SYSTÈME ACTIF//auth: corporate · portée: entreprise

SÉCURITÉ OFFENSIVE · PENTEST · RED TEAM

Nous pensons comme l'attaquant.Nous opérons pour votre entreprise.

Nous simulons des attaques réelles contre votre infrastructure, vos applications et vos personnes — avant que quelqu'un ne le fasse vraiment. Des rapports qui génèrent de l'action, pas de la peur.

Demander une évaluation→Voir la méthodologie

frameworks:OWASPMITRE ATT&CKNISTPTESLGPD

basilisk@recon ~ /pentestLIVE

200+

pentests livrés

4 500+

vulnérabilités rapportées

99%

satisfaction entreprise

24h

SLA sur critiques

// RECON ACTIF◆// 24/7 SOC◆// SLA 24H SUR CRITIQUES◆// NDA PAR DÉFAUT◆// CONFORME RGPD◆// OWASP · MITRE · NIST · PTES◆// RAPPORT TECHNIQUE + EXECUTIVE◆// RETEST INCLUS◆// RECON ACTIF◆// 24/7 SOC◆// SLA 24H SUR CRITIQUES◆// NDA PAR DÉFAUT◆// CONFORME RGPD◆// OWASP · MITRE · NIST · PTES◆// RAPPORT TECHNIQUE + EXECUTIVE◆// RETEST INCLUS◆

[01_sobre]À PROPOS DE BASILISK

Nous connaissons les méthodes de l'attaquant. Nous les utilisons en votre faveur.

Nous sommes une équipe de pentesters qui travaille exclusivement pour des entreprises. Chaque engagement est mené avec rigueur technique et méthodologie auditable — la discipline que conseils d'administration et auditeurs reconnaissent.

Nous ne vendons pas la peur. Nous livrons de la clarté sur ce qui est exploitable aujourd'hui, ce que cela coûte quand c'est exploité, et le chemin le plus court pour fermer la porte.

>_On ne protège pas ce qu'on ne connaît pas.

// pilier

Visibilité totale

Nous cartographions votre surface comme le ferait un vrai attaquant : du DNS exposé au endpoint oublié en staging.

// pilier

Confidentialité absolue

NDA par défaut, chiffrement de bout en bout des livrables et destruction certifiée des artefacts.

// pilier

Éthique comme méthode

Autorisation formelle, portée documentée, preuve signée. Sans surprises, sans zone grise.

[02_servicos]SERVICES

Trois vecteurs. Couverture totale.

Opérations offensives avec portée claire, preuve signée et livrables que le comité des risques approuve sans traducteur.

01 /

Pentest Professionnel

Tests manuels et automatisés contre applications web, APIs, mobile, réseaux et infrastructure. Double livrable : technique et executive.

▸ Web · API · Mobile
▸ Interne · Externe · Wi-Fi
▸ Black · Grey · White box

voir les détails→

02 /

Red Team Engagement

Simulation adversariale complète : évasion de défenses, ingénierie sociale, escalade de privilèges et mouvement latéral. Nous mesurons le blue team.

▸ Phishing ciblé
▸ C2 et persistance contrôlée
▸ Purple team optionnel

voir les détails→

03 /

Audit Cloud

Analyse profonde d'AWS, Azure et GCP : mauvaise configuration, privilèges excessifs, exposition de données et conformité aux benchmarks.

▸ IAM · réseau · données
▸ CIS Benchmarks · Well-Architected
▸ Remédiation priorisée

voir les détails→

[03_metodologia]MÉTHODOLOGIE

Processus reproductible. Résultats consistants.

Chaque engagement suit un pipeline auditable. Le client voit la progression en temps réel et reçoit un artefact qui tient la route pour audit, diligence et conseil.

01/recon

Reconnaissance

OSINT, énumération DNS, fingerprinting de stack, collecte de credentials fuités et cartographie de la surface exposée.

02/exploit

Exploitation

Tests avec outils consacrés et scripts propriétaires. Chaque finding est validé manuellement — zéro bruit de scanner.

03/post-exploit

Post-Exploitation

Escalade de privilèges, mouvement latéral, pivot cloud et mesure d'impact réel en environnement contrôlé.

04/report

Rapport & Remédiation

Livrables technique + executive, CVSS calculé, preuve de concept et recommandations priorisées par risque. Retest inclus.

[04_setores]SECTEURS

Chaque industrie a ses menaces. Nous les connaissons toutes.

Nous travaillons avec des équipes sécurité, IT et conformité dans des entreprises régulées et des startups en due diligence. La portée change, la rigueur non.

Finance & Banque

fraude, paiements, open finance

→

Santé & Healthtech

RGPD, dossier, API

→

E-commerce

paiements, fraude, API

→

Éducation & Gouvernement

données sensibles, intégrations

→

Télécom & FAI

core, OSS/BSS, CPE

→

Industrie & OT

ICS, SCADA, segmentation

→

Juridique & Assurance

confidentialité, DLP

→

SaaS & Startups

multi-tenant, scale, due-diligence

→

Logistique & Supply

EDI, tracking, intégrations

→

[05_diferenciais]POURQUOI BASILISK

Quatre engagements. Sans petits caractères.

// engagement

Confidentialité absolue

NDA avant la première poignée de main, canal chiffré pour la livraison et destruction certifiée des artefacts en fin de projet.

// engagement

Retest inclus

Nous revalidons gratuitement après correction. Votre équipe ferme la boucle sans payer deux fois la même attaque.

// engagement

Rapport à double vision

Version technique pour l'ingénierie (avec CVSS, PoC, payload) + version executive pour le conseil. Sans traduction au milieu.

// engagement

SLA 24h sur critiques

Vulnérabilité critique identifiée est rapportée sous 24 heures, hors du rapport final. Le risque n'attend pas la clôture.

[06_faq]QUESTIONS FRÉQUENTES

Avant de nous engager, ce que vous devez savoir.

// pas trouvé ?

ouvrir un canal direct →

La pratique de tester des systèmes avec la perspective d'un attaquant réel — en découvrant des failles, chaînes d'exploitation et chemins d'impact avant qu'ils ne soient utilisés contre vous.

Le Pentest cherche à trouver et prouver un maximum de vulnérabilités dans une portée technique. Le Red Team simule un adversaire complet avec objectif de business défini — focus sur évasion, persistance et mesure de la défense.

Nous opérons avec fenêtres, portées et règles d'engagement conclues par écrit. Tests destructifs uniquement avec autorisation explicite en environnement préparé. La règle : zéro impact opérationnel.

De la startup en due-diligence à la corporation régulée. La portée et le livrable s'ajustent — la rigueur méthodologique non.

Un pentest standard dure 2 à 4 semaines. Red Team 6 à 10. Calendrier détaillé envoyé lors du scoping initial gratuit.

Appel de scoping, NDA, contrat, règles d'engagement, kickoff technique, exécution, rapport et retest. Tout documenté, sans bruit.

Oui. Nous traitons les données personnelles sur base légale d'exécution de contrat, avec minimisation, chiffrement et destruction certifiée en fin de projet.

Oui. Le livrable est accepté par les cabinets d'audit, investisseurs en due-diligence et comités des risques — avec preuve, méthodologie et CVSS calculé.

[07_contato]OUVRIR LE CANAL

Prêt à découvrir vos failles ?

Premier appel de scoping gratuit et couvert par NDA. En 48 heures vous recevez proposition technique, portée et calendrier. Sans formulaires bureaucratiques.

e-mail

contato@basilisk.com.br

téléphone

+55 11 96978-9917

site

São Paulo · BR

temps de réponse moyen : < 2h en heures ouvrées