Comment on audite votre application : la méthodologie complète
Une architecture en trois couches, trente agents IA spécialisés, et une couverture de 11 des 12 catégories du référentiel OWASP WSTG. En 90 à 120 minutes, sans accès à votre code source.
La plupart des outils d'audit cybersécurité font un choix : la vitesse d'un scanner automatisé ou la profondeur d'un pentester humain. Les scanners automatiques ratent en moyenne 60 à 70 % des vraies vulnérabilités applicatives parce qu'ils ne raisonnent pas. Ils détectent des signatures, pas des failles logiques. À l'inverse, un pentester humain prend deux à six semaines par mission, coûte entre 10 000 et 30 000 euros, et n'est pas reproductible à la demande.
SOVRA Recon a été conçu pour combler cet écart. Notre plateforme orchestre trente agents d'intelligence artificielle autonomes qui reproduisent fidèlement le raisonnement d'un pentester expérimenté : reconnaissance, hypothèses, tests, chaînage d'exploits, validation par la preuve. Le tout en moins de deux heures, à partir d'une simple URL, sans aucun accès à votre code source ni à votre infrastructure.
Cette page détaille notre approche : l'architecture en couches qui structure le travail, le rôle complémentaire des agents, et la méthodologie qui nous permet de couvrir 11 des 12 catégories du référentiel international OWASP WSTG, le standard mondial des tests de sécurité applicative web.
Pourquoi 30 agents et pas un seul LLM ?
C'est la question qu'on nous pose le plus souvent. Un grand modèle de langage générique, aussi puissant soit-il, peut-il faire à lui seul ce que font nos trente agents ? La réponse est non, et pour trois raisons concrètes.
Spécialisation contre dilution
Un pentester expert en injection SQL n'est pas le meilleur pour faire de la reconnaissance OSINT. Un spécialiste de l'authentification n'analyse pas les flux applicatifs comme un expert en logique métier. En isolant chaque agent sur un périmètre précis, chacun explore sa zone avec une profondeur qu'un modèle généraliste ne peut atteindre. Chaque agent a son propre contexte, ses propres outils.
Parallélisation contre séquentialité
Trente agents qui travaillent en parallèle couvrent en quelques minutes ce qu'un modèle unique mettrait des heures à parcourir séquentiellement. Notre pipeline orchestre des vagues d'agents simultanés, chacune nourrie par les découvertes de la vague précédente.
Mémoire partagée et chaînage d'attaques
Quand un agent trouve une vulnérabilité, il la dépose dans une mémoire commune. Les agents suivants la lisent et l'exploitent pour construire des chaînes d'attaque multi-étapes. Une faille seule a un impact limité. Trois failles enchaînées peuvent compromettre toute une application. C'est ce raisonnement de chaînage qu'un modèle isolé ne peut pas reproduire seul.
L'architecture en trois couches
Notre méthodologie suit trois couches successives, chacune avec un objectif distinct.
Couche 1 : Battery — reconnaissance et collecte
Avant tout test, il faut comprendre la cible. Cette première couche cartographie votre application sans jamais l'attaquer.
Concrètement, un crawler navigue votre site comme le ferait un utilisateur réel, en respectant le JavaScript moderne (single-page applications React, Angular, Vue). Il identifie toutes les pages, les formulaires, les endpoints API, les ressources statiques, les sous-domaines exposés. En parallèle, douze modules analysent vos en-têtes HTTP, votre configuration TLS, vos enregistrements DNS, vos fichiers exposés (.env, .git, backups), les secrets accidentellement publiés dans vos fichiers JavaScript, et la posture globale de votre infrastructure.
Cette phase produit une cartographie complète de votre surface d'attaque. Tous les agents des couches suivantes s'appuient sur ces données. Aucun test agressif n'est lancé tant que cette reconnaissance n'est pas complète.
Couche 2 : Coverage — analyse offensive en 23 agents
C'est le cœur du système. Des vagues successives d'agents spécialisés explorent votre application sous tous ses angles.
Chaque agent reçoit la cartographie complète de la couche 1, plus les découvertes des vagues précédentes. Cette mémoire partagée permet à chaque nouvel agent de construire sur le travail des précédents, exactement comme une équipe de pentesters qui se passe l'information au fur et à mesure.
Les agents couvrent l'ensemble des familles : sécurité des en-têtes et politiques de contenu, exposition de secrets, injection (SQL, NoSQL, commandes, templates), failles XSS, authentification et gestion de session, contrôle d'accès et autorisation horizontale et verticale, logique métier, fuzzing adaptatif sur les paramètres, conditions de course, et reconnaissance OSINT sur votre organisation.
Couche 3 : Depth — raisonnement et chaînage par 7 agents-penseurs
Les agents de cette couche ne suivent pas de checklist. Ils raisonnent.
Chaque agent formule des hypothèses sur les comportements possibles de votre application, les teste activement avec des requêtes ciblées, observe les réponses, ajuste son raisonnement, et confirme ou invalide. Ce cycle hypothèse-test-analyse-itération est ce qui distingue un véritable test d'intrusion d'un scan automatique.
Un agent dédié construit ensuite le graphe d'attaque complet : si la vulnérabilité A permet de récupérer un token, et que la vulnérabilité B permet d'utiliser ce token sur un endpoint sensible, alors l'enchaînement A → B constitue une menace majeure même si chaque faille prise isolément était jugée moyenne. C'est ce raisonnement multi-étapes que les scanners classiques ne savent pas reproduire.
Cette couche produit également un résumé exécutif lisible par un décideur non technique, et un score de sécurité détaillé décomposé en six catégories pondérées.
Du scan découverte à l'audit complet
Notre approche se décline en deux niveaux d'engagement, plus une formule d'accompagnement dans la durée.
Scan découverte
Couche 1 — Battery uniquement
Analyse passive non intrusive. Cartographie de votre exposition publique, légalement assimilable à la visite normale d'un site public.
- Délai
- Rapport sous 24 heures
- Engagement
- Gratuit, sans engagement
Audit complet
Couches 1 + 2 + 3 — les 30 agents
Activation des trois couches successives, avec phases d'exploitation sous autorisation écrite. Chaque vulnérabilité est vérifiée et accompagnée d'une preuve reproductible. Rapport forensic avec correctifs ligne par ligne.
- Délai
- Rapport sous 48 heures
- Engagement
- Sur devis
Monitoring continu
Audit complet répété dans la durée
Audits programmés trimestriels ou mensuels. Rapport d'évolution entre deux scans : résolu, persistant, nouveau. Score de posture suivi dans le temps.
- Délai
- Abonnement annuel
- Engagement
- Selon la taille de l'organisation
Le scan découverte mobilise uniquement la couche Battery. Cette analyse passive cartographie votre exposition publique sans envoyer aucune requête intrusive. Vous recevez sous 24 heures un rapport synthétique avec un score d'exposition global. C'est gratuit, sans engagement, conçu pour vous donner une photographie objective avant de décider d'aller plus loin.
L'audit complet active les trois couches. C'est ici que les phases d'exploitation interviennent, sous autorisation écrite explicite conformément aux articles 323-1 à 323-7 du Code pénal. Chaque vulnérabilité retenue est vérifiée et accompagnée d'une preuve d'exploitation reproductible. Le rapport forensic, est livré sous 48 heures avec un plan d'action priorisé par criticité CVSS et des correctifs ligne par ligne.
Le monitoring continu, enfin, transforme l'audit ponctuel en surveillance dans la durée. Audits programmés, rapports d'évolution entre deux scans, alertes sur les nouvelles failles apparues. Vous suivez un score de posture dans le temps pour démontrer vos progrès auprès de votre direction, de vos clients ou des audits de conformité.
11 des 12 catégories OWASP WSTG : ce que ça veut dire concrètement
OWASP WSTG (Web Security Testing Guide) est le référentiel international de référence pour les tests de sécurité applicative web. Il regroupe environ 98 cas de test répartis en 12 catégories qu'un pentester professionnel doit conduire sur une application.
SOVRA Recon couvre 11 de ces 12 catégories en mode autonome, soit environ 80 % des quelque 98 cas de test individuels. Cette mesure de couverture concerne l'audit complet qui mobilise les trois couches. Le scan découverte, par construction passive, couvre une portion plus restreinte centrée sur la cartographie d'exposition.
Cette mesure n'est pas un argument marketing. Elle a été établie en exécutant nos pipelines sur l'application de référence OWASP Juice Shop, conçue par l'organisation OWASP elle-même comme banc de test pour les outils de sécurité. Sur cette cible reconnue, notre pipeline complet a identifié 219 vulnérabilités dont 65 critiques, incluant injections SQL, falsification de tokens JWT, attaques XXE, IDOR, et conditions de course.
La seule catégorie en couverture partielle est celle des tests côté client (postMessage, WebSockets, CORS avancé), dont certains requièrent une validation manuelle. S'y ajoutent des aspects qui sortent du périmètre WSTG proprement dit : ingénierie sociale, vérification physique de l'environnement, audit de code source (que nous ne demandons pas), ou interaction téléphonique avec le support. Ces zones relèvent du pentest manuel et nous ne prétendons pas les couvrir.
À titre de comparaison, les scanners commerciaux classiques revendiquent en général entre 30 % et 50 % de couverture WSTG, car ils sont conçus pour détecter des signatures, pas pour raisonner sur la logique applicative.
Catégories couvertes (11 sur 12)
- Collecte d'informations (Information Gathering)
- Configuration & déploiement
- Gestion des identités
- Authentification
- Autorisation
- Gestion de session
- Validation des entrées
- Logique métier
- Tests d'API
- Cryptographie (transport / TLS, JWT)
- Gestion des erreurs
Couverture partielle (1 sur 12)
- Tests côté client
→ Certains tests de cette catégorie requièrent une validation manuelle
Ce qui rend nos rapports différents
Un rapport SOVRA Recon n'est pas une liste de vulnérabilités. C'est un document forensic. Pour chaque finding, le rapport contient la requête HTTP exacte utilisée pour valider la faille, la réponse complète du serveur, la preuve d'exploitation (proof of concept) reproductible, l'impact business expliqué en termes accessibles, la remédiation technique précise, la classification CWE et OWASP, et le score de sévérité justifié.
Notre système de scoring utilise un modèle logarithmique en six catégories pondérées : sécurité web (20 %), TLS (10 %), exposition de données (25 %), vulnérabilités connues (20 %),surface d'attaque (15 %), qualité du code (10 %). Le score final est exprimé sur une échelle A à F, comparable d'un audit à l'autre, permettant de mesurer l'évolution de votre posture de sécurité dans le temps.
Limites assumées et engagement de transparence
Tout outil d'audit a ses limites. Voici les nôtres, clairement énoncées.
SOVRA Recon est conçu pour les audits black-box d'applications web. Nous n'analysons pas votre code source, et nous ne couvrons pas les périmètres mobile natif, IoT, ou systèmes industriels SCADA. Notre couverture de 11 des 12 catégories WSTG est mesurée sur applications web standard ; les architectures atypiques peuvent réduire ce taux.
Comme tout pentest, nos tests sont actifs : ils envoient des requêtes réelles à votre infrastructure. Un consentement explicite est exigé avant tout audit, et nos agents disposent de garde-fous techniques pour ne jamais provoquer de dégradation de service. Un agent dédié vérifie en fin de mission qu'aucun compte de test, donnée d'évaluation ou trace résiduelle n'a été laissé sur votre application.
Enfin, aucun outil automatisé ne remplace totalement l'expertise humaine sur des enjeux critiques. SOVRA Recon est conçu pour faire le travail de fond, libérant les pentesters humains pour les zones où leur expertise apporte une valeur unique.
Concrètement, comment lancer un audit ?
Trois étapes selon le niveau choisi.
Pour un scan découverte : vous nous transmettez l'URL à analyser. Nous lançons la couche Battery en analyse passive, sans autorisation requise puisqu'aucune action intrusive n'est conduite. Vous recevez le rapport synthétique sous 24 heures.
Pour un audit complet : vous nous communiquez l'URL et signez l'autorisation écrite d'audit, archivée avec le rapport. Nous activons les trois couches successivement. Vous recevez le rapport forensic complet sous 48 heures, avec restitution des résultats.
Pour un monitoring continu : nous établissons une baseline avec un audit complet initial, puis planifions des scans récurrents. Vous suivez l'évolution de votre posture dans le temps. Voir aussi notre parcours d'accompagnement.