Qu'est-ce qu'un test d'intrusion ?

Un test d'intrusion (pentest) est une evaluation de securite controlee et autorisee dans laquelle des testeurs qualifies simulent des attaques reelles contre vos systemes, applications ou reseaux afin d'identifier les vulnerabilites exploitables avant que des acteurs malveillants ne les decouvrent. Contrairement a l'analyse automatisee des vulnerabilites, les tests d'intrusion impliquent des tentatives d'exploitation manuelle, des chaines d'attaque creatives et des tests de logique metier que les outils automatises ne peuvent pas reproduire. L'objectif est de trouver et de demontrer les faiblesses reelles de securite, d'evaluer leur impact metier et de fournir des recommandations de remediation exploitables.

Quelle est la difference entre un test d'intrusion et une analyse de vulnerabilites ?

L'analyse de vulnerabilites est un processus automatise qui identifie les vulnerabilites connues en comparant les configurations systeme et les versions logicielles a une base de donnees de problemes connus. Elle est rapide, large et peut etre executee frequemment, mais produit des faux positifs et ne peut pas evaluer l'exploitabilite reelle. Le test d'intrusion est un processus manuel et qualifie dans lequel les testeurs tentent activement d'exploiter les vulnerabilites, enchainent les decouvertes et evaluent l'impact reel. Les tests d'intrusion detectent les failles de logique metier, les contournements d'authentification et les chemins d'attaque complexes que les scanners ne trouvent pas. La plupart des programmes de securite ont besoin des deux — des analyses automatisees regulieres completees par des tests d'intrusion manuels periodiques.

A quelle frequence une entreprise doit-elle realiser des tests d'intrusion ?

La bonne pratique consiste a realiser des tests d'intrusion au moins une fois par an, avec des tests supplementaires declenches par des changements significatifs de votre application, infrastructure ou architecture. De nombreux referentiels de conformite exigent des tests annuels : ISO 27001 (Annexe A.8.8), SOC 2 (CC7.1), PCI DSS (Exigence 11.3) et NIS2 (Article 21). Les organisations a haut risque ou celles avec des mises en production frequentes peuvent tester trimestriellement. Les services de tests d'intrusion continus, ou les testeurs maintiennent un engagement permanent, deviennent courants pour les entreprises SaaS avec des cycles de developpement rapides.

Quels sont les differents types de tests d'intrusion ?

Les principaux types comprennent : le test boite noire (les testeurs n'ont aucune connaissance prealable du systeme, simulant un attaquant externe) ; le test boite blanche (les testeurs ont un acces complet au code source, a l'architecture et a la documentation, permettant une analyse approfondie) ; le test boite grise (les testeurs ont une connaissance partielle, generalement un acces de niveau utilisateur, simulant un attaquant authentifie) ; le test externe (ciblant les systemes exposes sur Internet — applications web, API, messagerie, DNS) ; le test interne (simulant une menace interne ou un scenario post-compromission au sein du reseau) ; et les tests specifiques aux applications (axes sur les applications web, les applications mobiles, les API ou l'infrastructure cloud).

Que contient un rapport de test d'intrusion ?

Un rapport de test d'intrusion complet comprend : un resume executif avec une vue d'ensemble du niveau de risque et des principales decouvertes ; une description de la methodologie (perimetre, outils, approche) ; des decouvertes detaillees avec des niveaux de severite (Critique, Eleve, Moyen, Faible, Informationnel) ; des preuves de concept demontrant chaque vulnerabilite ; une evaluation de l'impact metier pour chaque decouverte ; des recommandations de remediation specifiques priorisees par severite ; et une confirmation de retest apres application des correctifs. Le rapport sert un double objectif — comme guide technique de remediation pour votre equipe d'ingenierie et comme preuve de conformite pour les auditeurs et les acheteurs.

Quel est le lien entre les tests d'intrusion et ISO 27001 ?

ISO 27001:2022 traite des tests d'intrusion a travers le controle de l'Annexe A A.8.8 (Gestion des vulnerabilites techniques), qui exige des organisations qu'elles identifient et traitent les vulnerabilites techniques, et A.5.36 (Conformite aux politiques, regles et normes), qui inclut les tests de securite independants. Bien qu'ISO 27001 n'impose pas explicitement les tests d'intrusion par leur nom, les auditeurs de certification s'attendent a voir des preuves d'evaluation des vulnerabilites techniques allant au-dela de l'analyse automatisee. Les tests d'intrusion annuels sont devenus la norme de facto pour les organisations certifiees ISO 27001.

Les tests d'intrusion sont-ils exiges par NIS2 et DORA ?

L'article 21 de NIS2 exige des mesures de securite appropriees incluant le traitement des vulnerabilites et les tests de securite, que les regulateurs interpretent comme incluant les tests d'intrusion. DORA va plus loin avec des exigences explicites : l'article 25 impose des 'tests avances des outils, systemes et processus TIC bases sur des tests d'intrusion fondes sur la menace (TLPT)' pour les entites financieres significatives. Les TLPT imposes par DORA doivent suivre le cadre TIBER-EU et etre realises par des testeurs externes qualifies. Meme les entites non soumises au TLPT obligatoire en vertu de DORA doivent realiser des tests d'intrusion reguliers dans le cadre de leur programme de tests de resilience operationnelle numerique.

Comment partager les resultats des tests d'intrusion avec les acheteurs et partenaires ?

Les resultats des tests d'intrusion contiennent des informations sensibles sur vos vulnerabilites et doivent etre partages avec precaution. Les bonnes pratiques comprennent : publier un resume (pas le rapport complet) sur votre Trust Center avec les principales decouvertes et le statut de remediation ; partager les rapports complets uniquement sous NDA via un acces restreint au Trust Center ; fournir des lettres d'attestation de la societe de test confirmant que le test a ete realise et les decouvertes remediees ; inclure la cadence et le perimetre des tests d'intrusion dans votre documentation de securite ; et mettre la societe de test a disposition pour des appels de reference si necessaire. Ne partagez jamais les rapports bruts de tests d'intrusion publiquement — ils constituent une feuille de route pour les attaquants si les vulnerabilites n'ont pas ete entierement remediees.

Tests d'intrusion : definition, fonctionnement et pourquoi les entreprises B2B en ont besoin

Published 7 mars 2026

By Emre Salmanoglu

Tests d'intrusion : definition, fonctionnement et pourquoi les entreprises B2B en ont besoin

Guide pratique des tests d'intrusion — definition, differents types, deroulement du processus, frequence recommandee, exploitation des resultats, et integration dans les referentiels de conformite ISO 27001, SOC 2, NIS2 et DORA.

tests d'intrusion

tests de securite

gestion des vulnerabilites

conformite

ISO 27001

SOC 2

Tests d'intrusion : definition, fonctionnement et pourquoi les entreprises B2B en ont besoin

Un test d'intrusion est une evaluation de securite controlee dans laquelle des testeurs qualifies simulent des attaques reelles contre vos systemes, applications ou reseaux. L'objectif est simple : trouver les vulnerabilites exploitables avant que les attaquants ne le fassent.

Pour les editeurs de logiciels B2B, les tests d'intrusion servent deux objectifs. Premierement, ils ameliorent directement la securite en identifiant les faiblesses que les outils automatises ne detectent pas — failles de logique metier, contournements d'authentification, chaines d'attaque complexes. Deuxiemement, ils fournissent les preuves que les acheteurs entreprise, les auditeurs et les regulateurs exigent. Un rapport de test d'intrusion recent est l'un des documents les plus demandes lors des evaluations de securite des fournisseurs.

Ce guide couvre le fonctionnement des tests d'intrusion, les differents types, leur integration dans les referentiels de conformite et le partage des resultats avec les acheteurs.

Fonctionnement des tests d'intrusion

Le processus de test d'intrusion

Un test d'intrusion typique suit une methodologie structuree :

1. Cadrage et planification

Definir le perimetre (applications, reseaux, API, infrastructure cloud)
Convenir de la methodologie de test et des regles d'engagement
Fixer la fenetre de test et les protocoles de communication
Obtenir une autorisation ecrite (essentiel — tester sans autorisation est illegal)

2. Reconnaissance

Collecter des informations sur la cible (noms de domaine, plages IP, pile technologique)
Cartographier la surface d'attaque (services exposes, points d'entree, mecanismes d'authentification)
Identifier les zones de vulnerabilites potentielles en fonction de la technologie et de l'architecture

3. Identification des vulnerabilites

Utiliser des outils d'analyse automatises pour identifier les vulnerabilites connues
Tests manuels pour les failles de logique metier, les problemes de controle d'acces et les faiblesses de configuration
Examiner les mecanismes d'authentification et de gestion de session
Tester la validation des entrees et le traitement des donnees

4. Exploitation

Tenter d'exploiter les vulnerabilites identifiees pour confirmer qu'elles sont reelles
Enchainer plusieurs decouvertes pour demontrer des scenarios d'attaque realistes
Evaluer ce qu'un attaquant pourrait acceder ou accomplir via chaque vulnerabilite
Documenter les preuves de concept pour chaque decouverte

5. Post-exploitation

Evaluer l'impact d'une exploitation reussie (acces aux donnees, elevation de privileges, mouvement lateral)
Determiner quelles donnees sensibles ou quels systemes pourraient etre compromis
Evaluer les capacites de detection et de reponse — les outils de surveillance ont-ils detecte le test ?

6. Rapport et remediation

Livrer un rapport detaille avec les decouvertes, les niveaux de severite et les conseils de remediation
Presenter les resultats aux parties prenantes techniques et executives
Soutenir les efforts de remediation avec des clarifications et des conseils
Effectuer un retest pour verifier l'efficacite des corrections

Types de tests d'intrusion

Par niveau de connaissance

Type	Connaissance du testeur	Simule	Ideal pour
Boite noire	Aucune information prealable	Attaquant externe	Simulation d'attaque realiste
Boite blanche	Acces complet (code source, architecture)	Menace interne ou analyse approfondie	Test complet au niveau du code
Boite grise	Acces partiel (identifiants utilisateur, documentation limitee)	Attaquant authentifie	Test de securite applicative

Par cible

Test d'applications web

Vulnerabilites du Top 10 OWASP (injection, authentification cassee, XSS, etc.)
Failles de logique metier (manipulation de prix, contournement de workflows)
Securite des API (authentification, autorisation, validation des entrees)
Gestion des sessions et controle d'acces

Test reseau/infrastructure

Test du perimetre externe (systemes exposes sur Internet)
Test du reseau interne (simulation post-compromission ou menace interne)
Securite du reseau sans fil
Revue de configuration de l'infrastructure cloud

Test d'applications mobiles

Securite cote client (stockage des donnees, certificate pinning)
Securite des communications API
Authentification et gestion de session
Vulnerabilites specifiques aux plateformes (iOS, Android)

Test de securite cloud

Revue de configuration cloud (IAM, stockage, reseau)
Securite des conteneurs et de Kubernetes
Securite des fonctions serverless
Chemins d'attaque cloud natifs

Tests specialises

Ingenierie sociale

Simulations de phishing
Tests de securite physique
Evaluations de vishing (phishing vocal)

Exercices Red Team

Simulation adversaire de perimetre complet
Bases sur des objectifs (pas sur les vulnerabilites)
Testent la detection et la reponse, pas seulement la prevention
Engagements generalement plus longs (semaines a mois)

Tests d'intrusion fondes sur la menace (TLPT)

Tests bases sur le renseignement et les TTPs d'acteurs de menace reels
Exiges par DORA pour les entites financieres significatives
Suivent le cadre TIBER-EU ou equivalent
Realises par des prestataires externes qualifies

Tests d'intrusion et conformite

ISO 27001

Controle	Exigence	Comment les tests d'intrusion y repondent
A.8.8	Gestion des vulnerabilites techniques	Les tests d'intrusion annuels identifient les vulnerabilites techniques au-dela de l'analyse automatisee
A.5.36	Conformite aux politiques et normes	Les tests de securite independants valident que les controles fonctionnent comme prevu
A.8.9	Gestion de la configuration	Les tests d'intrusion revelent les mauvaises configurations creant des vulnerabilites

SOC 2

Criteres des services de confiance	Exigence	Comment les tests d'intrusion y repondent
CC7.1	Detection des vulnerabilites	Les tests d'intrusion demontrent l'identification active des vulnerabilites
CC4.1	Surveillance des controles	Les tests verifient que les controles de securite sont efficaces
CC3.2	Evaluation des risques	Les decouvertes des tests d'intrusion alimentent le processus d'evaluation des risques

NIS2

Article	Exigence	Comment les tests d'intrusion y repondent
Article 21(2)(d)	Securite de la chaine d'approvisionnement	Les tests d'intrusion des fournisseurs critiques valident leur securite
Article 21(2)(e)	Traitement des vulnerabilites	Les tests d'intrusion identifient les vulnerabilites pour remediation
Article 21(2)(f)	Evaluation de l'efficacite	Les tests d'intrusion evaluent l'efficacite des mesures de securite

DORA

Article	Exigence	Comment les tests d'intrusion y repondent
Article 24	Exigences generales pour les tests TIC	Tests d'intrusion reguliers dans le cadre des tests de resilience numerique
Article 25	Tests d'intrusion fondes sur la menace	TLPT exiges pour les entites significatives (cadre TIBER-EU)
Article 26	Exigences relatives aux testeurs	Les TLPT doivent faire appel a des testeurs externes qualifies

Choisir un prestataire de tests d'intrusion

Criteres d'evaluation cles

Qualifications et certifications

Societe accreditee CREST et testeurs certifies (CRT, CCT)
Individus certifies OSCP, OSCE, OSWE
Membre du schema CHECK (Royaume-Uni) ou d'un schema national equivalent
Experience sectorielle pertinente pour votre pile technologique

Methodologie

Suit des referentiels etablis (OWASP, PTES, NIST SP 800-115)
Combine tests automatises et manuels
Inclut les tests de logique metier, pas seulement l'analyse de vulnerabilites
Fournit un cadrage clair et des regles d'engagement

Qualite des rapports

Resume executif accessible aux parties prenantes non techniques
Decouvertes techniques detaillees avec preuves de concept
Decouvertes classees par risque (Critique, Eleve, Moyen, Faible)
Recommandations de remediation specifiques et exploitables
Retest inclus pour verifier les corrections

Alignement de conformite

Experience avec vos exigences reglementaires (ISO 27001, SOC 2, NIS2, DORA)
Rapports formates pour la revue par les auditeurs
Lettres d'attestation disponibles pour les demandes des acheteurs
Qualification TIBER-EU pour les exigences TLPT de DORA

Considerations de cout

Les couts des tests d'intrusion varient considerablement en fonction du perimetre :

Test d'application web (application unique) : 5 000-20 000 EUR
Test reseau/infrastructure (externe + interne) : 8 000-25 000 EUR
Engagement complet (applications + infrastructure + cloud) : 15 000-50 000 EUR
Exercice Red Team : 30 000-100 000+ EUR
TLPT (TIBER-EU) : 50 000-200 000+ EUR

Les tests annuels pour une entreprise SaaS B2B typique (application web + API + infrastructure cloud) se situent generalement entre 10 000 et 30 000 EUR.

Que faire des resultats des tests d'intrusion

Remediation interne

Trier les decouvertes par severite : traiter immediatement les decouvertes critiques et elevees
Assigner la responsabilite : chaque decouverte necessite un responsable et un delai de remediation
Suivre la remediation : utiliser votre outil de suivi des incidents pour assurer la resolution
Retester : faire verifier par la societe de test que les corrections sont efficaces
Mettre a jour le registre des risques : integrer les decouvertes dans votre processus de gestion des risques
Analyser les causes profondes : identifier les problemes systemiques a l'origine de decouvertes multiples

Partage des resultats

Via votre Trust Center :

Publier un resume du test d'intrusion (date, perimetre, testeur, principales decouvertes remediees)
Restreindre l'acces aux rapports complets derriere un acces sous NDA
Inclure les lettres d'attestation de la societe de test
Montrer votre cadence et methodologie de test

Dans les questionnaires de securite :

Faire reference a la date et au perimetre de votre test le plus recent
Confirmer que les decouvertes critiques et elevees ont ete remediees
Fournir la lettre d'attestation de la societe de test
Partager le rapport complet sous NDA si demande

Pour les auditeurs de conformite :

Fournir le rapport complet avec les preuves de remediation
Montrer les resultats de retest confirmant les corrections
Demontrer l'integration avec votre programme de gestion des vulnerabilites
Associer les decouvertes aux referentiels de controles pertinents

Erreurs courantes en matiere de tests d'intrusion

Tester de maniere trop restreinte

Tester uniquement l'application web principale tout en ignorant les API, les panneaux d'administration, les environnements de pre-production et l'infrastructure cloud. Les attaquants cherchent le maillon faible, pas le plus fort.

Tester une fois et oublier

Un seul test annuel cree un instantane dans le temps. Le developpement continu signifie que de nouvelles vulnerabilites sont introduites regulierement. Envisagez des tests d'intrusion continus pour les applications avec des mises en production frequentes.

Ignorer la remediation

Un rapport de test d'intrusion est inutile si les decouvertes ne sont pas remediees. Suivez les decouvertes comme des bugs de securite avec des SLA : critiques sous 48 heures, elevees sous 2 semaines, moyennes sous 30 jours.

Choisir uniquement sur le prix

Le test d'intrusion le moins cher offre souvent le moins de valeur. Une equipe qui execute des scanners automatises et repackage les resultats comme un « test d'intrusion » apporte peu au-dela de ce que vos propres outils d'analyse fournissent.

Ne pas partager les resultats

Garder les resultats des tests d'intrusion signifie que les acheteurs doivent envoyer des questionnaires pour obtenir des informations que vous possedez deja. Publiez des resumes sur votre Trust Center pour reduire les demandes de revue de securite entrantes.

Comment Orbiq soutient les programmes de tests d'intrusion

Trust Center — Publiez les resumes des tests d'intrusion, les lettres d'attestation et le statut de remediation en libre-service pour les acheteurs
Gestion des preuves — Centralisez les rapports de tests d'intrusion, le suivi de la remediation et les preuves de retest associes aux referentiels de conformite
Questionnaires IA — Repondez automatiquement aux questions sur les tests d'intrusion dans les questionnaires de securite a partir de vos preuves documentees
Surveillance continue — Suivez la progression de la remediation et alertez lorsque les echeances de retest approchent

Pour aller plus loin

Questionnaire de securite — Comment les resultats des tests d'intrusion apparaissent dans les evaluations des fournisseurs
Certification ISO 27001 — Le referentiel de certification qui exige des tests de vulnerabilites
Automatisation de la conformite — Automatiser la piste de preuves des tests d'intrusion
Trust Center — Publier les resultats des tests d'intrusion pour la due diligence des acheteurs

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.