Nos experts certifies simulent de veritables cyberattaques pour identifier et corriger vos failles de securite avant qu'un attaquant ne les exploite. Test d'intrusion reseau, applicatif, social engineering : une approche complete pour proteger votre PME ou ETI.
des tests d'intrusion revelent au moins une vulnerabilite critique exploitable par un attaquant
Source : Rapport Pentest 2024, Positive Technologies
Un test d'intrusion (ou pentest, abreviation de penetration test) est une evaluation de securite offensive qui consiste a simuler une cyberattaque reelle contre votre systeme d'information.
Contrairement a un simple scan de vulnerabilites automatise, le test de penetration informatique est realise par un expert en cybersecurite qui adopte la posture d'un veritable attaquant. L'objectif est de decouvrir les failles que les outils automatises ne detectent pas : erreurs de logique metier, chaines d'exploitation complexes, faiblesses organisationnelles.
Un pentest entreprise permet de mesurer concretement votre niveau de resistance face a une cyberattaque ciblee. Chaque vulnerabilite identifiee est documentee avec son niveau de criticite, sa preuve d'exploitation (Proof of Concept) et ses recommandations de remediation priorisees.
Pour les PME et ETI, le test d'intrusion est souvent le premier pas vers une demarche de securisation structuree. Il fournit une photographie realiste de votre exposition aux risques cyber et un plan d'action concret pour renforcer votre posture de securite.
Decouvrez egalement notre audit de securite complet pour une analyse plus large de votre gouvernance et de vos processus, ou notre guide detaille des 5 etapes d'un test d'intrusion.
Identifier les vulnerabilites exploitables dans votre infrastructure, vos applications et vos processus humains
Evaluer l'impact reel d'une compromission sur votre activite, vos donnees et votre reputation
Prioriser les remediations avec un plan d'action concret classe par criticite et effort de correction
Valider la conformite aux referentiels reglementaires (NIS2, ISO 27001, PCI-DSS, RGPD)
Renforcer la resilience de vos equipes en testant la detection et la reponse a incident
Chaque contexte necessite une approche adaptee. Nous couvrons l'ensemble des tests d'intrusion pour securiser chaque composante de votre systeme d'information.
Simulation d'une attaque depuis Internet ciblant vos actifs exposes : sites web, serveurs de messagerie, VPN, API publiques, portails clients. Nous identifions les points d'entree qu'un attaquant externe pourrait exploiter pour penetrer votre reseau.
Test realise depuis votre reseau interne, simulant un collaborateur malveillant ou un attaquant ayant deja franchi le perimetre. Objectif : evaluer la segmentation reseau, l'escalade de privileges et l'acces aux donnees sensibles (Active Directory, partages, bases de donnees).
Audit approfondi de vos applications web et mobiles selon la methodologie OWASP Top 10. Nous testons les injections (SQL, XSS, SSTI), les failles d'authentification, les controles d'acces, les fuites de donnees et les vulnerabilites de logique metier.
Evaluation de la securite de votre infrastructure reseau : pare-feu, switchs, routeurs, systemes de detection d'intrusion, Wi-Fi, segmentation VLAN. Nous testons les configurations, les protocoles et les mecanismes de defense en profondeur.
Audit de securite de vos environnements cloud (AWS, Azure, GCP) et de vos pipelines CI/CD. Nous verifions les configurations IAM, les secrets exposes, les conteneurs, les fonctions serverless et les flux de deploiement automatise.
Campagnes de phishing simulees, tentatives de pretexting telephonique, tests d'intrusion physique. Evaluez la vigilance de vos collaborateurs face aux techniques de manipulation les plus utilisees par les cybercriminels. Sensibilisation incluse dans le rapport.
Le niveau d'information fourni a l'auditeur determine l'approche et le realisme du test.
Aucune information prealable fournie. L'auditeur se place dans les conditions d'un attaquant externe sans connaissance de votre SI. Approche la plus realiste pour tester votre securite perimetrique.
Informations partielles fournies (comptes utilisateurs, documentation partielle). Simule un attaquant disposant d'un acces initial ou un prestataire externe. Le meilleur compromis realisme / couverture.
Acces complet au code source, a l'architecture et aux configurations. Permet une analyse exhaustive en profondeur. Ideal pour les applications critiques ou la revue de code securite est essentielle.
Une approche structuree, alignee sur les standards PTES (Penetration Testing Execution Standard) et OWASP, pour des resultats fiables et reproductibles.
Definition precise du perimetre, des objectifs et des regles d'engagement. Nous etablissons la convention de test d'intrusion detaillant les systemes cibles, les plages horaires autorisees, les techniques permises et les contacts d'urgence. Cette phase garantit un cadre juridique et operationnel clair.
Collecte passive et active d'informations sur votre surface d'attaque. Enumeration des services exposes, identification des technologies utilisees, recherche de fuites de donnees (OSINT). Cette phase reproduit la phase de renseignement d'un veritable attaquant pour identifier les vecteurs d'attaque les plus prometteurs.
Tentatives controlees d'exploitation des failles identifiees. Nos pentesters cherchent a prouver l'exploitabilite reelle de chaque vulnerabilite : injection SQL, elevation de privileges, contournement d'authentification, execution de code a distance. Chaque exploitation reussie est documentee avec une preuve (Proof of Concept).
Apres une compromission initiale, nous evaluons jusqu'ou un attaquant pourrait progresser dans votre SI. Mouvement lateral entre serveurs, escalade de privileges vers les comptes administrateurs, acces aux donnees sensibles (bases de donnees, fichiers confidentiels). Cette phase mesure l'impact reel d'une compromission.
Livraison d'un rapport detaille comprenant : synthese executive pour la direction, resultats techniques pour l'equipe IT, classification CVSS de chaque vulnerabilite, preuves d'exploitation, et plan de remediation priorise. Nous assurons une restitution orale et un accompagnement pour les corrections. Un re-test gratuit est inclus pour valider les corrections.
Au-dela de la decouverte de failles techniques, le pentest repond a des enjeux strategiques pour votre entreprise.
La directive NIS2 impose aux entites essentielles et importantes de tester regulierement leur securite. L'ISO 27001 exige une verification technique. Le PCI-DSS impose un pentest annuel pour toute entreprise traitant des paiements par carte. Le RGPD recommande des tests reguliers (article 32). Le pentest est la reponse concrete a toutes ces exigences.
Les assureurs cyber exigent de plus en plus un test d'intrusion recent pour accepter de couvrir votre entreprise ou pour reduire vos primes. Un rapport de pentest demontre votre engagement proactif en matiere de securite et peut reduire votre prime d'assurance cyber de 15 a 30%. Decouvrez notre offre de courtage en assurance cyber.
Dans les appels d'offres et les due diligences, un rapport de pentest recent est devenu un element differenciateur. Vos clients grands comptes, vos partenaires et vos investisseurs veulent s'assurer que vous protegeez leurs donnees. Le pentest est une preuve tangible de votre maturite en cybersecurite.
Decouvrez aussi notre offre SOC (Security Operations Center) pour une surveillance continue apres votre pentest.
Le cout d'un pentest depend du perimetre, de la complexite et de l'approche choisie. Voici nos fourchettes indicatives pour vous aider a budgetiser votre projet de test d'intrusion PME.
Selon le nombre d'IP et services exposes
Duree : 3 a 8 jours
Selon la complexite de l'application
Duree : 5 a 15 jours
Selon la taille du reseau et la complexite AD
Duree : 5 a 12 jours
Tous les prix sont indicatifs et HT. Chaque devis est personnalise selon votre contexte. Les prestations de social engineering et de test d'intrusion cloud font l'objet d'un chiffrage specifique. Besoin de former vos equipes ? Decouvrez nos formations en cybersecurite.
Nos pentesters detiennent les certifications les plus reconnues de l'industrie, garantissant un niveau d'expertise et de deontologie professionnel.
EC-Council - Maitrise des techniques de hacking ethique
OffSec - La reference en tests d'intrusion pratiques
Qualification ANSSI pour les audits de securite en France
Nos experts suivent une formation continue et respectent un code de deontologie strict. Chaque test de penetration informatique est realise dans un cadre contractuel precis, avec des regles d'engagement claires et une assurance responsabilite civile professionnelle dediee.
Les reponses aux questions les plus posees sur le pentest et le test d'intrusion en entreprise.
Le prix d'un test d'intrusion varie selon le perimetre et la complexite de votre environnement. Pour une PME, un pentest externe demarre a partir de 3 000 € HT. Un pentest interne se situe entre 5 000 € et 18 000 € HT. Un pentest applicatif complet coute entre 4 000 € et 20 000 € HT selon le nombre de fonctionnalites et la complexite technique. Le social engineering et les tests physiques font l'objet d'un chiffrage specifique. Nous etablissons systematiquement un devis personnalise apres analyse de votre contexte pour vous proposer le juste prix.
La frequence recommandee depend de votre secteur d'activite et de votre niveau de risque. Au minimum, il est conseille de realiser un test d'intrusion annuel. Le referentiel PCI-DSS impose explicitement un pentest chaque annee et apres chaque changement significatif. La directive NIS2 et l'ISO 27001 recommandent des tests reguliers. Pour les entreprises a fort enjeu, un pentest trimestriel sur des perimetres tournants est la meilleure pratique. Il est egalement indispensable de retester apres chaque changement majeur : migration cloud, refonte applicative, fusion d'entreprises, ou deploiement d'une nouvelle infrastructure.
Un scan de vulnerabilites est un processus entierement automatise qui compare vos systemes a une base de failles connues (CVE). Il genere une liste de vulnerabilites potentielles avec un taux de faux positifs souvent eleve. Un test d'intrusion (pentest) va beaucoup plus loin : un expert humain exploite activement les vulnerabilites, chaine les failles entre elles pour creer des scenarios d'attaque realistes, et teste les failles de logique metier que les scanners ne detectent pas. Le pentest mesure l'impact reel d'une exploitation, tandis que le scan ne fait que lister des failles theoriques. Les deux approches sont complementaires : le scan pour la surveillance continue, le pentest pour l'evaluation en profondeur.
Non. Un test d'intrusion professionnel est encadre par une convention de test stricte qui definit precisement le perimetre, les horaires d'intervention, les techniques autorisees et les limites a ne pas depasser. Nos pentesters utilisent des techniques maitrisees et progressives qui ne mettent pas en danger la disponibilite de vos services de production. Les tests les plus risques (deni de service, exploitation de failles instables) sont generalement exclus du perimetre ou realises sur un environnement de pre-production. En cas de decouverte d'une vulnerabilite critique exploitable immediatement, nous vous alertons en temps reel pour permettre une remediation d'urgence.
La directive NIS2, entree en application en octobre 2024, impose aux entites essentielles et importantes de mettre en oeuvre des mesures de gestion des risques cyber, incluant des tests reguliers de securite. Si le mot "pentest" n'est pas explicitement mentionne, le test d'intrusion est le moyen le plus reconnu pour satisfaire cette exigence. L'ISO 27001 (annexes A.12.6 et A.18.2) exige une revue technique de la securite et la gestion des vulnerabilites techniques. Un pentest annuel est la maniere la plus concrete de demontrer votre conformite lors d'un audit de certification. Le PCI-DSS, obligatoire pour le traitement de paiements par carte, impose quant a lui explicitement un pentest annuel (requirement 11.3). DORA, applicable au secteur financier, exige des tests de resilience operationnelle incluant le pentest.
Identifiez vos vulnerabilites avant les cybercriminels. Obtenez un diagnostic personnalise et un devis adapte a votre contexte en moins de 24h.