Pentest, scan de vulnérabilité ou EASM : quelles
différences ?

Vous connaissez la scène. En réunion sécurité, quelqu'un lâche : « On a lancé un scan le mois dernier, zéro critique, on est tranquilles. » Et dans un coin de la salle, le pentester fixe son café d'un air las. Parce que dire « on a fait un scan, donc on est sécurisés », c'est un peu comme dire « j'ai un détecteur de fumée, donc ma maison ne brûlera jamais ». Utile ? Évidemment. Suffisant ? Pas vraiment.

Scanner de vulnérabilités, test d'intrusion (pentest) et EASM sont souvent rangés dans la même case mentale « truc de cybersécurité qui trouve des failles ». Sauf qu'ils ne font pas le même métier, ne répondent pas aux mêmes questions, et ne se remplacent pas. Confondre les trois, c'est garantir des angles morts. Démêlons tout ça, sans jargon inutile.

Trois questions, trois outils

La façon la plus simple de ne plus jamais les confondre : associer chaque outil à la question à laquelle il répond. Et ces questions s'enchaînent dans un ordre logique.

  EASM                  →  « Qu'est-ce que j'expose, au juste, sur Internet ? »
        │
        ▼
  Scan de vulnérabilité  →  « Mes actifs ont-ils des failles connues ? »
        │
        ▼
  Pentest               →  « Ces failles sont-elles VRAIMENT exploitables ? »

Le scanner de vulnérabilités

Un scanner (Nessus, OpenVAS, Qualys…) part d'une liste d'actifs connus et les compare à une base de signatures de vulnérabilités. C'est automatisé, rapide et large : vous pouvez balayer des milliers de machines en une nuit. Parfait pour un suivi récurrent et pour repérer le serveur qui traîne une version d'Apache de 2019.

Le revers de la médaille ? Les faux positifs. Un scanner adore vous remonter une config TLS en « critique » alors que, dans votre contexte, elle est à peine exploitable — AlgoSecure documente très bien ce travers. Il raisonne faille par faille, n'a aucune notion de logique métier, et ne teste que ce que vous lui donnez. Comme le rappelle le CERT-FR de l'ANSSI, faire des scans réguliers est une bonne pratique — mais le scanner vous alerte, il ne décide pas. Quelqu'un doit relire.

Le test d'intrusion (pentest)

Le test d'intrusion est conduit par un humain qui pense comme un attaquant. Il ne se contente pas de détecter : il exploite, chaîne les failles et démontre l'impact réel. Là où le scanner produit une liste, le pentester raconte une attaque.

L'exemple classique : un FTP anonyme + des identifiants stockés en clair + une injection de commande + une session admin oubliée. Pris séparément, un scanner classerait peut-être chacun de ces points en « moyen ». Mis bout à bout par un humain, ça donne une compromission complète du domaine. Idem pour les failles de logique métier — le bon vieux panier e-commerce qui accepte un coupon de réduction de 150 % — qu'aucune signature ne détectera jamais. En contrepartie : c'est plus coûteux et ponctuel (une photo à l'instant T).

L'EASM

L'EASM (External Attack Surface Management) intervient avant les deux autres. Sa mission : découvrir ce que vous exposez réellement sur Internet, du point de vue de l'attaquant — y compris les actifs que vous aviez oubliés. Le sous-domaine de staging d'un stagiaire parti en 2022. Le bucket S3 « temporaire ». L'API héritée d'un rachat. Bref, le fameux shadow IT.

Gartner le résume bien : l'EASM identifie « les risques venant d'actifs exposés sur Internet dont l'organisation ignore l'existence ». Et c'est là tout l'enjeu : sans EASM, votre scan et votre pentest ne couvrent que le périmètre… que vous connaissez déjà. Or on ne protège pas ce qu'on ne voit pas.

Le tableau qui range tout dans les bonnes cases

Si vous ne deviez retenir qu'une chose de cet article, ce serait ce tableau. Imprimez-le, collez-le près de la machine à café, gagnez vos prochains débats en réunion.

Pourquoi on les confond (et pourquoi c'est dangereux)

La confusion vient souvent du commercial. Certains prestataires vendent un « pentest » qui n'est, en réalité, qu'un scan Nessus avec un logo et un PDF reformaté. C'est le grand classique du « is this a pentest ? ». Résultat : vous payez le prix d'une expertise humaine pour un rapport généré automatiquement, plein de faux positifs que personne n'a validés.

Le danger ? Une fausse impression de sécurité. Un scan « tout vert » ne dit rien de votre exposition réelle ni de l'exploitabilité. Et un pentest brillant sur un scope incomplet laisse vos vrais points d'entrée — ceux que vous ignorez — totalement à découvert. D'où l'intérêt de penser en couches plutôt qu'en silos.

Lesquels choisir ? (Réponse : les trois)

Désolé pour le suspense, mais ce ne sont pas des concurrents : ce sont des couches complémentaires. La montée en puissance ressemble à ça : on voit, on mesure, puis on prouve.

• EASM en continu — pour savoir ce que vous exposez et être alerté à la moindre nouveauté (nouveau sous-domaine, port ouvert, CVE fraîche sur un actif exposé).
• Scan régulier — pour le suivi de masse des vulnérabilités connues sur vos actifs, entre deux missions humaines.
• Pentest au moins annuel (et après chaque évolution majeure) — pour la profondeur et la preuve d'exploitabilité, là où ça compte vraiment.

À retenir

Le scan répond à « quelles failles connues ? », le pentest à « sont-elles vraiment exploitables ? » et l'EASM à « qu'est-ce que j'expose, au juste ? ». La bonne posture n'est pas « scan ou pentest ou EASM », mais l'enchaînement des trois : voir, mesurer, prouver.

Côté budget, sachez aussi distinguer ce que vous achetez vraiment — on a détaillé les fourchettes dans combien coûte un test d'intrusion. Et pour le volet réglementaire, l'EASM est devenu un pilier de la conformité NIS2.

Chez own2pwn, on opère les trois : notre plateforme EASM pour la visibilité continue, et nos missions de pentest web menées par un pentester certifié OSWE, avec hébergement en France. Pas de scan déguisé en pentest : que de l'exploitabilité prouvée.