https://competences-metier.fr/wiki/index.php?action=history&feed=atom&title=Test_d%27intrusionTest d'intrusion - Historique des versions2026-06-18T00:00:32ZHistorique des versions pour cette page sur le wikiMediaWiki 1.45.3https://competences-metier.fr/wiki/index.php?title=Test_d%27intrusion&diff=356&oldid=prevKecvn : Publication via Quaero Hub2026-06-05T09:09:25Z<p>Publication via Quaero Hub</p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="fr">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Version précédente</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Version du 5 juin 2026 à 05:09</td>
</tr><tr><td colspan="2" class="diff-lineno" id="mw-diff-left-l136">Ligne 136 :</td>
<td colspan="2" class="diff-lineno">Ligne 136 :</td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br></td></tr>
<tr><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Les PME constituent un segment particulièrement exposé : selon le baromètre 2023 du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), plus de 52 % des entreprises françaises ont subi au moins une cyberattaque significative cette année-là. Des dispositifs comme MonAideCyber de l'[[ANSSI]] et des offres mutualisées contribuent à rendre les diagnostics de sécurité accessibles aux organisations dont les ressources en [[Cybersécurité des PME|cybersécurité des PME]] sont limitées.</div></td><td class="diff-marker"></td><td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>Les PME constituent un segment particulièrement exposé : selon le baromètre 2023 du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), plus de 52 % des entreprises françaises ont subi au moins une cyberattaque significative cette année-là. Des dispositifs comme MonAideCyber de l'[[ANSSI]] et des offres mutualisées contribuent à rendre les diagnostics de sécurité accessibles aux organisations dont les ressources en [[Cybersécurité des PME|cybersécurité des PME]] sont limitées.</div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;"></ins></div></td></tr>
<tr><td colspan="2" class="diff-side-deleted"></td><td class="diff-marker" data-marker="+"></td><td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div><ins style="font-weight: bold; text-decoration: none;">[[Catégorie:Cybersécurité]]</ins></div></td></tr>
</table>Kecvnhttps://competences-metier.fr/wiki/index.php?title=Test_d%27intrusion&diff=261&oldid=prevKecvn : Publication via Quaero Hub2026-06-05T07:44:00Z<p>Publication via Quaero Hub</p>
<p><b>Nouvelle page</b></p><div>Un '''test d'intrusion''' (en anglais ''penetration testing'', abrégé ''pentest'') est une procédure d'évaluation de la sécurité d'un système informatique, d'un réseau ou d'une application, conduite par un professionnel mandaté qui simule les techniques et tactiques d'un attaquant malveillant. L'objectif est d'identifier des vulnérabilités exploitables avant qu'un acteur hostile ne le fasse, dans le cadre d'un contrat définissant précisément le périmètre d'intervention. Le test d'intrusion se distingue d'un [[Audit de cybersécurité]] classique par son caractère offensif et pratique : il ne se limite pas à une analyse documentaire ou à une revue de configuration, mais implique une tentative effective d'exploitation des failles découvertes.<br />
<br />
== Définition et objectifs ==<br />
<br />
Le test d'intrusion vise plusieurs objectifs complémentaires :<br />
<br />
* identifier les vulnérabilités techniques (failles logicielles, erreurs de configuration, protocoles non sécurisés) ;<br />
* évaluer le niveau de résistance d'un système face à une [[Cyberattaque|cyberattaque]] réelle ;<br />
* mesurer l'efficacité des contre-mesures en place ([[Pare-feu|pare-feu]], systèmes de détection d'intrusion, cloisonnement réseau) ;<br />
* fournir à la direction et aux équipes techniques un rapport priorisé des risques, assorti de recommandations correctives.<br />
<br />
Un test d'intrusion produit systématiquement un rapport écrit détaillant chaque vulnérabilité découverte, son niveau de criticité — souvent exprimé selon l'échelle CVSS (''Common Vulnerability Scoring System'') dont les valeurs vont de 0 à 10 —, les preuves d'exploitation (captures d'écran, journaux) et les recommandations de remédiation.<br />
<br />
== Types de tests ==<br />
<br />
=== Selon la connaissance du système cible ===<br />
<br />
On distingue trois approches selon le niveau d'information initial remis au testeur :<br />
<br />
{| class="wikitable"<br />
|+ Approches de test d'intrusion selon la connaissance initiale<br />
! Approche !! Connaissance initiale !! Usage typique<br />
|-<br />
| ''Black box'' (boîte noire) || Aucune information sur l'infrastructure || Simulation d'un attaquant externe sans accès privilégié<br />
|-<br />
| ''White box'' (boîte blanche) || Accès complet au code source, à la documentation et aux configurations || Audit approfondi lors d'un développement ou en contexte interne<br />
|-<br />
| ''Grey box'' (boîte grise) || Informations partielles (schéma réseau, comptes utilisateurs) || Simulation d'un prestataire ou d'un employé malveillant<br />
|}<br />
<br />
=== Selon le périmètre ===<br />
<br />
* '''Test réseau externe''' : évalue les équipements et services exposés sur Internet (serveurs web, [[VPN (réseau privé virtuel)|VPN]], messagerie).<br />
* '''Test réseau interne''' : réalisé depuis l'intérieur du réseau, simule un attaquant ayant déjà pénétré le périmètre ou un employé malveillant ; cible fréquemment l'infrastructure Active Directory et les [[DMZ (informatique)|zones démilitarisées]].<br />
* '''Test applicatif web''' : vise les applications web selon la méthodologie [[OWASP]] (''Open Web Application Security Project''), notamment son ''Top 10'' des risques les plus courants (injection SQL, XSS, CSRF, mauvaise configuration).<br />
* '''Test applicatif mobile''' : audit des applications iOS et Android, de leurs API et des données stockées sur le terminal.<br />
* '''Ingénierie sociale''' : évalue la résistance humaine aux manipulations, notamment par [[Hameçonnage|hameçonnage]] (''phishing'') ciblé ou par des appels téléphoniques frauduleux.<br />
* '''Test physique''' : tente d'accéder physiquement à des locaux ou équipements sensibles.<br />
<br />
=== Exercice red team ===<br />
<br />
Un exercice [[Red team|red team]] est une forme avancée de test d'intrusion dans laquelle une équipe offensive simule une menace persistante avancée (APT) sur une durée étendue (plusieurs semaines à plusieurs mois), sans notification préalable des équipes de défense. L'objectif est de tester l'ensemble de la chaîne défensive — technique, humaine et procédurale — sans contrainte de périmètre strict.<br />
<br />
== Méthodologie ==<br />
<br />
Les tests d'intrusion suivent généralement une séquence structurée en cinq phases, inspirée du cadre défini par le PTES (''Penetration Testing Execution Standard'') publié en 2012 :<br />
<br />
=== Reconnaissance ===<br />
<br />
Phase de collecte d'informations, passive (OSINT : consultation de registres WHOIS, DNS, réseaux sociaux professionnels, moteurs de recherche) ou active (scan de ports, énumération de services). L'objectif est de dresser la cartographie de la surface d'attaque avant toute interaction intrusive.<br />
<br />
=== Analyse des vulnérabilités ===<br />
<br />
Identification systématique des failles potentielles à l'aide de scanners automatisés (Nessus, OpenVAS) et de vérifications manuelles. Les vulnérabilités sont croisées avec les bases de données publiques, notamment le référentiel [[CVE]] (''Common Vulnerabilities and Exposures'') maintenu par le MITRE, qui recense plus de 200 000 entrées depuis sa création en 1999.<br />
<br />
=== Exploitation ===<br />
<br />
Tentative d'exploitation des vulnérabilités identifiées afin de valider leur exploitabilité réelle dans le contexte du système cible. Le framework [[Metasploit]] est l'un des outils les plus utilisés à cette étape. L'exploitation peut prendre la forme d'une élévation de privilèges, d'une exécution de code à distance ou d'un accès non autorisé à des données confidentielles.<br />
<br />
=== Post-exploitation ===<br />
<br />
Une fois un premier accès obtenu, le testeur évalue l'impact possible : mouvement latéral dans le réseau, accès à des systèmes critiques, exfiltration de données. Cette phase mesure la profondeur à laquelle un attaquant pourrait progresser après une compromission initiale et permet d'identifier les actifs les plus exposés.<br />
<br />
=== Rapport ===<br />
<br />
Le rapport final comporte deux niveaux : un résumé exécutif destiné à la direction (risques métier, impact potentiel) et un rapport technique détaillé à l'intention des équipes informatiques (description précise de chaque vulnérabilité, preuve d'exploitation, score CVSS, recommandations de correction priorisées). La restitution orale des résultats est une pratique courante permettant d'éclaircir les conclusions et de planifier la remédiation.<br />
<br />
== Cadre légal et éthique ==<br />
<br />
En France, toute intervention sur des systèmes informatiques sans autorisation explicite du propriétaire est passible de poursuites au titre des articles 323-1 à 323-7 du Code pénal (fraude informatique), avec des peines pouvant atteindre cinq ans d'emprisonnement et 150 000 euros d'amende. Un test d'intrusion doit impérativement être couvert par un contrat signé définissant :<br />
<br />
* le périmètre exact des systèmes autorisés ;<br />
* la fenêtre temporelle d'intervention ;<br />
* les techniques autorisées et interdites ;<br />
* les personnes habilitées à autoriser et recevoir les résultats.<br />
<br />
L'[[ANSSI]] (Agence nationale de la sécurité des systèmes d'information) encadre la qualification des prestataires de tests d'intrusion via le référentiel PASSI (''Prestataire d'Audit de la Sécurité des Systèmes d'Information''), créé en 2015. Ce référentiel définit cinq portées d'audit : architecture, configuration, code source, tests d'intrusion et organisation/physique. La qualification PASSI garantit la compétence technique, l'indépendance et la déontologie du prestataire.<br />
<br />
== Normes et référentiels ==<br />
<br />
Plusieurs normes et cadres encadrent ou guident la pratique des tests d'intrusion :<br />
<br />
* '''[[ISO/IEC 27001]]''' : la norme internationale de management de la sécurité de l'information intègre les tests d'intrusion comme mesure de contrôle (contrôle 8.8 dans la version 2022).<br />
* '''[[NIST Cybersecurity Framework]]''' : le cadre américain du NIST recommande les tests d'intrusion dans sa fonction ''Identify'' pour évaluer les risques.<br />
* '''[[PCI DSS]]''' : la norme de sécurité des données de paiement impose des tests d'intrusion annuels et après tout changement significatif d'infrastructure (exigence 11.3 dans la version 3.2.1 ; exigence 11.4 dans la version 4.0).<br />
* '''[[OWASP]] Testing Guide''' : guide méthodologique de référence pour les tests d'applications web, déclinant plus de 90 techniques de test structurées par catégorie.<br />
* '''[[EBIOS Risk Manager]]''' : méthode française d'analyse des risques qui peut intégrer les résultats de tests d'intrusion pour affiner les scénarios de menace.<br />
* '''[[RGS (Référentiel Général de Sécurité)|RGS]]''' : référentiel applicable aux systèmes d'information des autorités administratives françaises, qui peut requérir des audits incluant des tests d'intrusion.<br />
<br />
== Outils utilisés ==<br />
<br />
Les testeurs d'intrusion s'appuient sur un ensemble d'outils spécialisés, dont la majorité sont libres et open source :<br />
<br />
* '''[[Kali Linux]]''' : distribution Linux dédiée aux tests d'intrusion, maintenue par Offensive Security depuis 2013, regroupant plus de 600 outils préinstallés (Nmap, Burp Suite, Hydra, John the Ripper, SQLmap).<br />
* '''Nmap''' : scanner de ports et d'inventaire réseau, outil de référence pour la phase de reconnaissance active.<br />
* '''Burp Suite''' : proxy d'interception HTTP/HTTPS développé par PortSwigger, outil central pour les tests d'applications web.<br />
* '''[[Metasploit]]''' : framework d'exploitation modulaire maintenu par Rapid7, permettant de lancer, tester et valider des exploits contre des cibles identifiées.<br />
* '''Wireshark''' : analyseur de protocoles réseau utilisé pour l'analyse du trafic et la détection de fuites d'informations.<br />
* '''Mimikatz''' : outil d'extraction d'identifiants en mémoire sur systèmes Windows, fréquemment utilisé lors de la phase de post-exploitation.<br />
<br />
L'utilisation de ces outils à des fins de test nécessite une autorisation contractuelle préalable ; leur emploi non autorisé constitue une infraction pénale dans la quasi-totalité des juridictions.<br />
<br />
== Profils professionnels et formation ==<br />
<br />
Les tests d'intrusion sont réalisés par des professionnels qualifiés, généralement titulaires d'un diplôme de niveau Bac+5 en informatique ou [[Cybersécurité|cybersécurité]] (master, diplôme d'ingénieur). Les compétences attendues couvrent les réseaux (TCP/IP, protocoles applicatifs), les systèmes d'exploitation (Windows, Linux, Active Directory), la programmation (Python, Bash, PowerShell) et les méthodologies d'attaque.<br />
<br />
L'[[Ingénieur en cybersécurité|ingénieur spécialisé en tests d'intrusion]] peut exercer au sein d'un [[SOC (Security Operations Center)|SOC]], d'un cabinet de conseil en sécurité, ou en tant que consultant indépendant. Dans les organisations de taille significative, le [[Responsable de la sécurité des systèmes d'information|RSSI]] supervise les campagnes de tests d'intrusion et intègre leurs résultats dans la politique de sécurité globale.<br />
<br />
Des formations spécialisées en sécurité offensive sont proposées par des centres homologués et au sein d'établissements partenaires du [[Campus Cyber]], inauguré en 2022 à La Défense. Les programmes de [[Bug bounty|bug bounty]] constituent une modalité complémentaire de découverte des vulnérabilités : des entreprises invitent des chercheurs indépendants à signaler des failles contre rémunération, dans un cadre défini par la politique du programme.<br />
<br />
== Certifications ==<br />
<br />
Les certifications professionnelles attestent des compétences en tests d'intrusion et sont valorisées sur le marché de l'emploi :<br />
<br />
{| class="wikitable"<br />
! Certification !! Organisme !! Particularité<br />
|-<br />
| OSCP (''Offensive Security Certified Professional'') || Offensive Security || Examen pratique de 24 heures sur un réseau de laboratoire ; référence du marché<br />
|-<br />
| CEH (''Certified Ethical Hacker'') || EC-Council || Épreuve théorique, reconnue dans plus de 140 pays<br />
|-<br />
| [[CISSP]] || (ISC)² || Certification généraliste couvrant le domaine des tests de sécurité ; requiert 5 ans d'expérience professionnelle<br />
|-<br />
| GPEN (''GIAC Penetration Tester'') || GIAC/SANS || Axée sur les techniques réseau et l'exploitation<br />
|-<br />
| eWPT (''eLearnSecurity Web Application Penetration Tester'') || INE Security || Spécialisée sur les tests d'applications web<br />
|}<br />
<br />
La certification OSCP est généralement considérée comme la référence la plus exigeante pour les testeurs d'intrusion, en raison de son format entièrement pratique sans questions théoriques.<br />
<br />
== Marché et demande ==<br />
<br />
La demande en tests d'intrusion croît de manière soutenue sous l'effet de plusieurs facteurs : multiplication des incidents de sécurité, durcissement des obligations réglementaires ([[Directive NIS2]], [[PCI DSS]], [[ISO/IEC 27001]]), et développement des programmes d'assurance cyber qui requièrent souvent une attestation de pentest récente.<br />
<br />
En France, le marché de la [[Cybersécurité|cybersécurité]] représentait environ 5,5 milliards d'euros en 2023 selon les estimations du STICS (Syndicat des Industries des Technologies de Sécurité et de Communication). Les tests d'intrusion constituent l'un des segments à la croissance la plus rapide de ce marché, avec une tension marquée sur les recrutements de profils offensifs.<br />
<br />
Les PME constituent un segment particulièrement exposé : selon le baromètre 2023 du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), plus de 52 % des entreprises françaises ont subi au moins une cyberattaque significative cette année-là. Des dispositifs comme MonAideCyber de l'[[ANSSI]] et des offres mutualisées contribuent à rendre les diagnostics de sécurité accessibles aux organisations dont les ressources en [[Cybersécurité des PME|cybersécurité des PME]] sont limitées.</div>Kecvn