← Blog/16 mars 202612 min de lecture

Qu'est-ce qu'un test d'intrusion (pentest) ? Définition, méthodes et guide PME

Un test d'intrusion (ou pentest) est une simulation contrôlée de cyberattaque réalisée par un expert en sécurité offensive pour identifier les vulnérabilités exploitables d'un système d'information. Ce guide détaille la définition complète, les méthodes (black box, grey box, white box), les étapes clés et les raisons pour lesquelles chaque PME française devrait en réaliser un.

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

16 mars 2026·12 min de lecture·Fondateurs·LinkedIn

Qu'est-ce qu'un test d'intrusion ?

Un test d'intrusion (penetration test ou pentest) est une évaluation de sécurité proactive au cours de laquelle un pentester — un expert en sécurité offensive — simule des attaques réelles contre un système, une application web, une API ou un réseau. L'objectif est de découvrir et d'exploiter les vulnérabilités avant qu'un attaquant malveillant ne le fasse, puis de fournir un plan de remédiation concret classé par niveau de criticité.

Contrairement à un simple scan automatisé, le pentest repose sur l'intelligence humaine pour chaîner les failles, contourner les protections et évaluer l'impact métier réel. Les résultats sont évalués selon le système de scoring CVSS (Common Vulnerability Scoring System) et suivent les méthodologies reconnues OWASP et PTES (Penetration Testing Execution Standard).

Black Box

Le pentester ne dispose d'aucune information préalable sur la cible. Il simule un attaquant externe qui découvre et attaque le système à l'aveugle. Idéal pour tester la posture de sécurité vue de l'extérieur.

Grey Box

Le pentester reçoit un accès partiel (compte utilisateur, documentation partielle). Il simule un collaborateur malveillant ou un attaquant ayant compromis un compte. Le meilleur rapport couverture/coût pour les PME.

White Box

Le pentester a accès au code source, à l'architecture et aux identifiants. Il réalise une revue approfondie combinée à des tests d'exploitation. Couverture maximale, recommandé pour les applications critiques.

Pour en savoir plus sur notre approche concrète, consultez notre page méthodologie pentest.

Après la définition : périmètre, livrables et budget

Comprendre le pentest PME — pour qui, quel périmètre, quel budget.
Voir les livrables pentest — rapport, preuves, remédiation et re-test.
Estimer le prix d'un pentest — tarifs, coûts et délais PME 2026.

Les 5 étapes d'un test d'intrusion

Un pentest professionnel suit un processus structuré en cinq phases, conforme au standard PTES. Chaque étape produit des livrables spécifiques qui alimentent la suivante.

1Reconnaissance — Collecte passive et active d’informations sur la cible : noms de domaine, sous-domaines, technologies utilisées, adresses IP, employés clés (OSINT). Cette phase permet de cartographier la surface d’attaque sans interagir directement avec les systèmes.
2Scanning et énumération — Analyse active des ports ouverts, des services exposés et des versions logicielles. Le pentester utilise des outils comme Nmap, Nikto ou Burp Suite pour identifier les points d’entrée potentiels et les vulnérabilités connues (CVE).
3Exploitation — Tentative contrôlée d’exploitation des vulnérabilités découvertes pour démontrer leur impact réel. Le pentester tente d’obtenir un accès non autorisé, d’exécuter du code ou d’exfiltrer des données, tout en restant dans le périmètre défini.
4Post-exploitation — Évaluation de l’étendue de la compromission : escalade de privilèges, mouvement latéral entre systèmes, persistance. Cette étape mesure l’impact métier réel d’une intrusion réussie.
5Rapport et remédiation — Livraison d’un rapport détaillé avec chaque vulnérabilité classée par sévérité (score CVSS), preuve d’exploitation, impact métier et recommandations de remédiation priorisées. Un re-test valide les corrections.

Pentest vs scan de vulnérabilités : quelles différences ?

Beaucoup d'entreprises confondent scan de vulnérabilités et test d'intrusion. Les deux sont complémentaires, mais fondamentalement différents. Un scan détecte des failles potentielles ; un pentest prouve qu'elles sont exploitables et mesure leur impact réel.

Critère	Pentest	Scan de vulnérabilités
Approche	Manuelle + automatisée, guidée par un expert	Entièrement automatisée
Profondeur	Exploitation réelle des failles, chaînage d’attaques	Détection de vulnérabilités connues (CVE)
Faux positifs	Très faible (validation manuelle)	Élevé (30-50 % selon les outils)
Coût	2 000 € – 15 000 € selon le périmètre	0 € – 500 €/mois (SaaS)
Résultat	Rapport avec preuves d’exploitation et impact métier	Liste de CVE avec scores CVSS
Fréquence	1 à 2 fois par an ou après changement majeur	Continu (hebdomadaire ou mensuel)

Pour connaître les tarifs adaptés aux PME, consultez notre article sur le prix d'un pentest pour une PME.

Pourquoi les PME ont besoin d'un pentest

Les PME sont devenues la cible prioritaire des cyberattaquants. Moins protégées que les grands groupes, elles représentent une porte d'entrée facile et souvent un maillon de la chaîne d'approvisionnement de clients plus importants. Voici les raisons concrètes de réaliser un pentest.

Coût moyen d'une cyberattaque : 25 000 € pour une PME

Selon la CPME, le coût moyen d'une cyberattaque pour une PME française atteint 25 000 €, sans compter la perte de clients et l'atteinte à la réputation. Un pentest coûte 10 à 50 fois moins cher que les conséquences d'une intrusion réussie.

Ransomware : +255 % d'attaques en France

Les attaques par ransomware ont augmenté de 255 % en France selon l'ANSSI. Les PME représentent 40 % des victimes. Un pentest identifie les vecteurs d'entrée utilisés par les ransomwares (RDP exposé, phishing, vulnérabilités web) avant qu'ils ne soient exploités.

Obligation NIS2 pour les secteurs essentiels et importants

La directive NIS2 impose aux entreprises des secteurs essentiels et importants (y compris de nombreuses PME) de réaliser des tests de sécurité réguliers, incluant des tests d'intrusion. Le non-respect expose à des sanctions pouvant atteindre 10 millions d'euros ou 2 % du CA mondial.

Prérequis pour l'assurance cyber

Les assureurs exigent de plus en plus un rapport de pentest récent pour souscrire ou renouveler une police d'assurance cyber. Sans test d'intrusion, certaines garanties peuvent être refusées ou les primes significativement majorées. Le pentest devient un document de référence pour votre dossier assurantiel.

Confiance clients et avantage concurrentiel

Un rapport de pentest démontre à vos clients, partenaires et donneurs d'ordre que vous prenez la sécurité au sérieux. Dans les appels d'offres, c'est un différenciateur concret face à des concurrents qui ne peuvent pas justifier de tests de sécurité. Découvrez notre offre sur le pentest adapté aux PME.

Quel pentest choisir en pratique ?

Une définition générale aide à comprendre le pentest. Pour cadrer une mission, il faut ensuite descendre au bon périmètre applicatif.

Audit API

Pour les endpoints REST, GraphQL, webhooks, rôles et expositions inter-tenant.

Audit portail client

Pour un extranet, un espace client ou une application métier où les risques portent sur les parcours et les autorisations.

Votre PME est-elle vulnérable ?

Ne laissez pas vos vulnérabilités devenir le point d'entrée d'une cyberattaque. Laucked réalise des tests d'intrusion adaptés aux PME françaises, avec un rapport clair et un plan de remédiation actionnable.

Demander un pentest Découvrir notre offre pentest

Sources et références

Qu'est-ce qu'un test d'intrusion (pentest) ? Définition, méthodes et guide PME

Rayan DibOSCPOSEP·CTO & co-fondateur - Laucked

Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES

16 mars 2026·12 min de lecture·Fondateurs·LinkedIn

Qu'est-ce qu'un test d'intrusion ?

Black Box

Grey Box

White Box

Pour en savoir plus sur notre approche concrète, consultez notre page méthodologie pentest.

Les 5 étapes d'un test d'intrusion

Un pentest professionnel suit un processus structuré en cinq phases, conforme au standard PTES. Chaque étape produit des livrables spécifiques qui alimentent la suivante.

1Reconnaissance — Collecte passive et active d’informations sur la cible : noms de domaine, sous-domaines, technologies utilisées, adresses IP, employés clés (OSINT). Cette phase permet de cartographier la surface d’attaque sans interagir directement avec les systèmes.

2Scanning et énumération — Analyse active des ports ouverts, des services exposés et des versions logicielles. Le pentester utilise des outils comme Nmap, Nikto ou Burp Suite pour identifier les points d’entrée potentiels et les vulnérabilités connues (CVE).

3Exploitation — Tentative contrôlée d’exploitation des vulnérabilités découvertes pour démontrer leur impact réel. Le pentester tente d’obtenir un accès non autorisé, d’exécuter du code ou d’exfiltrer des données, tout en restant dans le périmètre défini.

4Post-exploitation — Évaluation de l’étendue de la compromission : escalade de privilèges, mouvement latéral entre systèmes, persistance. Cette étape mesure l’impact métier réel d’une intrusion réussie.

5Rapport et remédiation — Livraison d’un rapport détaillé avec chaque vulnérabilité classée par sévérité (score CVSS), preuve d’exploitation, impact métier et recommandations de remédiation priorisées. Un re-test valide les corrections.

Pentest vs scan de vulnérabilités : quelles différences ?

Critère	Pentest	Scan de vulnérabilités
Approche	Manuelle + automatisée, guidée par un expert	Entièrement automatisée
Profondeur	Exploitation réelle des failles, chaînage d’attaques	Détection de vulnérabilités connues (CVE)
Faux positifs	Très faible (validation manuelle)	Élevé (30-50 % selon les outils)
Coût	2 000 € – 15 000 € selon le périmètre	0 € – 500 €/mois (SaaS)
Résultat	Rapport avec preuves d’exploitation et impact métier	Liste de CVE avec scores CVSS
Fréquence	1 à 2 fois par an ou après changement majeur	Continu (hebdomadaire ou mensuel)

Pour connaître les tarifs adaptés aux PME, consultez notre article sur le prix d'un pentest pour une PME.