« Test d'intrusion » : différence entre les versions

Un test d'intrusion (en anglais penetration testing, abrégé pentest) est une procédure d'évaluation de la sécurité d'un système informatique, d'un réseau ou d'une application, conduite par un professionnel mandaté qui simule les techniques et tactiques d'un attaquant malveillant. L'objectif est d'identifier des vulnérabilités exploitables avant qu'un acteur hostile ne le fasse, dans le cadre d'un contrat définissant précisément le périmètre d'intervention. Le test d'intrusion se distingue d'un Audit de cybersécurité classique par son caractère offensif et pratique : il ne se limite pas à une analyse documentaire ou à une revue de configuration, mais implique une tentative effective d'exploitation des failles découvertes.

Le test d'intrusion vise plusieurs objectifs complémentaires :

• identifier les vulnérabilités techniques (failles logicielles, erreurs de configuration, protocoles non sécurisés) ;
• évaluer le niveau de résistance d'un système face à une cyberattaque réelle ;
• mesurer l'efficacité des contre-mesures en place (pare-feu, systèmes de détection d'intrusion, cloisonnement réseau) ;
• fournir à la direction et aux équipes techniques un rapport priorisé des risques, assorti de recommandations correctives.

Un test d'intrusion produit systématiquement un rapport écrit détaillant chaque vulnérabilité découverte, son niveau de criticité — souvent exprimé selon l'échelle CVSS (Common Vulnerability Scoring System) dont les valeurs vont de 0 à 10 —, les preuves d'exploitation (captures d'écran, journaux) et les recommandations de remédiation.

On distingue trois approches selon le niveau d'information initial remis au testeur :

• Test réseau externe : évalue les équipements et services exposés sur Internet (serveurs web, VPN, messagerie).
• Test réseau interne : réalisé depuis l'intérieur du réseau, simule un attaquant ayant déjà pénétré le périmètre ou un employé malveillant ; cible fréquemment l'infrastructure Active Directory et les zones démilitarisées.
• Test applicatif web : vise les applications web selon la méthodologie OWASP (Open Web Application Security Project), notamment son Top 10 des risques les plus courants (injection SQL, XSS, CSRF, mauvaise configuration).
• Test applicatif mobile : audit des applications iOS et Android, de leurs API et des données stockées sur le terminal.
• Ingénierie sociale : évalue la résistance humaine aux manipulations, notamment par hameçonnage (phishing) ciblé ou par des appels téléphoniques frauduleux.
• Test physique : tente d'accéder physiquement à des locaux ou équipements sensibles.

Un exercice red team est une forme avancée de test d'intrusion dans laquelle une équipe offensive simule une menace persistante avancée (APT) sur une durée étendue (plusieurs semaines à plusieurs mois), sans notification préalable des équipes de défense. L'objectif est de tester l'ensemble de la chaîne défensive — technique, humaine et procédurale — sans contrainte de périmètre strict.

Les tests d'intrusion suivent généralement une séquence structurée en cinq phases, inspirée du cadre défini par le PTES (Penetration Testing Execution Standard) publié en 2012 :

Phase de collecte d'informations, passive (OSINT : consultation de registres WHOIS, DNS, réseaux sociaux professionnels, moteurs de recherche) ou active (scan de ports, énumération de services). L'objectif est de dresser la cartographie de la surface d'attaque avant toute interaction intrusive.

Identification systématique des failles potentielles à l'aide de scanners automatisés (Nessus, OpenVAS) et de vérifications manuelles. Les vulnérabilités sont croisées avec les bases de données publiques, notamment le référentiel CVE (Common Vulnerabilities and Exposures) maintenu par le MITRE, qui recense plus de 200 000 entrées depuis sa création en 1999.

Tentative d'exploitation des vulnérabilités identifiées afin de valider leur exploitabilité réelle dans le contexte du système cible. Le framework Metasploit est l'un des outils les plus utilisés à cette étape. L'exploitation peut prendre la forme d'une élévation de privilèges, d'une exécution de code à distance ou d'un accès non autorisé à des données confidentielles.

Une fois un premier accès obtenu, le testeur évalue l'impact possible : mouvement latéral dans le réseau, accès à des systèmes critiques, exfiltration de données. Cette phase mesure la profondeur à laquelle un attaquant pourrait progresser après une compromission initiale et permet d'identifier les actifs les plus exposés.

Le rapport final comporte deux niveaux : un résumé exécutif destiné à la direction (risques métier, impact potentiel) et un rapport technique détaillé à l'intention des équipes informatiques (description précise de chaque vulnérabilité, preuve d'exploitation, score CVSS, recommandations de correction priorisées). La restitution orale des résultats est une pratique courante permettant d'éclaircir les conclusions et de planifier la remédiation.

En France, toute intervention sur des systèmes informatiques sans autorisation explicite du propriétaire est passible de poursuites au titre des articles 323-1 à 323-7 du Code pénal (fraude informatique), avec des peines pouvant atteindre cinq ans d'emprisonnement et 150 000 euros d'amende. Un test d'intrusion doit impérativement être couvert par un contrat signé définissant :

• le périmètre exact des systèmes autorisés ;
• la fenêtre temporelle d'intervention ;
• les techniques autorisées et interdites ;
• les personnes habilitées à autoriser et recevoir les résultats.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) encadre la qualification des prestataires de tests d'intrusion via le référentiel PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information), créé en 2015. Ce référentiel définit cinq portées d'audit : architecture, configuration, code source, tests d'intrusion et organisation/physique. La qualification PASSI garantit la compétence technique, l'indépendance et la déontologie du prestataire.

Plusieurs normes et cadres encadrent ou guident la pratique des tests d'intrusion :

• ISO/IEC 27001 : la norme internationale de management de la sécurité de l'information intègre les tests d'intrusion comme mesure de contrôle (contrôle 8.8 dans la version 2022).
• NIST Cybersecurity Framework : le cadre américain du NIST recommande les tests d'intrusion dans sa fonction Identify pour évaluer les risques.
• PCI DSS : la norme de sécurité des données de paiement impose des tests d'intrusion annuels et après tout changement significatif d'infrastructure (exigence 11.3 dans la version 3.2.1 ; exigence 11.4 dans la version 4.0).
• OWASP Testing Guide : guide méthodologique de référence pour les tests d'applications web, déclinant plus de 90 techniques de test structurées par catégorie.
• EBIOS Risk Manager : méthode française d'analyse des risques qui peut intégrer les résultats de tests d'intrusion pour affiner les scénarios de menace.
• RGS : référentiel applicable aux systèmes d'information des autorités administratives françaises, qui peut requérir des audits incluant des tests d'intrusion.

Les testeurs d'intrusion s'appuient sur un ensemble d'outils spécialisés, dont la majorité sont libres et open source :

• Kali Linux : distribution Linux dédiée aux tests d'intrusion, maintenue par Offensive Security depuis 2013, regroupant plus de 600 outils préinstallés (Nmap, Burp Suite, Hydra, John the Ripper, SQLmap).
• Nmap : scanner de ports et d'inventaire réseau, outil de référence pour la phase de reconnaissance active.
• Burp Suite : proxy d'interception HTTP/HTTPS développé par PortSwigger, outil central pour les tests d'applications web.
• Metasploit : framework d'exploitation modulaire maintenu par Rapid7, permettant de lancer, tester et valider des exploits contre des cibles identifiées.
• Wireshark : analyseur de protocoles réseau utilisé pour l'analyse du trafic et la détection de fuites d'informations.
• Mimikatz : outil d'extraction d'identifiants en mémoire sur systèmes Windows, fréquemment utilisé lors de la phase de post-exploitation.

L'utilisation de ces outils à des fins de test nécessite une autorisation contractuelle préalable ; leur emploi non autorisé constitue une infraction pénale dans la quasi-totalité des juridictions.

Les tests d'intrusion sont réalisés par des professionnels qualifiés, généralement titulaires d'un diplôme de niveau Bac+5 en informatique ou cybersécurité (master, diplôme d'ingénieur). Les compétences attendues couvrent les réseaux (TCP/IP, protocoles applicatifs), les systèmes d'exploitation (Windows, Linux, Active Directory), la programmation (Python, Bash, PowerShell) et les méthodologies d'attaque.

L'ingénieur spécialisé en tests d'intrusion peut exercer au sein d'un SOC, d'un cabinet de conseil en sécurité, ou en tant que consultant indépendant. Dans les organisations de taille significative, le RSSI supervise les campagnes de tests d'intrusion et intègre leurs résultats dans la politique de sécurité globale.

Des formations spécialisées en sécurité offensive sont proposées par des centres homologués et au sein d'établissements partenaires du Campus Cyber, inauguré en 2022 à La Défense. Les programmes de bug bounty constituent une modalité complémentaire de découverte des vulnérabilités : des entreprises invitent des chercheurs indépendants à signaler des failles contre rémunération, dans un cadre défini par la politique du programme.

Les certifications professionnelles attestent des compétences en tests d'intrusion et sont valorisées sur le marché de l'emploi :

La certification OSCP est généralement considérée comme la référence la plus exigeante pour les testeurs d'intrusion, en raison de son format entièrement pratique sans questions théoriques.

La demande en tests d'intrusion croît de manière soutenue sous l'effet de plusieurs facteurs : multiplication des incidents de sécurité, durcissement des obligations réglementaires (Directive NIS2, PCI DSS, ISO/IEC 27001), et développement des programmes d'assurance cyber qui requièrent souvent une attestation de pentest récente.

En France, le marché de la cybersécurité représentait environ 5,5 milliards d'euros en 2023 selon les estimations du STICS (Syndicat des Industries des Technologies de Sécurité et de Communication). Les tests d'intrusion constituent l'un des segments à la croissance la plus rapide de ce marché, avec une tension marquée sur les recrutements de profils offensifs.

Les PME constituent un segment particulièrement exposé : selon le baromètre 2023 du CESIN (Club des Experts de la Sécurité de l'Information et du Numérique), plus de 52 % des entreprises françaises ont subi au moins une cyberattaque significative cette année-là. Des dispositifs comme MonAideCyber de l'ANSSI et des offres mutualisées contribuent à rendre les diagnostics de sécurité accessibles aux organisations dont les ressources en cybersécurité des PME sont limitées.