La différence entre un scan de vulnérabilités et un pentest tient en une phrase : le scan est un inventaire automatisé des vulnérabilités connues signaturées, le pentest est une simulation d'attaque manuelle qui valide l'exploitabilité réelle et mesure l'impact métier. Un scan coûte 500 à 3 000 € HT et tourne en continu, un pentest coûte 3 000 à 20 000 € HT et dure 3 à 15 jours hommes. Le scan trouve les CVE, le pentest trouve les failles logiques, les chaînes d'attaque et les configurations pathologiques que les outils ratent systématiquement. Les deux sont complémentaires, jamais substituables : 40 à 60 % des vulnérabilités critiques réelles échappent au scan seul selon les études 2024-2025. Ce guide détaille la différence sur 15 critères, les outils de chaque approche, les tarifs, la cadence et les obligations réglementaires.
Définitions précises
Scan de vulnérabilités
Un scan de vulnérabilités (Vulnerability Assessment, VA) est un processus automatisé qui interroge un système d'information pour identifier des vulnérabilités connues référencées dans des bases publiques (NVD, CVE, vendor advisories, exploit-db). Il fonctionne par fingerprinting : détection des versions logicielles exposées, puis correspondance avec la base CVE. Exemples concrets : détecter qu'un serveur Apache 2.4.49 est exposé (vulnérable CVE-2021-41773), qu'un service OpenSSH 8.2 présente la CVE-2020-14145.
Un scan typique couvre :
- Ports ouverts et services exposés.
- Versions logicielles et patches manquants.
- Certificats TLS expirés ou faibles.
- Configurations manifestement dangereuses (SMB v1 actif, TLS 1.0, chiffrements faibles).
- Comptes par défaut détectables.
Pentest (test d'intrusion)
Un pentest est une mission manuelle menée par un ou plusieurs pentesters professionnels qui simulent le comportement d'un attaquant réel. Il combine outils automatisés (pour le scan initial et certains fuzzing) et expertise humaine pour l'exploitation, l'enchaînement de vulnérabilités et la démonstration d'impact métier.
Un pentest identifie ce que le scan rate :
- Vulnérabilités logiques applicatives (IDOR, BOLA, escalade de rôle, bypass d'autorisation).
- Configurations spécifiques (CORS mal implémenté, JWT sans vérification de signature, OAuth state manquant).
- Chaînes d'attaque combinant 3-5 faiblesses moyennes pour atteindre un impact critique.
- Vulnérabilités métier propres à l'application (cas d'usage détournés, workflow contournés).
- Mauvais usages de primitives cryptographiques (hash faibles, IV prévisibles, signatures bypassables).
Tableau comparatif sur 15 critères
| Critère | Scan de vulnérabilités | Pentest |
|---|---|---|
| Nature | Automatisé | Manuel (avec outillage) |
| Question répondue | Quelles CVE existent ? | Sont-elles exploitables ? |
| Couverture CVE connues | Très large | Focalisée sur cas exploitables |
| Vulnérabilités logiques | Non détectées | Identifiées |
| Chaînes d'attaque | Non construites | Construites et démontrées |
| Faux positifs | 15-60 % selon outil | Minimes après qualification |
| Preuves d'exploitation | Aucune | Screenshots, payloads, timeline |
| Impact métier mesuré | Non | Oui (via démonstration) |
| Durée typique | Heures à jours | 3-30 jours hommes |
| Coût HT France 2026 | 500 - 3 000 € | 3 000 - 20 000 € |
| Cadence recommandée | Continue ou hebdomadaire | Annuelle ou semestrielle |
| Outillage dominant | Nessus, Qualys, OpenVAS | Burp, Metasploit, outils custom |
| Profil opérateur | SOC analyste / admin SI | Pentester certifié |
| Livrable | Rapport automatisé scoring | Rapport rédigé + restitution orale |
| Couverture conformité | VA exigée ISO 27001, DORA | PT exigée PCI DSS, DORA, NIS2 |
Outils typiques de chaque approche
Scanners de vulnérabilités 2026
Scanners infrastructure :
Tenable Nessus Professional : référence commerciale, ~5 000 USD/an
Tenable.io / Tenable.sc : plateforme entreprise, 2 500+ USD/an
Qualys VMDR : SaaS mature, tarification au host
Rapid7 InsightVM : moderne, intégré SIEM
Greenbone / OpenVAS : open source, alternative gratuite
Nuclei (ProjectDiscovery) : templates YAML, moderne 2023+
Intruder : SaaS simplifié pour PME
Scanners applicatifs :
Burp Suite Scanner : meilleur sur web, coût Pro 475 USD/an
Acunetix : commercial, orienté DAST
Invicti (ex-Netsparker) : commercial, proof-based
Detectify : SaaS, moderne
OWASP ZAP (scanner mode) : open source
Scanners cloud et IaC :
Prowler (AWS, Azure, GCP, K8s): open source, référence
ScoutSuite : multi-cloud open source
Wiz / Orca / Prisma Cloud : CSPM commerciaux
Checkov / tfsec / Trivy : IaC et containers
Scanners SCA (dépendances) :
Snyk : leader, freemium
Dependabot (GitHub natif) : gratuit
OSV-Scanner (Google) : open source
Mend (ex-WhiteSource) : commercialOutillage pentester
Le pentester utilise également des scanners comme point de départ mais investit l'essentiel du temps dans l'exploitation manuelle.
Proxy web et exploitation manuelle :
Burp Suite Professional : standard de facto
Caido : alternative moderne 2024+
OWASP ZAP : open source
Postman / Insomnia : tests API manuels
Frameworks offensifs :
Metasploit : exploitation et post-exploit
Impacket : Active Directory
CrackMapExec / NetExec : multi-protocoles
sqlmap : SQL injection avancé
Reconnaissance et énumération :
Nmap + NSE scripts : scan de ports avancé
Amass, Subfinder : cartographie DNS
ffuf, feroxbuster, gobuster : fuzzing de chemins
Nuclei : CVE ciblées
Crackers et authentification :
Hydra, Medusa : brute force
Hashcat, John the Ripper : cracking offline
Kerbrute : AD via services exposés
Post-exploitation :
Mimikatz, Rubeus : Kerberos / credentials Windows
BloodHound / SharpHound : analyse graph AD
Chisel, ligolo-ng : tunneling5 scénarios concrets : scan suffit ou pentest obligatoire
Scénario 1 - Suivi hebdomadaire de posture : scan suffit
Une équipe sécurité veut surveiller en continu les 500 serveurs de l'infrastructure pour détecter un nouveau service exposé, une machine non patchée, un certificat expirant. Scan continu hebdomadaire (Nessus, Qualys, Tenable.io) est la bonne réponse. Un pentest annuel ne remplace pas cette télémétrie continue.
Scénario 2 - Certification PCI DSS v4.0 : scan + pentest
Une entreprise traitant des paiements carte doit valider la conformité PCI DSS. Le référentiel impose à la fois un scan trimestriel par un ASV (Approved Scanning Vendor) et un pentest annuel. Les deux sont obligatoires, pas substituables.
Scénario 3 - Lancement d'une application SaaS : pentest obligatoire
Un éditeur met en production une nouvelle application SaaS B2B manipulant des données clients. Un scan ne validera pas la sécurité de l'authentification multi-tenant, du RBAC, du workflow de facturation. Un pentest applicatif est indispensable, idéalement précédé d'une revue d'architecture sécurité (threat modeling).
Scénario 4 - Après une mise à jour critique : scan ciblé
Une faille critique (log4shell, ProxyShell, Citrix NetScaler) vient d'être publiée. Un scan ciblé immédiat sur la CVE correspondante permet d'identifier les actifs vulnérables en quelques heures. Un pentest serait ici trop lent et trop étroit.
Scénario 5 - Due diligence M&A : pentest manuel
Un acquéreur évalue la posture cyber d'une cible M&A avant acquisition. Un scan listera les patches manquants mais ne détectera pas la backdoor laissée par un ancien admin, la faille logique dans l'API interne, la fuite de secrets GitHub. Pentest manuel complet par un cabinet indépendant est la norme.
Cadence recommandée en 2026
Un programme cybersécurité mature combine les deux approches à des rythmes différents.
| Activité | Cadence cible | Exécutant |
|---|---|---|
| Scan de vulnérabilités infrastructure | Hebdomadaire ou continu | SOC / équipe interne |
| Scan SCA des dépendances | À chaque commit (CI/CD) | Équipes Dev via pipeline |
| Scan IaC et containers | À chaque pull request | Pipeline CI sécurisé |
| Pentest externe annuel | Une fois par an | Prestataire externe |
| Pentest interne | Une fois par an | Prestataire externe |
| Pentest applicatif majeur | À chaque release majeure | Prestataire externe ou équipe AppSec |
| Red team | 1-2 fois par an (maturité ++) | Équipe spécialisée |
| Bug bounty permanent | Continu | Plateforme (HackerOne, YesWeHack) |
Obligations réglementaires 2026
Plusieurs cadres légaux français et européens imposent l'un, l'autre, ou les deux.
PCI DSS v4.0 :
- Scan ASV trimestriel : obligatoire
- Pentest annuel : obligatoire
- Pentest après changement : obligatoire
DORA (financier, depuis janvier 2025) :
- Scan continu : obligatoire pour acteurs critiques
- TLPT (Threat-Led PT) : obligatoire tous les 3 ans pour TIER 1
NIS2 (transposition FR octobre 2024) :
- Gestion vulnérabilités : obligatoire (scan implicite)
- Tests techniques : recommandation forte (pentest)
ISO 27001 :
- Contrôle A.12.6.1 : tests techniques réguliers
HDS (santé) :
- Audit annuel + pentest : obligatoire
LPM (OIV) :
- Audits ANSSI PASSI : obligatoires tous les 2 ans
RGPD article 32 :
- Mesures de sécurité adaptées : argumenter via VA + PTPièges fréquents à éviter
Piège 1 - Confondre scan et pentest dans un cahier des charges
Certains prestataires opportunistes proposent un « pentest » à 1 500 € HT. En pratique, il s'agit d'un scan automatisé accompagné d'un rapport généré par l'outil. Critères de détection :
- Tarif inférieur à 3 000 € HT pour un scope multi-actifs.
- Livraison en 48-72 h.
- Rapport sans screenshots d'exploitation ni payloads détaillés.
- Absence de chaîne d'attaque formalisée.
- Auditeur sans certification offensive crédible (OSCP minimum).
Piège 2 - Faire un pentest avant d'avoir scanné
Un pentester payé 1 200 €/jour qui passe 2 jours à remonter des CVE évidentes qu'un scan à 300 € aurait trouvées est un gaspillage. Faire tourner un scan en amont et fournir les résultats au pentester permet de concentrer son temps sur les tests à forte valeur (exploitation manuelle, logique applicative, chaînes complexes).
Piège 3 - Ignorer les faux positifs du scan
Un scan Qualys qui remonte 500 findings n'équivaut pas à 500 problèmes. Sans triage, les équipes IT perdent confiance et finissent par ignorer toutes les alertes. Un workflow de triage systématique (validation manuelle ou par outil de Vulnerability Management moderne comme Kenna, RiskSense, Vulcan) est indispensable.
Piège 4 - Croire qu'un bug bounty remplace le pentest
Un bug bounty public trouve des failles variées mais de manière opportuniste, sans garantie de couverture ni de livrable structuré. Il complète le pentest mais ne le remplace pas : aucun régulateur n'accepte un bug bounty comme preuve de pentest annuel pour PCI DSS, DORA ou NIS2.
Points clés à retenir
- Scan = automatisé, exhaustif sur CVE connues, continu, 500-3 000 €. Pentest = manuel, focalisé sur exploitabilité et impact, annuel, 3 000-20 000 €.
- Trois classes de vulnérabilités critiques échappent au scan seul : logique applicative, configurations spécifiques, chaînes d'attaque combinant plusieurs faiblesses moyennes.
- Complémentarité obligatoire : les régulateurs PCI DSS, DORA et NIS2 imposent les deux. Aucune approche ne suffit seule.
- Cadence cible 2026 : scan continu ou hebdomadaire automatisé + pentest manuel annuel, avec bug bounty en option pour couverture continue additionnelle.
- Signaux d'un faux pentest vendu comme tel : tarif inférieur à 3 000 € HT, livraison rapide, rapport sans preuves d'exploitation, auditeur sans OSCP.
Pour approfondir la méthodologie complète d'un pentest externe, voir le guide qu'est-ce qu'un pentest externe qui détaille les 5 phases PTES, les livrables et les tarifs par scope. Pour comprendre le métier côté exécutant, salaire pentester France 2026 détaille la grille et les TJM freelance.
