LauckedLAUCKED
DiagnosticPentestGuardConformitéTarifs
Obtenir mon diagnostic · 48h
← retour · blog LauckedPentest · fondamentaux · long-read12 min
  1. Accueil
  2. /
  3. Blog
  4. /
  5. Définition pentest

Pentest · fondamentaux

Qu'est-ce qu'un test d'intrusion (pentest) ? Définition, méthodes et guide PME

Un test d'intrusion (ou pentest) est une simulation contrôlée de cyberattaque réalisée par un expert en sécurité offensive pour identifier les vulnérabilités exploitables d'un système d'information. Ce guide détaille la définition complète, les méthodes (black box, grey box, white box), les étapes clés et les raisons pour lesquelles chaque PME française devrait en réaliser un.

  • Pentest
  • OWASP
  • PTES
  • CVSS
  • PME
par Rayan Dib·16 mars 2026·12 min de lecture

Qu'est-ce qu'un test d'intrusion ?

Un test d'intrusion (penetration test ou pentest) est une évaluation de sécurité proactive au cours de laquelle un pentester — un expert en sécurité offensive — simule des attaques réelles contre un système, une application web, une API ou un réseau. L'objectif est de découvrir et d'exploiter les vulnérabilités avant qu'un attaquant malveillant ne le fasse, puis de fournir un plan de remédiation concret classé par niveau de criticité.

Contrairement à un simple scan automatisé, le pentest repose sur l'intelligence humaine pour chaîner les failles, contourner les protections et évaluer l'impact métier réel. Les résultats sont évalués selon le système de scoring CVSS (Common Vulnerability Scoring System) et suivent les méthodologies reconnues OWASP et PTES (Penetration Testing Execution Standard).

Black box, grey box, white box : trois angles d'attaque

box · 01

Black Box

Le pentester ne dispose d'aucune information préalable sur la cible. Il simule un attaquant externe qui découvre et attaque le système à l'aveugle. Idéal pour tester la posture de sécurité vue de l'extérieur.

box · 02 · recommandé

Grey Box

Le pentester reçoit un accès partiel (compte utilisateur, documentation partielle). Il simule un collaborateur malveillant ou un attaquant ayant compromis un compte. Le meilleur rapport couverture/coût pour les PME.

box · 03

White Box

Le pentester a accès au code source, à l'architecture et aux identifiants. Il réalise une revue approfondie combinée à des tests d'exploitation. Couverture maximale, recommandé pour les applications critiques.

Pour en savoir plus sur notre approche concrète, consultez notre page méthodologie pentest.

Les 5 étapes d'un test d'intrusion

Un pentest professionnel suit un processus structuré en cinq phases, conforme au standard PTES. Chaque étape produit des livrables spécifiques qui alimentent la suivante.

  1. Reconnaissance — Collecte passive et active d’informations sur la cible : noms de domaine, sous-domaines, technologies utilisées, adresses IP, employés clés (OSINT). Cette phase permet de cartographier la surface d’attaque sans interagir directement avec les systèmes.
  2. Scanning et énumération — Analyse active des ports ouverts, des services exposés et des versions logicielles. Le pentester utilise des outils comme Nmap, Nikto ou Burp Suite pour identifier les points d’entrée potentiels et les vulnérabilités connues (CVE).
  3. Exploitation — Tentative contrôlée d’exploitation des vulnérabilités découvertes pour démontrer leur impact réel. Le pentester tente d’obtenir un accès non autorisé, d’exécuter du code ou d’exfiltrer des données, tout en restant dans le périmètre défini.
  4. Post-exploitation — Évaluation de l’étendue de la compromission : escalade de privilèges, mouvement latéral entre systèmes, persistance. Cette étape mesure l’impact métier réel d’une intrusion réussie.
  5. Rapport et remédiation — Livraison d’un rapport détaillé avec chaque vulnérabilité classée par sévérité (score CVSS), preuve d’exploitation, impact métier et recommandations de remédiation priorisées. Un re-test valide les corrections.

après la définition

Périmètre, livrables et budget

  • → Comprendre le pentest PME — pour qui, quel périmètre, quel budget.
  • → Voir les livrables pentest — rapport, preuves, remédiation et re-test.
  • → Estimer le prix d'un pentest — tarifs, coûts et délais PME 2026.

Pentest vs scan de vulnérabilités : quelles différences ?

Beaucoup d'entreprises confondent scan de vulnérabilités et test d'intrusion. Les deux sont complémentaires, mais fondamentalement différents. Un scan détecte des failles potentielles ; un pentest prouve qu'elles sont exploitables et mesure leur impact réel.

CritèrePentestScan de vulnérabilités
ApprocheManuelle + automatisée, guidée par un expertEntièrement automatisée
ProfondeurExploitation réelle des failles, chaînage d’attaquesDétection de vulnérabilités connues (CVE)
Faux positifsTrès faible (validation manuelle)Élevé (30-50 % selon les outils)
Coût2 000 € – 15 000 € selon le périmètre0 € – 500 €/mois (SaaS)
RésultatRapport avec preuves d’exploitation et impact métierListe de CVE avec scores CVSS
Fréquence1 à 2 fois par an ou après changement majeurContinu (hebdomadaire ou mensuel)

Pour connaître les tarifs adaptés aux PME, consultez notre article sur le prix d'un pentest pour une PME.

Pourquoi les PME ont besoin d'un pentest

Les PME sont devenues la cible prioritaire des cyberattaquants. Moins protégées que les grands groupes, elles représentent une porte d'entrée facile et souvent un maillon de la chaîne d'approvisionnement de clients plus importants. Voici les raisons concrètes de réaliser un pentest.

Coût moyen d'une cyberattaque : 25 000 € pour une PME

Selon la CPME, le coût moyen d'une cyberattaque pour une PME française atteint 25 000 €, sans compter la perte de clients et l'atteinte à la réputation. Un pentest coûte 10 à 50 fois moins cher que les conséquences d'une intrusion réussie.

Ransomware : +255 % d'attaques en France

Les attaques par ransomware ont augmenté de 255 % en France selon l'ANSSI. Les PME représentent 40 % des victimes. Un pentest identifie les vecteurs d'entrée utilisés par les ransomwares (RDP exposé, phishing, vulnérabilités web) avant qu'ils ne soient exploités.

Obligation NIS2 pour les secteurs essentiels et importants

La directive NIS2 impose aux entreprises des secteurs essentiels et importants (y compris de nombreuses PME) de réaliser des tests de sécurité réguliers, incluant des tests d'intrusion. Le non-respect expose à des sanctions pouvant atteindre 10 millions d'euros ou 2 % du CA mondial.

Prérequis pour l'assurance cyber

Les assureurs exigent de plus en plus un rapport de pentest récent pour souscrire ou renouveler une police d'assurance cyber. Sans test d'intrusion, certaines garanties peuvent être refusées ou les primes significativement majorées. Le pentest devient un document de référence pour votre dossier assurantiel.

Confiance clients et avantage concurrentiel

Un rapport de pentest démontre à vos clients, partenaires et donneurs d'ordre que vous prenez la sécurité au sérieux. Dans les appels d'offres, c'est un différenciateur concret face à des concurrents qui ne peuvent pas justifier de tests de sécurité. Découvrez notre offre sur le pentest adapté aux PME.

Quel pentest choisir en pratique ?

Une définition générale aide à comprendre le pentest. Pour cadrer une mission, il faut ensuite descendre au bon périmètre applicatif.

audit · API

Audit API

Pour les endpoints REST, GraphQL, webhooks, rôles et expositions inter-tenant.

audit · portail client

Audit portail client

Pour un extranet, un espace client ou une application métier où les risques portent sur les parcours et les autorisations.

Sources et références

  • OWASP Web Security Testing Guide (owasp.org)
  • ANSSI — Agence nationale de la sécurité des systèmes d'information (ssi.gouv.fr)
  • CPME — Confédération des PME (cpme.fr)
  • PTES — Penetration Testing Execution Standard (pentest-standard.org)
  • CVSS — Common Vulnerability Scoring System (first.org)

Auteur

R

Rayan Dib · CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

OSCPOSEP·LinkedIn ↗

À lire ensuite

  1. 01Test d’intrusion : guide complet 2026guide pilier · 12 min→
  2. 02Prix d’un pentest pour une PMEbudget · 10 min→
  3. 03Pentest vs scan de vulnérabilitéscomparatif→
  4. 04Hub pentest PMEpage service→
  5. 05Méthodologie pentestphases & livrables→

Étape suivante

Votre PME est-elle vulnérable ?

Ne laissez pas vos vulnérabilités devenir le point d’entrée d’une cyberattaque. Laucked réalise des tests d’intrusion adaptés aux PME françaises, avec un rapport clair et un plan de remédiation actionnable.

Demander un pentestDécouvrir notre offre pentest
LauckedLAUCKED

Diagnostic de surface, pentest expert (web, API, IA) et Guard pour les PME françaises exposées.

Bât. Gamma, 11 Bd Déodat de Séverac

31770 Colomiers (Toulouse)

+33 6 95 27 70 36
6 certifications et qualifications →
Ils nous font confiance
Occi ServicesStorees+ missions sous NDA →

« Rapport opposable, clair pour la direction et actionnable côté tech. »CEO · retail PME · pentest web 2026

200+
pentests réalisés
40+
vulns critiques
10+
PME accompagnées

Produit

  • Diagnostic gratuit
  • Guard, suivi post-pentest
  • Exemple de rapport pentest
  • Comparatifs neutres
  • Cas d'usage PME
  • Pentest PME
  • Pentest Toulouse
  • Pentest Lyon
  • Pentest Bordeaux
  • Pentest Marseille
  • Pentest Montpellier
  • Pentest Nantes
  • Conformité
  • Méthodologie
  • Tarifs
  • Sécurité

Ressources

  • Blog
  • Références
  • Presse

Entreprise

  • À propos
  • Centre de confiance
  • Auteur
  • Contact
Laucked · SIREN 907 522 304 · Tournefeuille
© 2026 Laucked. Tous droits réservés.
Politique de confidentialitéConditions d'utilisationAddendum de traitement des données