VAPT vs pentest : comprendre la différence en 2026

VAPT (Vulnerability Assessment and Penetration Testing) et pentest ne désignent pas la même chose, malgré une confusion fréquente en France. VAPT est une prestation hybride combinant scan automatisé de vulnérabilités (VA) et test d'intrusion manuel (PT). Pentest est uniquement la phase manuelle d'exploitation. Un scan Nessus ou Qualys produit une liste de CVE potentielles en quelques heures basées sur les versions détectées ; un pentest est une démarche humaine de 5 à 15 jours qui chaîne les vulnérabilités et prouve leur exploitabilité réelle. Les deux prestations ont des objectifs, livrables, durées et prix radicalement différents : scan 1 à 5 k€ en ponctuel, pentest 10 à 80 k€ par engagement, red team 60 à 200 k€, DORA TLPT 150 à 500 k€. Les conformités réglementaires distinguent strictement les deux : PCI DSS v4.0 exige à la fois 11.2 scan trimestriel et 11.3 pentest annuel. Cet article clarifie les définitions précises, compare méthodologies et livrables, détaille les coûts France 2026, les cas d'usage par modalité (pentest vs red team vs bug bounty), les exigences réglementaires et les pièges commerciaux classiques. Sources : PTES, OSSTMM, OWASP Testing Guide v4.2, PCI DSS v4.0, DORA règlement UE 2022/2554, cabinets pentest France 2024.

1. Définitions précises : VA, VAPT, pentest

Les trois termes désignent des prestations distinctes bien que parfois combinées dans une même offre commerciale.

1.1 Vulnerability Assessment (VA)

Démarche automatisée qui identifie les vulnérabilités connues sur un périmètre d'actifs techniques (serveurs, applications, réseau, cloud). Repose sur des scanners qui comparent les versions détectées aux bases CVE et vérifient la présence de signatures.

• Durée typique : 1-3 jours par passe, automatisable en continu.
• Effort humain : très limité (paramétrage initial, tri post-scan).
• Livrable : rapport CVE avec sévérité CVSS, recommandations génériques par catégorie.
• Outils leaders 2026 : Tenable Nessus et Tenable.io, Qualys VMDR, Rapid7 InsightVM, OpenVAS/Greenbone (open source), Tenable Nessus Expert.

1.2 Penetration Testing (pentest)

Démarche humaine manuelle qui exploite effectivement les vulnérabilités identifiées, chaîne les découvertes, et prouve l'impact business réel d'une attaque plausible. Suit une méthodologie structurée (PTES, OWASP Testing Guide, NIST SP 800-115).

• Durée typique : 5-15 jours pour un périmètre applicatif, 10-20 jours pour infra.
• Effort humain : 100 %, expertise offensive rare et chère.
• Livrable : rapport technique détaillé avec narration kill chain, preuves d'exploitation, remédiations priorisées business.
• Pratiqué par : pentesters certifiés OSCP/OSEP/CRTP, cabinets spécialisés.

1.3 VAPT (Vulnerability Assessment and Penetration Testing)

Prestation combinée qui enchaîne un scan automatisé puis une phase manuelle d'exploitation. Le VA fournit une cartographie rapide, le PT valide et approfondit les findings critiques, chasse les vulnérabilités non-signaturables et construit les scénarios d'attaque complets.

• Durée typique : 7-20 jours cumulés.
• Livrable : rapport unifié intégrant scan automatisé et exploitation manuelle, avec corrélation findings automatiques et validation manuelle.
• Origine du terme : consulting anglo-saxon (Inde, Moyen-Orient, certaines agences américaines), usage PCI DSS historique. Moins utilisé en France où on parle généralement d'« audit de vulnérabilité + pentest ».

2. Comparaison méthodologique détaillée

Différences fondamentales à retenir

• Un scan détecte ce qui est connu et signable. Un pentest détecte ce qui est exploitable, y compris les failles logiques non signaturables.
• Un scan liste des symptômes ; un pentest construit une narration d'attaque.
• Un scan donne une photographie ; un pentest donne un film.

3. Comparaison des livrables

Le livrable est la matérialisation concrète de la différence entre les prestations. Un comparatif structurel France 2026.

3.1 Rapport Vulnerability Assessment

• Executive summary : distribution par sévérité, tendance vs scan précédent.
• Liste des findings : généralement 50-500+ par périmètre moyen, table exportable CSV ou PDF.
• Détails par CVE : CVSS v3.1 ou v4.0, CWE, description générique éditeur, hôtes affectés.
• Recommandations : patch, upgrade version, désactivation service, config hardening générique.
• Tri post-scan nécessaire : 30-60 % faux positifs ou non applicables, travail de validation interne indispensable.

3.2 Rapport Pentest

• Executive summary (2-3 pages) : contexte, périmètre, risque global en langage COMEX, 3-5 findings critiques mis en avant.
• Synthèse vulnérabilités : 10-40 findings typiquement, tous validés manuellement.
• Kill chain narrative : récit chronologique « j'ai obtenu X puis j'ai utilisé X pour obtenir Y » avec captures horodatées.
• Détails par finding : description, preuves de concept exploitable, impact business concret, recommandation priorisée, re-test plan.
• Mapping frameworks : OWASP Top 10, CWE, MITRE ATT&CK, ASVS, CVSS, éventuellement correspondance référentiel client (NIST CSF, ISO 27001, PCI DSS).
• Annexes : outils utilisés, configuration, scripts publics, logs.

3.3 Rapport VAPT

Combine les deux avec une logique de corrélation et priorisation :

• Section VA : scanner output agrégé, dédoublonnée.
• Section PT : validation manuelle des findings VA critiques + vulnérabilités additionnelles non détectées par scan.
• Matrice finale : findings avec indication origine (scanner, manuel, corrélé), criticité re-notée après validation manuelle, recommandations consolidées.

4. Comparaison des coûts France 2026

Ordres de grandeur observés sur le marché français 2024-2026, médianes cabinets spécialisés.

Facteurs de variation prix

• Périmètre : taille applicatif (nombre endpoints, features), infra (nombre d'hôtes, trusts AD), complexité métier.
• Profondeur : black box, grey box (credentials fournis), white box (accès code source).
• Séniorité : junior à TJM 500-700 €, confirmé 700-900 €, senior 900-1 200 €, lead ou expert 1 200-1 500 €.
• Urgence : prestation en 2 semaines vs 8 semaines peut ajouter 20-40 %.
• Exigences contractuelles : PASSI LPM (OIV), clearance habilitation défense, NDA renforcé.

5. Cas d'usage : quand utiliser quoi ?

Décision matrice simplifiée selon contexte opérationnel.

5.1 Cas appelant un VA continu

• Parc important d'actifs (plus de 200 serveurs, plus de 100 applications) à monitorer.
• Rotation fréquente (cloud, conteneurs, IaaS) où les actifs apparaissent et disparaissent.
• Veille CVE proactive : dès qu'une CVE critique sort (Log4Shell CVE-2021-44228, xz-utils CVE-2024-3094), identifier rapidement les systèmes affectés.
• Conformité PCI DSS 11.2 : scans trimestriels internes + ASV (Approved Scanning Vendor) externe obligatoires.

5.2 Cas appelant un pentest

• Mise en production d'une application critique : SaaS, API métier, application financière.
• Refonte architecturale majeure : migration cloud, passage à une nouvelle stack.
• Conformité réglementaire imposant : PCI DSS 11.3, DORA TLPT, NIS 2 entité critique, PASSI LPM.
• Post-incident : validation effective des correctifs appliqués.
• Logique métier critique (workflows de paiement, gestion de droits complexes, business flows API) que le scanner ne sait pas tester.

5.3 Cas appelant un red team

• Entité mature avec blue team opérationnel (SOC L1-L2-L3, EDR, SIEM) à tester en conditions réelles.
• Exigence TIBER-EU ou DORA TLPT pour banque systémique ou assurance critique.
• Validation de la posture globale (humains + processus + technologie), pas uniquement d'un périmètre technique.
• Période post-investissement sécurité majeure : vérifier le ROI en conditions réalistes.

5.4 Cas appelant un bug bounty

• Surface externe vaste et évolutive : plateforme SaaS B2C ou B2B avec nombreux endpoints publics.
• Volonté de continuité : couverture 365 jours par an plutôt que snapshot annuel.
• Budget variable : payer les vulnérabilités trouvées plutôt que des jours de consultant.
• Organisation AppSec mature capable de trier et répondre aux reports en moins de 48h.

6. Comparaison avec d'autres modalités offensives

Tableau récapitulatif pour situer chaque offre par rapport à son écosystème.

7. Exigences réglementaires France 2026

Les référentiels réglementaires distinguent strictement les prestations. Mauvais appariement = non-conformité.

7.1 PCI DSS v4.0 (obligatoire depuis mars 2024)

• Exigence 11.2 : scans de vulnérabilité trimestriels internes + scan externe ASV (Approved Scanning Vendor).
• Exigence 11.3 : test d'intrusion annuel manuel par personne qualifiée, applicatif + réseau.
• Les deux sont obligatoires. Un VAPT annuel peut couvrir la 11.3 mais jamais la 11.2 (fréquence insuffisante).

7.2 ISO/IEC 27001:2022

• Contrôle 8.8 : management of technical vulnerabilities (processus d'identification, évaluation, traitement).
• Pas de prescription formelle VA ou PT ; l'auditeur attend néanmoins un programme structuré incluant les deux.
• Pattern classique en entreprise certifiée : VA trimestriel + pentest annuel par périmètre critique.

7.3 NIS 2 (transposition France octobre 2024)

• Article 21 : mesures techniques et organisationnelles, incluant tests réguliers de cybersécurité.
• Entités essentielles (EE) et importantes (EI) visées.
• Interprétation ANSSI : pentest annuel minimum pour EE critique, tests appropriés pour EI.

7.4 DORA (Digital Operational Resilience Act, règlement UE 2022/2554)

• Applicable depuis janvier 2025 aux entités financières européennes.
• Article 26 DORA : Threat-Led Penetration Testing (TLPT) pour les entités critiques, tous les 3 ans minimum.
• Méthodologie alignée sur TIBER-EU (BCE, 2018).
• Prestataires TLPT soumis à critères d'éligibilité stricts.

7.5 PASSI LPM (ANSSI)

• Qualification Prestataire d'Audit de la Sécurité des Systèmes d'Information pour les audits LPM (Loi de Programmation Militaire) applicables aux OIV.
• Couvre 5 portées d'activité : audit architecture, audit configuration, audit code, pentest, audit organisationnel.
• Obligatoire pour auditer les systèmes d'information d'importance vitale (SIIV) des OIV.

8. Pièges commerciaux et comment les éviter

Cinq pièges classiques constatés chez des clients finaux 2024-2026.

8.1 « Pentest » qui est en réalité un scan Nessus

Une ESN généraliste vend une prestation « pentest web » à 5-8 k€ pour 2-3 jours d'effort. Lecture attentive du livrable : 100 % output Nessus sans aucune exploitation manuelle. Le test de véracité : demander la part d'effort manuel en jours/homme, et demander des exemples de findings non détectables par scanner (logique métier, chaînage, business flows).

8.2 « VAPT » qui est un package 80 % scan

Certains cabinets facturent 25 k€ un VAPT dont 15 jours de scan automatisé et 3 jours d'effort manuel. Demander la répartition contractuelle avant signature.

8.3 « Red team » qui est un pentest déguisé

Une prestation 10 jours facturée red team est un pentest classique rebaptisé. Un vrai red team dure 4-12 semaines, inclut OSINT, phishing, evasion EDR, C2 infrastructure. Vérifier la méthodologie, les frameworks C2 utilisés (Cobalt Strike, Sliver, Havoc), l'encadrement TIBER-EU ou DORA si applicable.

8.4 Pentester sans expérience réelle

Un CV junior fraîchement OSCP ne vaut pas un senior 5 ans d'expérience pour un pentest d'application métier complexe. Demander les CVs des pentesters affectés, les CVEs publiées, les confs données, les engagements passés comparables.

8.5 Rapport générique réutilisé

Un rapport pentest doit être spécifique au contexte client. Méfiance si le rapport est rédigé en 2-3 jours après la fin d'engagement ; un bon rapport nécessite 20-30 % du temps total de mission en rédaction seule.

def evaluer_offre_pentest(jours_total, ratio_manuel_min=0.6):
    """
    Évalue la crédibilité d'une offre pentest par ratio effort manuel.
    Un pentest légitime a au minimum 60 pourcent d'effort humain manuel.
    """
    if ratio_manuel_min < 0.3:
        verdict = "Probablement un scan automatisé rebadgé"
    elif ratio_manuel_min < 0.6:
        verdict = "Plutôt un VAPT package que pentest pur"
    else:
        verdict = "Cohérent avec une prestation pentest"
 
    return {
        "jours_total": jours_total,
        "jours_manuel_minimum": round(jours_total * ratio_manuel_min),
        "verdict": verdict,
    }
 
# Offre cabinet typique pour pentest web 10 jours
offre_web = evaluer_offre_pentest(jours_total=10, ratio_manuel_min=0.75)
# Résultat : { jours_manuel_minimum: 8, verdict: "Cohérent avec une prestation pentest" }

9. Cadence recommandée pour une organisation mature 2026

Mix type pour une ETI ou grande entreprise française 2026 sans contrainte réglementaire extrême.

Ajustements contextuels

• Banque systémique ou assureur critique (DORA) : ajouter 150-500 k€ TLPT tous les 3 ans.
• OIV/OSE (LPM/NIS 2) : audit PASSI annuel obligatoire, 30-80 k€ par périmètre.
• PME avec un seul produit SaaS : ramener à VA + pentest annuel = 30-80 k€/an.

Points clés à retenir

• VA, pentest, VAPT sont distincts : scan automatisé (VA), exploitation manuelle (pentest), combinaison des deux (VAPT).
• VA détecte des signatures, pentest prouve l'exploitabilité et chaîne les vulnérabilités.
• Coûts France 2026 : scan 1-5 k€, pentest 10-80 k€, red team 60-200 k€, DORA TLPT 150-500 k€.
• PCI DSS v4.0 impose les deux : 11.2 scan trimestriel + 11.3 pentest annuel, pas interchangeables.
• Red team ≠ pentest étendu : 4-12 semaines, stealth, emulation APT avec C2 infrastructure.
• Bug bounty = couverture continue crowd-sourced, complémentaire à pentest snapshot annuel.
• Cadence mature 2026 : VA continu + pentest annuel par périmètre + bug bounty externe + red team bi-annuel si maturité suffisante.
• Pièges commerciaux : scan rebadgé pentest, red team sur 10 jours, rapports génériques. Toujours demander la répartition effort manuel vs automatisé.

Pour aller plus loin

• Devenir pentester sans expérience — pillar pentest et prérequis.
• Méthodologie pentest Active Directory — approfondissement méthodologie AD.
• Roadmap pentest — skill tree pentest généraliste.
• Roadmap bug bounty — parcours complémentaire bug bounty.
• Salaire pentester — grilles côté consultant pentester.
• TJM pentester freelance — tarification freelance côté prestataire.