Cybersécurité Offensive & Défensive

Sécurité Offensive.
Défense Proactive.

Tests d'intrusion, simulations d'attaque et audits de sécurité pour protéger votre organisation contre les menaces réelles.

Demander un audit Découvrir nos services
avalanche@recon:~
$ nmap -sV --script=vuln target.corp
Starting scan... Identifying attack surface...
// Nos services

Expertise offensive complète

Des prestations sur mesure pour évaluer et renforcer la sécurité de votre système d'information.

Pentest Web & API

Identification des vulnérabilités sur vos applications web et interfaces API (OWASP Top 10, logique métier, authentification).

Pentest Infrastructure

Audit de votre infrastructure réseau interne et externe : serveurs, pare-feu, segmentation, services exposés.

Pentest Active Directory

Évaluation de la sécurité de votre annuaire AD : Kerberos, GPO, délégations, chemins d'élévation de privilèges.

Red Team / Simulation

Simulations d'attaque réalistes couvrant l'ensemble de la kill chain : phishing, intrusion, mouvement latéral, exfiltration.

Audit de Sécurité

Revue de configuration, analyse d'architecture, évaluation des politiques de sécurité et conformité (ISO 27001, NIS2).

Formation & Sensibilisation

Sessions de formation technique pour vos équipes : sécurité défensive, sensibilisation au phishing, bonnes pratiques.

// Domaines de compétence

Notre panel d'expertise

Des compétences forgées sur le terrain, couvrant l'ensemble du spectre offensif et défensif.

Reconnaissance & Cartographie Réseau

Scan de surface d'attaque, découverte de services, énumération d'actifs et veille en vulnérabilités (CVE).

Red Team & Simulation d'Intrusion

Frameworks C2, post-exploitation, mouvement latéral, élévation de privilèges et exfiltration de données.

Ingénierie Sociale & Phishing

Campagnes de sensibilisation, simulations de phishing ciblées et évaluation du facteur humain.

Sécurité Active Directory

Audit Kerberos, attaques de délégation, chemins d'élévation, GPO et compromission de domaine.

Analyse Binaire & Exploitation Hardware

Reverse engineering, développement de shellcode, exploitation de firmware et vecteurs d'attaque physique (USB, HID).

Sécurité Web & API

Injection SQL, XSS, IDOR, LFI/RFI, analyse JWT, fuzzing et tests d'authentification sur applications web.

Orchestration & Automatisation

Conteneurisation Docker, pipelines de déploiement, monitoring d'infrastructure et automatisation des workflows.

Détection & Réponse (EDR)

Monitoring endpoint, détection comportementale, analyse de menaces et renforcement des postes de travail.

// Méthodologie

Notre approche

Une méthodologie éprouvée, alignée sur les standards PTES et OWASP, adaptée à chaque contexte.

01

Cadrage & périmètre

Définition du périmètre, des objectifs et des règles d'engagement. Identification des actifs critiques et des scénarios de menace.

$ scope --define --targets
02

Reconnaissance

Collecte d'informations, cartographie de la surface d'attaque, identification des technologies et des vecteurs d'entrée potentiels.

$ recon --enum --passive --active
03

Exploitation

Tentatives d'exploitation des vulnérabilités identifiées. Validation de l'impact réel et évaluation de la criticité.

$ exploit --validate --impact
04

Post-exploitation

Mouvement latéral, élévation de privilèges, persistance. Évaluation de la profondeur de compromission possible.

$ post-exploit --lateral --privesc
05

Rapport & restitution

Livrable détaillé avec preuves, criticités CVSS, et recommandations priorisées. Restitution orale avec vos équipes.

$ report --generate --remediate
// À propos

Expertise terrain,
vision stratégique

AVALANCHE est née de la conviction que la meilleure défense passe par une compréhension approfondie de l'attaque. Notre équipe de consultants expérimentés intervient sur des environnements critiques : finance, santé, industrie, administration publique.

Nous combinons expertise technique de pointe et rigueur méthodologique pour vous fournir une vision claire de votre posture de sécurité et des recommandations actionnables.

Certifications

OSCP OSEP CRTP CEH ISO 27001 LA
5+
Années d'expérience
100+
Missions réalisées
50+
Clients accompagnés
0
Compromission non détectée
avalanche @ security ~ $ cat /etc/mission
Protéger nos clients en pensant comme un attaquant.
Chaque vulnérabilité trouvée est une brèche colmatée.
// Blog

Writeups & Articles

Retours d'expérience, writeups de challenges et analyses techniques.

HackTheBox Nagios SNMP

HTB - Monitored

Exploitation Nagios XI via SNMP recon, SQL injection, création d'utilisateur admin et escalade via npcd.

2024-03-10 Hard
HackTheBox KeePass Memory Dump

HTB - Keeper

Exploitation Request Tracker avec credentials par défaut, dump KeePass et extraction de clé privée SSH.

2024-03-01 Easy
HackTheBox Spring Boot Command Injection

HTB - CozyHosting

Exploitation Spring Boot Actuator, session hijacking, command injection et escalade via SSH ProxyCommand.

2024-02-20 Easy
HackTheBox Joomla CVE

HTB - Devvortex

Enumération de sous-domaine, exploitation Joomla CVE-2023-23752, injection webshell et escalade via apport-cli.

2024-02-15 Easy
HackTheBox Craft CMS SQL

HTB - Surveillance

Exploitation Craft CMS, extraction de backup SQL, port forwarding et escalade via zmupdate.pl.

2024-02-10 Medium
HackTheBox CVE Metabase

HTB - Analytics

Exploitation Metabase pré-auth RCE via CVE-2023-38646, escalade via overlayfs dans un conteneur.

2024-02-01 Easy
HackTheBox CVE Node.js

HTB - Codify

Exploitation de la librairie vm2 via CVE-2023-32314, cracking bcrypt et escalade via script MySQL backup.

2024-01-20 Easy
HackTheBox CVE Apache OFBiz

HTB - Bizness

Exploitation d'Apache OFBiz via CVE-2023-49070 et CVE-2023-51467, reverse shell et récupération de credentials.

2024-01-15 Medium
// Contact

Parlons de votre
sécurité

Vous souhaitez évaluer la sécurité de votre système d'information ? Contactez-nous pour discuter de vos besoins et obtenir une proposition adaptée.