Votre partenaire cybersécurité
Votre exposition vue par un attaquant.
Nous cartographions ce qu'un attaquant peut voir de votre entreprise sur Internet, uniquement à partir d'informations publiques, sans jamais toucher à vos systèmes. Vous recevez un rapport clair et un plan d'action priorisé.
- 100 % passif, sans intrusion
- IA exécutée en local
- Analyste certifié CISSP
Le constat
Les PME sont devenues la cible privilégiée.
Non pas par malchance, mais parce qu'elles sont nombreuses, connectées, et souvent moins protégées que les grands groupes. La bonne nouvelle : l'essentiel des points d'entrée se voit et se corrige avant qu'ils ne soient exploités.
Plus d'une TPE-PME sur deux a subi une cyberattaque au cours des 12 derniers mois.
Source : Hiscox, 2025
L'hameçonnage (phishing) reste le premier vecteur d'attaque déclaré.
Source : cybermalveillance.gouv.fr, 2025
La majorité des intrusions commence par une information déjà publique : un email, un service oublié, un mot de passe fuité.
Tendance observée · OSINT / EASM
Notre rôle n'est pas de vous alarmer, mais de vous donner une longueur d'avance : voir votre entreprise comme un attaquant la voit, et refermer les portes avant lui.
Ce que nous analysons
Quatre angles d'attaque, passés au crible.
Sélectionnez un axe pour voir, en langage clair, ce que nous recherchons, et ce qu'un attaquant trouverait à votre place.
Surface exposée
Sous-domaines oubliés, interfaces d'administration ouvertes, serveurs et services accessibles : nous dressons la carte complète de ce qu'un attaquant peut atteindre depuis l'extérieur.
- Sous-domaines & services oubliés
- Interfaces d'administration ouvertes
- Ports & équipements exposés
Usurpation de votre messagerie
Sans les bons réglages (SPF, DKIM, DMARC), un escroc peut envoyer des emails qui semblent venir de vous. Nous vérifions aussi les noms de domaine sosies déjà déposés pour vous imiter.
- Réglages anti-usurpation (SPF / DKIM / DMARC)
- Noms de domaine sosies (typosquatting)
- Risque de fraude au président / au virement
Fuites & identifiants
Adresses et mots de passe exposés lors de fuites, secrets techniques publiés par erreur dans du code public : nous identifions les accès qui pourraient déjà être entre de mauvaises mains.
- Identifiants exposés dans des fuites
- Secrets / clés publiés sur du code public
- Comptes à risque de réutilisation de mot de passe
Documents exposés
Devis, fichiers internes, exports : certains documents sensibles se retrouvent indexés par les moteurs de recherche sans que personne ne le sache. Nous repérons ceux qui vous concernent.
- Documents internes indexés par erreur
- Fichiers accessibles sans authentification
- Métadonnées révélatrices
Notre différence
Votre analyse ne sort jamais d'ici.
Pour cartographier votre exposition, nous interrogeons des sources publiques et des services OSINT spécialisés — les mêmes qu'un attaquant consulterait. Mais là où d'autres confient ensuite vos informations à des services d'IA dans le cloud, l'analyse et la rédaction du rapport sont réalisées par une intelligence artificielle exécutée 100 % en local, sur notre propre machine. Les constats et le rapport ne sont jamais transmis à une IA tierce, jamais stockés ailleurs.
- Analyse jamais envoyée à une IA cloud Ni OpenAI, ni Google, ni aucun service d'IA externe.
- Traitement et stockage en France Dans le strict respect du RGPD.
- Confidentialité par conception Un avantage rare sur le marché de la cybersécurité.
Comment ça se passe
Simple, rapide, sans perturbation.
Analyse passive
Nous observons votre exposition depuis l'extérieur, à partir de sources publiques uniquement. Aucune connexion à vos systèmes, aucune gêne pour votre activité.
Rapport clair
Vous recevez un rapport lisible par un dirigeant, pas un jargon d'expert : un score d'exposition, ce qui a été trouvé, et pourquoi cela compte pour vous.
Plan d'action priorisé
Chaque point est accompagné d'une recommandation concrète, classée par priorité. Vous savez exactement quoi corriger en premier, et avec qui.
Le livrable
Voilà exactement ce que vous recevez.
Un rapport d'exposition numérique soigné, pensé pour être compris et présenté en interne : un score clair, un scénario d'attaque réaliste, et un plan d'action priorisé.
- Score d'exposition synthétique
- Détail des points trouvés, expliqués simplement
- Scénario d'attaque réaliste
- Plan d'action priorisé, prêt à déléguer
Offres & tarifs
Un point d'entrée pour chaque besoin.
Commencez par un diagnostic, puis gardez une longueur d'avance avec une veille continue. Tarifs en euros hors taxes.
Flash Exposition
Sous 48 hUn diagnostic allégé pour une première photo de votre exposition. Délai de 48 h à compter du devis signé renvoyé.
Paiement unique
- Messagerie & risque d'usurpation
- Noms de domaine sosies (typosquatting)
- Surface visible principale
- Déduit du rapport complet si vous poursuivez
Rapport ponctuel
Analyse complèteLa cartographie complète de votre exposition, en une fois.
Paiement unique
- Surface exposée complète
- Usurpation, fuites & secrets, documents
- Score, scénario d'attaque & plan d'action
- Rapport prêt à présenter en interne
Veille continue
Forfait annuel · paiement unique pour 1 an · l'exposition évolue, votre suivi aussi.
Trimestrielle
Une analyse par trimestre, pendant 1 an
Paiement unique pour 1 an · ≈ 190 € / mois · ≈ 570 € / analyse
Être recontactéMensuelle
Une analyse par mois, pendant 1 an
Paiement unique pour 1 an · ≈ 250 € / mois · ≈ 250 € / analyse
Être recontactéRenforcée
Deux analyses par mois, pendant 1 an
Paiement unique pour 1 an · ≈ 375 € / mois · ≈ 188 € / analyse
Être recontactéChaque formule de veille inclut un suivi de l'évolution de votre score et une alerte en cas de nouveau point critique.
Plus de 250 salariés, ou plusieurs sites ?
Offre dédiée, à partir de 5 880 € HT / an. Nous adaptons le périmètre de l'analyse (et le tarif) à votre exposition réelle.
Questions fréquentes
Ce que les dirigeants nous demandent.
Légalité, confidentialité, délais : les réponses claires, sans jargon. Une autre question ? Écrivez-nous.
Est-ce bien légal ?
Oui, totalement. Notre analyse standard est 100 % passive : nous nous appuyons uniquement sur des informations déjà publiques, accessibles à n'importe qui sur Internet (moteurs de recherche, registres, données techniques publiées par vos propres services). Nous ne forçons aucun accès et ne testons aucune faille. Une analyse plus poussée, qui « toucherait » réellement vos systèmes, n'est menée qu'à votre demande explicite et sous mandat écrit.
Touchez-vous à mes systèmes ?
Non. Pour le diagnostic, nous n'établissons aucune connexion à votre infrastructure : ni intrusion, ni scan agressif, ni installation de quoi que ce soit. Votre activité n'est jamais perturbée et vos équipes n'ont rien à préparer. Nous observons votre exposition « de l'extérieur », exactement comme le ferait un attaquant en phase de repérage.
Combien de temps cela prend-il ?
Le Flash Exposition est livré sous 48 h à compter du devis signé renvoyé. Le rapport ponctuel complet demande quelques jours ouvrés selon la taille de votre surface exposée. Dans les deux cas, vous n'avez aucune charge de travail : une fois le périmètre confirmé, tout se passe de notre côté.
Mes données restent-elles confidentielles ?
Oui. Pour la collecte, nous interrogeons des sources publiques et des services OSINT spécialisés sur votre empreinte déjà visible sur Internet (votre domaine, vos adresses publiques). L'analyse et la rédaction du rapport sont ensuite réalisées en local, sur nos machines : les constats concernant votre entreprise ne sont jamais envoyés à un service d'intelligence artificielle dans le cloud. Le rapport vous est remis directement et n'est partagé avec personne. Nous appliquons à nos propres outils l'exigence que nous recommandons à nos clients.
Et après le rapport ?
Chaque point identifié est accompagné d'une recommandation concrète, classée par priorité : vous savez quoi corriger en premier, et avec qui (votre prestataire informatique, votre hébergeur, vos équipes). Vous restez libre d'agir à votre rythme. Si vous le souhaitez, une veille continue permet de suivre l'évolution de votre exposition et d'être alerté en cas de nouveau point critique.
Faut-il être une grande entreprise ?
Non, c'est même l'inverse de notre raison d'être. Cardinal Security s'adresse aux PME françaises, qui sont les plus exposées faute de temps et de moyens dédiés à la cybersécurité. Le rapport est rédigé pour être compris par un dirigeant, sans jargon technique, et présentable tel quel en interne.
Pourquoi nous faire confiance
Un cabinet indépendant, à taille humaine.
Cardinal Security est né d'une conviction simple : la plupart des PME peuvent réduire fortement leur risque cyber sans gros budget, à condition de voir d'abord ce qui les expose. C'est précisément notre métier.
Jeune cabinet, exigence maximale. Nous préférons une page sans faux logos clients à une fausse vitrine. Demandez-nous un exemple de rapport : il parlera mieux que n'importe quel témoignage.
Un interlocuteur, certifié CISSP
Vos analyses sont menées par un professionnel certifié, pas sous-traitées. Un seul interlocuteur, qui connaît votre dossier.
100 % externe
Aucune intervention sur votre infrastructure, aucun agent à installer. Nous travaillons depuis l'extérieur, comme un attaquant le ferait.
Approche passive
Uniquement des sources publiques et des outils OSINT reconnus. Votre activité n'est jamais perturbée, vos systèmes jamais sollicités.
Conforme RGPD
Analyse et rapport traités et stockés en France, jamais revendus, jamais envoyés vers une IA tierce.
Contact
Découvrez votre exposition.
Décrivez-nous votre besoin en deux lignes. Nous revenons vers vous rapidement pour convenir d'un premier diagnostic, sans engagement.
- Réponse par email sous 48 h ouvrées
- Premier échange gratuit, sans engagement
- Vos données ne sont jamais revendues