Un pentest, c'est quoi concrètement ?
Un test d'intrusion (pentest) est une attaque simulée, autorisée, menée par des experts sur vos systèmes. L'objectif, trouver les failles exploitables avant qu'un vrai attaquant ne le fasse. Ce n'est pas un scan automatisé, pas un audit de conformité, pas une certification. C'est un travail de hacker éthique qui teste vraiment si quelqu'un peut entrer chez vous, voler vos données ou bloquer votre activité.
Les 5 situations qui imposent un pentest
- 1. Vous lancez une application ou un site exposé à Internet. Toute application web accessible depuis l'extérieur (ERP, espace client, portail RH, API) est une surface d'attaque directe. Avant de la mettre en production ou de l'ouvrir à vos clients, un pentest applicatif permet d'identifier les vulnérabilités OWASP (injections, authentification faible, exposition de données) dans un contexte contrôlé plutôt qu'en production avec de vraies données.
- 2. Un client ou partenaire vous le demande. De plus en plus d'appels d'offres, de contrats grands comptes et de due diligences incluent une exigence explicite de rapport de pentest récent (moins de 12 ou 18 mois). Être en mesure de fournir ce document vous distingue de concurrents qui ne l'ont pas, et rassure sur votre maturité sécurité.
- 3. Vous êtes soumis à NIS2 ou ISO 27001. La directive NIS2 et le référentiel ISO 27001 exigent une évaluation régulière de l'exposition technique. Un test d'intrusion est la façon la plus directe de satisfaire cette exigence avec des preuves concrètes, pas seulement des politiques de sécurité sur le papier.
- 4. Vous avez subi un incident ou une tentative d'intrusion. Après un incident de sécurité, une fois la remédiation effectuée, un pentest permet de vérifier que les corrections ont bien fermé les brèches exploitées, et qu'il n'existe pas d'autres vecteurs d'attaque similaires que l'attaquant aurait pu utiliser en parallèle.
- 5. Vous n'en avez jamais fait et vous gérez des données sensibles. Si vous traitez des données clients, des données de santé, des données financières ou des secrets industriels et que vous n'avez jamais évalué votre niveau de sécurité par un test réel, et non un questionnaire ou une checklist, c'est le point de départ le plus raisonnable.
Un scan automatisé de vulnérabilités liste des failles potentielles en quelques heures. Un pentest qualifié passe plusieurs jours à exploiter réellement ces failles, en enchaîner plusieurs pour progresser dans le réseau, et documenter l'impact réel. Ce sont deux choses très différentes, et l'une ne remplace pas l'autre.
Combien coûte un pentest et combien de temps ça prend ?
| Type de pentest | Durée indicative | Fourchette de prix |
|---|---|---|
| Pentest web (1 application) | 3 à 5 jours | 2 500 € à 6 000 € |
| Pentest infrastructure / réseau interne | 4 à 7 jours | 4 000 € à 10 000 € |
| Pentest Active Directory | 3 à 5 jours | 3 000 € à 7 000 € |
| Pentest complet (web + infra) | 7 à 12 jours | 7 000 € à 18 000 € |
Ces fourchettes varient selon la taille du périmètre, la complexité de l'architecture et le niveau d'expérience du prestataire. Méfiez-vous des offres anormalement basses, un pentest à 800 € est dans la quasi-totalité des cas un scan automatisé reconditionné, pas un travail manuel d'exploitation.
À quelle fréquence faire un pentest ?
La recommandation standard est une fois par an sur les périmètres critiques, et à chaque changement majeur (nouvelle application, migration cloud, acquisition). NIS2 et ISO 27001 s'alignent sur cette cadence annuelle minimum. En pratique, une PME qui n'en a jamais fait aura tout intérêt à en commander un premier complet, puis à maintenir un rythme annuel sur les zones à risque.
Vous vous posez la question d'un pentest ?
ONYX-CYBER vous propose un échange gratuit de 30 minutes pour évaluer si un pentest est adapté à votre situation, définir le bon périmètre et obtenir un devis transparent.
Demander un devis pentest gratuit