Un pentest (penetration test, test d'intrusion) est une évaluation de sécurité pratique qui simule les techniques d'un attaquant pour identifier et exploiter les vulnérabilités d'un périmètre défini, avec autorisation contractuelle explicite. À la différence d'un audit classique qui évalue la conformité documentaire, le pentest produit la preuve concrète qu'une vulnérabilité peut être exploitée et mesure l'impact business associé. Un pentest se déroule selon une méthodologie structurée (PTES, OWASP WSTG, OSSTMM ou NIST SP 800-115), sur un périmètre scopé par écrit, avec un mandat légal signé, et livre un rapport technique exploitable par les équipes de développement et de direction. Cet article détaille la définition, les types (black/grey/white box, web, infra, AD, cloud, mobile, red team), les phases méthodologiques, les livrables, le cadre légal et les coûts typiques en France en 2026.
Définition précise et périmètre
Un pentest est un engagement encadré qui combine quatre éléments cumulatifs : une autorisation contractuelle écrite, un périmètre technique défini précisément, une méthodologie reconnue, un livrable structuré.
Autorisation contractuelle : sans mandat écrit du propriétaire du système, toute tentative d'accès tombe sous l'article 323-1 du Code pénal français (accès frauduleux à un STAD, jusqu'à 3 ans de prison et 100 000 € d'amende). Le mandat précise le commanditaire, les auditeurs autorisés, la période d'intervention, les adresses IP source, les actifs testables, les actions interdites (DoS volontaire, ingénierie sociale non préalablement validée, exfiltration de données personnelles réelles).
Périmètre scopé : la Statement of Work (SoW) ou cahier des charges définit les cibles exactes (domaines, sous-domaines, IP, applications, comptes de test fournis), les méthodes autorisées, les créneaux d'exécution (en production, hors heures ouvrées, sur environnement de recette), les plafonds budgétaires en jours.
Méthodologie reconnue : un pentest professionnel s'appuie sur au moins un standard public pour garantir l'exhaustivité des tests effectués et la reproductibilité. Les standards les plus utilisés en 2026 :
- PTES (Penetration Testing Execution Standard) : méthodologie générique en 7 phases.
- OWASP WSTG (Web Security Testing Guide v4.2) : exhaustif pour les applications web.
- OSSTMM (Open Source Security Testing Methodology Manual v3) : très rigoureux, moins utilisé commercialement.
- NIST SP 800-115 : référence américaine, souvent citée dans les contrats internationaux.
- OWASP MASVS (Mobile Application Security Verification Standard) : audit mobile.
- OWASP API Security Testing Guide : dérivé du WSTG pour les APIs modernes.
Livrable structuré : le rapport de pentest (voir section dédiée) suit une structure standard permettant au commanditaire d'agir : synthèse exécutive pour la direction, fiches de vulnérabilités scorées CVSS 3.1 ou 4.0 pour les équipes techniques, recommandations de remédiation priorisées, annexes techniques reproductibles.
Types de pentest par niveau d'information
Le niveau d'information fourni aux auditeurs détermine la profondeur réalisable dans le temps imparti. Trois approches standard, parfois combinées.
| Approche | Information fournie | Usage typique | Durée relative |
|---|---|---|---|
| Black box | Aucune (nom de l'entreprise seulement) | Simulation attaquant externe, évaluation surface exposée | Plus longue (reconnaissance incluse) |
| Grey box | Comptes utilisateur, documentation partielle | Standard marché 2026, ratio profondeur/coût optimal | Médiane |
| White box | Code source, config, accès admin | PCI-DSS, embarqué critique, couverture maximale | Plus courte par vulnérabilité trouvée |
Choix pragmatique en 2026 : grey box est le standard pour 70 % des pentests applicatifs. Le black box est pertinent quand l'organisation veut mesurer spécifiquement la qualité de sa détection (un black box qui passe inaperçu signale une défaillance du SOC ou du XDR). Le white box est obligatoire pour les audits de code dans les environnements critiques et pour la plupart des prestations PASSI.
Types de pentest par périmètre technique
Au-delà du niveau d'information, le périmètre technique détermine les compétences, les outils et la durée.
Pentest applicatif web
Le plus demandé (60 % des pentests en volume). Cible une ou plusieurs applications web (SaaS, intranet, extranet, portail client). Couverture standard alignée sur OWASP Top 10 2021 et OWASP API Top 10 2023.
Classes de vulnérabilités typiquement recherchées : injections (SQL, NoSQL, command, LDAP), authentification et session, contrôles d'accès (IDOR, privilege escalation, BOLA sur API), cryptographic failures, SSRF, XSS, désérialisation, supply chain, configuration (SSL/TLS, headers, cookies).
Pentest infrastructure interne
Cible un réseau d'entreprise complet avec Active Directory. Les audits Active Directory représentent la majorité des pentests infra en 2026.
Classes d'attaques typiques : énumération AD avec BloodHound, Kerberoasting, AS-REP Roasting, ACL abuse, ADCS (ESC1 à ESC14), delegation attacks (unconstrained, constrained, RBCD), relay NTLM, DCSync, Golden/Silver Ticket, pass-the-hash, pass-the-ticket.
Pentest infrastructure externe
Cible la surface exposée sur Internet (IP publiques, services exposés, VPN, reverse proxies, MFS Fortinet/Pulse/Citrix). L'énumération initiale est critique : sous-domaines, certificats SSL, headers, techno stack. La détection de services oubliés (shadow IT, legacy test exposé) constitue souvent la découverte la plus rentable.
Pentest Wi-Fi
Ciblé sur les réseaux sans fil de l'entreprise. Tests d'authentification (WPA2-Enterprise EAP, PSK weak), attaques Evil Twin, Karma, KRACK, FragAttacks, couverture physique, segmentation VLAN invités/corporate.
Pentest mobile (iOS, Android)
Cible les applications mobiles installées sur iOS ou Android, avec analyse statique (reverse de l'IPA ou APK) et dynamique (instrumentation Frida, interception via proxy, stockage local). Standard OWASP MASVS (Mobile Application Security Verification Standard).
Pentest cloud
Audit d'une infrastructure cloud (AWS, Azure, GCP) avec focus sur IAM, stockage objet (S3, Blob, GCS), serverless, container orchestration, misconfig Terraform/IaC. La qualification CCSK, CCSP ou AWS Security Specialty est typiquement requise.
Pentest IoT / embarqué
Audit d'un équipement matériel (objet connecté, ECU automobile, équipement industriel OT). Inclut analyse hardware (UART, JTAG, SWD, side-channel basique), firmware extraction (flash SPI, eMMC), reverse du firmware, audit des communications (BLE, LoRa, Zigbee, protocoles industriels Modbus, DNP3, OPC-UA).
Red team
Simulation complète d'un adversaire ciblant une organisation. Durée 30 à 90 jours, scope étendu (physique, social, technique), objectifs business concrets (exfiltrer la base client, atteindre un serveur critique, compromettre un VIP). Cadré par TIBER-EU pour les institutions financières européennes.
Méthodologie : les 7 phases d'un pentest PTES
La méthodologie PTES (Penetration Testing Execution Standard) définit 7 phases appliquées par adaptation à tous les périmètres techniques.
Phase 1 — Pré-engagement
Rédaction du Statement of Work, signature du mandat, définition du scope, établissement des points de contact d'urgence (DSI, RSSI), création des comptes de test. Point d'ancrage légal et contractuel de toute la mission.
Phase 2 — Reconnaissance (passive et active)
Collecte d'informations sur la cible. Passive : OSINT, Shodan, certificats Censys, fuites GitHub, LinkedIn, archives Wayback. Active : énumération DNS, scan de ports (nmap), fingerprinting technologique (httpx, wappalyzer), découverte de sous-domaines (subfinder, amass).
Phase 3 — Modélisation des menaces
Analyse des informations collectées pour identifier les vecteurs d'attaque les plus probables et les actifs de plus grande valeur (joyaux de la couronne : base client, propriété intellectuelle, systèmes financiers). Priorisation des efforts.
Phase 4 — Analyse des vulnérabilités
Scan automatisé (Nuclei, Burp Suite scanner, Nessus) et analyse manuelle ciblée sur les zones à plus fort potentiel. La partie automatisée détecte le surface ; la partie manuelle trouve les vulnérabilités à valeur.
Phase 5 — Exploitation
Tentative réelle d'exploitation des vulnérabilités identifiées pour démontrer l'impact. Chaque exploitation est documentée : étapes exactes, payloads, outputs, preuves (screenshots, enregistrement de session). L'objectif est la preuve, pas le dommage.
Phase 6 — Post-exploitation
Évaluation de l'ampleur d'une compromission réussie : quelles données sont accessibles, quels systèmes adjacents peuvent être pivotés, quelles persistances pourraient être installées. Crucial pour mesurer l'impact business réel.
Phase 7 — Rapport et restitution
Rédaction du rapport, relecture interne, restitution orale au commanditaire. Le rapport est le livrable principal de la mission.
# Exemple de structure de scope document signé en pré-engagement
engagement:
commanditaire: Acme SAS (SIREN 123456789)
prestataire: Cabinet Pentest SARL (qualifié PASSI v2.1)
periode: 2026-05-01 au 2026-05-15
type: grey_box
methodologie: PTES + OWASP WSTG v4.2
scope_in:
- domaines:
- app.acme.test
- api.acme.test
- ips_source_autorisees:
- 203.0.113.10
- 203.0.113.11
- comptes_test:
- user_readonly@acme.test
- user_admin@acme.test
scope_out:
- payment-processor.acme.test (tiers, hors scope)
- infrastructure cloud AWS shared tenants
- tests sur environnement de production sans validation prealable
regles_engagement:
actions_interdites:
- deni_de_service_volontaire
- exfiltration_donnees_personnelles_reelles
- ingenierie_sociale_non_validee
- persistance_hors_environnement_de_test
creneaux:
- lundi_au_vendredi_9h_19h_heure_paris
point_contact_urgence:
- rssi@acme.test (ligne directe +33 1 00 00 00 00)
livrables:
- rapport_technique_pdf
- synthese_executive_5_pages
- fiches_vulnerabilites_csv_avec_scoring_cvss_3_1
- support_restitution_slides
- retest_inclus: 1 iteration sous 60 joursLivrables d'un pentest professionnel
Un pentest sans livrable exploitable est inutile. Le livrable standard comprend quatre éléments.
Rapport technique détaillé
Document principal (typiquement 40 à 150 pages selon périmètre). Structure type :
- Synthèse exécutive (2 à 5 pages) : résumé pour la direction, posture globale, top 3 des risques critiques, recommandations prioritaires.
- Contexte et méthodologie : rappel du scope, méthodes utilisées, limitations rencontrées.
- Fiches de vulnérabilités : chaque vulnérabilité avec titre, classe CWE, score CVSS 3.1 ou 4.0, description, preuve, impact business, recommandation, effort de remédiation estimé.
- Annexes techniques : captures, requêtes HTTP brutes, payloads, scripts d'exploitation sanitisés.
Synthèse exécutive séparée
Document court (3 à 8 pages) destiné aux COMEX et comités de direction. Langage non technique, focus sur risque business et décisions à prendre. Souvent le seul document lu par la direction.
Matrice de vulnérabilités (CSV ou JSON)
Tableau exploitable directement par les outils de gestion de vulnérabilités (DefectDojo, Kenna, Snyk, Jira). Une ligne par vulnérabilité, colonnes : titre, criticité, CVSS, CWE, composant impacté, statut (ouvert, fermé, accepté, en cours).
Restitution orale
Séance de 1 à 3 heures avec le commanditaire, mélange équipes techniques (dev, ops, sécu) et décideurs. Permet les questions, la hiérarchisation des remédiations, la négociation sur les cas ambigus (faux positifs, vulnérabilités acceptées par le métier).
Scoring CVSS et CWE
Le scoring CVSS (Common Vulnerability Scoring System) 3.1 ou 4.0 (publiée novembre 2023) est le standard de quantification d'une vulnérabilité. Chaque fiche inclut le score et le vecteur complet permettant de recalculer dans le contexte spécifique.
| Score CVSS 3.1 | Sévérité | Action attendue typique |
|---|---|---|
| 9.0 à 10.0 | Critique | Correction immédiate, patch sous 7 jours |
| 7.0 à 8.9 | Élevée | Correction sous 30 jours |
| 4.0 à 6.9 | Moyenne | Correction sous 90 jours |
| 0.1 à 3.9 | Faible | Priorisation selon contexte |
Le CWE (Common Weakness Enumeration) classe la nature technique de la vulnérabilité (CWE-89 injection SQL, CWE-79 XSS, CWE-22 path traversal). Un rapport mature cite systématiquement CVSS + CWE + référence OWASP pour chaque finding.
Cadre légal en France
Trois dispositifs structurent le pentest en France.
Article 323-1 à 323-8 du Code pénal : encadrent l'accès frauduleux aux systèmes. Toute tentative d'accès sans mandat explicite du propriétaire est illégale, même sans dommage ni intention malveillante. Un mandat écrit est la condition nécessaire et suffisante pour opérer légalement.
Qualification PASSI ANSSI : référentiel national d'exigences pour les prestataires d'audit de sécurité des systèmes d'information. Obligatoire pour auditer les OIV (au sens de la LPM), les opérateurs de services essentiels sous NIS2, et fréquemment exigée dans les marchés publics sensibles. La qualification couvre cinq portées : architecture, configuration, code source, pentest, organisationnel et physique.
Habilitations défense (Confidentiel Défense, Secret) : requises pour auditer certains systèmes gouvernementaux ou industriels classifiés. Processus d'obtention long (6 à 18 mois) via enquête du SGDSN et ministère de tutelle.
Quand commander un pentest
Un pentest n'est pas toujours le bon investissement. Les situations où il apporte le plus de valeur en 2026 :
- Avant mise en production d'une application critique ou refonte majeure.
- Annuellement sur les applications de production exposées, exigence fréquente PCI-DSS, ISO 27001, HDS.
- Après un incident pour vérifier l'étendue de la compromission et valider la remédiation.
- Lors d'une due diligence d'acquisition M&A pour évaluer la dette de sécurité cachée.
- Pour répondre à une exigence contractuelle client (B2B entreprise) qui demande une preuve d'audit indépendant annuel.
À l'inverse, un pentest unique sur une organisation à faible maturité sécurité génère un rapport long qui ne sera pas remédié, donc peu d'impact. Mieux vaut commencer par du SAST en pipeline, de la formation secure coding, du threat modeling.
Points clés à retenir
- Un pentest combine quatre éléments : autorisation contractuelle, périmètre scopé, méthodologie reconnue, livrable structuré. L'absence d'un seul rend la prestation illégale ou inexploitable.
- Les trois niveaux d'information (black, grey, white box) répondent à des objectifs différents. Grey box est le standard marché 2026 avec le meilleur ratio profondeur/coût.
- Les types de pentest par périmètre (web, infra AD, externe, Wi-Fi, mobile, cloud, IoT, red team) mobilisent des compétences et des durées distinctes. Un cabinet polyvalent allie plusieurs profils.
- La méthodologie PTES en 7 phases structure toutes les missions, indépendamment du périmètre. Le livrable principal est un rapport exploitable par dev, ops et direction.
- En France, le pentest n'est légal qu'avec mandat écrit. La qualification PASSI est obligatoire pour OIV et marchés sensibles.
Pour aller plus loin
- Étapes pour devenir pentester - parcours de formation et certifications pour entrer dans le métier.
- Roadmap pentest général - plan d'apprentissage structuré sur 18 à 24 mois.
- Roadmap pentest web - spécialisation web et OWASP avancé.
- Devenir pentester sans expérience - pillar page de référence du cluster pentest.
