaissance passive vers celui de l'évaluation active et nécessite une Étendue de travail signée à l'avance.
Découverte des portefeuilles multi-chaînes (BTC, ETH, XRP, SOL, ERC-20), tri automatisé des sanctions SDN de l'OFAC selon les listes du Trésor américain, analyse chronologique approfondie des portefeuilles, attribution aux échanges, évaluation des risques liés aux jetons, et découverte des points finaux DeFi (nœuds RPC exposés, clés API de fournisseur fuitées, détection des portefeuilles administrateurs). Pour les organisations du secteur des actifs cryptographiques ou celles souhaitant vérifier l'exposition blockchain de contreparties dans le cadre de diligences ou d'obligations de conformité.
Chaque constatation identifiée est corrélationnée à une technique et sous-technique spécifique MITRE ATT&CK, avec identification des lacunes de couverture et recommandations de priorité pour l'ingénierie de détection. Intégré directement dans le plan d'ingénierie de détection des organisations opérant un centre d'opérations de sécurité (SOC) ou une capacité équivalente.
Organisations demandant couramment une étendue élargie : contractants de la défense et de la technologie à double usage, Organisations de développement et de fabrication contractuelles (CDMO), opérateurs d'infrastructures critiques nationales, infrastructure de marchés financiers, environnements de convergence de la technologie opérationnelle et de l'informatique industrielle, institutions de recherche gérant des données réglementées.
Soumettez le domaine de votre organisation pour obtenir un Résumé gratuit d'exposition externe — fourni dans les 48 heures.
Sélectionnez le type d'évaluation et fournissez le domaine principal de votre organisation. Toutes les soumissions sont traitées comme confidentielles.