Aller au contenu principal
appsec/pentest-entreprise.tsx

Pentest en entreprise : pourquoi, quand et comment le commander

Pourquoi une entreprise commande un pentest : risque réel, conformité NIS2 et DORA, assurance cyber, exigences clients. Quand le faire, comment choisir son prestataire (OSWE, PTES, retest, NDA), et ce que ça n'est pas.

own2pwn··10 min de lecture

Un gros client vous envoie son questionnaire de sécurité avant de signer. Ligne 14 : « Avez-vous fait réaliser un test d'intrusion sur votre application au cours des douze derniers mois ? Joindre le rapport. » Vous n'en avez pas. Le deal, lui, se compte en dizaines de milliers d'euros. C'est souvent là, dans un tableur envoyé par un acheteur, que le sujet du pentest en entreprise cesse d'être une abstraction technique pour devenir une décision business.

Cet article ne s'adresse pas au pentester : il s'adresse au dirigeant, au DSI ou au RSSI qui se demande pourquoi commander un test d'intrusion, quand le faire, et comment choisir un prestataire sans se faire vendre un scan automatisé déguisé. On parle valeur métier, conformité et arbitrage budgétaire — pas format de paquet DNS.

Pourquoi une entreprise fait faire un pentest

On pourrait résumer par « pour être plus en sécurité », mais c'est trop vague pour tenir dans un budget. En pratique, une décision de pentest en entreprise se justifie par trois moteurs bien concrets, qui arrivent rarement seuls.

Le risque, chiffré

Une faille exploitée, ce n'est pas une ligne dans un rapport : c'est une fuite de base clients, une rançon, un site à l'arrêt en pleine saison commerciale, et derrière, la CNIL, les clients qui partent et la presse locale. Un test d'intrusion ne supprime pas ce risque, mais il le rend visible et priorisé avant que quelqu'un d'autre ne le découvre à votre place. La question que se pose un dirigeant n'est pas « est-ce que j'ai des vulnérabilités ? » — tout le monde en a — mais « lesquelles sont réellement exploitables, et qu'est-ce qu'un attaquant en tirerait ? ». C'est exactement ce qu'un pentest répond, et ce qu'un scanner ne saura jamais dire.

La conformité et l'assurance

C'est devenu le premier déclencheur, loin devant. Plusieurs textes rendent le test d'intrusion difficilement contournable :

  • NIS2 — la directive impose aux entités « essentielles » et « importantes » une gestion des risques et des tests réguliers de leurs mesures. Le pentest est le moyen le plus direct de prouver que ces mesures tiennent en conditions réelles. Voir notre décryptage de NIS2 pour les PME.
  • DORA — pour le secteur financier, le règlement va plus loin en exigeant des tests de résilience, jusqu'au test d'intrusion fondé sur la menace (TLPT) pour les acteurs les plus critiques.
  • L'assurance cyber — les assureurs conditionnent de plus en plus la couverture, et surtout le montant des primes, à des preuves de posture : MFA, sauvegardes, et rapport de pentest récent. Pas de test, prime plus chère — ou exclusion pure et simple d'un sinistre.

Les exigences de vos clients

Revenons au questionnaire de sécurité du début. Si vous vendez du SaaS, du B2B ou que vous manipulez des données pour le compte d'autres entreprises, vos clients grands comptes vous imposent un pentest — parfois annuel, parfois à chaque appel d'offres. Ici, le test d'intrusion n'est plus une dépense de sécurité, c'est un argument commercial: un rapport propre et un plan de remédiation suivi débloquent des ventes que vous perdriez sans. Beaucoup de PME commandent leur premier pentest exactement pour cette raison, et découvrent la conformité et le risque en cours de route.

Ce qu'un pentest n'est pas

Avant d'aller plus loin, tuons le malentendu le plus coûteux. Un test d'intrusion n'est pas un scan de vulnérabilités. Passer un scanner automatisé (Nessus, Qualys, un outil de la CI/CD) sur votre application, c'est utile et ça a sa place — mais ça produit une liste de vulnérabilités potentielles, gonflée de faux positifs, sans savoir lesquelles sont réellement atteignables ni enchaînables entre elles.

Un pentest, c'est un humain — un attaquant mandaté — qui prouvel'exploitation. Là où le scanner dit « version potentiellement vulnérable, CVSS 7.5 », le pentester enchaîne trois défauts anodins pris isolément pour sortir la base de données, et vous le démontre capture à l'appui. La différence est fondamentale, et si votre prestataire vous livre une sortie de scanner reformatée, vous avez payé un pentest sans en avoir eu un. On détaille ce clivage dans pentest, scan de vulnérabilité ou EASM — et la définition posée dans le glossaire du pentest pose les bases si le vocabulaire est neuf pour vous.

Scan et pentest ne s'opposent pas, ils s'empilent
Le scan tourne en continu et attrape le tout-venant à moindre coût ; le pentest, périodique, va chercher ce que la machine ne voit pas. Une bonne posture combine surveillance continue de la surface d'attaque externe et pentests ciblés aux bons moments. L'un ne remplace pas l'autre.

Quand commander un test d'intrusion

« Une fois par an » est une réponse par défaut correcte, mais incomplète. Le bon réflexe consiste à raccrocher le test aux moments où votre surface d'attaque change, car c'est là qu'apparaissent les failles. Trois déclencheurs reviennent systématiquement.

quand-pentest
Avant
Avant une mise en production
Nouvelle application, nouveau service exposé, refonte : on teste avant que ce soit accessible au public, quand corriger coûte encore peu.
Après
Après un changement majeur
Nouvelle fonctionnalité sensible (paiement, authentification, API publique), migration d'infrastructure, acquisition : la surface bouge, on re-teste le delta.
En continu
À cadence régulière
Au minimum une fois par an, souvent imposé par un client ou un assureur. Le socle qui prouve que la posture ne s'est pas dégradée avec le temps.
Les trois moments où un test d'intrusion se justifie le mieux : une mise en prod, un changement majeur, puis une cadence régulière.

Le piège classique ? Tester une seule fois, ranger le rapport, et considérer le sujet clos. Une application vit : chaque déploiement peut rouvrir une porte. C'est pour ça qu'un bon prestataire inclut un retest après vos corrections, et pourquoi la surveillance continue vient compléter les campagnes ponctuelles.

Le cas des PME : un pentest n'est pas réservé aux grands groupes

Une idée tenace veut que le pentest soit un luxe de multinationale. C'est faux, et c'est même l'inverse : une PME concentre souvent tout son chiffre d'affaires dans une poignée d'applications, sans équipe sécurité interne pour les surveiller. Un seul site e-commerce compromis, une seule API de facturation qui fuit, et c'est l'activité entière qui vacille.

La bonne nouvelle, c'est qu'un pentest PME se cadre pour un budget maîtrisé. On ne teste pas « tout » : on cible l'application qui porte le risque et le chiffre d'affaires, sur quelques jours. Le levier, c'est le périmètre — le resserrer intelligemment fait toute la différence sur la facture, sujet qu'on creuse dans le prix d'un test d'intrusion web.

Comment choisir son prestataire de pentest

Tous les « pentests » ne se valent pas, et l'écart de qualité entre deux prestataires au même prix peut être abyssal. Quatre critères séparent un vrai test d'intrusion d'un livrable creux. Pensez-les comme un empilement : chaque couche repose sur la précédente.

criteres-prestataire
Le socle
Des certifications qui prouvent le savoir-faire
OSCP, OSWE : des certifications 100 % pratiques (on exploite, on ne coche pas de QCM). C'est la garantie que la personne sait réellement casser une application, pas seulement lire un scanner.
La méthode
Un cadre méthodologique reconnu
PTES, OWASP WSTG : une démarche structurée et reproductible, pas une pêche au hasard. C'est ce qui garantit la couverture et rend le test comparable d'une année sur l'autre.
La preuve
Un rapport lisible et actionnable
Chaque faille avec son impact métier, sa preuve d'exploitation, sa criticité et sa remédiation. Deux lectures : une synthèse pour la direction, le détail technique pour vos équipes.
Le suivi
Retest inclus et confidentialité
Un retest après vos corrections (sinon le rapport ne prouve rien de durable) et un NDA qui protège vos données et vos vulnérabilités. Non négociables.
Ce qui fait un prestataire de pentest sérieux, du socle (les compétences) jusqu'à la livraison. (Survolez pour écarter les couches.)

Un mot sur le retest, l'étape qu'on oublie de vérifier au moment de signer. Un rapport sans re-test dit « voici ce qui n'allait pas ce jour-là ». Un rapport avec re-test dit « voici ce qui n'allait pas, et voici la confirmation que c'est corrigé » — la seule version qui vaille quelque chose devant un auditeur, un client ou un assureur. Chez own2pwn, le retest est inclus par défaut.

Blackbox ou whitebox ?
Un pentest web blackbox simule un attaquant externe sans information préalable — idéal pour valider votre exposition réelle. Un pentest web whitebox, avec accès au code et à des comptes, va plus en profondeur et couvre mieux la logique métier. Le choix dépend de votre objectif ; un bon prestataire vous aide à trancher plutôt que de vous vendre le plus cher par principe.

Combien ça coûte, concrètement

La vraie réponse tient dans un article dédié, mais voici l'ordre de grandeur pour ne pas rester sur votre faim : le marché fonctionne au taux journalier moyen (TJM), et une mission web se compte en jours, pas en heures. Le coût final dépend surtout du périmètre(combien d'applications, quelle profondeur), du mode (blackbox ou whitebox) et de l'inclusion du retest. Pour les fourchettes réelles, comment lire un devis et éviter de surpayer, tout est décortiqué dans notre guide de référence sur le prix d'un test d'intrusion.

Un dernier repère de vocabulaire, utile face aux commerciaux : si un prestataire vous parle de PTaaS (pentest as a service), il s'agit d'un modèle par abonnement mêlant plateforme et tests récurrents — pratique pour un besoin continu, à distinguer d'une campagne ponctuelle bien cadrée. Le terme PTaaS au glossaire pose la nuance.

Et le déroulement, une fois que c'est signé ?

Une inquiétude fréquente côté dirigeant : « est-ce qu'on va casser mon site en pleine journée ? ». Non. Un test d'intrusion se cadre : fenêtre de tir convenue, environnement précisé (préprod ou prod avec précautions), périmètre écrit noir sur blanc, autorisation formelle. Rien n'est laissé au hasard, et vous savez à l'avance ce que vous récupérez. On décrit chaque phase, de l'autorisation au rapport, dans le déroulement d'un pentest.

Et si votre besoin dépasse l'application web — scénario d'attaque global, test des équipes et des process, adversaire simulé de bout en bout — c'est un autre exercice, la red team, à ne pas confondre. On explique quand l'un prend le relais de l'autre dans red team vs pentest — avec un conseil clé : sans pentest préalable, la red team est un mauvais achat.

À retenir

  • Une entreprise commande un pentest pour trois raisons qui se cumulent : réduire un risque chiffré, satisfaire la conformité (NIS2, DORA, assurance cyber) et débloquer des ventes exigées par ses clients.
  • Un test d'intrusion n'est pas un scan : un humain prouve l'exploitation et enchaîne les failles, là où l'outil liste des vulnérabilités potentielles.
  • On le commande avant une mise en production, après un changement majeur, et à cadence régulière — jamais « une fois puis on oublie ».
  • Le pentest n'est pas réservé aux grands groupes : une PME le cadre sur le périmètre qui porte son chiffre d'affaires, pour un budget maîtrisé.
  • Pour choisir un prestataire : certifications pratiques (OSWE, OSCP), méthode reconnue (PTES, OWASP), rapport actionnable, retest inclus et NDA.

Vous avez un questionnaire client à remplir, une échéance NIS2 qui approche, ou simplement l'envie de savoir ce qu'un attaquant ferait de votre application ? C'est exactement notre métier : on cadre le périmètre, on chiffre, et on livre un rapport que votre direction comme votre assureur pourront lire. Commencez par un pentest web blackbox ou parlez de votre contexte avec un humain via la page contact. On répond sous 24 heures.

Articles liés

    Pentest en entreprise : pourquoi, quand et comment le commander | own2pwn