Pentest : ce qu'un test d'intrusion révèle vraiment sur votre sécurité

La plupart des dirigeants qui commandent un pentest ne savent pas vraiment ce qu'ils vont recevoir. Ils s'attendent à un scan de vulnérabilités avec un score de sécurité. Ce qu'ils reçoivent, c'est un document qui montre, capture à l'appui, comment un attaquant aurait pu accéder à leurs données clients, contourner leur authentification ou mettre leur application hors ligne.

Ce guide explique ce qu'est un pentest, ce qu'on y trouve vraiment, et comment l'utiliser pour corriger ce qui compte.

Un scan de vulnérabilités automatisé liste des failles potentielles. Il ne vérifie pas si elles sont réellement exploitables dans votre contexte. Un pentest va plus loin : le testeur tente activement d'exploiter ce qu'il trouve, documente chaque étape, et vous montre jusqu'où il peut aller.

La différence est importante. Une CVE notée 9.8 peut être inexploitable sur votre infrastructure à cause d'un autre contrôle. À l'inverse, trois vulnérabilités notées 4 peuvent se combiner pour donner accès à votre base de données. Seul le pentest révèle ces chaînes d'attaque.

Le whitebox ajoute l'accès au code source et à l'architecture complète. C'est pertinent pour un audit de code ou la préparation d'une certification, mais pas pour simuler une attaque réaliste.

Pour une PME qui fait son premier pentest, le greybox est presque toujours le bon choix. Il couvre ce qui compte le plus : les failles accessibles après un phishing réussi ou une fuite de credentials.

1. Phase 1

   Cadrage et autorisation

   Définition du périmètre, des horaires de test, des systèmes exclus et des contacts d'urgence. Signature d'une lettre d'autorisation. Sans ce document, le pentest est illégal.

2. Phase 2

   Reconnaissance

   Cartographie des actifs exposés : sous-domaines, ports ouverts, technologies utilisées, informations publiques (OSINT). Le testeur cherche à comprendre l'architecture avant d'attaquer.

3. Phase 3

   Identification des vulnérabilités

   Combinaison de scans automatisés et d'analyse manuelle. Le testeur cherche les failles connues, les erreurs de configuration, les points d'entrée non protégés.

4. Phase 4

   Exploitation

   Tentative d'exploitation des vulnérabilités identifiées. Chaque accès obtenu est documenté avec des captures d'écran. Le testeur évalue jusqu'où il peut aller : élévation de privilèges, mouvement latéral, exfiltration.

5. Phase 5

   Rapport et restitution

   Rédaction d'un rapport structuré avec résumé pour la direction, détail technique de chaque vulnérabilité, preuve d'exploitation et recommandations priorisées. Suivi d'une restitution orale avec l'équipe.

Voici ce que Cyber Expert a découvert lors d'un pentest récent sur une application SaaS B2B de gestion commerciale. Les noms, domaines et données techniques identifiables ont été retirés. Les findings sont réels.

Contexte : application web accessible depuis Internet, gestion de clients et de contrats, équipe de 40 personnes. Périmètre : phase blackbox (attaquant externe) puis greybox (compte utilisateur standard).

Phase blackbox : ce qu'un attaquant externe voit

Le testeur ne dispose que de l'URL de l'application. En 2 heures de reconnaissance :

Phase greybox : ce qu'un compte compromis permet

Le testeur dispose maintenant d'un accès utilisateur standard. Ce qu'il trouve en 4 heures :

Ce qui a bien fonctionné. Le cloisonnement entre comptes est solide : aucune fuite de données d'un profil à l'autre. Pas d'injection SQL exploitable malgré des payloads variés. Le mécanisme d'authentification résiste à la manipulation de cookies et de tokens. Ce sont des fondations correctes, fragilisées par des oublis de validation côté backend.

Un rapport de pentest de qualité n'est pas un fichier PDF de 80 pages illisible. C'est un document en deux parties : un résumé pour la direction, et un détail technique pour les équipes.

• Résumé exécutif : note de risque globale, 3 à 5 findings prioritaires, recommandation budgétaire. Lisible par un dirigeant non technique en 10 minutes.
• Périmètre testé et méthodologie : ce qui a été testé, comment, avec quels outils. Permet de savoir ce qui n'a pas été couvert.
• Détail de chaque vulnérabilité : description, preuve d'exploitation (capture d'écran), score de criticité, impact métier concret, recommandation de correction.
• Plan de remédiation priorisé : critique (corriger sous 7 jours), élevé (corriger dans le mois), moyen (planifier), faible (amélioration continue).
• Restitution orale incluse : la lecture d'un rapport ne remplace pas une session de questions-réponses avec le pentester. Insistez pour qu'elle soit incluse.

Le marché du pentest en France compte plusieurs centaines de prestataires. Les critères qui comptent vraiment :

• Certification PASSI (ANSSI) : c'est la référence française pour les prestataires d'audit de sécurité. Elle garantit une méthode, des compétences vérifiées et une déontologie.
• Certifications individuelles des pentesters : OSCP (Offensive Security), CEH (EC-Council), GPEN (GIAC). Demandez qui réalise le test, pas seulement qui signe le rapport.
• Références sur un périmètre similaire au vôtre : un pentest d'application web SaaS n'est pas le même exercice qu'un pentest d'infrastructure Active Directory.
• Rapport de pentest réel anonymisé : un prestataire sérieux peut vous montrer un exemple de rapport. Si personne ne peut vous en présenter un, c'est mauvais signe.
• Réactivité sur les findings critiques : demandez ce qui se passe si une vulnérabilité critique est découverte en cours de mission. Vous devez être alerté immédiatement.

Ces fourchettes sont indicatives. Le vrai déterminant du coût, c'est la taille du périmètre et la durée du test. Un prestataire qui vous donne un prix fixe sans avoir analysé votre périmètre applique un forfait générique, pas une évaluation sérieuse.

Ce qu'il faut comparer entre prestataires : le nombre de jours inclus, si le re-test est compris, si la restitution orale est incluse, et si le rapport est livré en français avec un résumé dirigeant lisible.

Vous voulez savoir ce qu'un pentest révélerait sur votre application ou votre infrastructure ? Demandez un diagnostic gratuit : 30 minutes pour cadrer le périmètre, estimer le budget et identifier les risques les plus urgents.