Les 5 grandes étapes d'un pentest, vues des deux côtés
La plupart des guides décrivent le pentest uniquement du point de vue du pentester. Or, pour cadrer une mission sereinement, il est utile de voir aussi ce qui se passe de votre côté à chaque phase. Voici le déroulement complet d'un test d'intrusion, sur deux pistes synchronisées : à gauche le travail offensif, à droite votre implication réelle.
Pre-engagement · PTES
Cadrage et périmètre
- Qualifie la cible avec vous : domaines, API, SaaS multi-tenant, intégrations IA, cloud, mobile.
- Définit le profil d’attaquant simulé : externe sans compte, authentifié avec compte de test, ou insider.
- Pose les rules of engagement : plages horaires, systèmes exclus, conditions d’arrêt d’urgence.
- Vous signez le NDA avant tout échange de données techniques.
- Vous fournissez les comptes de test et le périmètre validé par écrit.
- Vous désignez un contact joignable pendant la fenêtre de test.
Intelligence + Threat Modeling · PTES
Reconnaissance et cartographie
- Reconnaissance passive : énumère la surface exposée (sous-domaines, endpoints, technologies, fuites GitHub et Shodan).
- Cartographie active bornée : application authentifiée et endpoints API non documentés, dans le périmètre validé.
- Priorise les surfaces d’attaque avant la phase d’exploitation.
- Rien à faire de votre côté : reconnaissance passive, puis cartographie active limitée au périmètre autorisé.
- Vous suivez l’avancement via le canal partagé (Slack ou email priorisé).
Vuln. analysis → Post-exploit. · PTES
Tests actifs et exploitation
- Teste selon OWASP WSTG, API Top 10, MASTG et LLM Top 10 selon votre périmètre.
- Exploite réellement les failles pour prouver l’impact : IDOR, injection, SSRF, contournement d’authentification.
- Chaîne les vulnérabilités mineures vers un impact critique (ex. SSRF puis métadonnées cloud puis RCE).
- Documente chaque vecteur en temps réel : requête, réponse, preuve, mapping MITRE ATT&CK.
- Vous êtes alerté immédiatement si une faille critique est confirmée, sans attendre le rapport.
- Pas d’interruption planifiée : les tests destructifs (DoS, suppression de données) sont exclus par défaut.
Reporting · PTES
Rapport et restitution
- Rédige le rapport : executive summary 2 pages, findings CVSS v3.1, preuves reproductibles, plan de remédiation priorisé.
- Horodate et signe chaque preuve (chain-of-custody) dans un bundle chiffré.
- Vous recevez le rapport sous 48 à 72 h après la fin des tests.
- Vous obtenez un debriefing oral avec l’équipe technique ou le comité de direction.
- Le rapport est défendable face à un assureur cyber, un auditeur ISO 27001 ou un client en due diligence.
Re-test · validation Laucked
Remédiation et re-test
- Vérifie que chaque correctif ferme effectivement le vecteur d’exploitation, sans régression.
- Émet une attestation de re-test signée listant le statut final de chaque vulnérabilité.
- Vos équipes corrigent avec un accompagnement technique asynchrone.
- Vous déclenchez le re-test inclus dans la fenêtre de 60 jours.
- Vous disposez d’une attestation utilisable pour vos audits et vos clients.
Ces 5 grandes étapes regroupent les 7 phases du Penetration Testing Execution Standard (PTES) (du pre-engagement au reporting), complétées par le re-test de validation propre à Laucked. Pour le détail des livrables produits à l'étape 4, consultez notre page méthodologie et livrables.
Combien de temps dure un pentest ?
La durée d'un pentest dépend surtout du périmètre testé et de la profondeur attendue. Voici des fourchettes indicatives de marché, hors phase de cadrage et de re-test.
| Périmètre | Durée des tests | Délai du rapport |
|---|---|---|
| Application web PME standard | 5 à 12 jours-homme | 48 à 72 h après les tests |
| Plateforme SaaS multi-tenant | 10 à 20 jours-homme | 48 à 72 h après les tests |
| Périmètre complet (web + API + cloud + mobile) | 15 à 25 jours-homme | 48 à 72 h après les tests |
Le re-test de validation intervient ensuite dans une fenêtre de 60 jours après la livraison du rapport, une fois vos correctifs déployés. Pour cadrer le budget associé, voir notre guide prix d'un pentest PME 2026.
Que se passe-t-il côté entreprise ?
Une crainte fréquente avant un premier pentest : « est-ce que ça va perturber la production ou mobiliser mes équipes ? » En pratique, votre implication se concentre sur deux moments. Au cadrage, vous signez le NDA, fournissez les comptes de test et validez le périmètre par écrit. À la remédiation, vos équipes corrigent les vulnérabilités remontées. Entre les deux, pendant les tests actifs, vous n'avez rien à faire au quotidien : vous suivez l'avancement et êtes alerté immédiatement en cas de faille critique.
Les tests destructifs (déni de service, suppression massive de données) sont exclus par défaut, et une condition d'arrêt d'urgence est définie au cadrage. Sur les environnements les plus sensibles, les tests peuvent être conduits sur une préproduction représentative.
Méthodologie : PTES, OWASP et MITRE ATT&CK
Le déroulement n'est pas improvisé : il s'appuie sur des référentiels ouverts et reconnus. Le PTES structure les phases globales. L'exécution suit l'OWASP Web Security Testing Guide pour le web et l'OWASP API Security Top 10 pour les API. Chaque vulnérabilité est notée en CVSS et mappée à une technique MITRE ATT&CK. Pour aller plus loin sur les fondamentaux, lisez qu'est-ce qu'un test d'intrusion.
après le déroulement
Livrables, budget et exemple concret
- → Voir les livrables d'un pentest, rapport, preuves, remédiation et re-test.
- → Lire un exemple de rapport, structure et findings commentés, PDF téléchargeable.
- → Estimer le prix d'un pentest, fourchettes, délais et ROI pour une PME.
Questions fréquentes sur le déroulement d'un pentest
Quelles sont les étapes d’un pentest ?
Un pentest se structure en 5 grandes étapes qui regroupent les 7 phases du standard PTES, complétées par le re-test : (1) cadrage et définition du périmètre avec signature du NDA, (2) reconnaissance et cartographie de la surface d’attaque, (3) tests actifs et exploitation des vulnérabilités, (4) rédaction du rapport et restitution, (5) remédiation accompagnée et re-test de validation. Chaque étape produit des livrables qui alimentent la suivante.
Combien de temps dure un pentest ?
La durée des tests dépend du périmètre : 5 à 12 jours pour une application web PME, 10 à 20 jours pour une plateforme SaaS multi-tenant, 15 à 25 jours pour un périmètre complet incluant API, cloud et mobile. Le rapport est livré sous 48 à 72 h après la fin des tests, et la fenêtre de re-test reste ouverte 60 jours.
Que se passe-t-il côté entreprise pendant un pentest ?
Côté entreprise, l’essentiel se joue au cadrage (signature du NDA, fourniture des comptes de test, validation du périmètre). Pendant les tests, vos équipes n’ont rien à faire au quotidien : elles suivent l’avancement via un canal partagé et sont alertées sans délai si une faille critique est confirmée. L’implication redevient active à la phase de remédiation.
Un pentest peut-il casser la production ?
Le risque est fortement réduit, sans pouvoir être garanti à zéro. Les tests destructifs (déni de service, suppression massive de données) sont exclus par défaut du périmètre, et les rules of engagement définies au cadrage fixent les plages horaires autorisées, les systèmes exclus et une condition d’arrêt d’urgence. Pour les environnements les plus sensibles, les tests peuvent être conduits sur une préproduction représentative afin de réduire davantage le risque.
Quelle méthodologie suit le déroulement d’un pentest ?
La structure globale suit le Penetration Testing Execution Standard (PTES), dont les 7 phases sont regroupées ici en 5 grandes étapes lisibles. L’exécution s’appuie sur l’OWASP Web Security Testing Guide pour le web, l’OWASP API Security Top 10 pour les API, l’OWASP MASTG pour le mobile et le framework MITRE ATT&CK pour le mapping des techniques. Chaque finding est associé à sa catégorie OWASP et à sa technique ATT&CK dans le rapport.
Que se passe-t-il après le pentest ?
Après la remise du rapport, vos équipes corrigent les vulnérabilités avec un accompagnement technique asynchrone. Un re-test de validation, inclus sur les findings critiques et majeurs, vérifie que les correctifs ferment réellement les vecteurs d’exploitation. Une attestation de re-test signée est ensuite émise, utilisable pour vos audits, vos assureurs et vos clients en due diligence.