Pentest entreprise : comment se déroule un test d’intrusion

Mis à jour le 23 mars 2026

Qu’est-ce qu’un test d’intrusion (pentest) ?

Le test d’intrusion, communement appele pentest (de l’anglais penetration testing), est une evaluation de securite offensive qui consiste a simuler une cyberattaque reelle contre votre systeme d’information. Contrairement a un simple scan de vulnerabilites, le pentest va plus loin en tentant activement d’exploiter les failles decouvertes pour mesurer leur impact reel.

Un pentester certifie, aussi appele hacker ethique, utilise les memes techniques, outils et methodologies que les cybercriminels — mais dans un cadre legal et controle. L’objectif est d’identifier les chemins d’attaque exploitables avant qu’un attaquant reel ne les decouvre, permettant a votre entreprise de corriger ces failles de maniere proactive.

Le pentest s’inscrit dans une demarche globale d’audit de cybersecurite et constitue l’epreuve la plus realiste pour evaluer la robustesse de vos defenses. Il fournit une vision concrete et pragmatique de votre niveau de securite, loin des evaluations theoriques.

Pourquoi realiser un pentest en entreprise

Realiser un pentest en entreprise repond a plusieurs objectifs strategiques et operationnels :

Evaluer la posture de securite reelle

Les scans de vulnerabilites automatises identifient des failles potentielles, mais seul le pentest valide leur exploitabilite reelle dans le contexte de votre infrastructure. Une vulnerabilite critique en theorie peut etre inexploitable en pratique (compensee par d’autres controles), et inversement, un ensemble de vulnerabilites mineures peut creer un chemin d’attaque devastateur.

Repondre aux exigences reglementaires

De nombreuses reglementations et normes exigent la realisation reguliere de tests d’intrusion : PCI-DSS pour les entreprises traitant des paiements par carte, NIS2 pour les entites essentielles et importantes, ISO 27001 dans le cadre du programme d’audit interne, et le RGPD qui impose de tester regulierement l’efficacite des mesures de securite.

Valider les investissements securite

Vous avez deploye un EDR, un pare-feu nouvelle generation, une solution MFA ? Le pentest verifie que ces investissements sont correctement configures et qu’ils resistent effectivement aux attaques. C’est le crash test de votre cybersecurite.

Sensibiliser la direction

Un rapport de pentest avec des preuves concretes d’exploitation est souvent l’argument le plus efficace pour debloquer des budgets securite. La demonstration qu’un attaquant peut acceder aux donnees clients en 3 etapes a plus d’impact qu’une liste abstraite de vulnerabilites.

Black box, grey box, white box : les 3 approches

Black box (boite noire)

Dans un pentest black box, le pentester n’a aucune information prealable sur la cible. Il travaille exactement comme un attaquant externe qui ne connait que le nom de l’entreprise. Il doit decouvrir par lui-meme l’infrastructure exposee, les technologies utilisees et les points d’entree potentiels.

• Avantages : simulation la plus realiste d’une attaque externe, teste aussi la capacite de detection de l’entreprise
• Inconvenients : plus long et donc plus couteux, ne couvre pas necessairement toute la surface d’attaque
• Recommande pour : evaluer la resistance face a un attaquant opportuniste, tester les systemes exposes sur Internet

Grey box (boite grise)

Le pentest grey box fournit au testeur des informations partielles : un compte utilisateur standard, la documentation reseau, les plages d’adresses IP internes. Cette approche simule un attaquant ayant deja un pied dans le reseau (employe malveillant, sous-traitant, poste compromis).

• Avantages : meilleur ratio couverture/cout, simule les menaces internes et les scenarios post-compromission
• Inconvenients : moins realiste qu’un black box pour les attaques externes
• Recommande pour : la plupart des PME, car c’est le meilleur compromis efficacite/budget

White box (boite blanche)

Le pentest white box donne au pentester un acces complet aux informations : code source, architecture detaillee, comptes administrateur, documentation technique complete. L’objectif est une couverture exhaustive de la surface d’attaque.

• Avantages : couverture maximale, identifie les vulnerabilites les plus profondes, optimise le temps du pentester
• Inconvenients : ne teste pas la capacite de reconnaissance d’un attaquant, necessite un haut niveau de confiance
• Recommande pour : audit de code, applications critiques, preparation a une certification

Definir le perimetre du test d’intrusion

La definition du perimetre est une etape cruciale qui conditionne la pertinence et l’utilite du pentest. Le perimetre peut inclure :

• Infrastructure externe : sites web, applications SaaS, serveurs exposes, VPN, portails de messagerie
• Infrastructure interne : Active Directory, serveurs de fichiers, bases de donnees, applications metier
• Applications web : formulaires, APIs, portails clients, back-offices d’administration
• Reseau Wi-Fi : securite des points d’acces, segmentation, portail captif
• Ingenierie sociale : phishing, vishing (hameconnage telephonique), intrusion physique
• Applications mobiles : applications iOS/Android de l’entreprise

Le perimetre doit etre formalise dans un document contractuel (Rules of Engagement) qui precise egalement les horaires de test, les systemes exclus, les contacts d’urgence et les procedures d’escalade.

Methodologie PTES : les 7 phases du pentest

1. Interactions prealables (Pre-engagement)

Definition du perimetre, des objectifs, des contraintes et des aspects contractuels. Cette phase inclut la signature d’une autorisation de test formelle, indispensable pour le cadre legal.

2. Collecte de renseignements (Intelligence Gathering)

Le pentester rassemble un maximum d’informations sur la cible : noms de domaine, adresses IP, technologies utilisees, employes, informations publiees sur les reseaux sociaux. Cette phase utilise des techniques d’OSINT (Open Source Intelligence) et des outils comme Shodan, Maltego, theHarvester.

3. Modelisation des menaces (Threat Modeling)

Sur la base des informations collectees, le pentester identifie les actifs critiques, les vecteurs d’attaque probables et les scenarios de menace les plus pertinents. Cette phase permet de cibler les efforts sur les risques les plus significatifs.

4. Analyse des vulnerabilites (Vulnerability Analysis)

Combinaison de scans automatises (Nessus, Nmap, Burp Suite) et d’analyses manuelles pour identifier les vulnerabilites techniques. Le pentester recherche les failles connues (CVE), les erreurs de configuration, les mots de passe faibles et les defauts de conception.

5. Exploitation

C’est la phase offensive : le pentester tente d’exploiter les vulnerabilites identifiees pour obtenir un acces non autorise. Il utilise des outils comme Metasploit, des scripts personnalises et des techniques manuelles. Chaque exploitation est soigneusement documentee avec des captures d’ecran.

6. Post-exploitation

Apres avoir obtenu un acces initial, le pentester evalue la valeur de la compromission : peut-il elever ses privileges ? Acceder a d’autres systemes (mouvement lateral) ? Exfiltrer des donnees sensibles ? Maintenir un acces persistant ? Cette phase revele l’impact reel d’une intrusion.

7. Rapport

Redaction d’un rapport detaille comprenant un resume executif pour la direction et un rapport technique complet avec chaque vulnerabilite, sa preuve d’exploitation, son score CVSS et les recommandations de remediation priorisees.

Les outils utilises par les pentesters

Les pentesters professionnels s’appuient sur un arsenal d’outils specialises :

• Nmap : scanner de ports et de services, cartographie reseau
• Burp Suite : proxy d’interception et outil d’audit d’applications web
• Metasploit : framework d’exploitation, le couteau suisse du pentester
• BloodHound : analyse et visualisation des chemins d’attaque Active Directory
• Responder / ntlmrelayx : interception et relais d’authentification reseau
• Hashcat / John the Ripper : cracking de mots de passe et de hashes
• Nuclei : scanner de vulnerabilites rapide base sur des templates
• CrackMapExec : post-exploitation et mouvement lateral en environnement Windows

Le rapport de pentest : contenu et exploitation

Le rapport est le livrable le plus important du pentest. Un rapport de qualite contient :

• Resume executif : note de risque globale, principaux findings, recommandations prioritaires — redige pour un public non technique
• Perimetre et methodologie : rappel du scope teste, de l’approche utilisee et des outils deployes
• Vulnerabilites detaillees : pour chaque finding — description, preuve d’exploitation (screenshots), score CVSS, impact business, recommandation de remediation
• Scenarios d’attaque : presentation des chaines d’exploitation (kill chains) qui montrent comment plusieurs failles combinees permettent une compromission majeure
• Matrice de priorisation : classement des remediations par criticite et complexite de mise en oeuvre

Plan de remediation et re-test

Le pentest n’a de valeur que si les vulnerabilites identifiees sont effectivement corrigees. Un plan de remediation efficace suit ces etapes :

1. Triage immediat (J+1 a J+7) : correction des vulnerabilites critiques et facilement exploitables
2. Remediation court terme (J+7 a J+30) : traitement des vulnerabilites hautes et moyennes
3. Amelioration continue (J+30 a J+90) : correction des vulnerabilites basses et renforcement global
4. Re-test (J+90 a J+120) : verification que les corrections sont effectives et n’ont pas introduit de nouvelles failles

Le re-test est essentiel : il valide que les corrections ont bien elimine les vulnerabilites sans en creer de nouvelles. Un bon prestataire inclut un re-test cible dans son offre initiale.

Cadre legal du test d’intrusion

En France, le test d’intrusion est encadre par la loi. Realiser un pentest sans autorisation ecrite du proprietaire du systeme constitue un delit passible de sanctions penales (articles 323-1 a 323-7 du Code penal). Le cadre legal impose :

• Un contrat de prestation detaillant le perimetre autorise
• Une lettre d’autorisation signee par un representant habilite de l’entreprise
• Des regles d’engagement (Rules of Engagement) precisant les limites du test
• Des clauses de confidentialite strictes protegeant les donnees decouvertes
• Une assurance responsabilite civile professionnelle du prestataire

Le pentest avec Odyssix

Les pentesters Odyssix sont certifies (OSCP, CEH) et appliquent la methodologie PTES pour des resultats fiables et reproductibles. Que vous ayez besoin d’un test black box de votre infrastructure exposee ou d’un audit approfondi de vos applications metier, nous adaptons notre approche a vos enjeux.

Notre offre inclut le rapport detaille, la restitution avec votre equipe technique, et un re-test de validation. Pour une protection globale, decouvrez notre Protection Cyber 360 et nos solutions de cybersecurite.

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

En savoir plus → Nous contacter →