📖 3 min de lecture · Mis à jour le 28/01/2026

Un pentest (test de pénétration) simule une cyberattaque réelle contre votre infrastructure pour identifier les vulnérabilités exploitables avant que les vrais attaquants ne les trouvent. C’est l’exercice le plus concret pour évaluer votre niveau de sécurité.

Qu’est-ce qu’un pentest exactement ?

Un pentest est une évaluation de sécurité offensive où des experts (pentesters) tentent de s’introduire dans votre système d’information en utilisant les mêmes techniques que les cybercriminels, mais dans un cadre légal et contrôlé.

Contrairement à un simple scan de vulnérabilités (automatisé), le pentest implique une analyse humaine approfondie : les pentesters enchaînent les vulnérabilités, exploitent les failles logiques, et testent les réactions de vos équipes.

Les différents types de pentest

Pentest externe : simule un attaquant qui cible votre infrastructure depuis internet. Il teste les pare-feux, serveurs web, services exposés, applications web et DNS. C’est le test le plus courant et le premier à réaliser.

Pentest interne : simule un attaquant qui a déjà un accès au réseau interne (collaborateur malveillant, poste compromis). Il évalue les possibilités de mouvement latéral, l’escalade de privilèges, et l’accès aux données sensibles.

Pentest applicatif : se concentre sur une application web ou mobile spécifique. Il teste les vulnérabilités OWASP Top 10 : injection SQL, XSS, authentification défaillante, contrôle d’accès, etc.

Ingénierie sociale : teste la résistance de vos collaborateurs au phishing, au vishing (phishing vocal) et aux tentatives de manipulation. Souvent combiné à un pentest technique.

Le déroulement d’un pentest

  1. Cadrage : définition du périmètre, des objectifs et des règles d’engagement (ce qui est autorisé ou non)
  2. Reconnaissance : collecte d’informations sur la cible (OSINT, scan de ports, énumération)
  3. Exploitation : tentatives d’intrusion en exploitant les vulnérabilités identifiées
  4. Post-exploitation : évaluation de l’impact — jusqu’où l’attaquant peut aller une fois entré
  5. Rapport : documentation détaillée des vulnérabilités, de leur criticité et des recommandations de remédiation

Quand faire un pentest ?

  • Annuellement : au minimum une fois par an pour maintenir un niveau de sécurité acceptable
  • Après un changement majeur : migration de serveur, nouvelle application, refonte réseau
  • Pour la conformité : PCI DSS exige un pentest annuel, NIS2 et ISO 27001 le recommandent fortement
  • Après un incident : pour vérifier que la remédiation est efficace et qu’il n’y a pas d’autres failles

Combien coûte un pentest ?

Les tarifs varient selon le périmètre et la complexité :

  • Pentest externe basique : 3 000 à 8 000€ (quelques IP/domaines)
  • Pentest web applicatif : 5 000 à 15 000€ (selon la complexité de l’application)
  • Pentest interne complet : 8 000 à 20 000€ (réseau, Active Directory)
  • Red Team (simulation complète) : 15 000 à 50 000€+ (multi-vecteurs sur plusieurs semaines)

C’est un investissement qui se compare au coût d’une cyberattaque réussie (150 000€+ en moyenne pour une PME). Contactez Odyssix pour évaluer vos besoins en test d’intrusion.

OX
Rédigé par
Odyssix
Experts en cybersécurité, hébergement et infrastructure IT · Odyssix accompagne les PME françaises depuis plus de 10 ans dans leur transformation digitale.
Questions fréquentes
3 questions

Les pentesters professionnels travaillent avec précaution pour minimiser l'impact. Les règles d'engagement définissent les limites (pas de déni de service, pas de suppression de données). Le risque de perturbation est très faible avec un prestataire expérimenté.

Le scan est automatisé : il identifie les vulnérabilités connues sans les exploiter. Le pentest est manuel : un expert exploite réellement les failles, enchaîne les vulnérabilités et évalue l'impact concret. Le pentest va beaucoup plus loin et trouve des failles que les scans automatisés ne détectent pas.

Cela dépend des objectifs. Pour un test technique pur, prévenir l'équipe IT est recommandé. Pour un exercice de type Red Team qui teste aussi la détection et la réponse à incident, seule la direction est informée. Les deux approches ont leur valeur.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter