Pentest externe pour un cabinet d'avocats

Secteur

Services juridiques · cabinet de taille moyenne · 30 à 60 professionnels · portefeuille avec clients corporate et dossiers sensibles.

Situation initiale

À la demande d'un client corporate, le cabinet devait fournir la preuve de tests de pénétration récents sur ses actifs exposés sur internet. L'infrastructure combinait un portail client développé sur mesure, un gestionnaire documentaire SaaS et des services e-mail et visioconférence hérités de la première vague de numérisation.

Approche

Nous avons mené un pentest externe en mode grey-box, limité au portail client, à l'infrastructure de périmètre et aux sous-domaines identifiés. Nous avons appliqué la méthodologie basée sur le Top 10 OWASP pour la couche web et revu la configuration TLS, l'exposition des services administratifs et les politiques de gestion des sessions. Chaque constat a été validé manuellement, classé par CVSS et accompagné d'une recommandation spécifique au stack technologique du client.

Résultat

Nous avons identifié 12 vulnérabilités valides (2 critiques, 4 hautes, 6 moyennes-basses) et livré un plan de remédiation priorisé avec responsable attribué et délai estimé par constat. Le cabinet a clôturé les deux constats critiques en 72 heures et achevé le reste en six semaines.

Enseignement

Un pentest utile n'est pas celui qui trouve le plus de constats, mais celui qui livre un plan de remédiation que l'organisation peut réellement exécuter.

Temps et effort

3 à 4 semaines · 60 à 80 heures de conseil · rapport technique + plan de remédiation + réunion de clôture.

Mots-clés

Pentest · OWASP · Sécurité web · CVSS · Remédiation · Secteur juridique