Qu’est-ce qu’un test d’intrusion
Un test d’intrusion simule une attaque réelle contre votre entreprise dans un cadre contrôlé. Un ou plusieurs experts en sécurité (les pentesters) tentent de pénétrer vos systèmes, vos applications ou de manipuler vos collaborateurs, avec votre autorisation et dans un périmètre défini à l’avance.
L’objectif n’est pas de prouver que votre entreprise est vulnérable — toute organisation l’est. C’est d’identifier quelles vulnérabilités existent, quel est leur impact réel, et comment les corriger par ordre de priorité.
Le livrable est un rapport technique et managérial qui classe les failles par gravité, décrit les scénarios d’exploitation et propose des correctifs concrets.
Types de pentest
Par niveau de connaissance : boîte noire, grise et blanche
Pentest en boîte noire (black box)
Le pentester n’a aucune information préalable sur l’infrastructure. Il part de zéro, exactement comme un attaquant externe. Il commence par la reconnaissance (OSINT, scan de ports, énumération DNS) et tente de pénétrer le système sans aide.
Avantage : simule le scénario d’attaque le plus réaliste. Limite : le temps limité du pentest (2-3 semaines) ne permet pas toujours d’aller aussi loin qu’un vrai attaquant qui dispose de mois.
Pentest en boîte grise (grey box)
Le pentester reçoit des informations partielles : un compte utilisateur standard, la documentation réseau, les plages d’adresses IP internes. Il simule un attaquant qui aurait déjà un premier accès — par exemple un employé malveillant ou un prestataire externe.
Avantage : couvre plus de surface en moins de temps. C’est le meilleur rapport efficacité/coût pour la plupart des PME.
Pentest en boîte blanche (white box)
Le pentester a accès à tout : code source, architecture réseau, comptes administrateurs, documentation technique. C’est un audit de sécurité en profondeur.
Avantage : permet de trouver des vulnérabilités impossibles à détecter de l’extérieur (failles dans le code, mauvaises configurations internes). Limite : moins réaliste en termes de scénario d’attaque.
Par cible
Pentest infrastructure
Test des serveurs, pare-feu, routeurs, VPN, Active Directory, services cloud. L’objectif : identifier les chemins d’attaque qui permettent de prendre le contrôle du réseau.
Pentest applicatif (web/mobile)
Test des applications web, API et applications mobiles. Le pentester cherche les failles classiques du Top 10 OWASP : injection SQL, XSS, contrôle d’accès cassé, mauvaise gestion des sessions.
Pentest Wi-Fi
Test des réseaux sans fil de l’entreprise : chiffrement utilisé, segmentation, possibilité d’intercepter le trafic ou de rejoindre le réseau interne depuis le parking.
Pentest social engineering
Test des défenses humaines. C’est la catégorie la plus pertinente dans le contexte du phishing et de l’ingénierie sociale.
Le pentest social engineering en détail
Le volet social engineering d’un pentest évalue comment vos équipes réagissent face à des tentatives de manipulation. C’est la partie du test qui mesure le “facteur humain” — celui qui est impliqué dans 68 % des fuites de données selon le Verizon DBIR 2024.
Campagne de phishing simulée
Le prestataire crée et envoie de vrais emails de phishing aux employés, calibrés pour être réalistes :
- Prétexte crédible : mise à jour de mot de passe, document partagé par un collègue, faux formulaire RH
- Page de collecte : un site imitant Microsoft 365 ou Google Workspace qui enregistre qui entre ses identifiants
- Métriques collectées : taux d’ouverture, taux de clic, taux de soumission d’identifiants, temps de signalement
Contrairement aux campagnes automatisées de spear phishing, le pentester adapte les prétextes à l’entreprise en utilisant des informations collectées en OSINT (noms de dirigeants, projets en cours, fournisseurs connus).
Vishing (phishing vocal)
Le pentester appelle des employés en se faisant passer pour le support informatique, un fournisseur ou un interlocuteur officiel. Exemples de scénarios :
- “Bonjour, je suis le technicien de [nom du prestataire IT réel]. J’ai besoin de vérifier votre accès VPN, pouvez-vous me donner votre identifiant ?”
- “Service fraude de votre banque. Un virement suspect a été détecté sur le compte professionnel. Pour le bloquer, j’ai besoin du code qui vient de vous être envoyé par SMS.”
Le vishing teste des réflexes différents du phishing par email : la pression est immédiate, le temps de réflexion est plus court.
Tentative d’intrusion physique
Le pentester tente de pénétrer dans les locaux sans autorisation :
- Tailgating : suivre un employé à travers une porte sécurisée
- Prétexte : se présenter comme un livreur, un technicien de maintenance ou un candidat en entretien
- Badge cloning : copier un badge d’accès via un lecteur NFC portable
USB drops
Des clés USB étiquetées “Salaires 2026” ou “Confidentiel — Direction” sont déposées dans les espaces communs (cafétéria, parking, salle de réunion). Le pentester mesure combien d’employés branchent la clé sur un poste connecté au réseau.
Pentest vs simulation de phishing continue
Les deux approches sont complémentaires, pas concurrentes.
| Critère | Pentest social engineering | Simulation de phishing continue |
|---|---|---|
| Fréquence | 1 à 2 fois par an | Continue (mensuelle ou bimensuelle) |
| Réalisation | Prestataire externe spécialisé | Équipe interne ou plateforme SaaS |
| Objectif | Évaluer la posture à un instant T | Construire des réflexes durables |
| Profondeur | Multi-vecteur (email, téléphone, physique) | Généralement email uniquement |
| Coût | 5 000 - 20 000 € par exercice | 1 - 5 € par utilisateur/mois |
| Livrable | Rapport d’audit détaillé | Tableau de bord de suivi continu |
| Valeur | Preuve pour la direction et les auditeurs | Changement de comportement durable |
Le pentest valide, la simulation entraîne. Un pentest social engineering ponctuel montre à la direction que les collaborateurs cliquent à 35 % sur un phishing bien conçu. Une simulation continue fait baisser ce taux à 5 % en 12 mois en entraînant les réflexes de signalement.
Organiser un pentest pour votre PME
Définir le périmètre
Avant de contacter un prestataire, clarifiez ce que vous voulez tester :
- Infrastructure : serveurs, Active Directory, VPN, Wi-Fi
- Applications : site web, portail client, API, application métier
- Humains : phishing, vishing, intrusion physique
- Mix : combinaison des trois (le plus complet)
Pour une première fois, un pentest en boîte grise sur l’infrastructure + un volet phishing offre le meilleur retour. Vous couvrez les failles techniques et humaines dans un seul exercice.
Choisir un prestataire qualifié
En France, la référence est la certification PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information), délivrée par l’ANSSI. Un prestataire PASSI a été audité sur ses compétences, ses méthodes et la confidentialité de ses résultats.
Critères de sélection :
- Certification PASSI pour les audits techniques
- Références dans votre secteur (industrie, santé, finance, collectivités)
- Méthodologies reconnues : OWASP, PTES, OSSTMM
- Assurance responsabilité civile couvrant les activités de pentest
- Rapport de qualité : demandez un exemple anonymisé avant de signer
Le document de cadrage (Rules of Engagement)
Avant de lancer le pentest, un document formel doit définir :
- Périmètre exact : adresses IP, applications, bâtiments, populations concernées
- Méthodes autorisées et interdites : peut-on tester le DDoS ? La social engineering sur les dirigeants ?
- Fenêtre temporelle : dates et horaires du test
- Contacts d’urgence : qui prévenir si un système tombe
- Règles de confidentialité : protection des données découvertes pendant le test
Sans ce document, vous vous exposez à des incidents (système en panne pendant le test) et des problèmes juridiques.
Coûts et fréquence
Grille tarifaire indicative pour une PME
| Type de pentest | Fourchette de prix | Durée |
|---|---|---|
| Pentest web (1 application) | 3 000 - 8 000 € | 3-5 jours |
| Pentest infrastructure (périmètre PME) | 5 000 - 15 000 € | 5-10 jours |
| Pentest Wi-Fi | 2 000 - 5 000 € | 1-3 jours |
| Pentest social engineering | 5 000 - 15 000 € | 5-10 jours |
| Pentest complet (infra + app + SE) | 10 000 - 25 000 € | 10-20 jours |
Ces prix correspondent au marché français pour des prestataires PASSI en 2025-2026. Les tarifs varient selon la complexité du périmètre et la localisation du prestataire.
Fréquence recommandée
- Pentest technique : au minimum une fois par an, et après chaque changement majeur (migration cloud, nouvelle application, refonte réseau)
- Pentest social engineering : une fois par an, en complément d’un programme de simulation continu
- Pour les secteurs réglementés (finance, santé) : la fréquence peut être imposée par le régulateur
Pentest et conformité réglementaire
NIS2
La directive NIS2, applicable depuis octobre 2024, impose aux entités essentielles et importantes de mettre en place des mesures de gestion des risques qui incluent l’évaluation régulière de la sécurité. Le test d’intrusion est l’un des moyens reconnus pour démontrer cette évaluation. L’ANSSI, en tant qu’autorité nationale, recommande les tests d’intrusion dans ses guides de conformité.
ISO 27001
La norme ISO 27001 exige une évaluation régulière des vulnérabilités techniques (contrôle A.12.6) et des tests de sécurité des systèmes (contrôle A.14.2.8). Un pentest annuel répond directement à ces exigences. Lors d’un audit de certification, le rapport de pentest fait partie des preuves attendues.
RGPD
Le RGPD impose de garantir la sécurité des données personnelles par des mesures techniques et organisationnelles appropriées (article 32). La CNIL recommande explicitement les tests d’intrusion comme mesure de vérification de la sécurité des traitements de données personnelles.
Après le pentest : exploiter les résultats
Un rapport de pentest n’a de valeur que s’il est suivi d’actions. Le schéma classique :
- Restitution : le prestataire présente les résultats à l’équipe technique et à la direction
- Plan de remédiation : chaque vulnérabilité est affectée à un responsable avec une échéance
- Correction : les failles critiques et hautes sont corrigées en priorité (30 jours), les moyennes dans les 90 jours
- Re-test : le prestataire vérifie que les corrections sont effectives (souvent inclus dans la prestation)
- Programme continu : les vulnérabilités humaines identifiées alimentent le programme de sensibilisation
Pour le volet social engineering : si le pentest révèle un taux de clic de 30 % sur le phishing, la réponse n’est pas de blâmer les employés. C’est de lancer un programme de simulation continue pour entraîner les réflexes et mesurer la progression.
Complétez votre pentest avec une simulation de phishing continue. Un test annuel mesure la vulnérabilité à un instant T — un programme continu transforme les comportements. Vérifiez d’abord votre configuration email pour vous assurer que SPF, DKIM et DMARC protègent votre domaine.
Questions fréquentes
C'est quoi un test d'intrusion (pentest) ?
Un test d'intrusion est un exercice de sécurité où un expert autorisé tente de pirater vos systèmes, applications ou collaborateurs en utilisant les mêmes techniques qu'un vrai attaquant. L'objectif est d'identifier les failles avant qu'elles ne soient exploitées pour de vrai. Le résultat est un rapport détaillé avec les vulnérabilités trouvées et les recommandations de correction.
Combien coûte un pentest pour une PME ?
Pour une PME, un pentest infrastructure ou application web standard coûte entre 3 000 et 15 000 euros selon le périmètre. Un pentest incluant un volet social engineering (campagne de phishing, appels de vishing, tentatives d'intrusion physique) monte à 5 000 - 20 000 euros. Les prix dépendent du nombre de cibles, de la complexité du périmètre et de la qualification du prestataire.
C'est quoi un pentest social engineering ?
Un pentest social engineering teste les défenses humaines de l'organisation. Le prestataire lance de vraies campagnes de phishing contre les employés, passe des appels de vishing au standard ou à la comptabilité, tente de pénétrer dans les locaux sans badge, ou dépose des clés USB piégées. Le but est de mesurer la résistance des équipes aux techniques de manipulation.
Quelle est la différence entre un pentest et une simulation de phishing ?
Le pentest est un exercice ponctuel réalisé par un prestataire externe qui évalue la sécurité à un instant T. La simulation de phishing est un programme continu, géré en interne, qui entraîne les collaborateurs toute l'année. Les deux sont complémentaires : le pentest identifie les failles, la simulation construit les réflexes au quotidien.
Comment choisir un prestataire de pentest en France ?
Vérifiez la certification PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) délivrée par l'ANSSI. Demandez des références dans votre secteur d'activité. Exigez un document de cadrage formel (Rules of Engagement) qui définit le périmètre, les méthodes autorisées et les limites de l'exercice. La liste des prestataires PASSI est consultable sur le site de l'ANSSI.