Seb De Coninck pentester certifié CPTS et CAPE (Hack The Box), CRTA. Diplômé RNCP 37680. Plus de 200 missions entre 2022 et 2026. Fondateur de HackHeart, cabinet basé à Mandelieu-la-Napoule (06210). Intervention sur Cannes, Nice, Antibes, Sophia Antipolis, Grasse, Monaco, Marseille, Lyon et à distance. Spécialités : Active Directory, applications web, API, mobile, applications LLM. Email : [email protected].
Mon parcours
J'ai débuté en cybersécurité par la voie technique, formé sur le terrain via la plateforme Hack The Box, avec la conviction qu'on n'apprend la sécurité offensive qu'en pratiquant les exploits, pas en lisant des slides. J'ai ensuite validé cette approche par une certification reconnue : la CPTS (Certified Penetration Testing Specialist), suivie de la CRTA (Certified Red Team Associate) et enfin CAPE Certified Active directory Penetration testing Expert deux certifications Hack The Box et une CWS centrées sur la pratique réelle d'attaques en environnement isolé. J'ai aussi validé le titre RNCP 37680 de Concepteur développeur de solutions informatiques sécurisées, etISO 27001 Lead Implementor pour couvrir le volet conformité.
HackHeart est né en 2022 du constat suivant : trop d'audits de cybersécurité étaient livrés sous forme de rapports génériques produits par des scans automatiques, sans démonstration d'impact réel. Mon approche est différente : tests manuels offensifs, chaînage d'exploits, preuves de concept reproductibles, rapports actionnables. C'est le consultant qui mène la mission qui présente les résultats, pas un commercial qui n'a jamais touché à la cible.
Mes certifications
- CPTS Certified Penetration Testing Specialist (Hack The Box). Certification 100 % pratique : 10 jours d'examen pour compromettre un environnement + applicatif. Voir mon retour d'expérience sur la CPTS.
- CAPE Certified Active directory Penetration testing Expert (Hack The Box). Spécialisée Active Directory : 10 jours d'examen pour compromettre un environnement Active Directory..
- CRTA Certified Red Team Associate (Hack The Box). Spécialisée Red Team : simulation d'attaques multi-vecteurs.
- RNCP 37680 Concepteur développeur de solutions informatiques sécurisées (France Compétences).
- ISO 27001 Lead Implementor (PECB) pour le volet conformité et gouvernance sécurité.
Mon domaine d'expertise
Sur l'offensif, je couvre :
- Active Directory : Kerberoasting, Pass-the-Hash, abus de délégations contraintes, exploitation ADCS (ESC1 à ESC8), mouvement latéral jusqu'au Domain Admin.
- Applications web et API : couverture complète OWASP (injections, IDOR, contournement d'authentification, logique métier, désérialisation), API REST et GraphQL, JWT (algorithm confusion, voir mon article technique sur le sujet).
- Infrastructure réseau : reconnaissance externe, pivoting, segmentation, exploitation de services exposés.
- Mobile : analyse statique et dynamique d'applications iOS et Android, reverse engineering basique.
- Applications LLM : OWASP LLM Top 10, injection de prompt directe et indirecte, jailbreak, exfiltration via outils agentiques. Voir mon article sur le pentest LLM.
- Phishing avancé : campagnes calibrées, contournement MFA M365 (device code phishing, EvilTokens, Kali365). Voir l'article sur device code phishing.
Sur le conseil et la conformité :
- NIS2 : applicabilité, mise en conformité, articulation avec les sous-traitances.
- RGPD : registre des traitements, AIPD, sécurité des traitements.
- ISO 27001 : préparation à la certification, audit interne, accompagnement.
- HDS : conformité hébergeur de données de santé pour les acteurs médicaux.
- DORA : résilience opérationnelle pour les acteurs financiers et leurs sous-traitants.
- vCISO : RSSI à temps partagé pour les PME sans direction sécurité interne.
Mes missions notables
Sur 2022-2026, j'ai réalisé plus de 200 missions, dont :
- Pentests applicatifs et infrastructure pour des PME et ETI de la région PACA (Cannes, Nice, Antibes, Sophia Antipolis, Monaco).
- Missions Red Team complètes incluant phishing ciblé, intrusion physique sur site, persistance et exfiltration.
- Audits de cybersécurité hôtellerie sur la Côte d'Azur (PMS, moteurs de réservation, Wi-Fi staff). Voir le guide hôtellerie.
- Audits cabinets médicaux libéraux en PACA (RGPD santé, HDS, sécurité des dossiers patients).
- Pentests d'applications à base de LLM pour des éditeurs SaaS français.
- Intervention post-incident sur ransomware pour des PME industrielles.
Mon approche
Trois principes guident chaque mission :
- Du pentest, pas du PowerPoint. Les vulnérabilités sont démontrées par des exploits réels, pas par des extraits de scan. Chaque finding est documenté avec une preuve de concept reproductible.
- Rapport double. Synthèse exécutive de 4-6 pages pour la direction + rapport technique détaillé avec CVSS et plan de remédiation priorisé pour les équipes.
- Restitution orale. Une session de 1 à 2 heures avec vos équipes techniques et votre direction pour expliquer ce qui a été trouvé, ce qui doit être corrigé en priorité, et comment.
Où j'interviens
Mon cabinet est basé à Mandelieu-la-Napoule (06210). Je me déplace en présentiel sur :
- Alpes-Maritimes (06) : Cannes, Nice, Antibes, Sophia Antipolis, Grasse, Mougins, Mandelieu, Cagnes-sur-Mer, Saint-Raphaël, Menton, Monaco.
- Var (83) : Fréjus, Saint-Raphaël, Toulon, Hyères, Sainte-Maxime.
- Bouches-du-Rhône (13) : Marseille, Aix-en-Provence, Aubagne.
- Vaucluse (84) et Alpes : Avignon, Orange.
- Hors PACA : Lyon (69) en présentiel. Le reste de la France à distance selon le type de missions.
Me contacter
Le premier appel est toujours gratuit : 30 minutes en visio pour cadrer votre besoin et vous renvoyer un devis adapté.
- Email : [email protected]
- LinkedIn : Seb De Coninck
- Demander un devis en ligne
- Formulaire de contact
Discutons de votre besoin en pentest ou audit.
30 minutes en visio pour cadrer votre périmètre, sans engagement.
Demander un devis → Nous contacter