Références publiques

Des preuves de mission rendues lisibles pour les PME.

Cette page montre ce que Laucked peut publier sans exposer ses clients : déclencheurs de mission, types de failles observées, forme des livrables et résultats obtenus après priorisation.

Les noms, données sensibles et éléments confidentiels restent volontairement anonymisés pour respecter les NDA et la confidentialité opérationnelle.

Demander un cadrage de mission Centre de confiance

Livrables publics

Résumé dirigeant avec risque, impact et ordre de priorité.
Rapport technique avec preuve, scénario et remédiation.
Re-test quand le périmètre et le calendrier le prévoient.

Cas clients

Missions anonymisées, résultats concrets

Cas client anonymisé

SaaS B2B — outil métier

Questionnaire sécurité client pour une PME SaaS B2B

~40 collaborateurs, 200+ clients B2B — Boîte grise — comptes de test multi-tenant, 8 jours pentester

Grand compte, due diligence sécurité, besoin de preuves rapides avant signature.

Périmètre

Portail client web
API REST exposée
Gestion des rôles et comptes support

Constats (CVSS + OWASP)

BOLA inter-tenant sur endpoint de consultation (CVSS 8.7, OWASP API1)
Fuite croisée de données clients
Privilèges support excessifs — lecture/écriture tous tenants (CVSS 7.4, OWASP API5)
Risque interne mal cloisonné
Journalisation partielle sur accès sensibles (CVSS 4.8, OWASP A09)
Incapacité de répondre à un questionnaire DPO

Résultat

Correctif BOLA déployé sous 6 jours, re-test validé sous 10 jours.
Réponses au questionnaire client basées sur des preuves techniques réelles, pas sur de la documentation.
Contrat signé avec le grand compte dans le mois suivant la livraison du rapport.

Cas client anonymisé

Industrie — sous-traitant supply chain aéronautique

Portail métier et API pour un sous-traitant industriel

~120 collaborateurs, fournisseur de donneur d'ordre OIV — Boîte grise authentifiée + compte admin observé, 12 jours pentester

Pression supply chain, revue fournisseur, exposition NIS2 indirecte.

Périmètre

Portail métier
API d'échanges avec un tiers
Comptes à privilèges et sessions

Constats (CVSS + OWASP)

Chaîne d'accès menant à zone admin exposée (CVSS 9.1, OWASP A01)
Prise de contrôle horizontal admin
Endpoint de diagnostic publiant infos techniques (CVSS 5.3, OWASP A05)
Reconnaissance facilitée pour un attaquant
Jetons API sans expiration courte (CVSS 6.5, OWASP API8)
Rejeu possible sur plusieurs mois

Résultat

Cloisonnement admin déployé sous 10 jours, rotation de jetons mise en place.
Synthèse dirigeant utilisée comme base de réponse dans la revue fournisseur donneur d'ordre.
Risque perçu réduit avant extension du périmètre en production multi-sites.

Cas client anonymisé

E-commerce — marketplace multi-vendeurs

Marketplace e-commerce avec intégrations de paiement

~80 collaborateurs, 2 000 vendeurs référencés, Stripe + Adyen — Boîte grise multi-rôles (acheteur, vendeur, admin), 15 jours pentester

Audit annuel exigé par l'assureur cyber après incident secteur, préparation ISO 27001.

Périmètre

Frontend boutique
Back-office vendeur
API orders + paiements
Webhook Stripe / Adyen

Constats (CVSS + OWASP)

Race condition sur création de commande — double débit (CVSS 8.2, OWASP A04)
Fraude possible sur flux paiement
Webhook Stripe sans vérification stricte de signature HMAC (CVSS 7.8, OWASP API8)
Injection d'événements de paiement fictifs
IDOR sur consultation de commandes vendeur (CVSS 7.1, OWASP API1)
Vendeur A accède aux commandes du vendeur B
Absence de rate-limiting sur endpoint de coupon (CVSS 5.1, OWASP API4)
Brute-force de codes promo

Résultat

Race condition fermée via idempotency keys sous 5 jours ouvrés.
Vérification HMAC webhook rendue obligatoire avant validation serveur.
Rapport intégré au dossier ISO 27001 comme preuve du contrôle A.8.29 — tests de sécurité applicatifs.
Prime assurance cyber stabilisée à l'appel d'offres suivant.

Extrait de livrable

Exemple de synthèse dirigeant

Voici à quoi ressemble une synthèse dirigeant Laucked, anonymisée. L’objectif : que la direction comprenne le risque, son impact métier et les corrections à prioriser — sans jargon technique.

Contexte — Portail client B2B avec API exposée à trois partenaires intégrateurs. Périmètre : authentification, gestion des rôles, endpoints d’échange de données.

Risque principal — Un défaut d’autorisation sur un endpoint permet à un utilisateur partenaire d’accéder aux données d’un autre tenant. Impact : fuite de données client, rupture de confiance commerciale.

Risques secondaires — Compte support avec privilèges excessifs (accès lecture/écriture sur tous les tenants). Jetons API sans expiration, journalisation partielle sur les accès sensibles.

Priorisation — Correction immédiate : cloisonnement inter-tenant et rotation des jetons. Court terme : réduction des privilèges support et extension de la journalisation. Moyen terme : revue d’architecture des rôles.

Décision direction — Corriger les deux risques critiques avant la prochaine revue fournisseur (J+10). Utiliser la synthèse comme base de réponse au questionnaire sécurité du client final.

Étapes suivantes

Cadrer un périmètre réel

Quand un besoin devient concret, Laucked repart du contexte métier, des accès possibles, de la pression client ou réglementaire et des délais réels de correction.

Voir le centre de confiance Voir les fondateurs Demander un cadrage de mission

Des preuves de mission rendues lisibles pour les PME.

Cette page montre ce que Laucked peut publier sans exposer ses clients : déclencheurs de mission, types de failles observées, forme des livrables et résultats obtenus après priorisation.

Les noms, données sensibles et éléments confidentiels restent volontairement anonymisés pour respecter les NDA et la confidentialité opérationnelle.

Missions anonymisées, résultats concrets

Cas client anonymisé

SaaS B2B — outil métier

Questionnaire sécurité client pour une PME SaaS B2B

~40 collaborateurs, 200+ clients B2B — Boîte grise — comptes de test multi-tenant, 8 jours pentester

Grand compte, due diligence sécurité, besoin de preuves rapides avant signature.

Périmètre

Portail client web
API REST exposée
Gestion des rôles et comptes support

Constats (CVSS + OWASP)

BOLA inter-tenant sur endpoint de consultation (CVSS 8.7, OWASP API1)
Fuite croisée de données clients
Privilèges support excessifs — lecture/écriture tous tenants (CVSS 7.4, OWASP API5)
Risque interne mal cloisonné
Journalisation partielle sur accès sensibles (CVSS 4.8, OWASP A09)
Incapacité de répondre à un questionnaire DPO

Résultat

Correctif BOLA déployé sous 6 jours, re-test validé sous 10 jours.
Réponses au questionnaire client basées sur des preuves techniques réelles, pas sur de la documentation.
Contrat signé avec le grand compte dans le mois suivant la livraison du rapport.

Cas client anonymisé

Industrie — sous-traitant supply chain aéronautique

Portail métier et API pour un sous-traitant industriel

~120 collaborateurs, fournisseur de donneur d'ordre OIV — Boîte grise authentifiée + compte admin observé, 12 jours pentester

Pression supply chain, revue fournisseur, exposition NIS2 indirecte.

Périmètre

Portail métier
API d'échanges avec un tiers
Comptes à privilèges et sessions

Constats (CVSS + OWASP)

Chaîne d'accès menant à zone admin exposée (CVSS 9.1, OWASP A01)
Prise de contrôle horizontal admin
Endpoint de diagnostic publiant infos techniques (CVSS 5.3, OWASP A05)
Reconnaissance facilitée pour un attaquant
Jetons API sans expiration courte (CVSS 6.5, OWASP API8)
Rejeu possible sur plusieurs mois

Résultat

Cloisonnement admin déployé sous 10 jours, rotation de jetons mise en place.
Synthèse dirigeant utilisée comme base de réponse dans la revue fournisseur donneur d'ordre.
Risque perçu réduit avant extension du périmètre en production multi-sites.

Cas client anonymisé

E-commerce — marketplace multi-vendeurs

Marketplace e-commerce avec intégrations de paiement

~80 collaborateurs, 2 000 vendeurs référencés, Stripe + Adyen — Boîte grise multi-rôles (acheteur, vendeur, admin), 15 jours pentester

Audit annuel exigé par l'assureur cyber après incident secteur, préparation ISO 27001.

Périmètre

Frontend boutique
Back-office vendeur
API orders + paiements
Webhook Stripe / Adyen

Constats (CVSS + OWASP)

Race condition sur création de commande — double débit (CVSS 8.2, OWASP A04)
Fraude possible sur flux paiement
Webhook Stripe sans vérification stricte de signature HMAC (CVSS 7.8, OWASP API8)
Injection d'événements de paiement fictifs
IDOR sur consultation de commandes vendeur (CVSS 7.1, OWASP API1)
Vendeur A accède aux commandes du vendeur B
Absence de rate-limiting sur endpoint de coupon (CVSS 5.1, OWASP API4)
Brute-force de codes promo

Résultat

Race condition fermée via idempotency keys sous 5 jours ouvrés.
Vérification HMAC webhook rendue obligatoire avant validation serveur.
Rapport intégré au dossier ISO 27001 comme preuve du contrôle A.8.29 — tests de sécurité applicatifs.
Prime assurance cyber stabilisée à l'appel d'offres suivant.

Exemple de synthèse dirigeant

Contexte — Portail client B2B avec API exposée à trois partenaires intégrateurs. Périmètre : authentification, gestion des rôles, endpoints d’échange de données.

Risques secondaires — Compte support avec privilèges excessifs (accès lecture/écriture sur tous les tenants). Jetons API sans expiration, journalisation partielle sur les accès sensibles.

Décision direction — Corriger les deux risques critiques avant la prochaine revue fournisseur (J+10). Utiliser la synthèse comme base de réponse au questionnaire sécurité du client final.