Sommaire
En résumé : Un test d’intrusion réussi se prépare en amont.
Définissez un périmètre précis, fournissez les bons accès, désignez un contact et prévoyez le retest.
Plus vous préparez bien, plus les résultats seront exploitables.
| Étape | Description |
|---|---|
| 1. Cadrage | Définir le périmètre et les objectifs |
| 2. Test | Simulation d’attaque par le pentester |
| 3. Rapport | Livraison des résultats détaillés |
| 4. Restitution | Présentation orale des résultats |
| 5. Corrections | Vous corrigez les failles identifiées |
| 6. Re-test | Vérification que les corrections fonctionnent |
Étape 1 : cadrer le périmètre
La préparation la plus importante : définir précisément ce qui sera testé. Un périmètre flou donne un test superficiel. Un périmètre trop large pour le temps alloué donne des résultats incomplets. Le cadrage est ce qui fait la différence entre un pentest qui produit un rapport générique et un pentest qui révèle les vraies failles exploitables de votre entreprise.
Soyez concret. Au lieu de « testez notre site web », dites : « testez l’application sur https://app.exemple.com, incluant les fonctionnalités authentifiées avec les rôles utilisateur, manager et admin ».
Ce qu’il faut préciser :
- Les URLs, adresses IP ou sous-réseaux concernés
- Les exclusions : systèmes fragiles, environnements tiers, périodes sensibles
- Le type de test souhaité : boîte noire (aucune info), boîte grise (comptes fournis) ou boîte blanche (accès au code source)
Pour la plupart des TPE/PME, un test en boîte grise offre le meilleur rapport profondeur/réalisme. Le pentester dispose de comptes de test et peut aller plus loin qu’un attaquant aveugle, sans nécessiter l’accès au code source.
Ne confondez pas un pentest avec un simple scan automatisé. Les deux sont complémentaires mais très différents. Notre article pentest vs scan de vulnérabilités détaille les différences.
Étape 2 : fournir les bons accès
Selon le type de test, le pentester aura besoin de :
Toujours nécessaire :
- Convention de test signée (sans elle, le test serait une infraction pénale selon l’article 323-1 du Code pénal)
- Contacts d’urgence (un technique, un décisionnel)
- Plages horaires autorisées
- Autorisation de l’hébergeur si vous êtes en cloud mutualisé (AWS, Azure, OVH…)
Pour un test en boîte grise :
- Comptes utilisateurs de test avec différents niveaux de privilèges
- Accès VPN si le test inclut le réseau interne
- Documentation de l’architecture réseau
Plus vous fournissez d’informations pertinentes, plus le pentester passe du temps à chercher des vraies failles au lieu de reconstituer votre architecture. C’est la clé pour tirer le maximum de valeur d’un test d’intrusion web.
Étape 3 : désigner un point de contact
Nommez une seule personne côté entreprise, joignable rapidement pendant toute la durée du test. Cette personne doit pouvoir :
- Débloquer un compte ou fournir un accès si le pentester est bloqué
- Distinguer les actions du test d’une vraie attaque dans les logs
- Décider rapidement si une découverte critique nécessite d’arrêter le test
Établissez aussi un protocole pour les découvertes critiques. Si le pentester trouve une faille qui expose vos données sensibles en plein test, il doit pouvoir alerter immédiatement, par téléphone, pas par email. Définissez à l’avance qui est alerté et quelles actions immédiates prendre (isoler le système, appliquer un correctif temporaire).
Faut-il prévenir votre équipe IT ? Oui, toujours. Un pentest se fait en coordination avec votre équipe technique ou votre prestataire infogérance. Ils doivent pouvoir distinguer les actions du test d’une vraie attaque. Si vous souhaitez tester la capacité de détection de vos équipes sans les prévenir, c’est un exercice de type “red team”, qui est une prestation différente.
Étape 4 : ne touchez à rien pendant le test
Règle d’or : ne modifiez pas l’environnement pendant le test.
- Pas de mises à jour de sécurité
- Pas de changement de configuration pare-feu
- Pas de modification des comptes de test
Chaque changement fausse les résultats et fait perdre du temps. Si une urgence impose un changement, prévenez immédiatement le pentester.
Étape 5 : exploiter les résultats (le plus important)
Le rapport de test n’a de valeur que si vous agissez dessus. C’est la question que chaque dirigeant devrait se poser après un pentest : « Qu’est-ce qu’on corrige, dans quel ordre et qui s’en charge ? »
Priorisez les corrections :
- Critiques + faciles → corriger immédiatement (changer un mot de passe par défaut, activer l’authentification multi-facteur)
- Critiques + complexes → planifier dans les 30 jours
- Mineures → intégrer au backlog technique
Planifiez un retest une fois les corrections appliquées pour vérifier qu’elles fonctionnent et n’ont pas introduit de nouvelles failles. Le délai dépend de la complexité des corrections, de quelques semaines à plusieurs mois. Un retest est plus court et moins coûteux que le test initial.
Demandez une restitution en personne (ou en visioconférence). Le rapport écrit ne suffit pas. Une restitution permet de poser des questions, de comprendre les scénarios d’attaque concrets et de prioriser ensemble les corrections avec le pentester. C’est souvent le moment le plus utile de toute la mission.
Utilisez le rapport pour justifier des investissements en cybersécurité auprès de votre direction, former vos équipes et alimenter votre stratégie de sécurité sur le long terme. Un bon pentest n’est pas un événement ponctuel, c’est le point de départ d’une amélioration continue.
Vous souhaitez planifier votre premier test d’intrusion ? Contactez-nous. Nous vous accompagnons dès la phase de cadrage pour maximiser la valeur de la mission.
