Pentest Externe 2026 : Black-Box ou Gray-Box, Guide

Un pentest externe évalue la résilience de l'attack surface exposée sur Internet : sites web, APIs publiques, VPN (SSL VPN, IPsec), services exposés (SMTP, IMAP, RDP, DNS, FTP), portails de prestataires, plateformes SaaS auto-hébergées. C'est la première ligne de défense — et celle la plus régulièrement testée car la moins risquée pour la production. Cette méthodologie 2026 détaille les phases d'un pentest externe black-box ou gray-box, les outils d'OSINT et de scan, les vulnérabilités les plus rencontrées sur le périmètre français (interfaces admin exposées, CVE non patchées sur VPN, secrets dans GitHub public), et le scoring CVSS adapté. Issue de 60+ missions PME et ETI françaises menées en 2024-2026.

1. Pentest externe — définition et périmètre

Un pentest externe est un test d'intrusion réalisé depuis Internet, simulant un attaquant sans accès interne préalable. Le périmètre couvre : (1) sites web (corporate, e-commerce, SaaS) ; (2) APIs publiques (REST, GraphQL, gRPC publiquement accessibles) ; (3) services exposés (mail SMTP/IMAP, DNS, VoIP, FTP, RDP, ZTNA, VPN SSL/IPsec) ; (4) infrastructure cloud publique (load balancers, CDN, buckets, fonctions serverless avec URL publique) ; (5) portails fournisseurs/prestataires (Citrix NetScaler, Pulse Secure, Fortinet SSL VPN, vCenter exposé, ESXi, Synology QuickConnect) ; (6) sous-domaines secondaires souvent oubliés (dev.example.com, staging.example.com, backup.example.com). Le mode black-box n'inclut que le nom de l'entreprise ou un domaine principal ; le pentesteur cartographie tout par OSINT. Le mode gray-box fournit la liste IP/domaines à tester explicitement.

2. Black-box vs gray-box — choisir le bon mode

Recommandation : pour la première mission externe chez un client, privilégier le black-box — c'est là qu'on trouve les shadow IT, les sous-domaines orphelins, les anciens VPN oubliés, les serveurs développement exposés. Pour les récurrences annuelles sur un périmètre déjà cartographié, le gray-box permet de gagner du temps et de focuser sur les nouveaux services.

3. Les 6 phases d'un pentest externe

Méthodologie standard alignée PTES + OWASP WSTG. Phase 1 — Cadrage (J-15 à J-1, 1-2 jours) : périmètre exact, modes autorisés, fenêtre temporelle (souvent hors heures ouvrées pour limiter impact), services à exclure (e-commerce en black friday : non !), points de contact, autorisation écrite, NDA, ROE. Phase 2 — OSINT et reconnaissance passive (J1, 1-1,5 jour) : Google dorks, Shodan, Censys, sub-domain enumeration, recherche GitHub leaks, archives Wayback, Hunter.io pour emails, theHarvester. Phase 3 — Reconnaissance active (J2, 0,5-1 jour) : scan Nmap full TCP/UDP, scan SSL/TLS (testssl.sh), scan DNS (dnsenum, dnsrecon), bruteforce sous-domaines (Subfinder, Amass active, Gobuster DNS). Phase 4 — Identification vulnérabilités (J3-J5, 2-3 jours) : Nuclei, Burp Suite, mise en regard avec CVE database, tests applicatifs OWASP Top 10. Phase 5 — Exploitation et chaînage (J5-J9, 3-5 jours) : exploitation contrôlée, chaînage POC, capture preuves. Phase 6 — Rapport et restitution (J9-J12, 2-3 jours).

4. Phase OSINT — cartographier sans toucher

La phase OSINT (Open Source Intelligence) est sous-estimée mais détermine 50 % de la valeur d'un pentest externe black-box. Cinq sources prioritaires : (1) Certificate Transparency logs via crt.sh, certspotter — révèle tous les sous-domaines ayant eu un certificat SSL ; (2) Shodan + Censys — moteurs de recherche services Internet exposés, services par bannière, CVE détectées, screenshots ; (3) GitHub / GitLab dorking — recherche de credentials, .env files, clés API, chemins internes avec org:targetcorp filename:.env ; (4) passive DNS via VirusTotal, SecurityTrails, PassiveDNS — historique des sous-domaines pointant vers les IP de l'entreprise ; (5) Wayback Machine pour pages disparues mais référencées (anciennes interfaces admin, anciennes endpoints API). Outils automatisant : Amass (OWASP, intel + enum), Subfinder (passive sub-domains), theHarvester (emails, sub-domains, IPs), OSINT framework pour requêtes manuelles. Voir OSINT et Reconnaissance Offensive : Du Renseignement.

5. Énumération de sous-domaines — la mine d'or

L'énumération sous-domaines est la phase la plus rentable. Sur 60+ missions 2024-2026, taux de shadow IT trouvé : 18 % des sous-domaines découverts ne figurent pas dans la documentation officielle du client. Combinaison : Subfinder + Amass intel + crt.sh + bruteforce DNS via dnsx avec wordlist Assetnote (10 M+ entrées). Commandes types : subfinder -d targetcorp.com -all -recursive | tee subs.txt, amass intel -d targetcorp.com -src, echo targetcorp.com | dnsx -resp-only -bruteforce -wordlist subdomains-top1million-110000.txt. Triage post-énumération : httpx pour identifier services HTTP actifs avec status code, titre, technologies (Wappalyzer), CDN, httpx -l subs.txt -title -tech-detect -status-code -follow-redirects. Cibles prioritaires : sous-domaines dev/staging/admin/test/backup/vpn/portal/api, domaines avec certificat self-signed ou expiré, domaines pointant vers IP différente du périmètre officiel.

6. Scan Nmap + Nuclei — bannière, version, CVE

Scan ports avec Nmap : commande type nmap -sS -p- --min-rate 1500 -oA scan_full target.com (tous ports TCP, sortie texte+grep+XML). Suivi par nmap -sV -sC -p 80,443,22,3389,8080,8443,vmware -oA scan_detail target.com pour fingerprinting détaillé. Détection version Nmap NSE scripts : --script=banner,http-title,ssl-cert,smb-os-discovery,vmware-version. Scan vulnérabilités : Nuclei (Project Discovery) avec sa base de 8 500+ templates communautaires : nuclei -u https://target.com -t cves/ -severity critical,high. Pour les services SSL/TLS : testssl.sh https://target.com détecte tous les défauts (POODLE, BEAST, Heartbleed, ROBOT, support cipher faibles). Identification CVE via cross-référence nmap -sV + searchsploit + vulners.com. Outils complémentaires : WhatWeb (technos web), Wappalyzer (browser extension), HTTPx (recon HTTP), Gobuster ou ffuf (fuzzing directories/files).

7. Top 5 findings 2024-2026 sur le périmètre français

Sur 60+ missions externes menées 2024-2026 chez PME et ETI françaises, cinq findings dominent. (1) Interfaces admin exposées sans IP allowlist : cPanel/WHM, Plesk, vCenter VMware, ESXi, Zimbra admin, Synology DSM, Citrix StoreFront → 67 % des missions trouvent au moins une interface non restreinte. (2) VPN avec CVE critiques non patchées : Fortinet SSL VPN (CVE-2024-21762, CVE-2025-32756), Citrix NetScaler (CVE-2023-3519, CVE-2024-8534, CVE-2026-3055), Pulse Secure (CVE-2024-37397), Ivanti Connect Secure (CVE-2024-21887) → 31 % des VPN trouvés non patchés > 60 jours. (3) Services obsolètes : Exchange 2013 EOL avril 2023, Windows Server 2012 R2 EOL octobre 2023, MySQL 5.7 EOL octobre 2023 → 24 % des missions trouvent au moins un service post-EOL exposé. (4) RDP exposé sans NLA ou avec NLA mais credentials faibles → 18 % des missions, exploitation immédiate avec hashcat dictionary attack. (5) Credentials par défaut sur produits ITSM/monitoring : PRTG admin/prtgadmin, GLPI glpi/glpi, Nagios nagiosadmin/nagiosadmin → 14 % des missions.

8. Exploitation applicatifs — OWASP Top 10

Sur les applications web découvertes, exploitation alignée OWASP Top 10 2021 : (1) Broken Access Control (A01) — tests d'IDOR, force browsing, BAC vertical/horizontal ; (2) Cryptographic Failures (A02) — TLS faibles, secrets en clair dans response/JWT ; (3) Injection (A03) — SQLi (sqlmap), command injection, SSRF, XXE ; (4) Insecure Design (A04) — workflow contournables, race conditions ; (5) Security Misconfiguration (A05) — directory listing, error verbose, debug enabled ; (6) Vulnerable and Outdated Components (A06) — Nuclei + composants Wappalyzer ; (7) Identification and Authentication Failures (A07) — bruteforce, session fixation, weak password reset ; (8) Software and Data Integrity Failures (A08) — JWT none algorithm, deserialization ; (9) Security Logging and Monitoring Failures (A09) ; (10) SSRF (A10). Outils : Burp Suite Pro reste indispensable (proxy + scanner + intruder + extensions), OWASP ZAP en alternative open source. Voir OWASP Top 10 : Guide Complet Vulnérabilités Web 2026.

9. Livrables d'un pentest externe

Mêmes livrables qu'un pentest interne mais focus différent : rapport exécutif centré sur l'attack surface et la facilité d'accès initial ; rapport technique par actif découvert avec scoring CVSS ; annexe inventaire exhaustive des sous-domaines + services + technologies + status. Une particularité du pentest externe : la cartographie d'attack surface est en elle-même un livrable à forte valeur — beaucoup de clients ne savent pas tout ce qu'ils exposent. Format type : tableur Excel avec colonnes [sous-domaine, IP, port, service, version, criticité, exposition, remédiation]. Pour les missions à forte volumétrie (50+ sous-domaines), exporter en CSV pour intégration dans Wazuh, Sentinel, ou tooling ASM (Attack Surface Management) du client.

10. Fréquence — annuel + scan continu

Fréquence pentest externe : annuel minimum, idéalement complété par : (1) scan continu d'attack surface via Nuclei + Subfinder en CRON (free) ou solutions managées (Detectify, Bishop Fox CAST, ImmuniWeb, Pentest People) ; (2) bug bounty privé ou public si maturité élevée (HackerOne, YesWeHack, Bugcrowd, Intigriti). Pour les organisations soumises NIS2 : pentest externe annuel + revue trimestrielle attack surface est devenu standard. Pour les e-commerce et FinTech : quadrimestriel recommandé compte tenu de la vitesse de changement. Voir Audit Cybersécurité PME 2026 pour l'articulation avec audit complet.

11. Réglementaire — NIS2, DORA, PCI DSS, RGPD

Plusieurs régulations exigent un pentest externe : (1) NIS2 (directive UE 2022/2555) — exigence "test de résilience" article 21.2.f, transposée en France 2025, pentest externe annuel implicite ; (2) DORA (règlement UE 2022/2554) — Threat-Led Penetration Testing (TLPT) tous les 3 ans pour entités financières critiques ; (3) PCI DSS v4 — pentest externe + interne annuel obligatoire (exigence 11.4), plus pentest après changement significatif ; (4) RGPD — pas d'exigence explicite mais obligation article 32 de "tester, analyser et évaluer régulièrement l'efficacité des mesures techniques" ; (5) HDS (Hébergeurs Données Santé) — pentest annuel exigé ; (6) LPM/OIV — audit PASSI obligatoire dont pentest externe. Voir NIS2 Directive et DORA.

12. Erreurs côté pentesteur et côté client

Erreurs récurrentes côté pentesteur : (1) oublier de cartographier les ASN du client (énumération via amass intel -asn ou Hurricane Electric BGP) ; (2) se limiter aux 443/80 sur le scan rapide — manquer services exposés sur ports non standards (8080, 8443, 8888, 9443) ; (3) ne pas tester l'email infrastructure (SPF, DKIM, DMARC, sender bypass) ; (4) ne pas requêter Shodan + Censys + GreyNoise systématiquement. Erreurs côté client : (1) cacher les shadow IT au pentesteur (pour limiter ego damage) — résultat : on les trouve quand même en black-box ; (2) fournir un périmètre figé n'incluant pas les acquisitions récentes ; (3) faire le pentest en plein Black Friday ou clôture comptable — risque sur production ; (4) ne pas patcher les findings critiques entre deux missions, donnant l'impression de stagnation.

Sources : OWASP Web Security Testing Guide v4.2 ; PTES (Penetration Testing Execution Standard) ; ANSSI guide PASSI 2025 ; NIS2 directive 2022/2555 transposition France 2025 ; PCI DSS v4 requirement 11.4 ; MITRE ATT&CK Initial Access tactic.

13. Articulation avec NIS2, DORA et ISO 27001 — comprendre les obligations 2026

Le sujet du pentest externe s'inscrit en 2026 dans un cadre réglementaire européen et français dense qui structure les obligations des organisations. Trois textes majeurs encadrent désormais la posture cyber. (1) Directive NIS2 (UE 2022/2555) transposée en droit français par la loi de novembre 2024 — élargit considérablement le périmètre par rapport à NIS1 : passage de ~300 à ~10 000 entités françaises classées soit Entités Essentielles (EE), soit Entités Importantes (EI). Les obligations centrales (article 21.2) incluent l'analyse de risques annuelle, la gestion des incidents avec notification ANSSI < 24h, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la sécurité de l'acquisition/développement/maintenance, l'évaluation de l'efficacité, la formation cyber, les politiques cryptographie et contrôle d'accès, l'authentification multifacteur. Les pratiques liées à pentest externe et l'attack surface management touchent directement plusieurs de ces obligations. (2) Règlement DORA (UE 2022/2554) applicable depuis janvier 2025 — concerne les entités financières (banques, assurances, sociétés de gestion, fintechs). Cinq piliers : gestion des risques ICT, gestion des incidents, tests de résilience opérationnelle (TLPT triennal pour entités critiques), gestion des risques tiers ICT, échange d'informations. (3) ISO 27001:2022 — norme internationale du SMSI avec 10 clauses de management et 93 contrôles Annexe A organisés en 4 thèmes : organisationnel, personnel, physique, technologique. La certification ISO 27001 fournit un cadre robuste qui couvre l'essentiel des exigences NIS2 et DORA, avec mapping documenté. Voir ISO 27001:2022 Guide Complet Certification Expert et NIS2, DORA et RGPD : Cartographie des Exigences Croisées.

14. KPI et indicateurs de pilotage — mesurer l'efficacité

Au-delà de la mise en œuvre initiale, le pilotage des sujets relatifs au pentest externe exige des indicateurs mesurables et révisés mensuellement ou trimestriellement. Cinq familles d'indicateurs structurent un tableau de bord cyber moderne 2026. (1) Couverture : pourcentage d'actifs couverts par la mesure (endpoints sous EDR, comptes en MFA, applications avec WAF, etc.) avec cible >= 95 % pour les mesures critiques. (2) Performance opérationnelle : MTTD (Mean Time To Detect) cible < 4h pour incident critique, MTTR (Mean Time To Respond) cible < 24h, taux de remédiation des vulnérabilités critiques dans le SLA (cible > 90 % patchés J+15 du Patch Tuesday). (3) Conformité : score d'audit interne ou externe (cible > 75/100), nombre de non-conformités majeures (cible 0 par trimestre), avancement plan d'action (cible > 80 % à 6 mois). (4) Maturité : score CMMI par domaine (Initial / Managed / Defined / Quantitatively Managed / Optimizing), évolution annuelle attendue +1 niveau par domaine prioritaire. (5) Risque résiduel : nombre de risques résiduels élevés non traités, valeur en € des risques résiduels selon analyse EBIOS RM, vraisemblance / gravité moyennes. Ces KPIs alimentent les revues de direction trimestrielles (ISO 27001 clause 9.3) et les rapports COMEX trimestriels. Voir Tableau de Bord KPI ISMS ISO 27004 : Excel.

15. Retour d'expérience terrain — 3 missions anonymisées

Trois cas concrets observés sur missions 2024-2026 illustrent les enjeux pratiques autour du pentest externe. Cas A — ETI industrielle 1 800 postes multi-sites (anonymisée) : initiative de modernisation de la posture cyber lancée en 2024 à la demande du COMEX après tentative de ransomware (chiffrement partiel évité grâce à EDR). Périmètre : 5 sites France + 2 Allemagne, AD complexe avec 3 forêts, mix Windows/Linux/OT. Démarche : audit complet (12 jours), pentest externe + interne (15 jours), pentest applicatif sur 2 apps métier critiques (10 jours), plan d'action 18 mois. Investissement total accompagnement : 380 000 € HT sur 18 mois (audits + remédiation + formation). Résultats à 18 mois : score posture cyber passé de 48/100 à 84/100, certification ISO 27001 obtenue, posture NIS2 conforme, 0 incident critique post-remédiation. Cas B — PME services 220 salariés (anonymisée) : remplacement d'un ancien prestataire d'audit jugé trop superficiel, demande pour audit complet en première intention. Périmètre : 1 site principal + 3 antennes commerciales, M365 + AD basique, 1 application web SaaS interne. Démarche : audit cybersécurité PME 15 contrôles (8 jours), pentest externe léger (4 jours), accompagnement remédiation 60 jours. Investissement : 22 000 € HT total. Résultats : MFA déployée 100 %, EDR en place sur 100 %, sauvegardes 3-2-1 testées trimestriellement, conformité cyber-assurance obtenue avec réduction de prime 18 %. Cas C — Collectivité 8 000 agents (anonymisée) : préparation à homologation RGS renforcée d'une plateforme de téléservices avec 1,2 M usagers. Périmètre : portail web, back-office, base de données, intégrations multiples (FranceConnect, INSEE, ANTAI). Démarche : analyse EBIOS RM (3 mois), audit PASSI architecture + configuration + tests d'intrusion (6 semaines), constitution dossier d'homologation, commission, signature. Investissement : 145 000 € HT. Résultats : homologation niveau renforcé délivrée fin 2025, validité 3 ans avec revue annuelle, intégration smooth avec FranceConnect+, fréquentation usagers en croissance +27 %.

16. Erreurs fréquentes et bonnes pratiques 2026

Six erreurs récurrentes observées sur les sujets liés au pentest externe en 2024-2026, et leurs contournements. Erreur 1 — démarrage sans cadrage : se lancer dans la mise en œuvre sans phase préalable d'analyse de contexte, d'inventaire et de cartographie. Conséquence : périmètre mal défini, budget dérapant, livrable inadapté. Bonne pratique : 5-10 % du temps total en cadrage, ateliers contradictoires avec parties prenantes, RACI clair. Erreur 2 — copier-coller des bonnes pratiques sans adaptation : appliquer une checklist générique sans contextualiser à la taille, secteur, contraintes de l'organisation. Conséquence : surinvestissement ou sous-investissement, démotivation équipe. Bonne pratique : référentiel proportionné au profil (CIS Implementation Group 1 pour PME, IG2 pour ETI, IG3 pour grands comptes). Erreur 3 — focus sur l'outil au détriment du processus : acheter une solution technique (EDR, SIEM, IAM) sans définir au préalable les processus opérationnels et les rôles. Conséquence : outil sous-exploité, alertes ignorées, ROI faible. Bonne pratique : processus avant outil, formation équipes, runbooks documentés. Erreur 4 — absence de plan post-projet : finaliser la mise en œuvre sans plan de continuité opérationnelle, de revue périodique, de mise à jour. Conséquence : dérive lente de la posture, retour à l'état initial en 12-24 mois. Bonne pratique : plan annuel de mise à jour, revue trimestrielle KPI, audit annuel externe. Erreur 5 — sous-estimation de la conduite du changement : déployer techniquement sans accompagner les utilisateurs et opérationnels. Conséquence : résistance, contournements (post-it mots de passe, désactivation MFA, etc.). Bonne pratique : 15-25 % du budget projet en communication, formation, support. Erreur 6 — pas d'évaluation indépendante : s'auto-évaluer sans regard externe critique. Conséquence : angle mort persistants, biais de confirmation. Bonne pratique : audit externe annuel par prestataire différent de l'intégrateur, alternance des auditeurs tous les 2-3 ans.

17. Écosystème des acteurs cyber français 2026

L'écosystème cyber français en 2026 comporte plusieurs catégories d'acteurs complémentaires à mobiliser selon les besoins liés au pentest externe. (1) Cabinets de conseil cyber généralistes : Big 4 (Deloitte, EY, KPMG, PwC), Capgemini, Sopra Steria, Atos Eviden, Wavestone, Mazars, Beijaflore. Forces : couverture globale, références grands comptes, méthodologies normalisées. Limites : prix élevés, parfois trop pyramidal. (2) Cabinets cyber spécialisés : Synacktiv, Wallix, Stormshield Audit, Almond, Devoteam Cyber Trust, Wavestone Cybersecurity, Algosecure, Itrust, HarfangLab Services, et acteurs régionaux. Forces : expertise technique pointue, agilité, prix compétitifs. Limites : ressources limitées sur très gros projets. (3) Cabinets d'expertise pure-players souvent < 30 consultants, spécialisés (AD, cloud, OT, IA security) — typiquement ce que nous représentons. Forces : profondeur d'expertise, contact direct expert, flexibilité. Limites : capacité limitée projet très grande taille. (4) MSSP et MDR managés : Orange Cyberdefense, Thales Cyber Solutions, Atos Big Fish, Sopra Steria CyberSecurity Services. Forces : opérations 24/7, SLA, mutualisation. (5) Solutions software éditeurs : Wallix (PAM), Stormshield (UTM), Tehtris (XDR), HarfangLab (EDR), Datadog (observability), Snyk (DevSecOps). (6) Acteurs publics : ANSSI (autorité nationale), CERT-FR, Cybermalveillance.gouv.fr, France 2030 / Plan France Relance cyber, BPI France Diag Cyber, régions (BoosterCyber Île-de-France). (7) Communautés et écosystème : Clusif, Hexatrust, FIC (Forum International de la Cybersécurité, devenu InCyber Forum), Le Hack, BSides Paris, OSSIR, Cesin. Construire un écosystème de prestataires complémentaires plutôt que dépendre d'un acteur unique réduit le risque et améliore la couverture expertise.

FAQ

Quel est le mode recommandé pour un premier pentest externe ?

Pour une première mission, privilégier le black-box : le pentesteur fait l'OSINT complet et trouve les sous-domaines orphelins, shadow IT, services oubliés que le client ne savait pas exposer. C'est généralement là qu'on trouve les findings les plus critiques (interfaces admin vCenter exposées, VPN avec CVE, backups exposés). Pour les missions récurrentes annuelles : gray-box pour focus efficacité.

Combien de sous-domaines trouve-t-on en moyenne sur un domaine corporate français ?

Sur 60+ missions 2024-2026 : moyenne 42 sous-domaines découverts pour les PME (300-500 employés), 180 sous-domaines pour les ETI (2 000-5 000 employés). Dont 18 % en moyenne sont du shadow IT non documenté par la DSI. Les sous-domaines les plus à risque : dev, staging, test, backup, vpn, portal, api, admin, support.

Faut-il prévenir le SOC client avant un pentest externe ?

Oui systématiquement, mais sans donner les dates exactes (sauf si exigence opérationnelle particulière). Approche standard : (1) informer le RSSI et le SOC du calendrier indicatif (fenêtre 2-3 semaines), (2) communiquer l'IP source pentesteur pour whitelist temporaire si nécessaire, (3) garder le numéro d'urgence direct pour annulation en cas d'incident production. En red team, le SOC n'est pas prévenu pour mesurer la détection — mais c'est une variante avancée.

Quels outils utiliser pour un pentest externe en 2026 ?

Stack incontournable 2026 : Amass, Subfinder, Httpx, Nuclei, Nmap, testssl.sh, Burp Suite Pro, Gobuster/ffuf, SQLmap, theHarvester, Shodan/Censys CLI, WhatWeb/Wappalyzer, OWASP ZAP. Tous open source sauf Burp Suite Pro (450 €/an, mais standard de l'industrie). Voir Boîte à Outils Pentest 2026.

Combien de temps prend un pentest externe pour une PME française ?

Pour une PME avec 1-5 sous-domaines déclarés + ASN propre : 5 à 8 jours ouvrés, budget 5 000-12 000 € HT. Pour une PME avec 30+ sous-domaines et plusieurs sites cloud : 10-15 jours ouvrés, budget 12 000-22 000 € HT. Pour une ETI avec 100+ sous-domaines, services SaaS et VPN multiples : 15-25 jours ouvrés, budget 22 000-50 000 € HT.

Pour aller plus loin

• Pentest Interne 2026 : Méthodologie & Livrables
• Pentest Entreprise 2026 : Méthodologie & Rapport Type
• OSINT et Reconnaissance Offensive : Du Renseignement
• OWASP Top 10 : Guide Complet Vulnérabilités Web 2026
• Boîte à Outils Pentest 2026 : 50 Outils Essentiels
• Notre service Pentest Externe