ÉVALUATION DE SÉCURITÉ // CHIMERASCOPE
Nous évaluons la surface d’attaque externe de votre organisation et fournissons un rapport chiffré, cartographié selon la conformité — la seule évaluation à ce niveau qui associe chaque constatation aux articles réglementaires spécifiques du CRA, NIS2, ISO 27001, GDPR, DORA et MiCA.
Nous évaluons l'infrastructure visible publiquement de votre organisation — domaines, sous‑domaines, certificats, sécurité des e‑mails, services exposés, configurations cloud et dépendances tierces — en utilisant une méthodologie d'évaluation propriétaire développée au fil de plusieurs années de recherche en sécurité.
Chaque constatation est automatiquement associée aux articles du cadre réglementaire qui s'appliquent à votre organisation. Le résultat est un rapport d'intelligence structuré et chiffré qui parle à la fois à votre équipe technique et à vos responsables conformité.
Il ne s'agit pas d'un test d'intrusion. Nous n'interagissons pas avec vos systèmes au-delà de ce qu'un observateur externe pourrait voir. Aucune autorisation n'est requise pour le périmètre d'évaluation standard — bien que nous recommandions un accord d'engagement formel pour toutes les évaluations payantes.
Évaluation complète livrée sous forme de PDF chiffré AES-128 avec table des matières complète, notation exécutive (A–F) et chaîne de conservation forensique. Généralement 30 à 50 pages selon la complexité de l'infrastructure.
Chaque constatation est associée aux articles spécifiques : CRA Art. 10, 11, 14 — NIS2 Art. 21 mesures — ISO 27001 Annexe A contrôles — GDPR Art. 32 exigences techniques — DORA Art. 5–12, 17, 24, 28 pour les entités financières — MiCA Art. 62, 67, 68, 75, 79, 83 pour les prestataires de services d’actifs cryptographiques — avec une fiche d’évaluation de conformité MiCA/DORA dédiée (évaluation PASS/FAIL par article). Annotations sectorielles le cas échéant.
Résumé prêt pour le conseil d’administration avec note globale de sécurité, fiche de préparation CRA avec indicateurs feu tricolore, et matrice de priorité de remédiation organisée par impact et effort.
Chaîne de preuves forensiques hachée SHA-256 avec code QR de vérification. Export JSON lisible par machine compatible avec les plateformes SIEM, Jira et ServiceNow pour une intégration directe dans votre flux de travail de remédiation.
Le signalement des vulnérabilités devient obligatoire à partir du 11 septembre 2026. Conformité totale requise d'ici décembre 2027. Nous associons les constats aux Articles 10 (exigences de cybersécurité), 11 (gestion des vulnérabilités) et 14 (obligations de reporting). Sanctions : jusqu'à 15 M€ ou 2,5 % du chiffre d'affaires annuel mondial.
Évaluation des mesures de sécurité selon l'Article 21 pour tous les domaines applicables. Cartographie sectorielle disponible pour les entités de santé, énergie, transport, eau et infrastructures numériques. En vigueur au Danemark, en Finlande et en Suède depuis janvier 2026.
Cartographie des contrôles de l'Annexe A avec identification des écarts par rapport aux exigences de gestion de la sécurité de l'information. Particulièrement pertinent pour les organisations qui poursuivent ou maintiennent la certification — nos constats s’intègrent directement dans votre Déclaration d’Applicabilité.
Évaluation des mesures techniques et organisationnelles selon l'Article 32. Analyse de l’exposition des données, notation du risque de violation et identification des activités de traitement visibles depuis la surface d'attaque externe.
Obligatoire pour les entités financières de l'UE. Nous associons les constats aux Art. 5‑6 (gestion des risques TIC), Art. 7 (gestion des correctifs), Art. 9 (contrôle d’accès, chiffrement), Art. 10‑11 (détection et réponse), Art. 17 (signalement des incidents), Art. 24 (tests de résilience) et Art. 28 (risque tiers). La cartographie de conformité DORA est incluse dans toutes les évaluations payantes.
Cadre réglementaire à l'échelle de l'UE pour les fournisseurs de services d'actifs cryptographiques (CASPs), en vigueur depuis juin 2024 avec application complète à partir de décembre 2024. Nous associons les constats aux Art. 62 (gestion des risques TIC), Art. 67 (résilience opérationnelle), Art. 68 (exigences de sauvegarde), Art. 75 (garde et administration), Art. 79 (services d’échange) et Art. 83 (gestion des réclamations). Les cibles d’actifs cryptographiques reçoivent une fiche d’évaluation MiCA/DORA avec une notation PASS/FAIL/WARN par article dans le rapport fourni. Essentiel pour les plateformes d’échange, les fournisseurs de portefeuilles de garde et toute entité offrant des services d’actifs cryptographiques au sein de l'UE.
Protection des données d'essais cliniques, exposition des systèmes de fabrication, vérification de la conformité GxP. L'évaluation couvre les équipements de laboratoire connectés, les portails de recherche et les interfaces API vers les organisations partenaires.
Évaluation de l'environnement de données multi‑clients, évaluation de la préparation aux audits FDA/EMA. Accent particulier sur l'exposition de la chaîne d'approvisionnement, les risques d'infrastructure partagée et la vérification de l'isolation des données entre clients.
Évaluation de l'écosystème des dispositifs connectés, évaluation de la conformité produit CRA. Comprend l'analyse d'exposition du firmware, la sécurité du mécanisme de mise à jour, l'authentification API et la posture de la plateforme de gestion cloud.
Évaluation des risques de convergence OT/IT pour les produits connectés soumis à CRA. Exposition du réseau de capteurs, détection des interfaces SCADA, plateformes de gestion cloud et évaluation de la sécurité du edge computing.
Exposition du système de dossiers de santé électroniques, évaluation des risques des données patients. Cartographie des exigences du secteur santé selon NIS2, sécurité des plateformes de télésanté et évaluation des points d'intégration.
Évaluation de la préparation à la conformité DORA, évaluation de la posture de sécurité API. Analyse de l'infrastructure de paiement, exposition de la banque mobile et cartographie des risques des fournisseurs de services tiers.
Préparation à la conformité MiCA pour les fournisseurs de services d'actifs cryptographiques, les plateformes d'échange et les opérateurs de portefeuilles de garde. Intelligence d'adresses blockchain avec filtrage des sanctions OFAC, analyse d'exposition des portefeuilles, évaluation des risques des tokens et vérification du Proof of Reserves. Couverture des écosystèmes BTC, ETH, XRP, SOL et des tokens ERC-20, ainsi qu'une analyse vérifiée des vulnérabilités des contrats intelligents pour les organisations exposées on-chain.
L'évaluation standard couvre la surface d'attaque externe principale décrite ci-dessus. Pour les organisations ayant des exigences réglementaires, opérationnelles ou sectorielles spécifiques, l'étendue de l'engagement peut être élargie avec des activités supplémentaires de reconnaissance et de vérification — sélectionnées pour correspondre à la posture de risque de l'organisation et à ses obligations de conformité.
Découverte de plateformes de raisonnement auto-hébergées, de cadres d'agents, de serveurs Model Context Protocol et d'interfaces d'inférence publiques qui constituent de plus en plus une partie de la surface d'attaque externe des organisations modernes. Couvre la détection d'exposition, la posture d'authentification des interfaces de gestion, et la mise en correspondance avec les classes de vulnérabilités connues pour les moteurs d'inférence et les plateformes d'orchestration.
Analyse des risques des dépendances JavaScript avec enrichissement CVE, validation de l'Intégrité des sous-ressources (Subresource Integrity) sur les ressources tierces, attribution de domaines CDN expirés (un chemin de prise de contrôle documenté pour les propriétés de marque à long terme), et évaluation de la posture de sécurité des plateformes SaaS tierces pour l'écosystème des fournisseurs visible depuis votre surface externe.
Analyse chronologique de l'infrastructure à travers les schémas de changements DNS et BGP, l'évolution du contenu archivé, la dérive des empreintes de services au fil du temps, et la corrélation entre les certificats TLS actuels et historiques. Révèle les schémas opérationnels et les décisions d'infrastructure que les analyses en état actuel ne peuvent pas observer.
Identification des locataires SaaS non autorisés opérant sous le périmètre d'identité de l'organisation, des moteurs auto-hébergés fonctionnant en dehors de la gouvernance d'entreprise, et des infrastructures orphelines conservées au‑delà de leur durée de vie opérationnelle — les catégories d'actifs qui génèrent des incidents parce que personne ne les possède actuellement.
Tests validés des vulnérabilités d'injection (SQL, falsification de requête côté serveur, modèles, commandes) sur les points de terminaison inclus dans le périmètre, réalisés exclusivement sous autorisation écrite formelle. Cette activité fait passer l'engagement de la reconnaissance passive à une évaluation active et nécessite un Scope of Work signé au préalable.
Découverte de portefeuilles multi‑chaînes (BTC, ETH, XRP, SOL, ERC-20), filtrage automatisé des sanctions OFAC SDN contre les listes du Trésor américain, analyse approfondie de la chronologie des portefeuilles, attribution des échanges, évaluation des risques des jetons, et découverte des points de terminaison DeFi (nœuds RPC exposés, clés API de fournisseurs divulguées, détection de portefeuilles administrateur). Destiné aux organisations du secteur des crypto‑actifs ou à celles qui doivent vérifier l'exposition blockchain des contreparties dans le cadre de la due diligence ou des obligations de conformité.
Analyse statique et symbolique des vulnérabilités des contrats intelligents Solidity vérifiés déployés sur Ethereum et les chaînes compatibles EVM. Couvre les modèles de réentrance, les faiblesses de contrôle d'accès, les retours d'appels externes non vérifiés, les conditions de dépassement d'entier, les vecteurs d'injection delegatecall, les lacunes d'autorisation de self‑destruct, et la susceptibilité au front‑running — sur l'ensemble des classifications de faiblesses de contrats intelligents documentées. L'analyse est effectuée exclusivement sur le code source des contrats publiquement vérifié — aucun accès aux dépôts privés ou aux bases de code internes n'est requis ni demandé. Disponible dans le cadre d'une portée d'engagement élargie pour les organisations qui exploitent ou évaluent l'exposition à l'infrastructure financière on‑chain.
Évaluation complète de la résilience de l'infrastructure cryptographique face aux menaces de l'informatique quantique. Évalue les configurations d'échange de clés TLS à travers les algorithmes hybrides et purs post‑quantique standardisés, la préparation à la migration des algorithmes de certificats, le statut de modernisation des échanges de clés SSH, la sécurité quantique du chiffrement du transport des e‑mails, et l'exposition aux vulnérabilités de dégradation de protocole. Inclut une analyse sensible au CDN qui différencie la protection post‑quantique fournie par le edge de celle native à l'origine — une distinction cruciale pour les organisations s'appuyant sur l'infrastructure de diffusion de contenu. L'évaluation associe les résultats aux exigences cryptographiques CRA Art. 10, aux obligations d'état de l'art NIS2 Art. 21, et aux recommandations d'algorithmes BSI TR-02102-1. Livrée avec un score de préparation quantifié reflétant le statut réel du déploiement sur tous les points de terminaison cryptographiques observables extérieurement.
Chaque constat identifié est corrélé à une technique et sous‑technique MITRE ATT&CK spécifique, avec identification des lacunes de couverture et recommandations de priorité pour l'ingénierie de détection. S'intègre directement dans la feuille de route d'ingénierie de détection des organisations disposant d'un Centre d'Opérations de Sécurité ou d'une capacité équivalente.
Identification sectorielle des groupes de menaces persistantes avancées (APT) avec activité de ciblage documentée contre le secteur d'activité de l'organisation. Croise les bases de données d'acteurs menaçants attribués par les gouvernements avec les listes de suivi des autorités nationales de cybersécurité pour mettre en évidence les groupes parrainés par l'État les plus pertinents pour le secteur, la géographie et le profil opérationnel de l'organisation. Chaque groupe identifié est présenté avec l'attribution du pays, les alias connus, les secteurs cibles documentés, la classification du type d'incident, et des références directes aux profils de groupe MITRE ATT&CK correspondants. Livré avec des badges d'état suivis par le BSI pour les groupes activement surveillés par les autorités nationales de cybersécurité. Disponible pour tous les secteurs industriels couverts par le périmètre d'évaluation.
Organisations demandant couramment une portée étendue : les contractants en technologies de défense et à double usage, les Contract Development & Manufacturing Organizations (CDMOs), les opérateurs d'infrastructures critiques nationales, les infrastructures de marchés financiers, les environnements de convergence Technologie Opérationnelle et IT industrielle, les institutions de recherche manipulant des données réglementées.
Soumettez le domaine de votre organisation pour obtenir un résumé d'exposition externe gratuit — livré sous 48 heures.
Sélectionnez le type d'évaluation et indiquez le domaine principal de votre organisation. Toutes les soumissions sont traitées de manière confidentielle.