Blog Cybersécurité

NIS2 & Conformité 10 mars 2025 ⏱ 12 min de lecture

NIS2 en France : Ce que votre entreprise doit faire avant fin 2025

La directive NIS2 est transposée en droit français depuis octobre 2024. Votre entreprise est peut-être concernée sans le savoir. Ce guide détaille les obligations, les délais, les sanctions et le plan d'action concret à suivre.

Qu'est-ce que la directive NIS2 ?

La directive européenne NIS2 (Network and Information Security 2) remplace NIS1 et étend considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Transposée en droit français par la loi du 17 octobre 2024, elle s'applique désormais à environ 15 000 entités en France, contre 300 sous NIS1.

L'objectif est clair : harmoniser le niveau de cybersécurité à l'échelle européenne et rendre les entreprises essentielles résilientes face aux cyberattaques. Le régulateur français est l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information).

Votre entreprise est-elle concernée ?

NIS2 distingue deux catégories d'entités selon leur taille et leur secteur d'activité :

Catégorie	Taille	Secteurs concernés
Entités Essentielles (EE)	+250 salariés ou +50M€ CA	Énergie, Transport, Santé, Eau, Infrastructure numérique, Finance
Entités Importantes (EI)	+50 salariés ou +10M€ CA	Services postaux, Gestion des déchets, Chimie, Alimentaire, Fabrication, Fournisseurs numériques

💡 Point important

Même si votre entreprise ne rentre pas dans ces catégories, vos donneurs d'ordre ou clients qui sont EE/EI peuvent vous imposer contractuellement des mesures équivalentes via la gestion de la chaîne d'approvisionnement (supply chain security).

Les 10 mesures obligatoires NIS2

L'article 21 de la directive impose un socle de 10 mesures de sécurité que toutes les entités concernées doivent mettre en œuvre :

Politique de sécurité des systèmes d'information (PSSI) — documents formalisés approuvés par la direction
Gestion des risques cyber — analyse de risques annuelle selon une méthode reconnue (EBIOS RM recommandée en France)
Gestion des incidents — procédures de détection, de notification et de réponse aux incidents
Continuité d'activité — PCA et PRA testés au moins annuellement
Sécurité de la chaîne d'approvisionnement — évaluation des prestataires et fournisseurs critiques
Sécurité du développement et des acquisitions — DevSecOps, tests de sécurité, durcissement
Gestion des vulnérabilités — patch management, veille CVE, scan régulier
Évaluation de l'efficacité des mesures — audits internes, tests d'intrusion, métriques
Formation et sensibilisation — programme pour tous les collaborateurs, incluant la direction
Chiffrement et cryptographie — chiffrement des données sensibles en transit et au repos

Délais et sanctions

Les entités ont jusqu'au 17 octobre 2026 pour se mettre en conformité complète. Mais l'enregistrement auprès de l'ANSSI est obligatoire dès 2025. Les sanctions en cas de manquement sont significatives :

Catégorie	Amende maximale
Entités Essentielles	10 millions € ou 2% du chiffre d'affaires mondial
Entités Importantes	7 millions € ou 1,4% du chiffre d'affaires mondial

⚠ Obligation de notification des incidents

En cas d'incident significatif, vous avez 24h pour notifier l'ANSSI d'une alerte précoce, 72h pour un rapport d'incident intermédiaire, et 1 mois pour un rapport final détaillé. Le non-respect de ces délais est une infraction sanctionnable indépendamment de l'incident lui-même.

Plan d'action concret sur 12 mois

Voici les étapes pragmatiques pour une mise en conformité NIS2 structurée :

Mois 1–2 : Audit de périmètre — identifier si vous êtes EE ou EI, cartographier vos systèmes d'information critiques, évaluer l'écart avec les exigences NIS2
Mois 2–4 : Analyse de risques EBIOS RM — identifier vos biens supports, sources de risque, événements redoutés et scénarios d'attaque
Mois 3–5 : Rédaction de la PSSI et des politiques associées (gestion des accès, chiffrement, patch management, IR)
Mois 4–7 : Mise en œuvre technique — MFA sur tous les accès, segmentation réseau, EDR déployé, SIEM configuré, backup testé
Mois 6–8 : Test d'intrusion et audit de configuration pour vérifier l'efficacité des mesures
Mois 7–9 : Formation et sensibilisation — programme pour tous les niveaux, simulation phishing
Mois 9–12 : Enregistrement ANSSI, mise en place du processus de notification des incidents, audit interne final

Besoin d'un accompagnement NIS2 ?

ONYX-CYBER réalise votre audit de conformité NIS2, l'analyse de risques EBIOS RM et vous accompagne jusqu'à l'enregistrement ANSSI.

Demander un audit NIS2 gratuit

NIS2 ANSSI ISO 27001 EBIOS RM Conformité GRC

Être accompagné →

Incident Response 18 février 2025 ⏱ 15 min de lecture

Ransomware : les 5 premières heures critiques — Guide de réponse aux incidents

Une attaque ransomware se joue dans les premières heures. Chaque action — ou inaction — peut faire la différence entre une reprise en 48h et une catastrophe opérationnelle de plusieurs semaines. Voici la procédure complète issue de nos interventions terrain.

Comprendre la cinétique d'une attaque ransomware

Contrairement à l'idée reçue, le chiffrement que vous observez n'est pas le début de l'attaque — c'est souvent la fin. Les attaquants ont généralement été présents dans votre réseau entre 3 et 90 jours avant de déclencher le ransomware. Pendant cette période de « dwell time », ils ont :

Compromis un compte initial (phishing, credentials exposés, VPN vulnérable)
Effectué une reconnaissance réseau complète (cartographie AD, partages SMB, sauvegardes)
Escaladé les privilèges jusqu'aux droits Domain Admin
Exfiltré les données sensibles vers leurs serveurs C2
Compromis ou supprimé les sauvegardes accessibles depuis le réseau
Déployé le payload ransomware sur l'ensemble du parc simultanément

⛔ Erreur critique à ne pas commettre

Ne redémarrez JAMAIS les systèmes compromis avant investigation. La mémoire vive (RAM) contient des artefacts forensiques précieux — clés de chiffrement, processus malveillants, connexions réseau actives — qui disparaissent au redémarrage. Vous détruisez vos preuves ET potentiellement vos chances de déchiffrement.

Heure 0–1 : Détection et alerte initiale

Dès que vous suspectez une attaque ransomware — fichiers chiffrés, notes de rançon, alertes EDR, système lent inexpliqué — appliquez immédiatement ces actions :

Déclenchez votre PCA et alertez la cellule de crise : RSSI, DSI, DG, service juridique
Contactez votre prestataire de réponse aux incidents — chaque minute de délai augmente le périmètre impacté
Prenez des photos de tous les écrans qui affichent la note de rançon ou le comportement anormal
NE payez pas la rançon sans avoir consulté un expert — le paiement ne garantit aucun déchiffrement et peut aggraver votre situation légale
Préservez les logs : exportez IMMÉDIATEMENT les logs SIEM, firewall, proxy des dernières 72h

Heure 1–2 : Confinement d'urgence

L'objectif du confinement est d'arrêter la propagation sans détruire les preuves. Les actions à effectuer dans l'ordre :

🔒 Protocole de confinement réseau

Isolez les segments réseau compromis au niveau du switch (VLAN, ACL) plutôt qu'en éteignant les machines. Coupez les accès VPN entrants. Bloquez les communications sortantes vers les IPs/domaines C2 identifiés au niveau du firewall périmétrique. Désactivez les comptes compromis sans les supprimer.

Identifier le patient zéro — quel système a été infecté en premier ? Via quels logs pouvez-vous retracer la propagation ?
Isoler le DC — si un Domain Controller est compromis, c'est votre priorité absolue. Couper sa connectivité réseau mais le laisser allumé pour preservation forensique
Identifier les sauvegardes survivantes — quels backups sont hors ligne ou offline (bande, stockage air-gapped) ?
Inventorier les systèmes critiques non encore atteints et les protéger en priorité

Heure 2–4 : Investigation forensique initiale

Pendant que le confinement se met en place, l'équipe forensique commence à collecter les artefacts critiques :

# Acquisition mémoire vive (à faire AVANT toute autre action sur machine compromise)
winpmem.exe memory.raw

# Collecte des logs Windows prioritaires
wevtutil epl Security Security.evtx
wevtutil epl System System.evtx
wevtutil epl "Microsoft-Windows-Sysmon/Operational" Sysmon.evtx

# Identifier les processus actifs suspects
tasklist /v /fo csv > processes.csv
netstat -ano > connections.txt

Les Event IDs Windows les plus utiles pour reconstituer l'attaque :

Event ID	Signification	Pertinence ransomware
4624 / 4625	Connexion réussie / échec	Identifier le compte initial compromis
4648	Connexion avec credentials explicites	Lateral movement, Pass-the-Hash
4688	Création de processus	Exécution du ransomware, outils post-exploitation
7045	Nouveau service installé	Persistance, déploiement de l'agent C2
4698	Tâche planifiée créée	Persistance, déclenchement différé du chiffrement
4663	Accès objet (fichier)	Identifier le début du chiffrement de masse

Heure 4–5 : Évaluation et communication

À ce stade, vous devriez avoir une vision suffisamment claire pour prendre les décisions critiques :

Périmètre exact — combien de systèmes sont chiffrés ? Quelles données sont concernées ?
Identification du ransomware — utilisez ID Ransomware (nomoreransom.org) pour identifier la famille et vérifier l'existence de clés de déchiffrement publiques
Exfiltration de données ? — des données ont-elles été exfiltrées vers un serveur C2 ? Cela déclenche des obligations de notification CNIL sous 72h
Notification ANSSI/CNIL — si des données personnelles sont concernées, la notification CNIL est obligatoire sous 72h après la prise de connaissance de la violation
Assurance cyber — notifiez votre assureur dès que possible, la plupart des polices ont des délais stricts

Vous subissez une attaque en ce moment ?

ONYX-CYBER intervient en urgence sous 4h — confinement, investigation forensique, préservation des preuves et rapport post-incident.

Contacter en urgence 📞 07 71 45 41 63

Ransomware Incident Response DFIR Forensique NIST 800-61

Notre service IR →

SOC & Détection 28 janvier 2025 ⏱ 18 min de lecture

Active Directory : les 10 attaques les plus courantes et comment les détecter dans votre SIEM

L'Active Directory est la cible n°1 des attaquants dans les environnements Windows. Compromettre l'AD, c'est compromettre l'entreprise entière. Voici les 10 techniques d'attaque les plus utilisées et les Event IDs à configurer dans votre SIEM pour les détecter.

Pourquoi l'Active Directory est la cible prioritaire

L'Active Directory centralise l'authentification, les autorisations et la gestion de configuration de l'ensemble des systèmes Windows d'une organisation. Un attaquant qui obtient les droits Domain Admin contrôle l'intégralité du SI — accès à toutes les machines, tous les fichiers partagés, possibilité de créer des backdoors persistantes indétectables.

Selon le CERT-FR, plus de 70% des incidents majeurs traités en France impliquent une compromission de l'Active Directory à un stade ou un autre de la chaîne d'attaque.

Les 10 techniques d'attaque AD à connaître

#	Technique	MITRE ATT&CK	Event IDs clés
1	Password Spraying	T1110.003	4625 (nombreux échecs, comptes différents)
2	Kerberoasting	T1558.003	4769 (RC4 encryption type, volume anormal)
3	AS-REP Roasting	T1558.004	4768 (préauthentification désactivée)
4	Pass-the-Hash	T1550.002	4648, 4624 (type 3, source inhabituelle)
5	Pass-the-Ticket	T1550.003	4648, Sysmon EID 10 (LSASS access)
6	DCSync	T1003.006	4929 (réplication AD depuis compte non-DC)
7	Golden Ticket	T1558.001	4769 (tickets Kerberos avec durée anormale)
8	BloodHound / AD Recon	T1087.002	Sysmon EID 1 (SharpHound), 4662 (LDAP)
9	Delegation Abuse	T1134.001	4738 (modification compte), 4769
10	AdminSDHolder Abuse	T1078.002	4728, 4732 (ajout groupe sensible)

Focus : détecter le Kerberoasting

Le Kerberoasting est l'une des techniques les plus silencieuses. L'attaquant demande des tickets Kerberos (TGS) pour des comptes de service qui ont un SPN, puis casse les hashes offline sans générer d'alerte sur les systèmes cibles.

Signal de détection : un volume anormal de requêtes TGS (Event ID 4769) avec le type de chiffrement RC4 (0x17) depuis un seul compte en peu de temps. La règle Splunk suivante permet de détecter ce comportement :

| Règle Splunk — Détection Kerberoasting
index=windows EventCode=4769
  TicketEncryptionType=0x17
  ServiceName!=krbtgt
  ServiceName!="*$"
| stats count by Account_Name, ServiceName, IpAddress
| where count > 5
| sort -count

Focus : détecter le DCSync

DCSync permet à un attaquant ayant les droits de réplication AD de demander les hashes NTLM de tous les comptes, y compris krbtgt. C'est l'une des étapes finales avant la création d'un Golden Ticket.

🔍 Event ID 4929 — Réplication AD

Cet événement est généré sur le DC à chaque opération de réplication. En conditions normales, il provient uniquement d'autres DCs. Toute occurrence depuis un poste de travail ou serveur non-DC est une anomalie critique à investiguer immédiatement.

| Règle Splunk — Détection DCSync
index=windows EventCode=4929
| eval is_dc = if(match(SubjectDomainName,".*DC.*"), "yes", "no")
| where is_dc="no"
| table _time, SubjectUserName, SubjectLogonId, IpAddress

Hardening AD : les mesures fondamentales

La détection est essentielle, mais la prévention réduit drastiquement la surface d'attaque :

Tier model AD — séparer les comptes Tier 0 (DC, PKI), Tier 1 (serveurs) et Tier 2 (postes) avec des politiques d'authentification strictes
Protected Users group — ajouter tous les comptes à privilèges, désactive RC4 et NTLM pour ces comptes
LAPS (Local Administrator Password Solution) — randomiser les mots de passe administrateur local pour éviter le lateral movement
Credential Guard — activer sur tous les systèmes Windows 10/11, protège LSASS contre les attaques Pass-the-Hash
Audit des SPNs — recenser et supprimer les comptes de service avec des SPNs inutiles, utiliser des gMSA plutôt que des comptes de service classiques
Privileged Access Workstation (PAW) — dédiées aux administrateurs AD, jamais utilisées pour la navigation web ou la messagerie

Audit Active Directory & détection SIEM

ONYX-CYBER réalise des audits AD complets et configure les règles de détection dans votre SIEM pour couvrir ces 10 vecteurs d'attaque.

Demander un audit AD

Active Directory MITRE ATT&CK Splunk Sysmon Kerberos SOC

Notre service MDR →

SOC & MDR 10 janvier 2025 ⏱ 10 min de lecture

Comment choisir son prestataire MDR en France — Guide décisionnel 2025

SOC managé, MDR, MSSP — le marché de la cybersécurité externalisée est dense et les offres peu transparentes. Ce guide vous donne les critères objectifs pour évaluer un prestataire MDR et éviter les pièges classiques lors de votre sélection.

SOC managé vs MDR vs MSSP : quelle différence ?

Ces termes sont souvent utilisés de façon interchangeable par les commerciaux, mais recouvrent des réalités très différentes :

Service	Surveillance	Réponse active	Threat Hunting	Engagement typique
MSSP	✅ Oui	❌ Alerte seulement	❌ Non	Alertes + ticket
SOC managé	✅ Oui	⚠️ Partiel	⚠️ Basique	Triage + escalade
MDR	✅ Oui	✅ Containment inclus	✅ Proactif	Détection + réponse + hunt

Un vrai service MDR inclut la réponse active : l'équipe peut isoler un endpoint, bloquer un compte, couper une connexion réseau dans votre environnement sans attendre votre validation, sur la base de procédures convenues à l'avance. Si votre prestataire ne fait qu'envoyer des alertes, c'est un MSSP, pas un MDR.

Les 8 questions à poser à tout prestataire MDR

Quel est votre MTTD (Mean Time To Detect) garanti contractuellement ? Un MDR sérieux garantit sous 15–30 minutes. Si la réponse est vague, méfiez-vous.
Où sont situés vos analystes SOC ? Externalisés offshore ? La souveraineté des données et la qualité de réponse en nuit/week-end sont directement liées à cette question.
Vos analystes ont-ils accès à mon environnement ou seulement à des flux de logs ? Un vrai MDR nécessite un accès contrôlé aux endpoints pour le containment.
Quelle est votre stack SIEM/EDR ? Propriétaire ? Splunk ? Microsoft Sentinel ? La flexibilité d'intégration avec vos outils existants est critique.
Comment gérez-vous les faux positifs ? Le taux de faux positifs non qualifiés est un indicateur de maturité. Exigez des métriques des 3 derniers mois.
Proposez-vous un déploiement on-premises ou cloud uniquement ? Pour les secteurs sensibles, la possibilité de garder les données on-premises est non-négociable.
Quel est le processus de threat hunting mensuel ? Demandez un exemple de rapport de threat hunting d'un client (anonymisé).
Êtes-vous qualifié PSSII par l'ANSSI ? Cette qualification est un gage de sérieux pour les prestataires intervenant sur des OIV/OSE.

Les pièges à éviter

⚠ Piège n°1 : Le SOC "24/7" qui est en réalité 8/5

Certains prestataires commercialisent un SOC 24/7 mais les alertes hors heures ouvrées sont gérées par une équipe réduite offshore avec des SLAs différents. Demandez le nombre d'analystes par shift, notamment la nuit et le week-end.

⚠ Piège n°2 : L'engagement minimum de 3 ans

Un contrat MDR de 3 ans minimum avec des clauses de sortie pénalisantes doit être un signal d'alarme. Un bon prestataire vous offre 12 mois renouvelables. Votre confiance doit être gagnée par les résultats, pas par les clauses contractuelles.

⚠ Piège n°3 : Le remplacement obligatoire de votre stack

Si le prestataire exige que vous remplaciez votre EDR ou SIEM existant par sa propre plateforme propriétaire pour accéder au service, posez-vous des questions sur son intérêt à vous garder dépendant de sa technologie plutôt que de votre sécurité.

Grille d'évaluation synthétique

Critère	Poids	Questions clés
SLA et métriques	⭐⭐⭐⭐⭐	MTTD, MTTR garantis contractuellement ?
Qualité des analystes	⭐⭐⭐⭐⭐	Certifications, séniorité, localisation ?
Réponse active	⭐⭐⭐⭐	Containment inclus ? Playbooks documentés ?
Intégration technique	⭐⭐⭐⭐	Compatible votre stack ? On-prem possible ?
Threat Hunting	⭐⭐⭐	Mensuel ? Rapport fourni ?
Conformité	⭐⭐⭐	Rapports NIS2/ISO 27001 inclus ?
Transparence tarifaire	⭐⭐⭐	Tout compris ou frais cachés ?

Évaluation gratuite de votre posture de sécurité

ONYX-CYBER propose une évaluation initiale de votre infrastructure et vous présente notre approche MDR transparente, sans engagement. Réponse sous 24h.

Demander une évaluation gratuite

MDR SOC managé MSSP Prestataire cyber ANSSI

Notre MDR →

Pentest 10 avril 2025 ⏱ 20 min de lecture

Pentest Web : Méthodologie complète et vulnérabilités OWASP Top 10 en 2025

Un pentest applicatif web mal mené, c'est des vulnérabilités critiques qui passent entre les mailles du filet. Ce guide détaille la méthodologie utilisée par les pentesters professionnels, les vulnérabilités OWASP Top 10 à tester en priorité en 2025, et les outils de référence — pour comprendre ce que vous achetez et comment vous protéger.

Qu'est-ce qu'un pentest web et pourquoi en faire un ?

Un test d'intrusion applicatif web (pentest web) est une simulation d'attaque contrôlée sur une application web ou une API, réalisée par un expert en sécurité offensive. L'objectif est d'identifier les vulnérabilités exploitables avant qu'un attaquant ne le fasse, en reproduisant les techniques utilisées lors d'attaques réelles.

Contrairement à un scan automatisé de vulnérabilités, un pentest manuel va beaucoup plus loin : il enchaîne les vulnérabilités, contourne les mécanismes de protection, et évalue l'impact réel d'une compromission. En 2025, avec la généralisation des architectures API-first et microservices, la surface d'attaque des applications web n'a jamais été aussi grande.

💡 Pentest vs Scan automatisé

Les scanners automatisés (Nessus, Qualys, Burp Scanner) détectent environ 30 à 40% des vulnérabilités réelles. Un pentester expérimenté identifie les 60 à 70% restants — notamment les vulnérabilités logiques, les erreurs d'autorisation et les chaînes d'exploitation complexes qui nécessitent un raisonnement humain.

La méthodologie de pentest web en 5 phases

Phase	Activités clés	Livrables
1. Reconnaissance	Cartographie de l'application, énumération des endpoints, analyse des technologies (stack technique, frameworks, CMS)	Surface d'attaque documentée
2. Modélisation des menaces	Identification des flux sensibles, des rôles utilisateur, des mécanismes d'authentification et des données traitées	Threat model, cas d'abus
3. Exploitation	Tests manuels des vulnérabilités OWASP, exploitation des failles découvertes, élévation de privilèges	Preuves d'exploitation (PoC)
4. Post-exploitation	Mouvement latéral si l'application est liée à d'autres systèmes, exfiltration de données simulée, persistance	Évaluation de l'impact réel
5. Rapport	Rapport technique (pour les devs) + résumé exécutif (pour le management), recommandations priorisées, plan de remédiation	Rapport complet + retest

OWASP Top 10 2025 : les vulnérabilités à tester en priorité

L'OWASP (Open Web Application Security Project) publie régulièrement la liste des 10 risques les plus critiques pour la sécurité des applications web. En 2025, voici les vulnérabilités incontournables à couvrir lors de tout pentest :

A01 — Broken Access Control : Défauts d'autorisation permettant à un utilisateur d'accéder à des ressources ou fonctions non autorisées (IDOR, privilege escalation, CORS mal configuré). Reste la vulnérabilité n°1 selon OWASP.
A02 — Cryptographic Failures : Données sensibles exposées en clair, algorithmes de chiffrement faibles (MD5, SHA1), mauvaise gestion des clés, absence de TLS strict.
A03 — Injection : SQL Injection, NoSQL Injection, LDAP Injection, Command Injection. Toujours présentes malgré les ORM modernes, notamment via des fonctionnalités de recherche avancée.
A04 — Insecure Design : Failles architecturales et logiques — absence de rate limiting, flux métier contournables, absence de validation côté serveur.
A05 — Security Misconfiguration : Headers de sécurité absents (CSP, HSTS), comptes par défaut actifs, messages d'erreur verbeux exposant la stack technique, services d'administration exposés.
A06 — Vulnerable Components : Bibliothèques et frameworks avec des CVE connues non patchées. Critique dans les écosystèmes npm, pip, Maven.
A07 — Identification & Authentication Failures : Absence de MFA, tokens JWT mal vérifiés (alg:none), sessions non invalidées après logout, bruteforce sans lockout.
A08 — Software & Data Integrity Failures : Dépendances non vérifiées (supply chain), désérialisation non sécurisée, CI/CD pipelines exposés.
A09 — Security Logging & Monitoring Failures : Absence de logs sur les événements sensibles (échecs d'auth, accès administrateur), pas d'alerting temps réel.
A10 — SSRF (Server-Side Request Forgery) : L'application effectue des requêtes vers des ressources internes (metadata AWS, services internes) contrôlées par l'attaquant.

Focus : exploiter une IDOR (Insecure Direct Object Reference)

Les IDOR sont les vulnérabilités les plus fréquentes dans nos missions de pentest en France. Le scénario type : un utilisateur peut accéder aux données d'un autre utilisateur en modifiant simplement un identifiant dans une requête.

# Requête légitime — utilisateur A consulte son profil
GET /api/v1/users/1042/profile
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9...

# Exploitation IDOR — l'attaquant modifie l'ID
GET /api/v1/users/1001/profile
Authorization: Bearer eyJhbGciOiJIUzI1NiJ9...

# Si le serveur retourne les données de l'user 1001 → IDOR confirmé
HTTP/1.1 200 OK
{"id": 1001, "email": "pdg@entreprise.fr", "role": "admin", ...}

Correction : valider côté serveur que l'identifiant dans la requête correspond bien à l'utilisateur authentifié, via le token et non via un paramètre contrôlable par l'utilisateur.

Outils utilisés lors d'un pentest web professionnel

Catégorie	Outil	Usage
Proxy d'interception	Burp Suite Pro	Interception, modification, replay de requêtes HTTP/S — indispensable
Reconnaissance	ffuf, feroxbuster	Fuzzing de répertoires et endpoints cachés
SQL Injection	sqlmap	Détection et exploitation automatisée des injections SQL
Analyse JS	LinkFinder, JSParser	Extraction d'endpoints et de secrets depuis les fichiers JS
JWT	jwt_tool	Tests alg:none, signature confusion, bruteforce de secret
SSRF	Collaborator (Burp)	Détection de SSRF blind et interaction hors-bande
Scan de CVE	Nuclei	Templates CVE sur les composants identifiés

⚠ Cadre légal obligatoire

En France, réaliser un pentest sans autorisation écrite préalable du propriétaire du système constitue un délit pénal (art. 323-1 du Code pénal). Tout pentest doit faire l'objet d'une lettre d'autorisation signée précisant le périmètre, les dates et les techniques autorisées. ONYX-CYBER fournit ce document systématiquement avant toute mission.

Que contient un rapport de pentest web professionnel ?

Un rapport de pentest de qualité doit permettre à la fois aux équipes techniques de corriger les vulnérabilités et au management d'évaluer le risque business. Il comprend systématiquement :

Résumé exécutif — niveau de risque global, nombre de vulnérabilités par criticité (critique / haute / moyenne / faible), impacts business potentiels
Périmètre et méthodologie — URLs testées, type de test (boîte noire / grise / blanche), outils utilisés, durée
Vulnérabilités détaillées — pour chaque finding : description, score CVSS v3.1, preuve d'exploitation (screenshots, requêtes HTTP), impact, recommandation de correction
Plan de remédiation priorisé — corrections classées par urgence avec effort estimé
Retest inclus — vérification des corrections après livraison du rapport

Besoin d'un pentest web sur votre application ?

ONYX-CYBER réalise des tests d'intrusion applicatifs certifiés — Web, API REST/GraphQL, mobile. Rapport détaillé avec retest inclus. Devis sous 24h.

Demander un devis pentest Notre offre pentest →

Pentest OWASP Web Security Burp Suite IDOR API Security CVSS

Demander un audit →

Pentest 16 avril 2025 ⏱ 14 min de lecture

Pentest Infrastructure & Réseau : Méthodologie, Phases et Vecteurs d'Attaque en 2025

Le pentest infrastructure reste le socle de tout audit offensif sérieux. De la reconnaissance passive jusqu'à la post-exploitation, découvrez les phases, techniques et outils employés par les pentesters en 2025 — et les mesures défensives associées.

Pourquoi auditer son infrastructure réseau ?

Un pentest applicatif web ne suffit pas. Le périmètre réseau — firewalls, VPN, Active Directory, serveurs exposés, segmentation interne — constitue la surface d'attaque la plus exploitée lors d'intrusions réelles. En 2024, plus de 70 % des compromissions initiales documentées par les équipes DFIR mondiales passaient par un vecteur réseau ou système, non par une faille applicative.

Un pentest infrastructure simule un attaquant externe (ou interne malveillant) cherchant à progresser dans le SI : de la première interface exposée jusqu'aux actifs critiques — contrôleurs de domaine, sauvegardes, données sensibles.

🎯 Objectif du pentest infrastructure

Identifier les chemins d'attaque réalistes permettant à un adversaire de compromettre vos systèmes critiques, avant qu'un vrai attaquant ne le fasse. Le rapport livré permet de prioriser les remédiations par criticité métier réelle.

Les 5 phases d'un pentest infrastructure professionnel

Phase	Objectif	Exemples de techniques
1. Reconnaissance passive	Cartographier la surface d'attaque sans toucher les systèmes cibles	OSINT (Shodan, Censys, WHOIS), DNS enumeration, LinkedIn, leak databases
2. Reconnaissance active	Scanner l'infrastructure pour identifier services et versions	Nmap (SYN scan, service detection), Masscan, SNMP sweep, SMB enumeration
3. Exploitation initiale	Obtenir un premier accès sur le périmètre	CVE sur services exposés, password spray VPN/OWA, phishing ciblé (si scope)
4. Post-exploitation & pivot	Étendre l'accès, se déplacer latéralement	Pass-the-Hash, Kerberoasting, BloodHound, chisel/ligolo pour tunneling
5. Atteinte des objectifs	Compromettre les assets critiques définis dans le scope	DCSync (dump NTDS.dit), accès sauvegardes, exfiltration simulée, DA flag

Vecteurs d'attaque les plus exploités en 2025

Lors de nos missions, ces vecteurs reviennent systématiquement :

Services exposés non patchés : FortiGate, Citrix, VMware ESXi, Ivanti Pulse — les CVE critiques sur ces équipements sont exploitées en quelques heures après publication du PoC public.
Password spray sur Entra ID / OWA : Des pulvérisations de mots de passe communs sur les interfaces d'authentification exposées donnent accès à des comptes valides dans la majorité des environnements sans politique MFA stricte.
SMB Signing désactivé : Permet les attaques NTLM Relay (ntlmrelayx) qui capturent et rejouent des authentifications pour se déplacer latéralement sans cracker aucun mot de passe.
Délégation Kerberos mal configurée : Unconstrained delegation sur un serveur secondaire suffit pour capturer un TGT de Domain Admin et compromettre le domaine entier.
Comptes de service avec SPNs : Le Kerberoasting permet de demander des tickets TGS pour des comptes de service, puis de les craquer hors ligne — particulièrement efficace sur les comptes avec des mots de passe faibles ou anciens.
Segmentation réseau insuffisante : L'absence de micro-segmentation entre VLAN permet un pivot rapide depuis un poste utilisateur jusqu'aux serveurs critiques.

Focus : NTLM Relay — du poste utilisateur au Domain Admin

Le NTLM Relay est l'une des attaques les plus dévastatrices sur les environnements Windows sans SMB signing. Voici le déroulé simplifié d'une chaîne d'attaque réelle :

# Étape 1 — Identifier les machines sans SMB Signing
nmap --script smb2-security-mode -p445 192.168.10.0/24
# → Message signing enabled but not required → vulnérable

# Étape 2 — Lancer Responder en écoute (poison LLMNR/NBT-NS)
sudo Responder -I eth0 -wfv

# Étape 3 — Relayer les auth capturées vers une cible
ntlmrelayx.py -tf targets.txt -smb2support -i
# → Shell interactif SMB obtenu sans cracker un seul mot de passe

# Étape 4 — Si le compte relayé est admin local : dump des secrets
secretsdump.py DOMAIN/user@192.168.10.15

Correction : activer SMB Signing obligatoire via GPO (Microsoft network server: Digitally sign communications (always)), désactiver LLMNR et NetBIOS-over-TCP/IP, déployer LAPS pour les mots de passe administrateurs locaux.

⚠ Scope et autorisation obligatoires

Les techniques présentées ici ne s'appliquent que dans un cadre contractuel strict avec lettre d'autorisation signée. Le NTLM Relay peut provoquer des interruptions de service si mal maîtrisé — il est réalisé exclusivement par des pentesters expérimentés avec accord du client. ONYX-CYBER fournit systématiquement un Rules of Engagement avant toute mission.

Outils référence du pentester infrastructure en 2025

Phase	Outil	Rôle
Recon passive	Shodan, Censys, theHarvester	Cartographie surface externe, services exposés, emails, sous-domaines
Scan réseau	Nmap, Masscan, NetExec	Discovery, port/service/OS detection, énumération SMB/LDAP/WinRM
Exploitation CVE	Metasploit, exploit-db, PoC GitHub	Exploitation de vulnérabilités connues sur services identifiés
AD Enumeration	BloodHound / SharpHound	Cartographie des chemins d'attaque dans Active Directory (ACLs, délégations)
Credential abuse	Impacket (secretsdump, psexec), Rubeus	Pass-the-Hash, Kerberoasting, DCSync, ticket manipulation
NTLM Relay	Responder, ntlmrelayx	Capture et relai des authentifications NTLM sur le réseau local
Tunneling & pivot	Ligolo-ng, Chisel, SSH -D	Pivotage vers des réseaux internes non accessibles directement
C2	Cobalt Strike, Havoc, Sliver	Command & Control pour les missions Red Team longue durée

Livrables d'un pentest infrastructure ONYX-CYBER

Résumé exécutif : synthèse du niveau de risque global, chemins d'attaque critiques identifiés, impact business potentiel — lisible par le COMEX sans prérequis technique.
Rapport technique détaillé : chaque finding documenté avec score CVSS v3.1, preuve d'exploitation, étapes de reproduction et recommandation de remédiation priorisée.
Schéma des chemins d'attaque : visualisation BloodHound des pivots réalisés — de l'accès initial jusqu'aux assets critiques compromis.
Plan de remédiation priorisé : quick wins (à corriger en moins de 72h) vs corrections structurelles (segmentation, GPO, PKI).
Retest inclus : session de vérification des corrections après application des remédiations critiques.

Vous voulez tester la résistance réelle de votre infrastructure ?

ONYX-CYBER réalise des pentests infrastructure, Active Directory et Red Team en France. Rapport CVSS + schéma d'attaque + retest inclus. Devis sous 24h.

Demander un pentest infra Notre offre pentest →

Pentest Active Directory NTLM Relay BloodHound Kerberoasting Infrastructure Red Team