Pentest manuel ou scanner automatisé : la différence de fond, pas juste de prix
Les deux approches sont souvent vendues comme interchangeables. Elles ne le sont pas. Un scanner détecte des signatures connues sur des endpoints connus. Un pentest manuel exploite la logique métier, l'authentification, les chaînes d'API. Complémentaires, pas équivalents.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
En bref
Scanner automatisé = signatures connues, couverture continue, faux positifs élevés, pas de logique métier. Pentest manuel = logique métier, preuves d'exploitation, chaînage des vulnérabilités, taux de faux positifs proche de 0. Les deux ensemble couvrent les deux risques majeurs et c'est ce qui est attendu par la majorité des clients B2B et des assureurs cyber.
Comment fonctionne chaque approche
Scanner automatisé
L'outil crawl votre application, identifie les endpoints, puis envoie une batterie de payloads issus d'une base de signatures (CVE connues, patterns d'injection génériques). Quand une réponse correspond à un pattern, le finding est rapporté.
Forces : rapide, scalable, continu, économique. Détecte les CVE publiques sur des composants identifiés (CMS, librairies). Limites : aucune compréhension de la logique métier, taux de faux positifs élevé, raté sur les apps non standard.
Pentest manuel
Un pentester reproduit la posture d'un attaquant : il découvre les parcours métier, identifie les zones de friction d'authentification, teste les autorisations entre tenants, chaîne les vulnérabilités (par exemple SSRF → IMDS → credentials cloud). Chaque finding est validé manuellement avec preuve d'exploitation.
Forces : logique métier, preuves reproductibles, chaînage, peu de faux positifs. Limites : coût et cadence, c'est une mission, pas un service continu.
Différences sur 11 axes
Comparaison neutre. Les outils du marché varient, mais la nature des deux approches reste constante.
| Pentest manuel | Scanner automatisé | |
|---|---|---|
| Détection de signatures connues (CVE) | Oui (en complément) | Oui, cœur de l'outil |
| Détection de vulnérabilités sur la logique métier | ||
| Détection BOLA / IDOR / élévation de privilège | Rare et incomplet | |
| Chaînage de vulnérabilités (kill chain) | ||
| Preuve d'exploitation reproductible | Oui. PoC manuel | Variable et souvent absent |
| Taux de faux positifs | < 5% | 20–50% selon contexte |
| Couverture des SPA / GraphQL / microservices | Souvent dégradée | |
| Continu / périodique | Périodique (mission) | Continu |
| Coût ponctuel | €€€ (mission) | € (abonnement SaaS) |
| Accepté comme preuve par les clients B2B | Rarement seul | |
| Accepté pour assurance cyber / NIS2 | En complément, pas seul |
Trois exemples concrets de ce qu'un scanner ne voit pas
BOLA : accès aux objets d'un autre tenant
GET /api/invoices/40217 retourne la facture du client B alors que vous êtes authentifié comme client A. Un scanner voit une réponse 200 OK valide et n'a aucune notion de « propriété » entre tenants. Un pentester teste systématiquement l'incrémentation d'ID avec un autre compte.
Élévation de privilège via un endpoint de support
Un endpoint POST /api/admin/impersonate accepte un appel avec un cookie de support standard mais autorise l'impersonation d'un admin. Le scanner voit l'endpoint protégé par auth, il s'arrête là. Le pentester teste les rôles.
Chaîne SSRF → IMDS → credentials cloud
Une fonctionnalité d'import d'image distante accepte une URL utilisateur. Le scanner détecte peut-être un SSRF basique. Le pentester l'utilise pour cibler 169.254.169.254 et exfiltrer les credentials IAM, c'est la chaîne d'exploitation qui transforme une vulnérabilité moyenne en compromission cloud complète.
Zones d'ambiguïté à connaître
« Pentest à 800 € » = scan rebadgé
Un pentester manuel facture 600–1 000 €/jour et une mission sérieuse demande au minimum 3 à 5 jours. Une offre à moins de 1 500 € HT est presque toujours un export de scan automatisé. Si le rapport ne montre pas de preuve d'exploitation manuelle ou de chaîne, c'est un scan.
Le scan + manuel n'est pas un pentest si le manuel est cosmétique
Certaines offres mixent un scan automatisé + une « revue manuelle » qui ne revient qu'à filtrer les faux positifs du scan. Ce n'est pas un pentest. Un vrai pentest démarre de zéro côté manuel et teste la logique métier indépendamment des findings auto.
Vous voulez voir la différence sur un cas réel ?
Le diagnostic gratuit qualifie ce qui est exposé sur votre surface. Vous voyez concrètement ce qu'un test manuel peut détecter par-delà ce qu'un scan ferait remonter.
Autres comparatifs
- Pentest expert vs programme PTaaS , mission ponctuelle ou abonnement continu.
- Cabinet pentest vs plateforme produit , expertise humaine ou outil self-service.
- Combien coûte un test d'intrusion , budget et drivers de coût.