Un petit robot trône sur l’établi, son écran-visage noir ponctué de deux yeux turquoise. Il attend une simple chose : un sourire. Derrière cette apparence inoffensive, d’autres comportements et fonctionnalités restent à découvrir.
Un véhicule compact posé sur l’estrade, lignes nettes et carrosserie blanche. Votre mission initiale : provoquer des réactions observables. D’autres comportements et surfaces d’analyse attendent d’être découverts.
Un open space bien vivant : mails qui tombent, visioconfs en cours, comptes à privilèges connectés en permanence. Derrière les partages réseau, les SaaS et l’AD en production, ta mission : te fondre dans l’activité normale pour pivoter, escalader les droits et atteindre les actifs les plus critiques de l’entreprise.
Un manoir de riche, œuvres d’art aux murs, voitures de luxe au garage… et un réseau digne d’une salle des marchés. L’ancien propriétaire, trader crypto paranoïaque, a laissé rigs de minage, wallets chiffrés et machines oubliées dans des pièces “fermées”. Entre caméras IP, serveurs au sous-sol et traces de ses opérations, chaque système compromis peut révéler une clé, un seed… ou quelque chose de bien plus inquiétant.
Le réseau de l’entreprise repose sur un unique rempart : ton pare-feu. Flux web, VPN, services internes et partenaires externes s’y croisent en continu. Ta mission : concevoir une politique de filtrage claire et efficace, segmenter, journaliser et réduire la surface d’attaque… sans couper la production.
Les utilisateurs se plaignent de ralentissements, quelques alertes tombent au SIEM… et quelque chose, ou quelqu’un, se cache dans le système d’information. À toi de remonter la piste : logs, connexions suspectes, mouvements latéraux, traces sur les endpoints. Ta mission : identifier l’intrus, comprendre son chemin d’attaque et reprendre le contrôle de l’entreprise.
Le système d’information de l’entreprise s’étend entre VLAN, DMZ, serveurs critiques et accès distants. À toi d’analyser l’existant, cartographier les flux, segmenter le réseau, définir les ACL et points de contrôle. Objectif : concevoir une architecture réseau cohérente, robuste et sécurisée… sans casser la production.
Les nouveaux sites viennent d’être mis en ligne et le périmètre expose plus que prévu : ports oubliés, services de test, consoles d’administration accessibles. À toi d’identifier les ports ouverts, qualifier les risques, fermer ce qui doit l’être et restreindre finement ce qui reste joignable, jusqu’à obtenir une surface d’exposition minimale et maîtrisée.
Une organisation veut structurer sa sécurité autour d’un SMSI. À toi d’identifier les écarts, construire le plan d’action, suivre les contrôles et préparer l’entreprise à un audit de conformité inspiré d’ISO 27001.
Un contexte métier critique, des actifs sensibles, des sources de risque crédibles. Ta mission : mener une analyse EBIOS RM, construire les scénarios stratégiques et opérationnels, puis proposer des mesures réalistes de réduction du risque.
L’entreprise grandit vite et accumule fournisseurs, outils cloud, dépendances métiers et zones d’ombre. À toi de cartographier les actifs, qualifier les menaces, hiérarchiser les vulnérabilités et bâtir une vraie vision risque exploitable par la direction.
Données personnelles, traitements flous, sous-traitants mal cadrés et demandes des utilisateurs qui s’accumulent. Ta mission : remettre de l’ordre, identifier les écarts, documenter les traitements et renforcer la conformité RGPD de l’organisation.
Un environnement de développement exposé, des API internes, des secrets oubliés et des pipelines mal configurés. À toi d’analyser, corriger, renforcer et sécuriser toute la chaîne.
Builds automatisés, registres de containers, runners et secrets de déploiement : ta mission est de sécuriser la pipeline avant qu’un attaquant ne s’y glisse.
Scripts internes, tâches répétitives, collecte de données, parsing, appels API et automatisation de workflows : ta mission est de concevoir des outils Python robustes, utiles et sécurisés pour accélérer les opérations techniques.
Une API semble fonctionnelle en apparence, mais derrière les endpoints, les rôles, les tokens et la logique métier, plusieurs failles peuvent compromettre toute l’application. À toi d’analyser, sécuriser et corriger l’ensemble.
Un programme public paraît simple au premier regard, mais derrière les sous-domaines, les services oubliés et les endpoints secondaires, la surface d’attaque est bien plus large qu’elle n’en a l’air. À toi de cartographier l’exposition et d’ouvrir la voie aux vulnérabilités exploitables.
Comptes utilisateurs, objets métiers, rôles mal cloisonnés et API trop confiantes. Ta mission : identifier les brèches de contrôle d’accès, prouver l’impact d’une escalade horizontale ou verticale, et démontrer jusqu’où un simple compte peut aller.
Une application expose des fonctions pratiques : récupération distante, aperçu de contenu, traitement de données. Mais derrière ces fonctionnalités peuvent se cacher SSRF, injections et pivots internes. À toi d’aller plus loin que le simple bug visuel et de transformer l’entrée en impact réel.
Une API moderne, documentée en apparence, mais derrière les tokens, les rôles, les paramètres cachés et la logique métier, plusieurs vulnérabilités peuvent compromettre toute la plateforme. À toi d’explorer, détourner et démontrer l’impact de ces faiblesses.
Sélectionne ton créneau de 5 heures.