Un pentest externe (external penetration testing) est un test d'intrusion qui simule une attaque réelle depuis internet sur la surface d'exposition publique d'une organisation, sans aucun accès initial ni compte fourni. L'objectif : découvrir et exploiter les vulnérabilités que pourrait utiliser un attaquant opportuniste ou ciblé pour compromettre le système d'information depuis l'extérieur. Il s'effectue en 5 phases normalisées (reconnaissance OSINT, scan et énumération, exploitation, post-exploitation, reporting), coûte entre 3 000 et 20 000 € HT en France selon le périmètre, dure 3 à 15 jours hommes, et produit trois livrables : rapport technique détaillé, rapport exécutif, et restitution orale. Ce guide détaille la méthodologie PTES, les référentiels, les outils, les tarifs 2026 et les critères pour choisir un prestataire crédible.
Définition précise et périmètre
Un pentest externe simule un attaquant externe positionné sur internet public, sans identifiants, sans accès VPN, sans connaissance interne. Il évalue la robustesse de tout ce qui est exposé : adresses IP publiques, enregistrements DNS, applications web publiques, API, VPN, webmail, portails RH, services tiers SaaS, cloud exposé (buckets S3, fonctions Lambda publiques).
Le périmètre type d'un pentest externe inclut :
| Actif cible | Tests menés |
|---|---|
| IP publiques de l'organisation | Scan de ports, fingerprinting de services, CVE connues |
| Applications web publiques | OWASP Top 10, Testing Guide v4.2, API Security Top 10 |
| DNS et sous-domaines | Subdomain takeover, enregistrements exposés, zone transfer |
| VPN et accès distants | Énumération utilisateurs, brute force, vulnérabilités CVE |
| Webmail et SSO | Password spraying, user enumeration, OAuth / SAML abuse |
| Cloud exposé | Buckets publics, fonctions exposées, métadonnées accessibles |
| Services tiers | GitHub exposé, secrets dans repos publics, dependency confusion |
Pentest externe vs autres types de tests
La confusion est fréquente. Voici les distinctions structurantes.
Pentest externe
Point d'entrée : internet public
Accès initial : aucun
Objectif : compromettre depuis l'extérieur
Typique : 3-15 jours, 3-20 k€
Pentest interne
Point d'entrée : réseau interne (VPN ou sur site)
Accès initial : poste utilisateur standard (grey box)
Objectif : élévation de privilèges, domain admin, données métier
Typique : 5-15 jours, 5-25 k€
Pentest web / API
Point d'entrée : URL applicative avec ou sans compte
Accès initial : compte utilisateur de test
Objectif : OWASP Top 10, logique métier, impact métier
Typique : 3-10 jours, 3-15 k€
Red team
Point d'entrée : multi-vecteurs (phishing, physique, réseau)
Accès initial : aucun ou OSINT
Objectif : atteindre un objectif métier défini (goals-based)
Typique : 4-12 semaines, 30-150 k€
Scan de vulnérabilités
Point d'entrée : IP ou URL
Accès initial : aucun
Objectif : inventaire automatisé de CVE
Typique : quelques heures, 500-3 000 €Méthodologie PTES : les 5 phases d'un pentest externe
Le PTES (Penetration Testing Execution Standard) est la méthodologie de référence 2026, complétée par l'OSSTMM (Open Source Security Testing Methodology Manual) et l'OWASP Testing Guide pour la partie web. Un pentest externe suit cinq phases standardisées.
Phase 1 - Reconnaissance et OSINT (passive)
Collecte d'informations sans interaction directe avec la cible, invisible côté défenseur. L'objectif est de cartographier la surface d'attaque : domaines, sous-domaines, IPs, technologies, emails employés, dépôts publics, fuites de données.
Outils typiques - reconnaissance passive :
theHarvester : emails, sous-domaines, hosts
Amass : cartographie DNS exhaustive
Subfinder / Assetfinder : énumération sous-domaines
Shodan / Censys / FOFA : services exposés historiquement
crt.sh : certificats Transparency Logs
GitHub dorks / trufflehog : secrets exposés dans repos publics
Have I Been Pwned : credentials leakés par employé
dehashed / intelx : base de fuites de données
Wayback Machine : versions historiquesPhase 2 - Scan et énumération (active)
Interrogation active des services identifiés pour en extraire les versions, configurations, comptes, endpoints. Cette phase est détectable par les défenseurs et peut générer des alertes SIEM.
Outils typiques - scan actif :
Nmap : scan de ports et services, scripts NSE
Masscan : scan IP à très haute vitesse
Nuclei (ProjectDiscovery) : templates CVE et misconfigurations
WhatWeb / Wappalyzer : fingerprinting technologies web
Gobuster / ffuf / feroxbuster : fuzzing de répertoires et fichiers
Burp Suite Scanner : crawl et scan actif web
Nikto : scan web héritage mais utile
Kerbrute / CrackMapExec : énumération AD via services exposés
testssl.sh / SSLyze : audit TLS/SSLPhase 3 - Exploitation
Cœur du métier : transformation d'une vulnérabilité identifiée en accès effectif. Le pentester utilise des exploits publics, des payloads maison et de la créativité pour enchaîner les faiblesses.
Types d'exploitation rencontrés en 2026 sur pentest externe :
- Exploitation de CVE non patchées sur services exposés (VPN, webmail, CMS).
- Vulnérabilités applicatives web : injections, désérialisation, SSRF vers métadonnées cloud, authentification cassée.
- Credential stuffing et password spraying contre portails publics.
- Subdomain takeover via DNS orphelins pointant vers SaaS décommissionnés.
- Exposition de secrets : clés API dans du JavaScript front, dans des repos GitHub, dans des headers.
- Abus de CORS, OAuth, JWT mal implémentés.
- Phishing ciblé si inclus dans le scope (option red team light).
Phase 4 - Post-exploitation et pivoting
Une fois un premier point d'appui obtenu depuis internet (accès à un serveur, à une application ou à un compte utilisateur), le pentester évalue l'impact réel : pivot vers le réseau interne, accès aux bases de données, exfiltration de fichiers sensibles, obtention de credentials additionnels.
Phase 5 - Reporting
Phase décisive, souvent sous-estimée. Un pentest externe génère trois livrables systématiques.
Rapport technique détaillé
30 à 80 pages selon le périmètre. Structure type :
- Résumé exécutif (1-2 pages).
- Scope, méthodologie, limitations, calendrier.
- Cartographie des actifs identifiés.
- Liste des vulnérabilités par criticité (CVSS v3.1 ou v4.0).
- Pour chaque vulnérabilité : description, preuve (screenshots, payloads, requêtes HTTP), impact, remédiation technique détaillée, priorité.
- Chaînes d'attaque complètes (kill chain).
- Annexes : logs, outputs bruts, timeline des actions.
Rapport exécutif
4 à 8 pages destinées au COMEX, à la DSI, au DPO. Orientation impact métier, criticité business, plan d'action priorisé en 3-6-12 mois. Pas de détails techniques.
Restitution orale
Session de 1 à 2 heures (visio ou sur site) avec le client : présentation du top 10 des vulnérabilités, démonstration live d'une à deux exploitations, Q/R technique. Indispensable pour transformer le rapport en plan d'action adopté par les équipes.
Référentiels et méthodologies 2026
Un prestataire sérieux s'appuie sur un ou plusieurs de ces référentiels :
| Référentiel | Focus | Usage typique |
|---|---|---|
| PTES (Penetration Testing Execution Standard) | Méthodologie globale | Structure des phases |
| OSSTMM v3 | Audit sécurité opérationnel | Méthodologie scientifique |
| OWASP Testing Guide v4.2 | Applications web | Checklist web exhaustive |
| OWASP API Security Top 10 (2023) | APIs REST / GraphQL | Tests API spécifiques |
| NIST SP 800-115 | Guide technique test sécu | Référence institutionnelle |
| PCI DSS v4.0 | Conformité paiement | Obligatoire commerces |
| ANSSI PASSI | Qualification française | Appels d'offres publics |
Outils de pentest externe 2026
Un pentester confirmé utilise un écosystème outil mature et standardisé.
Reconnaissance et OSINT :
Amass, Subfinder, theHarvester, Shodan, Censys, crt.sh, trufflehog
Scan et énumération :
Nmap, Masscan, Nuclei, WhatWeb, ffuf, gobuster, feroxbuster
Web proxy et exploitation :
Burp Suite Professional (standard de facto)
OWASP ZAP (alternative open source)
Caido (nouvelle alternative 2024-2025, moderne)
Frameworks d'exploitation :
Metasploit Framework
sqlmap (SQL injection)
commix (command injection)
XSStrike, NoSQLMap
Credentials et authentification :
Hydra, Medusa, Patator : brute force services
CrackMapExec / NetExec : multi-protocoles
Kerbrute : AD via services exposés
John the Ripper, Hashcat : cracking offline
Post-exploitation limitée :
Chisel, ligolo-ng : tunneling
Responder, mitm6 : si scope étendu
Rapport :
Faraday IDE, Dradis, PwnDoc : agrégation et reporting
SysReptor (open source) : moderne, 2024+Tarifs pentest externe France 2026
Les fourchettes ci-dessous agrègent les grilles publiques des cabinets français (Vaadata, Intrinsec, Synacktiv, Piirates, Invictis, Laucked) et le baromètre Malt des experts cybersécurité freelance.
| Type de scope | Jours hommes | Fourchette HT |
|---|---|---|
| TPE / site vitrine + 1 service | 3-5 | 3 000 - 8 000 € |
| PME / application métier + API | 5-8 | 6 000 - 13 000 € |
| ETI / multi-applications + cloud | 8-15 | 10 000 - 22 000 € |
| Groupe / scope large + filiales | 15-30 | 20 000 - 50 000 € |
| Red team full-scope | 20-60 | 30 000 - 150 000 € |
Tarification freelance 2026 : 800 à 1 400 €/jour pour un pentester confirmé (3-6 ans), 1 200 à 2 000 €/jour pour un expert reconnu. Les cabinets PASSI-qualifiés facturent 1 200 à 1 800 €/jour en moyenne pour couvrir leur process qualité.
Comment choisir un prestataire de pentest externe
Cinq critères distinguent un cabinet crédible d'un prestataire opportuniste.
- Qualification et certifications : PASSI (ANSSI) pour la France, CREST pour l'international, SOC 2 Type 2 pour l'éditeur interne.
- Certifications individuelles des auditeurs : OSCP minimum pour un junior, OSEP/OSWE pour un senior, CRTL pour le red team lead. Demander le CV anonymisé des consultants affectés.
- Qualité des rapports : exiger un exemple de rapport anonymisé avant signature. Un rapport de 30 pages sans screenshots ni payloads est un signal négatif.
- Méthodologie documentée : le prestataire doit fournir sa méthodologie écrite (PTES, OSSTMM ou propre) et les tests couverts par checklist.
- Re-test inclus ou optionnel : vérifier que la vérification post-remédiation est prévue dans le contrat ou chiffrable.
Les signaux à fuir :
- Tarif « tout inclus » inférieur à 3 000 € pour un pentest manuel (indice fort d'un scan automatisé déguisé).
- Rapport livré en 24 h après début de mission (incompatible avec un test sérieux).
- Absence de Master Service Agreement détaillant le scope, les fenêtres de test autorisées, la confidentialité et la responsabilité.
- Auditeurs sans certification offensive démontrée.
Obligations réglementaires 2026 qui imposent le pentest externe
Plusieurs cadres imposent ou recommandent fortement un pentest externe annuel ou bisannuel :
- DORA (Digital Operational Resilience Act) : applicable depuis janvier 2025 aux acteurs financiers européens. Impose des Threat-Led Penetration Testing (TLPT) pour les entités critiques.
- NIS2 : transposition française octobre 2024. Les OES (opérateurs de services essentiels) et ESN doivent démontrer une gestion des vulnérabilités incluant des tests d'intrusion.
- PCI DSS v4.0 : obligation annuelle pour tout acteur traitant des paiements par carte.
- HDS (Hébergeur de Données de Santé) : audit annuel incluant pentest.
- ISO 27001 : contrôle A.12.6.1 recommande les tests techniques de vulnérabilité.
- LPM (Loi de Programmation Militaire) : obligations renforcées pour les OIV.
Points clés à retenir
- Un pentest externe simule un attaquant sur internet sans accès initial, ciblant IP publiques, applications web, DNS, VPN, cloud exposé.
- Cinq phases PTES : OSINT, scan/énumération, exploitation, post-exploitation bornée, reporting. Durée moyenne 3-15 jours hommes selon scope.
- Tarif 2026 France : 3 000 à 20 000 € HT pour un pentest externe PME/ETI. En dessous de 3 000 €, c'est un scan automatisé déguisé.
- Trois livrables systématiques : rapport technique détaillé, rapport exécutif, restitution orale. Le re-test post-remédiation est souvent facturé séparément.
- Critères de choix d'un prestataire : qualification PASSI (ANSSI), certifications auditeurs (OSCP/OSEP/OSWE), rapport exemple anonymisé, méthodologie documentée, re-test prévu.
Pour approfondir la méthodologie offensive et comprendre le parcours technique d'un pentester, voir le guide étapes pour devenir pentester. Pour le calibrage économique côté prestataire, le salaire pentester France 2026 détaille les TJM freelance et les fourchettes salariales selon l'expérience.
