Le pentest (test de pénétration) est la méthode de référence pour évaluer la sécurité d'un site web. Chaque mois, 9 900 professionnels recherchent ce terme. Découvrez tout ce qu'il faut savoir : méthodologie, outils, coûts et comment protéger votre site dès aujourd'hui.
Un pentest (abréviation de penetration test, ou test de pénétration en français) est une simulation d'attaque informatique réalisée de manière autorisée sur un système, un réseau ou une application web. L'objectif est d'identifier et d'exploiter les failles de sécurité avant qu'un attaquant réel ne les découvre.
Le pentester, ou testeur d'intrusion, utilise les mêmes outils et techniques que les pirates informatiques, mais dans un cadre légal et contractuel strict. Le résultat est un rapport détaillé listant les vulnérabilités découvertes, leur niveau de criticité et les recommandations de remédiation.
Ces trois termes sont souvent confondus, mais ils désignent des approches distinctes :
Le test d'intrusion concerne toute organisation exposée en ligne. En pratique, les principaux commanditaires sont :
Il existe trois approches principales pour mener un test d'intrusion, chacune simulant un niveau d'information différent pour l'attaquant. Le choix dépend de vos objectifs et de votre budget.
Le pentester ne dispose d'aucune information préalable. Il simule un attaquant externe qui découvre la cible pour la première fois. Cette approche teste la surface d'attaque visible depuis Internet : ports ouverts, pages accessibles, formulaires, API publiques.
Le pentester dispose d'informations partielles : un compte utilisateur, de la documentation interne ou l'architecture du réseau. Cette approche simule un employé malveillant ou un attaquant ayant déjà obtenu un premier accès (phishing, credential stuffing).
Le pentester a accès au code source, à l'architecture et aux comptes administrateurs. Cette approche est la plus exhaustive : elle permet de détecter les failles dans la logique métier, les erreurs de conception et les vulnérabilités invisibles depuis l'extérieur.
L'audit de sécurité automatisé et le pentest manuel ne s'opposent pas : ils se complètent. L'audit automatisé offre une couverture large et rapide des vulnérabilités connues (CVE, OWASP Top 10, mauvaises configurations). Le pentest manuel apporte une analyse en profondeur de la logique métier et des scénarios d'attaque complexes.
Pour la majorité des sites web, l'audit automatisé est le premier diagnostic recommandé. Il identifie les failles urgentes à corriger avant d'investir dans un pentest manuel plus coûteux.
Comparatif détaillé : automatisé vs manuel →Que ce soit un pentest manuel ou un audit automatisé, la méthodologie suit toujours les mêmes phases fondamentales, inspirées des standards OWASP et PTES.
Collecte d'informations sur la cible : DNS, technologies utilisées, CMS, sous-domaines, endpoints exposés.
Détection automatisée des vulnérabilités connues : CVE, ports ouverts, mauvaises configurations, headers manquants.
Tentative d'exploitation des failles identifiées pour mesurer l'impact réel et la profondeur de compromission possible.
Évaluation de l'étendue des accès obtenus : escalade de privilèges, mouvements latéraux, exfiltration de données.
Rapport détaillé : vulnérabilités classées par sévérité CVSS, preuves, recommandations de remédiation priorisées.
Un pentest professionnel repose sur une combinaison d'outils open source et commerciaux. Voici les six outils les plus utilisés par les pentesteurs, dont plusieurs sont intégrés dans notre suite d'audit automatisé.
Scanner web de référence. Détecte les injections SQL, XSS, CSRF, mauvaises configurations HTTP et les vulnérabilités du Top 10 OWASP.
Moteur de templates ultra-rapide. Scanne des milliers de vulnérabilités connues avec des templates communautaires et personnalisés, actualisés quotidiennement.
Scanner spécialisé WordPress. Détecte les plugins et thèmes vulnérables, les utilisateurs exposés et les mauvaises configurations spécifiques à WordPress.
Scanner de ports et de services réseau de référence. Identifie les services exposés, les versions logicielles et les points d'entrée potentiels sur l'infrastructure.
Plateforme d'audit web avancée. Permet l'interception et la modification des requêtes HTTP, le fuzzing des paramètres et l'analyse manuelle de la logique applicative.
Framework d'exploitation de vulnérabilités. Utilisé en pentest manuel pour exploiter les failles identifiées et démontrer l'impact concret d'une compromission.
Notre audit utilise 4 de ces outils professionnels (OWASP ZAP, Nuclei, WPScan, CMSeeK) combinés en une seule analyse automatisée. Vous bénéficiez de la couverture de multiples scanners pour 99 € HT, avec un rapport unifié et des recommandations priorisées. En savoir plus sur nos scanners →
L'OWASP Top 10 est le standard mondial de référence pour la sécurité des applications web. Tout pentest sérieux couvre ces dix catégories de vulnérabilités. L'ANSSI encadre également les pratiques de sécurité réglementaires en France.
Contrôles d'accès défaillants permettant à un utilisateur d'accéder à des données ou fonctions non autorisées.
Défauts cryptographiques exposant des données sensibles : mots de passe en clair, certificats expirés, chiffrement faible.
Injection de code malveillant (SQL, XSS, commandes OS) via des entrées utilisateur non filtrées.
Failles de conception architecturale : absence de contrôles de sécurité dès la phase de design de l'application.
Mauvaises configurations : headers de sécurité manquants, debug mode activé, permissions trop permissives.
Utilisation de composants (plugins, bibliothèques, frameworks) présentant des vulnérabilités connues non corrigées.
Faiblesses dans l'authentification : mots de passe faibles, sessions mal gérées, absence de MFA.
Défauts d'intégrité des logiciels et des données : mises à jour non signées, pipelines CI/CD compromis.
Absence de journalisation et de surveillance : les attaques passent inaperçues faute de détection en temps réel.
Falsification de requêtes côté serveur (SSRF) : l'attaquant force le serveur à effectuer des requêtes vers des ressources internes.
Le coût d'un test d'intrusion varie considérablement selon l'approche choisie. Voici une comparaison objective des trois options disponibles, du scan gratuit au pentest manuel professionnel.
| Critère | Scan gratuit en ligne | Audit-Secu | Pentest manuel |
|---|---|---|---|
| Prix | 0 € | 99 € HT | 2 000 - 15 000 € |
| Durée | 2 - 5 minutes | 30 - 60 minutes | 5 - 20 jours ouvrés |
| Nombre de scanners | 1 seul | 5 moteurs combinés | Outils manuels + automatisés |
| Détection CVE | Partielle | Complète | Complète |
| OWASP Top 10 | Basique | Complet | Complet |
| Audit CMS spécifique | Non | 10+ CMS | Selon périmètre |
| Test de logique métier | Non | Non | Oui |
| Rapport détaillé | Résumé basique | Complet avec score | Complet avec preuves |
| Score de sécurité | Non | 0-100 (A-F) | Variable |
| Pour qui | Curiosité, premier aperçu | PME, e-commerce, DSI | Grands comptes, conformité |
L'audit automatisé est le diagnostic avant le spécialiste. Comme un bilan sanguin avant de consulter un cardiologue, l'audit à 99 € HT identifie rapidement les problèmes urgents. Si des vulnérabilités critiques sont détectées ou si votre contexte l'exige (conformité PCI-DSS, données sensibles), un pentest manuel complétera l'analyse. Voir nos tarifs →