Pentest : les questions à se poser avant de s'engager 

Guide pratique à l'attention des DSI et RSSI 

Vous envisagez de faire un pentest ou test d’intrusion. 

Félicitations, c'est déjà une décision importante — et souvent le signe d'une vraie maturité sur les enjeux cyber.  

Seul un pentest bien réalisé vous permettra de combler les angles morts de votre cybersécurité et de mesurer votre risque d’exposition.  

Encore faut-il savoir choisir la bonne mission, le bon périmètre, le bon prestataire. 

Ce guide est là pour vous y aider : les bonnes questions à poser, les pièges à éviter, les critères qui font la différence. 

1. Tous les pentests ne se valent pas — et c'est là que tout commence 

La première erreur, et de loin la plus répandue, n'est pas de négliger le pentest. C'est de croire qu'ils se valent tous. 

La vraie question est "qu'est-ce que j'achète exactement, et qui va le faire ?" Un pentest qui ne détecte pas toutes les vulnérabilités ne vous protège pas — il vous donne une fausse assurance de sécurité. 

Quelques signaux qui distinguent un prestataire sérieux : il vous pose des questions avant de vous proposer une offre, il vous explique sa méthodologie sans que vous ayez à la demander, ses experts sont certifiés et ont une expérience terrain réelle, et son rapport comporte des preuves d'exploitation concrètes et reproductibles — pas une liste de CVE générée automatiquement. 

2. Avant de définir un périmètre, posez-vous ces quatre questions 

Avant de contacter le moindre prestataire, il y a un travail préalable à réaliser de votre part. 

Vous pouvez commencer par répondre à ces quatre questions :  

Où sont mes actifs critiques et mes données sensibles ? 

Toutes vos ressources ne méritent pas le même niveau d'attention. Ce qui compte, c'est d'identifier ce qui, s'il était compromis, mettrait vraiment votre activité en danger : vos bases clients, vos données financières, vos outils de production, vos accès fournisseurs. Sont-ils exposés sur Internet ? Accessibles depuis un SharePoint mal configuré ? Protégés par une authentification robuste ? Ces réponses conditionnent directement le périmètre à auditer. 

 Quel est mon niveau d'exposition sur Internet ? 

Une entreprise qui a externalisé une partie de son SI, ouvert des accès VPN pour le télétravail ou mis en ligne des applications métier a une surface d'attaque bien plus large qu'elle ne l'imagine souvent. Avant tout pentest, un inventaire honnête de vos actifs exposés est indispensable.  

Pourquoi ai-je besoin de ce pentest ? 

La réponse à cette question oriente tout le reste. S'agit-il de réduire un risque identifié ? De répondre à une exigence contractuelle ou réglementaire ? De rassurer un client stratégique ? De préparer une certification ISO 27001 ? Ou d'une démarche proactive pour tester votre résistance avant qu'un vrai attaquant ne s'en charge ?  

Cette clarté vous permettra non seulement de mieux vous approprier les résultats, mais aussi de les communiquer avec impact auprès de votre COMEX — et d'embarquer toute l'organisation dans la démarche. 

Suis-je au fait des comportements de mes utilisateurs ? 

Un pentest ne se limite pas à évaluer la robustesse de vos infrastructures : il révèle aussi les failles humaines, souvent invisibles mais tout aussi critiques. Même avec une sécurité technique irréprochable, des pratiques à risque (mots de passe faibles ou stockés en clair, clics sur des liens douteux, partage d’informations sensibles) peuvent offrir à un attaquant une porte dérobée vers le cœur de votre entreprise. Anticiper ces comportements, c’est se donner les moyens de combler les brèches avant qu’elles ne soient exploitées — et transformer vos collaborateurs en premier rempart contre les cybermenaces. 

3. Valider la méthodologie : ce que vous devez exiger de votre prestataire 

Une fois le périmètre posé, la question centrale est celle de la méthode. C'est souvent là que l'on distingue les prestataires entre eux — car un pentester sérieux est capable de vous expliquer précisément ce qu'il va faire, pourquoi, et ce que ça va produire. 

Pentest manuel ou automatisé : une différence qui compte 

Un scanner de vulnérabilités automatique peut identifier des failles connues. Il ne peut pas s'adapter à votre environnement spécifique, enchaîner des étapes d'exploitation, contourner vos mécanismes de défense ou simuler le comportement d'un attaquant humain. Le pentest manuel, conduit par un expert qui adapte son approche en fonction de ce qu'il découvre, est sans comparaison plus pertinent et plus réaliste. 

Exigez donc de savoir si la mission sera manuelle, qui la conduira, et si le prestataire cherchera à explorer l'ensemble des chemins de compromission — et non à s'arrêter à la première vulnérabilité trouvée. 

Boîte noire, boîte grise, boîte blanche : quel modèle choisir ? 

Ces trois approches ne sont pas interchangeables. Chacune répond à un objectif différent. 

La boîte noire simule un attaquant externe qui ne dispose d'aucune information sur votre système. Il part de zéro, agrège des informations publiques, sonde vos surfaces d'exposition et tente de s'introduire comme le ferait un vrai adversaire. C'est l'approche la plus réaliste d'un scénario d'attaque — et celle à privilégier si vous n'avez encore jamais fait de pentest ou si vous souhaitez mesurer votre exposition réelle. 

La boîte grise part d'un scénario dit "assume breach" : on suppose qu'un attaquant a déjà obtenu un accès initial — un compte utilisateur compromis, par exemple — et on évalue ce qu'il peut faire à partir de là. Cartographie du réseau, identification des vulnérabilités, élévation de privilèges, déplacement latéral jusqu'aux actifs critiques. Cette approche est particulièrement pertinente pour tester la résistance interne de votre SI. 

La boîte blanche donne au pentester une connaissance complète de votre architecture : code source, documentation, accès administrateur. Réservée aux organisations les plus matures, elle permet d'atteindre une exhaustivité maximale dans la détection des risques. C'est l'approche la plus complète — mais aussi la plus exigeante en termes de préparation. 

Notre recommandation : pour une première approche ou pour évaluer votre exposition réelle, la boîte noire est le choix le plus pertinent. La boîte grise vient utilement en complément si vous souhaitez tester votre résistance à une compromission interne. Une autre option est de commencer le test d’intrusion en boite noire puis de le poursuivre en mode boite grise pour avoir une vision globale de vos vulnérabilités, en fonction des connaissances de l’attaquant.

4. Le livrable et la suite : tirer le meilleur parti de votre pentest 

Un pentest ne se termine pas quand le pentester quitte vos locaux ou se déconnecte de votre environnement. Ce que vous avez acheté, c'est autant le rapport que les connaissances qu'il contient — et la capacité à agir sur ce qu'il révèle. 

Un rapport à trois niveaux de lecture 

Un bon rapport de pentest s'adresse à plusieurs audiences simultanément.  

Il doit comporter : 

• Une synthèse managériale : le niveau de risque global, les grandes conclusions, les priorités d'action — lisible par un membre du COMEX sans bagage technique. 
• Un volet technique détaillé : chaque vulnérabilité documentée avec sa description, sa preuve d'exploitation (PoC), son score CVSS et son impact métier concret. 
• Un plan de remédiation priorisé : des actions classées par criticité, avec des délais réalistes et des contre-mesures techniques précises. Pas une liste de recommandations vagues — des instructions actionnables. 

Dans le rapport remis à l'issue de la mission, un point mérite une attention toute particulière : la possibilité de reproduire les attaques menées. C'est en effet cette capacité de rejeu qui vous permettra de comprendre précisément les vulnérabilités identifiées et de les corriger efficacement. Au-delà de l'aspect technique, cette transparence sur les scénarios de pentest joués constitue un véritable levier pour faire progresser votre démarche cyber dans la durée. Elle rend le risque concret, palpable, et facilite grandement les échanges avec l'ensemble des parties prenantes — direction, équipes métiers, partenaires — autour des enjeux de cybersécurité.

Avant de vous engager, prenez donc le temps d'interroger votre prestataire sur la nature précise du rapport et des livrables fournis : niveau de détail des scénarios, preuves techniques associées, recommandations de remédiation, restitution orale… Autant d'éléments qui feront la différence entre un simple audit et un véritable outil d'amélioration continue.

Impliquer le COMEX : le pentest comme outil de sensibilisation 

C'est un usage trop souvent négligé. La restitution des résultats d'un pentest est une occasion rare de sensibiliser votre direction générale aux enjeux cyber de manière concrète et factuelle — sans discours alarmiste, mais avec des preuves. Constater que quelqu'un a pu accéder au serveur de paie ou cartographier l'ensemble du réseau interne en quelques heures produit un effet que les présentations théoriques ne produisent pas. 

C'est aussi l'occasion de se situer : un bon prestataire est en mesure de vous comparer à des entreprises de taille et de secteur comparables, ce qui donne une perspective réelle sur votre niveau de maturité. 

Anticiper l'après : avez-vous les ressources pour remédier ? 

Un pentest qui produit un plan de remédiation que personne n'a la capacité de mettre en œuvre n'a qu'une valeur limitée. Avant de vous engager, posez-vous honnêtement la question : disposez-vous des compétences en interne pour traiter les vulnérabilités qui vont être identifiées ? Si ce n'est pas le cas, un prestataire sérieux doit pouvoir vous accompagner dans cette phase — et pas seulement vous remettre un rapport en vous souhaitant bonne chance. 

5. Conseil bonus : le pentest n'est pas un one-shot 

C'est peut-être la conviction la plus importante à emporter de cet article. Un pentest ponctuel est utile. Un pentest inscrit dans une démarche régulière est ce qui fait vraiment la différence. 

Les raisons sont simples. Les menaces évoluent très vite : les techniques d'attaque se renouvellent chaque année, de nouveaux vecteurs émergent en permanence — les infostealers et les faux captchas, par exemple, sont aujourd'hui des vecteurs d'intrusion redoutables qui représentent un business florissant pour les attaquants.  

Vos systèmes évoluent aussi : chaque migration, chaque nouveau projet, chaque intégration ouvre potentiellement de nouvelles surfaces d'exposition. Ce qui était sûr il y a dix-huit mois ne l'est peut-être plus aujourd'hui. 

Quelques bonnes pratiques pour maximiser la valeur de vos tests : 

• Planifiez vos pentests en période d'activité normale, en semaine, pendant les heures ouvrées. Un environnement en pleine activité est plus représentatif de la réalité — et un pentester expérimenté travaille sans impact sur votre production. 
• Mettez le pentest à l'ordre du jour régulièrement — au moins une fois par an, et après chaque changement structurant de votre SI. 
• Ne sous-estimez pas la dimension humaine. L'humain reste la première faille dans la très grande majorité des incidents. Un collaborateur bien sensibilisé, qui reconnaît un email de phishing ou une tentative de manipulation, réduit mécaniquement votre surface d'exposition — indépendamment de vos outils techniques. 

Les équipes d’AISI vous accompagnent dans la mise en place de vos tests d’intrusion – selon votre contexte et selon vos besoins. 

Pour en savoir plus, contactez-nous ci-dessous !