Pentest Web — PME e-commerce

PME e-commerce — 15 000 clients actifs
5 jours
Application PHP
Pentest Web

Contexte de la mission

Le défi

Contexte

Une PME e-commerce avec 15 000 clients actifs avait besoin d'une validation sécurité avant une levée de fonds.


La plateforme n'avait jamais subi de test de sécurité professionnel. Les enjeux : protection des données clients (RGPD), confiance des investisseurs, réputation.

Objectifs

  • Évaluer la résistance de la plateforme face à des attaques ciblées avant la levée de fonds
  • Identifier les failles permettant l'accès aux données clients (RGPD)
  • Fournir un rapport exploitable pour rassurer les investisseurs

Déroulement

Découvertes clés

Périmètre testé

  • Parcours client complet (inscription, commande, paiement, espace personnel)
  • API REST
  • Mécanismes d'authentification et gestion de session
  • Logique métier

Méthodologie

Test en boîte noire suivant l'OWASP Testing Guide v4, complété par une analyse en boîte grise des API internes.

Critique

Accès public aux factures des utilisateurs via manipulation d'URL

Critique

Modification non autorisée d'un produit du panier d'un autre utilisateur

Critique

Possibilité d'envoyer un script malveillant sur le serveur

Élevé

Absence de protection contre les tentatives de connexion répétées

Moyen

En-têtes de sécurité manquants sur le site

Résultats

Livrables et recommandations

Livrables

  • 12 vulnérabilités : 3 critiques, 4 élevées, 5 moyennes
  • Rapport technique avec preuves d'exploitation
  • Feuille de route de remédiation priorisée
  • Présentation et restitution orale

Recommandations

  • Ajout de contrôles d'accès stricts sur les factures
  • Vérification des autorisations à chaque action côté serveur
  • Mise en place d'un filtrage serveur sur les fichiers uploadés
  • Validation des destinataires et du contenu côté backend pour éviter tout détournement
  • Configuration des en-têtes de sécurité du site

Enseignements

Leçons apprises

  • Les failles les plus critiques étaient liées à la logique métier, non détectables par des scans automatisés
  • L'absence de tests de sécurité avant la levée de fonds aurait pu compromettre la confiance des investisseurs
  • Un pentest régulier (annuel minimum) aurait permis de détecter ces failles plus tôt

Issue

Ce qui a changé

Les failles critiques ont été corrigées en 48h. Le rapport de pentest a été présenté aux investisseurs, contribuant au succès de la levée de fonds.

Prochaines étapes

  • Pentest de suivi dans 6 mois pour valider les corrections
  • Mise en place de tests de sécurité automatisés dans la CI/CD
  • Formation des développeurs aux bonnes pratiques OWASP

Autres études de cas

Découvrez nos autres interventions en cybersécurité.

Un projet similaire ?

Contactez-nous pour un premier échange gratuit et un devis adapté à vos besoins.

Demander un devis Voir les services