Test de pénétration application web Zurich
Pentest application web à Zurich aligné sur OWASP, ASVS et CREST
Zurich est le plus grand marché suisse de pentest web application : banques, assureurs, fintech, plateformes e-commerce et fournisseurs SaaS. Nos testeurs certifiés CREST évaluent les applications web selon l'OWASP Testing Guide, OWASP ASVS et OWASP Top 10 avec des findings notés CVSS et une remédiation détaillée.
Combien coûte un pentest web application à Zurich ?
Un pentest web application à Zurich coûte entre CHF 8'000 et CHF 15'000 pour une seule application. La fourchette dépend de la complexité, du nombre de rôles utilisateurs et de la profondeur d'authentification. Une application web publique simple avec authentification standard se situe en bas de la fourchette. Une plateforme bancaire complexe avec multi-tenancy, OAuth 2.0, plusieurs rôles et fonctionnalités back-office va de CHF 12'000 à CHF 15'000. Le Continuous Web Application Security avec évaluations trimestrielles en modèle retainer est disponible dès CHF 18'000 par an. Les retests après remédiation sont inclus dans l'engagement standard.
Méthodologie et standards
OWASP Testing Guide v4.2
Couverture structurée à travers toutes les couches de l'application web : configuration, authentification, gestion de session, validation d'entrée, cryptographie, logique métier, côté client.
OWASP ASVS Level 2
Application Security Verification Standard comme cadre de référence pour les contrôles de sécurité. Niveau 2 pour les applications business standard, niveau 3 pour les applications bancaires ou santé régulées.
OWASP Top 10 (2021)
A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A04 Insecure Design, A05 Security Misconfiguration, A06 Vulnerable Components, A07 Identification & Authentication Failures, A08 Software & Data Integrity, A09 Logging & Monitoring, A10 SSRF.
PTES et NIST SP 800-115
Penetration Testing Execution Standard pour la structure d'engagement, NIST SP 800-115 comme cadre méthodologique global, compatible avec les audits FINMA et ISO 27001.
Types d'engagement zurichois fréquents
Banque et gestion de patrimoine
Plateformes e-banking, front-ends de trading, portails de gestion de patrimoine, robo-advisors. Les tests intègrent la Circulaire FINMA 2023/1, les exigences TIBER-CH et les interfaces PSD2 pour le marché UE.
Assurance
Portails self-service clients, applications de déclaration de sinistres, plateformes courtiers. Les tests couvrent la protection des données santé et la conformité à la Loi sur la surveillance des assurances.
Fintech et paytech
Banking mobile-first, trading crypto, passerelles de paiement. Les tests focalisent sur la sécurité API, l'implémentation OAuth 2.0 / OIDC, les workflows KYC/AML et les intégrations de wallets crypto.
SaaS et logiciels d'entreprise
Plateformes SaaS B2B, applications ERP et RH, architectures multi-tenant. Les tests couvrent l'isolation tenant, l'implémentation RBAC, l'intégration SSO et la sécurité d'export de données.
Questions fréquentes sur les pentests web app
Réponses aux questions que les tech leads zurichois posent le plus souvent en cadrage.
Combien de temps dure un pentest web app ?
Un pentest web application focalisé dure typiquement 5 à 10 jours. La durée exacte dépend de la complexité, du nombre de rôles et des méthodes d'authentification. Les plateformes bancaires en ASVS niveau 3 nécessitent souvent 8 à 10 jours ; les apps publiques simples 5 à 7 jours.
Pouvez-vous tester contre des environnements de production ou staging ?
Les deux fonctionnent. Les tests contre staging sont plus sûrs pour les scénarios agressifs (race conditions, fuzzing intensif). Les tests en production livrent des résultats plus réalistes mais nécessitent une coordination avec les fenêtres de maintenance et le rate limiting.
Testez-vous aussi les applications single-page et les API ?
Oui. Nous testons les front-ends SPA React, Vue, Angular et Svelte avec un focus particulier sur la sécurité côté client, le handling des JWT et la gestion d'état. Les API backend (REST, GraphQL, gRPC) sont testées selon l'OWASP API Security Top 10 avec test d'autorisation explicite par endpoint.
Comment gérez-vous la MFA lors des tests d'authentification ?
Nous avons typiquement besoin de deux comptes de test par rôle avec MFA désactivée ou avec app passwords / tokens MFA de test. Alternativement nous pouvons travailler avec des codes de backup. L'implémentation MFA elle-même (TOTP, WebAuthn, SMS) est testée séparément dans le cadre du test d'authentification.
Livrez-vous les findings au format CWE/CVSS ?
Oui. Chaque finding est documenté avec score CVSS 3.1 base, score temporel et identifiant CWE. Sur demande nous livrons les findings au format SARIF pour intégration directe dans les pipelines DevSecOps (GitHub Code Scanning, GitLab Security Dashboard, Defect Dojo).
Pouvez-vous proposer du pentesting continu pour des équipes agiles ?
Oui. Le Continuous Web App Security est disponible en modèle retainer : mini-audits mensuels pour nouvelles features, tests trimestriels complets, retests immédiats après releases critiques. L'intégration avec Jira, GitHub Issues et plateformes DevSecOps courantes est standard.
Du weisst nicht, was Angreifer in deinem Netzwerk sehen. Wir schon.
30 Minuten. Ein CREST-zertifizierter Offensive-Experte zeigt dir, wo dein grösstes Risiko liegt. Kostenlos. Ohne Verpflichtung. Nur Fakten.
Kein Verkaufsgespräch — nur Erkenntnisse, die du morgen umsetzen kannst
30-Minuten-Videocall mit einem CREST-zertifizierten Offensive-Experten
Analyse basierend auf deiner tatsächlichen Infrastruktur, kein generisches Template
Kostenlose Analyse buchen
Drei kurze Fragen. Dann zeigen wir dir, wo du verwundbar bist.
Erhalten.
Wir melden uns innerhalb von 24 Stunden.