Exploitation et durcissement

Exploitation, sécurité et red teaming pour des systèmes qui ne peuvent pas tomber.

Quand la plateforme est en production, deux choses comptent

Elle reste en ligne. Elle ne fuit pas. Nous traitons les deux avec une seule équipe, parce qu’en pratique c’est le même métier - l’exploitation fournit les runbooks, la sécurité fournit le modèle de menace. Lancez-les en silos et les espaces entre eux deviennent les incidents.

Pour les tests fonctionnels, de performance et de localisation, voir notre service dédié QA et automatisation des tests.

Quand cela s’applique

  • Vous traitez des données sensibles - dossiers patient, données financières, données personnelles - et dire « nous avons un pare-feu » ne suffit plus.
  • Vous entrez sur un marché régulé (eHealth, FinTech) et avez besoin de rapports de pentest auditables et de preuves de remédiation.
  • Un système devenu volumineux a besoin d’hébergement, de supervision et d’un support technique qui ne dépende pas d’un héros unique.
  • Une grande modernisation, une migration ou une intégration M&A se prépare, et vous ne pouvez pas vous permettre une fuite ou une indisponibilité non planifiée.
  • Le modèle de menace a changé - nouvelle surface produit, nouveaux tiers, nouvelle géographie - et le pentest de l’an dernier ne couvre plus ce qui est livré aujourd’hui.
  • Une nouvelle CVE vient de tomber et l’équipe ne peut pas répondre dans la journée à « est-elle dans notre stack, et est-elle réellement exploitable ».

Ce que nous livrons

Exploitation et hébergement

L’hébergement vit en Suisse, dans l’UE ou en Amérique du Nord - aligné sur votre géographie réglementaire (LPD, RGPD, Loi 25 du Québec, CCPA). La surveillance de l’infrastructure et des KPI porte des alertes sur lesquelles le support technique peut agir, pas seulement contempler. Les SLO, runbooks et playbooks d’incident font en sorte que le deuxième incident soit plus rapide que le premier. Les sauvegardes et la reprise après sinistre sont réelles, pas théoriques : récupération à un instant donné, redondance multi-région, restaurations testées. Les configurations cloud sont durcies selon les benchmarks CIS, avec revue de l’isolation des locataires et de la gestion d’identité.

Introspection des artefacts et de l’infrastructure

Savoir ce qui tourne réellement, jusqu’à la dépendance transitive, c’est ce qui transforme une CVE qui fait la une en réponse de 20 minutes plutôt qu’en exercice d’incendie d’une semaine.

Chaque artefact livré porte une SBOM (Software Bill of Materials), pour que nous puissions montrer ce qui est en production aujourd’hui jusqu’à la dépendance transitive. Le flux CVE est mis en correspondance en continu avec ces SBOM et votre inventaire d’infrastructure - dès qu’une nouvelle CVE est publiée, nous savons en quelques minutes si elle touche quoi que ce soit que vous exploitez. La question suivante - accessibilité, exposition réseau, contexte de privilèges - est ce qui sépare « présent » de « réellement exploitable », et nous y répondons avant que cela ne devienne un exercice d’incendie. Les images de conteneur sont scannées à la fois dans le registre et au moment du déploiement, gatées par politique. L’inventaire d’infrastructure lui-même (comptes cloud, hôtes, services, IAM) est maintenu à jour, pour que la réponse à une CVE ne soit pas un exercice de découverte. Le playbook de patch et de remédiation priorise par exploitabilité, pas seulement par score CVSS.

Sécurité, pentests et red teaming

  • Tests d’intrusion sur applications web, APIs, charges de travail cloud, applications mobiles et systèmes industriels.
  • Engagements de red team : exercices guidés par scénario qui émulent un véritable adversaire face aux personnes, au processus et à la plateforme - pas seulement face au code.
  • Revues d’architecture et de code focalisées sur l’authentification, l’autorisation, la gestion des secrets, le traitement d’information confidentielle, les valeurs par défaut sécurisées.
  • Conseil conformité LPD suisse, RGPD européen, ISO 27001, OWASP ASVS.
  • Préparation aux incidents avec playbooks, stratégie de journalisation, exercices de réponse.
  • Offre de re-test une fois vos correctifs en place vous avez alors la preuve écrite que les constats sont clos.

Comment nous travaillons

Nous nous alignons sur OWASP ASVS et OSSTMM pour la sécurité applicative, MITRE ATT&CK pour la modélisation de menaces et les scénarios de red team, et les benchmarks CIS pour le durcissement cloud. Chaque mandat commence par un cadrage explicite, comporte des points de contrôle convenus, et se termine par un rapport écrit : résumé exécutif, constats techniques, actions priorisées.

Pourquoi Luzid

  • Plus de 20 ans à construire et exploiter des logiciels critiques en environnements régulés.
  • Une seule équipe pour l’hébergement, la supervision, l’astreinte et la sécurité - pour que les espaces entre les disciplines ne deviennent pas les incidents.
  • Nous livrons des constats avec un chemin de remédiation, pas juste une liste de CVE.
  • Les rapports parlent le langage des parties prenantes, pas seulement des ingénieurs.
  • Trilingues en allemand, français et anglais.
À quelle fréquence faut-il faire des pentests ?

Au moins une fois par an, plus après tout changement majeur d'architecture ou d'infrastructure. Dans les secteurs régulés (eHealth, finance), les auditeurs attendent généralement des tests annuels documentés.

En quoi votre méthode diffère-t-elle d'un scan automatique ?

Les scans automatiques trouvent les CVE connues. Nous cherchons en plus les failles de logique métier, les erreurs de permissions et les faiblesses d'architecture - ce que les attaquants exploitent réellement et que les outils ne voient pas.

Quand une nouvelle CVE tombe, en combien de temps savons-nous si nous sommes exposés ?

En quelques minutes après la publication de l'avis. Chaque artefact livré a une SBOM, l'inventaire d'infrastructure est tenu à jour, et le flux CVE est mis en correspondance en continu. La question suivante - « est-elle réellement exploitable dans notre environnement » - est répondue en heures, pas en jours, par analyse d'accessibilité et d'exposition. C'est dans cet écart que la plupart des équipes perdent le contrôle pendant un incident CVE.

Y a-t-il un re-test après correction ?

Oui. Nous proposons un re-test une fois vos correctifs en place, pour que vous ayez la preuve écrite que les constats sont clos.

Quel type de support d'exploitation puis-je attendre ?

Surveillance continue, avec téléphone, courriel et chat pour le travail courant. Pour les systèmes critiques, nous proposons des forfaits de support technique 24h/24 et 7j/7 alignés sur vos SLO.

Comment gérez-vous les sauvegardes et la récupération ?

Des sauvegardes automatisées régulières avec récupération à un instant donné, redondance multi-région lorsque requis, et procédures de reprise après sinistre testées. Nous documentons le RPO et le RTO et nous répétons la restauration.

Vos services sont-ils conformes aux réglementations locales ?

Oui - dans le périmètre du mandat que vous choisissez. L'hébergement et l'exploitation sont alignés sur votre géographie réglementaire (nLPD, RGPD, HIPAA, CCPA, Loi 25 du Québec), avec les choix de résidence des données et les pistes d'audit conséquentes.

Échangez avec nos experts en exploitation et sécurité.

Parlez à un expert Luzid. Réponse sous un jour ouvré.

Prendre un rendez-vous