Cybersécurité

Test d'intrusion (pentest) en entreprise : types, déroulé et cadre

Test d'intrusion en entreprise : types, phases NIST SP 800-115, cadre juridique, qualification PASSI et intégration dans la gouvernance NIS2 et ISO 27001.

Marc Aubert · Mis à jour le par Marc Aubert

Face à la recrudescence des incidents documentés par l’ANSSI (1 112 événements signalés en 2023, dont 187 intrusions avérées confirmées, exploitant majoritairement des vulnérabilités non patchées ou des erreurs de configuration), le test d’intrusion reste l’un des rares dispositifs permettant de confronter la posture de sécurité d’une organisation à une simulation d’attaque réaliste. Pour un DSI ou un RSSI, commander un pentest ne se réduit pas à cocher une case de conformité : c’est un acte de gouvernance technique qui exige une préparation rigoureuse, un cadre contractuel solide et une exploitation méthodique des résultats.

Ce qu’est (et n’est pas) un test d’intrusion

Un test d’intrusion (pentest, contraction de penetration test) consiste à mandater un ou plusieurs auditeurs spécialisés pour rechercher et exploiter, de façon contrôlée, les vulnérabilités d’un périmètre défini : infrastructure réseau, applications web, Active Directory, systèmes industriels (OT/SCADA), API, ou combinaison de ces cibles.

Il se distingue de plusieurs pratiques voisines :

  • Scan de vulnérabilités : automatisé, il détecte des failles connues mais ne les exploite pas et génère un volume élevé de faux positifs. C’est un prérequis utile, pas un substitut au pentest.
  • Audit de configuration : revue des paramètres d’un équipement ou d’un service vis-à-vis d’un référentiel (CIS Benchmarks, guide ANSSI). Complémentaire, il n’éprouve pas les enchaînements d’attaque.
  • Red team : engagement offensif avancé, multi-vecteurs, sur plusieurs semaines. Distinct du pentest classique par sa durée, son caractère adversarial persistant et l’absence de connaissance préalable côté équipes défensives (souvent seul le RSSI est informé).

La cybersécurité en entreprise repose sur une combinaison de ces approches, calibrée selon le niveau de maturité et les enjeux métier.

Les types de pentest : boîte noire, grise, blanche

Le niveau d’information fourni au prestataire avant l’engagement conditionne la profondeur et le réalisme du test.

TypeInformation fournieRéalisme attaquantCouverture techniqueUsage typique
Boîte noire (black box)Cible seule (URL, IP)Maximal (scénario externe)Partielle (temps limité)Validation exposition externe
Boîte grise (grey box)Comptes, documentation partielleModéré (insider partiel)ÉquilibréeApplication web, API, AD
Boîte blanche (white box)Code source, schémas, accès completsFaible (non représentatif)MaximaleAudit applicatif approfondi, revue de code
Red teamAucune (seul objectif final connu)Maximal (APT simulé)Large (multi-vecteurs)Maturité SOC, détection et réponse

Pour la majorité des organisations, le test en boîte grise offre le meilleur rapport couverture/coût. La boîte noire pure, si elle simule fidèlement un attaquant externe, peut produire des résultats moins exhaustifs : le pentester consacre une fraction du temps à la reconnaissance que l’organisation aurait pu lui fournir directement.

Les cinq phases d’un pentest

La méthodologie de référence est formalisée par le NIST SP 800-115 et les guides sectoriels ANSSI. Les phases se déroulent ainsi :

1. Cadrage et reconnaissance (Scoping & Recon)

Définition du périmètre contractuel, des fenêtres horaires autorisées, des systèmes exclus (production critique, SCADA, tiers). La reconnaissance passive (OSINT, Shodan, certificats TLS, dépôts publics) précède toute interaction active. MITRE ATT&CK (attack.mitre.org) fournit la taxonomie de référence pour structurer les TTPs (Tactics, Techniques, Procedures) employées.

2. Cartographie et énumération

Identification des services exposés, des versions logicielles, des comptes, des relations d’approbation (trusts AD). Les outils courants incluent Nmap, Nessus, BloodHound (pour AD) et Burp Suite (applicatif web).

3. Exploitation

Enchaînement des vulnérabilités identifiées pour obtenir un accès, élever les privilèges ou se déplacer latéralement. Un auditeur qualifié combine plusieurs failles de faible criticité individuelle : misconfiguration, credential stuffing (tentatives d’authentification avec des identifiants issus de fuites de données), CVE non patchée, pour atteindre un objectif à fort impact. C’est la phase différenciatrice du pentest face au simple scan automatisé.

4. Post-exploitation et documentation

Démonstration de l’impact réel : extraction d’un fichier sensible, capture d’un hash d’administrateur de domaine, pivot vers un segment isolé. Chaque action est documentée avec horodatage, captures d’écran et commandes exactes pour permettre la reproductibilité et guider la remédiation.

5. Restitution et rapport

Le livrable comprend un résumé exécutif (pour la direction), un rapport technique détaillé par vulnérabilité avec score CVSS (v3.1 ou v4.0, sorti en novembre 2023), preuves, recommandations, et une priorisation par criticité et facilité de remédiation. La phase de retest, quelques semaines après correction, valide l’efficacité des mesures prises et est généralement négociée contractuellement dès le cadrage.

Cadre juridique : une obligation de formalisation

En France, l’article 323-1 du Code pénal punit l’accès frauduleux à un système de traitement automatisé de données (STAD). L’autorisation explicite du commanditaire est donc la condition sine qua non de légalité d’un pentest.

Les documents contractuels indispensables sont :

  • Lettre d’autorisation (Letter of Engagement) : signée par le représentant légal, elle précise le périmètre IP/URL, la période d’exécution, les techniques autorisées ou interdites (par exemple : phishing non autorisé sur des utilisateurs non informés, absence de déni de service).
  • Accord de confidentialité (NDA) : les vulnérabilités découvertes constituent des informations stratégiques sensibles dont la divulgation non contrôlée peut aggraver le risque résiduel.
  • Notification aux hébergeurs et fournisseurs cloud : AWS, Azure et GCP disposent de politiques de test qui exigent une notification préalable au-delà d’un certain périmètre. Le non-respect expose à une suspension de compte, indépendamment de l’autorisation du commanditaire.

Pour les entités financières soumises à DORA (applicable depuis le 17 janvier 2025), les tests TLPT (Threat-Led Penetration Tests) suivent le cadre TIBER-EU, piloté par les autorités compétentes (ACPR en France), avec un fournisseur de renseignement sur les menaces distinct du prestataire de test.

Choisir un prestataire : la qualification PASSI

La qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) délivrée par l’ANSSI est le label de référence en France. Elle atteste de la compétence technique des auditeurs, de la qualité des méthodologies et de la confidentialité des processus. La liste des prestataires qualifiés est publique sur le site de l’ANSSI.

Les critères de sélection complémentaires pour un DSI ou RSSI incluent :

  • L’expérience sectorielle (finance, santé, industrie, collectivités ont des contraintes spécifiques).
  • La capacité à couvrir les périmètres OT/SCADA si l’environnement est industriel.
  • La qualité des rapports antérieurs (demander un rapport anonymisé en référence).
  • La politique de divulgation responsable : si une vulnérabilité critique est découverte en production, quel est le protocole d’alerte immédiat ?

La certification OSCP (Offensive Security Certified Professional) ou GPEN (GIAC Penetration Tester) des consultants est un indicateur de compétence individuelle, mais elle ne remplace pas la qualification institutionnelle PASSI pour les marchés publics ou les audits sous contrainte réglementaire.

Intégrer le pentest dans la stratégie de sécurité

Un pentest isolé produit une photographie à un instant T. Pour qu’il génère une amélioration durable, il doit s’inscrire dans un cycle de gouvernance structuré.

L’articulation recommandée est la suivante :

  • Annuellement : pentest infrastructure et applicatif sur les actifs critiques, aligné sur la campagne de mise à jour du plan de traitement des risques EBIOS RM (voir le guide EBIOS Risk Manager).
  • A chaque évolution majeure : déploiement d’une nouvelle application, migration cloud, ouverture d’un accès partenaire. Le pentest devient alors un gate de mise en production.
  • Tous les deux à trois ans : exercice red team pour tester la capacité de détection et de réponse du SOC/CSIRT, notamment la couverture des TTPs documentées dans MITRE ATT&CK.

Les résultats alimentent directement la gestion de la posture de sécurité cloud si l’infrastructure est hybride ou multi-cloud : un pentest révèle fréquemment des misconfigurations IAM, des buckets S3 ou des blobs Azure Storage mal restreints, des secrets exposés dans des variables d’environnement ou des dépôts publics.

La boucle est fermée lorsque les vulnérabilités identifiées sont tracées dans un système de gestion des vulnérabilités, que les correctifs sont vérifiés lors du retest, et que les indicateurs de risque résiduels sont reportés au comité de direction dans le cadre du reporting RSSI. Un programme de pentest mature contribue également à la documentation de preuves exigées par NIS2 (article 21 sur les mesures de gestion des risques) et par ISO 27001:2022 (contrôle A.8.8 sur la gestion des vulnérabilités techniques), consolidant ainsi la cybersécurité d’entreprise sur le long terme.

Questions fréquentes

Quelle est la différence entre un pentest et un scan de vulnérabilités ?

Un scan de vulnérabilités est automatisé : il détecte des failles connues à partir de bases de signatures (CVE) mais ne les exploite pas et génère un volume élevé de faux positifs. Un test d'intrusion va plus loin : le prestataire enchaîne plusieurs vulnérabilités, y compris de faible criticité individuelle, pour démontrer un impact réel (élévation de privilèges, mouvement latéral, exfiltration). Le scan est un prérequis utile, pas un substitut au pentest.

La qualification PASSI est-elle obligatoire pour commander un pentest ?

Elle n'est pas légalement obligatoire pour toutes les organisations, mais elle est exigée pour les marchés publics et fortement recommandée pour les entités soumises à NIS2 ou DORA. Pour les TLPT encadrés par DORA, le cadre TIBER-EU impose des exigences supplémentaires pilotées par l'ACPR en France. En dehors de ces contextes réglementaires, la qualification PASSI reste le critère de sélection le plus fiable pour évaluer la compétence technique et la confidentialité du prestataire.

Quels documents contractuels sont indispensables avant de démarrer un pentest ?

Trois documents sont incontournables. La lettre d'autorisation (Letter of Engagement), signée par le représentant légal, précise le périmètre IP/URL, les fenêtres horaires, les techniques autorisées et les systèmes exclus. L'accord de confidentialité (NDA) protège les vulnérabilités découvertes contre toute divulgation non contrôlée. Enfin, la notification préalable aux hébergeurs et fournisseurs cloud (AWS, Azure, GCP) est requise au-delà d'un certain périmètre : son absence expose à une suspension de compte, indépendamment de l'autorisation du commanditaire.

A quelle fréquence faut-il réaliser un test d'intrusion ?

La pratique recommandée distingue trois rythmes : un pentest infrastructure et applicatif annuel sur les actifs critiques, aligné sur la mise à jour du plan de traitement des risques EBIOS RM ; un test à chaque évolution majeure (déploiement applicatif, migration cloud, ouverture d'un accès partenaire) utilisé comme gate de mise en production ; et un exercice red team tous les deux à trois ans pour évaluer la capacité de détection et de réponse du SOC/CSIRT. Ce cycle garantit que le pentest produit une amélioration continue et non une simple photographie ponctuelle.

Sources citées

  1. ANSSI, Panorama de la cybermenace 2023 : 1 112 événements signalés, 187 intrusions avérées confirmées - https://www.ssi.gouv.fr/actualite/panorama-de-la-cybermenace-2023/
  2. NIST SP 800-115, Technical Guide to Information Security Testing and Assessment - https://csrc.nist.gov/publications/detail/sp/800-115/final
  3. MITRE ATT&CK Framework, taxonomie TTPs - https://attack.mitre.org/
  4. ANSSI, liste des prestataires qualifiés PASSI - https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/
  5. Code pénal, article 323-1 - https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000028345220
  6. First.org, CVSS v4.0 specification (novembre 2023) - https://www.first.org/cvss/v4.0/specification-document
  7. BCE/TIBER-EU Framework - https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
#cybersécurité#pentest#test intrusion#ANSSI#PASSI#NIS2
Cybersécurité

Gestion des vulnérabilités : du CVE au patch en entreprise

CVE, CVSS, KEV, EPSS : comment bâtir un processus de gestion des vulnérabilités qui priorise sur le risque réel plutôt que sur le volume, en s'appuyant sur les sources officielles.
Cybersécurité

Assurance cyber : couverture, exclusions et prérequis 2026

Couverture, exclusions et prérequis techniques de l'assurance cyber en France en 2026 : ce que les DSI et RSSI doivent savoir avant de souscrire ou renouveler.
Cybersécurité

EBIOS Risk Manager : guide de la méthode ANSSI 2026 (les 5 ateliers)

EBIOS Risk Manager structure l'analyse de risque cyber en cinq ateliers. Voici la méthode ANSSI expliquée pas à pas, et son articulation avec NIS2 et DORA en 2026.