Table des matières
Le test d’intrusion, ou pentest, simule une attaque informatique pour identifier les failles de sécurité dans le système d’information d’une entreprise. Ce processus est mené de manière contrôlée, dans un cadre contractuel, afin de prévenir de véritables cyberattaques. En 2024, 62 % des entreprises françaises de plus de 50 salariés ont déclaré avoir subi au moins une tentative d’intrusion informatique réussie (source : CESIN). Le test d’intrusion devient donc un outil de prévention indispensable pour évaluer le niveau de résistance face aux cybermenaces.
L’enjeu d’un pentest ne se limite pas à dresser une simple liste de faiblesses. Il s’agit de tester la résilience de l’infrastructure en conditions réelles : serveurs, postes de travail, services cloud, sites web, applications internes ou mobiles. L’objectif est clair : mesurer le risque d’exploitation de chaque faille détectée. Contrairement aux audits passifs ou à l’analyse automatisée de vulnérabilités, le test d’intrusion repose sur une démarche active, méthodique et encadrée.
Le test ne peut être réalisé sans une validation écrite du client, précisant les systèmes concernés, la période d’intervention, les méthodes autorisées, les éventuelles restrictions (horaires, données sensibles, environnement de production, etc.). Ce périmètre est encadré contractuellement pour éviter toute interruption de service ou tout dommage collatéral. Le test est effectué en accord avec des normes reconnues, telles que l’OWASP, l’ISO/IEC 27001, ou encore les recommandations de l’ANSSI.
La conduite d’un test suit une démarche structurée qui s’inspire généralement du modèle PTES (Penetration Testing Execution Standard). Voici les principales phases, dans l’ordre logique de réalisation :
1. Collecte d’informations initiales
Le test débute par une phase d’observation discrète visant à cartographier l’environnement cible. L’analyste récupère un maximum d’informations depuis des sources ouvertes (adresses IP, noms de domaine, technologies utilisées, fuites de données, comptes utilisateurs exposés, etc.). Cette étape s’appuie souvent sur l’outil OSINT.
2. Analyse de vulnérabilités
Les données recueillies sont ensuite utilisées pour repérer les failles connues à l’aide de scanners comme Nessus, Nmap, Burp Suite ou Nikto. Ce croisement automatisé est toujours validé manuellement : un pentest ne se résume jamais à l’usage de logiciels. Le testeur identifie également les configurations faibles (ports ouverts inutiles, versions obsolètes, mauvaise segmentation réseau…).
3. Exploitation contrôlée des failles
Une fois les brèches repérées, l’étape suivante consiste à tenter une intrusion réelle, dans un cadre sécurisé, pour vérifier si ces vulnérabilités permettent une compromission. Le pentester cherche à accéder à des privilèges élevés (root, admin, accès à une base de données confidentielle). Les attaques peuvent combiner plusieurs vecteurs : injection SQL, XSS, bruteforce, élévation de privilèges, etc.
4. Escalade et maintien de l’accès
Si l’intrusion réussit, le testeur tente de progresser dans le système : pivoter d’une machine à une autre, accéder à d’autres segments réseau, ou récupérer des identifiants stockés. Cette phase permet de simuler ce qu’un attaquant pourrait faire une fois à l’intérieur : chiffrer les données, voler des fichiers sensibles, déployer un ransomware.
5. Rapport final détaillé et restitution
Chaque faille est documentée précisément, avec une preuve de concept, une évaluation de l’impact, et des pistes correctives concrètes. Le rapport distingue les vulnérabilités exploitables immédiatement, celles nécessitant une combinaison d’attaques, et celles peu exploitables dans un scénario réaliste. Il s’accompagne souvent d’une restitution orale devant les responsables techniques et décisionnaires.
La durée dépend de la complexité du périmètre testé. Un audit sur un site web isolé peut durer 3 à 5 jours, tandis qu’un pentest sur l’ensemble d’un système d’information réparti sur plusieurs sites peut mobiliser une équipe pendant 2 à 3 semaines. À noter que certains tests, dits « red team », s’étalent sur plusieurs mois et intègrent des simulations de phishing, d’ingénierie sociale et d’intrusion physique.
Le test n’est pas une fin en soi. Il permet de hiérarchiser les corrections à mettre en œuvre, d’ajuster la stratégie de cybersécurité, et d’alimenter une démarche de renforcement progressif du système d’information. Il peut aussi servir de preuve de conformité dans le cadre de certifications (ISO 27001, HDS, PCI-DSS…).
D’après les données 2023 de la plateforme Bugcrowd, 87 % des entreprises ayant réalisé un test d’intrusion ont découvert des failles critiques passées inaperçues jusqu’alors, et 68 % ont modifié leur politique de sécurité interne suite au rapport. Cela confirme l’intérêt de réitérer l’opération au moins une fois par an, ou après chaque refonte d’infrastructure.
Un test peut être :
Les prix varient fortement selon la surface auditée et la profondeur attendue. En France, un test d’intrusion simple sur une application web démarre à 3 000 à 5 000 €. Pour un test complet d’infrastructure, le budget peut atteindre 20 000 à 50 000 €. Il est également possible d’opter pour une formule en abonnement annuel, intégrant plusieurs audits ponctuels et un suivi correctif.