SERVICES

Nos tests

Découvrez nos principaux forfaits:

Pour des équipements OT (Scada) ou autres besoins particuliers, nous allons regarder quelle est la meilleure approche ensemble.

Pour vous aider,

selon l’actif à tester et le besoin sous-jacent. Bien sûr, on peut s’adapter à votre réalité: si vous avez déjà un outil de scan de vulnérabilités, on pense que vous allez beaucoup apprécier notre concept Bring your own scanner par exemple 😉


📌 On tient à souligner qu’on ne considère pas notre plus petit forfait comme l’option Cheap et le forfait le plus complet comme l’option Cadillac. Le meilleur forfait, c’est celui qui répond le mieux à vos besoins, that’s it. Vous pouvez compter sur nous pour vous aiguiller vers le meilleur choix (c.f. notre no bullshit policy 🤓). Le plus efficace pour déterminer la meilleure stratégie est de nous parler directement. Pour ça, rien de plus simple, vous pouvez choisir un horaire qui vous convient ici!

Nos forfaits Test d’intrusion «one shot»

Ou en bon français, nous les appellerions nos forfaits à la carte. Ici, on réalise un test d’intrusion à un moment précis et, une fois le test et les différents services connexes livrés, le projet est considéré comme terminé.

pour votre

Inclusions:

pour votre

Inclusions:
We go the extra mile
pour votre réseau interne ou votre api

Nos forfaits annuels

Dans certains contextes, valider son niveau de sécurité une seule fois par année n’est pas suffisant. Ces forfaits vous offrent une couverture tout au long de l’année afin d’avoir un contrôle continu sur vos actifs. Généralement, on va prioriser cette approche pour des réseaux internes et des APIs .
En bonus, est-ce que c’est prétentieux de vous dire que ça vient avec le plaisir de nous avoir à l’année? 🙈 (et promis, le “auto-renew” est désactivé par défaut)

pour votre

Inclusions:
+

On améliore votre posture

+

Test d’intrusion

+

Retests réguliers

+

Rapport interactif

Présentation des résultats

+

Rapport exécutif

+

2h avec nous après chaque test pour brainstormer sur la mise en place des recommandations

Évaluer le niveau de sécurité de votre système, c’est bien. L’améliorer ensuite, c’est mieux. Pour vous aider à vous mettre en action, on vous loue le cerveau d’un hacker 2h après chaque test pour vous aider à adopter les meilleures stratégies en matière de sécurité.

On vient simuler une tentative de piratage. On utilise les mêmes techniques et outils qu’un vrai hacker avec des scénarios réalistes selon la situation.

Nos tests d’intrusion respectent les méthodologies demandées pour obtenir les certifications TGV, PCI DSS, ISO 27001 ou SOC 2 Type II. Elles sont basées sur les référentiels et pratiques recommandées par OWASP et Offensive Security.

Que vous apportiez beaucoup de modifications à votre API ou que vous souhaitiez simplement avoir l’esprit tranquille, cette solution est faite pour vous. Après le 1ᵉʳ test d’intrusion principal, on vient retester des portions de votre API à intervalle régulier (tous les mois, tous les trimestres, à vous de voir). On parle de tests réalisés par des humains et non de scans automatisés.

Votre plateforme en ligne dédiée en guise de rapport pour les failles identifiées lors du test d’intrusion et des retests réguliers

Les excels et les PDFs c’est pratique, mais pouvoir gérer ses failles et ses recommandations directement en ligne, c’est une coche au-dessus en termes d’expérience. Votre rapport sera délivré à même votre plateforme (avec le bouton exporter bien sûr 😉).

Vous allez pouvoir voir la liste de vos failles fluctuer tout au long des retests: les failles corrigées disparaissent et les nouvelles s'ajoutent. Vous allez pouvoir les gérer en temps réel.

Lors d’une rencontre, on vous explique comment on a réussi à compromettre votre API et comment corriger la situation (de façon réaliste et adaptée à votre réalité d’affaires) tout en vous aidant à prendre en main la plateforme.

Ce rapport est plus un one pager qui fait état de la situation de façon très sommaire pour que vous ayez un document formel attestant que vous avez bien réalisé le test et quel en est le résultat. Idéal pour présenter à votre CA, vos clients ou investisseurs.

We go the extra mile
pour votre API

pour votre

Inclusions:

Notre outil de scan de vulnérabilités pendant 12 mois (automatisé)

Vous aurez en main un outil de scan de vulnérabilités pour votre réseau interne. Vous allez pouvoir être totalement indépendant pour identifier vos vulnérabilités. Vous les découvrirez avec leur niveau de criticité pour pouvoir prioriser les correctifs. Les recommandations incluses vous permettront de rehausser votre posture de sécurité.

On vient simuler une tentative de piratage. On utilise les mêmes techniques et outils qu’un vrai hacker avec des scénarios réalistes selon la situation.

Nos tests d’intrusion respectent les méthodologies demandées pour obtenir les certifications TGV, PCI DSS, ISO 27001 ou SOC 2 Type II. Elles sont basées sur les référentiels et pratiques recommandées par OWASP et Offensive Security.

Que vous ayez apporté des modifications significatives sur une partie de votre réseau ou que vous vouliez simplement tester un autre scénario, ce test est parfait pour vous. On parle de tests réalisés par des humains et non de scans automatisés.

Votre plateforme en ligne dédiée en guise de rapport pour la liste des vulnérabilités et les failles identifiées lors du test d’intrusion.

L’outil de scan vient se synchroniser directement dans cette plateforme pour que vous puissiez centraliser toutes les informations.

Vous aurez déjà accès à votre liste de vulnérabilités avec l'outil de scan. En plus, cette 2e plateforme vient bonifier la gestion, l'affichage et la communication de ces vulnérabilités. Vous aurez également accès à des plans de remédiation avec la possibilité de prioriser selon votre réalité d'affaires. Sans oublier les résultats de votre test d’intrusion (et autres tests s’il y a lieu).

Fini les rapports éparpillés entre PDFs et excels, vous aurez tout au même endroit.

Lors d’une rencontre, on vous explique comment on a réussi à compromettre votre système et comment corriger la situation (de façon réaliste et adaptée à votre réalité d’affaires) tout en vous aidant à prendre en main les plateformes.

Ce rapport est plus un one pager qui fait état de la situation de façon très sommaire pour que vous ayez un document formel attestant que vous avez bien réalisé le test et quel en est le résultat.

Idéal pour présenter à votre CA, vos clients ou investisseurs.

2h avec nous chaque mois pour brainstormer sur la mise en place des recommandations

Évaluer le niveau de sécurité de votre système, c’est bien. L’améliorer ensuite, c’est mieux. Pour vous aider à vous mettre en action, on vous loue le cerveau d’un hacker 2 heures par mois pour vous aider à adopter les meilleures stratégies en matière de sécurité.

Scan continu de vos vulnérabilités

+
+

Test d’intrusion principal

+

Second test d’intrusion

Rapport interactif

+

Présentation des résultats

+

Rapport exécutif

+
+

On améliore votre posture

We go the extra mile
pour votre réseau interne

pour votre

Inclusions:
We go the extra mile
pour votre réseau interne

Avec tous nos forfaits, nous pouvons rajouter le test de vos adresses IPs publiques.

Qu’on collabore toute l’année ou pour un projet ponctuel, vous aurez l’impression de faire partie de l’équipe (ça ne vient pas de nous comme commentaire 🤓).

Pas de clients/fournisseurs ici, juste des humains qui travaillent ensemble à trouver des solutions qui font du sens.

On a hâte de jaser solutions avec toi ;)

En bonus:

Vous avez déjà un outil en place pour scanner vos vulnérabilités? Good job. À votre demande, on peut valider avec vous si c’est une bonne solution pour votre entreprise. Dans tous les cas, on ne vous fera pas payer deux fois pour le même service. Si votre outil est compatible, on va même vous le connecter à notre plateforme de rapport pour que vous ayez tout à la même place ☺

Yack se considère comme

Nous ne vous recommanderons jamais un produit pour faire une marge. Nous avons certainement des préférences comme 1password ou Cloudflare, mais nous savons aussi lorsque ces solutions ne sont pas viables dans votre contexte. Dans ces cas, nous vous apporterons des alternatives plus adaptées.

Dans le même ordre d’idée, ça nous fera plaisir de vous référer à d’autres entreprises pour réaliser des audits ISO27001 ou de la sensibilisation par exemple, mais nous ne faisons que la mise en contact. Lorsque possible, nous vous proposerons même plusieurs alternatives.

Un bon exemple de notre façon de faire est l’idée du bring your own scanner policy; nous avons évidemment dû choisir un outil adapté à nos besoins et ceux de nos clients. Cela dit, on n’aime pas trop l’idée de vous forcer la main à adopter notre outil et encore moins celle de vous faire payer le même service 2 fois 😉

Why Yack?

First, for those of you who don't know, the yak is an animal. The energy it radiates (chill with its toupee, but we wouldn't want to piss it off with its horns...) represents us well, and the nerdiest among you might see the little nod to Linux 😉. Of course, Yack's resemblance to Hack is no mere coincidence. It's also a short, punchy name that, once again, sounds like us. Finally, it's a word that earns you 24 points in Scrabble (hello Office de la langue française). Why did you choose .one? In offensive security, all it takes is one attack..."
A little more about us

"Pourquoi Yack?

First, pour ceux qui ne le savent pas, le yack est un animal. L'énergie qu'il dégage (chill avec son toupet, mais on ne voudrait pas l'énerver avec ses cornes...) nous représente bien, et les plus nerds d'entre vous verront peut-être le petit clin d'œil à Linux 😉. Bien sûr, la ressemblance de Yack avec Hack n'est pas une simple coïncidence. C'est aussi un nom court, qui punch, et qui encore une fois, nous ressemble. Enfin, c'est un mot qui te rapporte 24 points au scrabble (bonjour office de la langue française). Pourquoi avoir choisi .one? En sécurité offensive, il suffit d'une (one) attaque..."
Un peu plus sur nous