Retour aux actualitésPentest

    Test d'intrusion (pentest) : guide complet 2026 pour PME et ETI

    17 min de lecture

    Le test d'intrusion, ou pentest, est l'exercice par lequel des experts cyber simulent une attaque réelle pour identifier les vulnérabilités exploitables d'un système d'information. Imposé ou recommandé par NIS2, ISO 27001, DORA et la majorité des cyber-assureurs, il est devenu un passage obligé pour les PME et ETI françaises.

    Qu'est-ce qu'un test d'intrusion ?

    Un pentest est une évaluation offensive autorisée et encadrée de la sécurité d'un périmètre défini (application web, infrastructure, Active Directory, cloud, applicatif mobile, objet connecté, environnement industriel OT). Contrairement à un scan de vulnérabilités automatisé, le pentester exploite les failles pour démontrer leur impact réel.

    Différences avec un scan ou un audit

    • Scan de vulnérabilités : automatisé, identifie des CVE connues, beaucoup de faux positifs.
    • Audit de configuration : revue documentaire et technique des paramétrages.
    • Pentest : exploitation manuelle, créative, démontre l'impact métier.
    • Red Team : simulation d'attaque ciblée, longue durée (4 à 12 semaines), tous vecteurs (cyber, physique, social engineering).

    Les 3 modes de pentest

    • Boîte noire (black box) : aucune information fournie, le pentester part comme un attaquant externe. Réaliste mais coûteux.
    • Boîte grise (grey box) : un compte utilisateur standard est fourni. Meilleur ratio coût / couverture, recommandé pour la majorité des cas.
    • Boîte blanche (white box) : accès au code source, à l'architecture, comptes admin. Couverture maximale, idéal pour applications critiques avant mise en production.

    Méthodologie standard d'un pentest

    1. Cadrage et autorisation écrite (mandat, périmètre, fenêtre, contacts d'urgence).
    2. Reconnaissance (OSINT, énumération, cartographie).
    3. Identification des vulnérabilités (scans + analyse manuelle).
    4. Exploitation (preuve de concept, élévation de privilèges).
    5. Mouvement latéral et persistance (selon scope).
    6. Nettoyage (suppression des comptes, fichiers, backdoors créés).
    7. Restitution : rapport détaillé + restitution orale + plan de remédiation.

    Les méthodologies de référence sont PASSI (ANSSI), OWASP Testing Guide (web), OWASP MASTG(mobile), PTES et NIST SP 800-115.

    Les types de pentest les plus demandés en 2026

    • Pentest applicatif web : le plus fréquent, suit l'OWASP Top 10 (injections, IDOR, SSRF, désérialisation).
    • Pentest Active Directory / Entra ID : indispensable, vecteur n°1 des ransomwares (Kerberoasting, AS-REP Roasting, abus délégations).
    • Pentest infrastructure externe : surface d'attaque exposée sur Internet.
    • Pentest interne : simule un attaquant ayant pied dans le réseau (collaborateur, prestataire, poste compromis).
    • Pentest cloud (Azure, AWS, GCP, Microsoft 365) : permissions IAM, mauvaises configurations, secrets exposés.
    • Pentest mobile (iOS/Android), API REST/GraphQL, IoT, OT/ICS.
    • Phishing simulé / ingénierie sociale ciblé sur les collaborateurs.

    Que contient un bon rapport de pentest ?

    • Synthèse exécutive (1 à 2 pages) lisible par la direction.
    • Cartographie de l'exposition et niveau de risque global.
    • Vulnérabilités classées par criticité (CVSS 3.1 ou 4.0) avec preuves de concept.
    • Scénarios d'attaque réels reconstruits étape par étape.
    • Recommandations priorisées court / moyen / long terme avec coût estimé.
    • Annexes techniques reproductibles pour les équipes IT.
    • Un contre-test 1 à 3 mois plus tard pour valider les corrections.

    Combien coûte un pentest en 2026 ?

    • Pentest applicatif web simple (5 jours) : 5 000 à 9 000 € HT.
    • Pentest application web complexe + API (10–15 jours) : 12 000 à 25 000 € HT.
    • Pentest infrastructure interne / Active Directory (10 jours) : 10 000 à 18 000 € HT.
    • Pentest cloud Azure / AWS (8–12 jours) : 9 000 à 18 000 € HT.
    • Red Team complète (4–8 semaines) : 60 000 à 150 000 € HT.

    À quelle fréquence faire un pentest ?

    • Annuellement au minimum sur l'infrastructure et l'AD.
    • À chaque mise en production majeure d'une application web ou mobile.
    • Après tout changement structurant (fusion-acquisition, migration cloud, nouveau prestataire critique).
    • Avant la souscription d'une cyber-assurance : la plupart des assureurs l'exigent.
    • Tous les 3 ans : un Red Team plus large.

    Pentest et conformité : ce qu'imposent les textes

    • NIS2 : « tests de sécurité » exigés au titre de l'article 21 (gestion des risques).
    • DORA : tests de résilience opérationnelle, dont TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités les plus significatives.
    • ISO 27001:2022 : contrôle A.8.29 (tests de sécurité dans le développement et l'acceptation).
    • RGPD : article 32 (mesures techniques appropriées) — les pentests sont une preuve majeure.
    • PCI-DSS : pentest annuel obligatoire pour le traitement de cartes bancaires.

    Comment choisir son prestataire de pentest ?

    1. Qualification PASSI de l'ANSSI (gage de méthodologie et de déontologie).
    2. Certifications individuelles des consultants : OSCP, OSEP, OSWE, CRTP, CRTO, GPEN.
    3. Références sectorielles vérifiables.
    4. Capacité à contextualiser le risque métier, pas uniquement technique.
    5. Engagement de confidentialité fort et hébergement des preuves en France/UE.
    6. Inclusion d'un contre-test dans le forfait.

    Erreurs fréquentes à éviter

    • Confondre scan automatique et pentest (et payer le prix d'un pentest pour un scan).
    • Limiter le scope au point de masquer les vrais risques.
    • Ne pas associer la DSI et les équipes Dev au cadrage.
    • Oublier le pentest interne : 90 % des compromissions critiques se jouent après l'intrusion initiale.
    • Ne pas suivre le plan de remédiation : un rapport non corrigé n'a aucune valeur.

    Conclusion

    Le pentest est l'outil le plus rentable pour transformer la sécurité théorique en sécurité éprouvée. Bien cadré, conduit par des experts qualifiés et suivi d'un plan de remédiation rigoureux, il fait la différence entre une PME qui « pense » être protégée et une PME qui l'est réellement.

    CyberConform cadre, pilote et exploite les pentests pour ses clients PME et ETI, en lien avec des prestataires PASSI sélectionnés. Contactez nos experts pour un diagnostic gratuit de 15 minutes.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit