Pentest vs audit : la vraie différence
L'audit est un état des lieux exhaustif : on regarde tout, on mesure, on documente. Le pentest est une simulation d'attaque réelle : l'auditeur essaie effectivement d'entrer, comme le ferait un attaquant, dans un périmètre défini.
Les deux sont complémentaires :
- L'audit dit : « Voici les faiblesses connues. »
- Le pentest dit : « Voici lesquelles peuvent être réellement exploitées, et jusqu'où on va. »
Quand le pentest est pertinent en PME
- Demande contractuelle : un client donneur d'ordre (banque, assureur, OIV, hôpital) exige un rapport de pentest dans son dossier de référencement fournisseur.
- Application métier critique : vous développez ou utilisez une application web qui manipule des données sensibles. Pentest applicatif OWASP.
- Avant un investissement majeur : passage en cloud, déploiement d'un nouveau VPN, ouverture d'un site web e-commerce.
- Validation post-remédiation : vous avez fait des travaux suite à un audit, vous voulez vérifier qu'ils tiennent face à un attaquant.
- Exigence assurance cyber : l'assureur conditionne la couverture à un pentest annuel.
Quand le pentest n'est pas le bon outil
- Première démarche cyber : si vous découvrez le sujet, l'audit donne une vision plus large et plus utile. Le pentest sans contexte d'audit produit un rapport difficile à exploiter.
- Budget serré : à 5 000 €, mieux vaut un audit complet qu'un pentest de surface.
- Pour « se rassurer » : un pentest qui ne trouve rien ne signifie pas que vous êtes en sécurité. Cela peut signifier que le périmètre testé était trop étroit.
Les types de pentest
Pentest externe (Internet vers vous)
L'auditeur agit depuis Internet, comme un attaquant lambda. Périmètre : votre IP publique, vos sites web, vos services exposés (VPN, RDP — si encore exposé voir cet article, OWA, applications web).
Durée typique PME : 1-3 jours. Prix : 2 500 à 6 000 €.
Pentest interne (vous êtes déjà à l'intérieur)
L'auditeur est branché sur votre LAN, comme un visiteur malveillant ou un poste compromis. Cible : latéralisation, compromission de l'Active Directory, exfiltration.
Durée typique PME : 3-7 jours. Prix : 5 000 à 15 000 €.
Pentest applicatif
Sur une application web ou mobile spécifique. Référentiel OWASP. Souvent plus profond car ciblé sur un périmètre précis.
Durée typique : 3-10 jours selon la complexité. Prix : 4 000 à 20 000 €.
Pentest physique
L'auditeur tente d'entrer physiquement : accueil, badge cloné, prise ethernet libre, USB Drop, ingénierie sociale par téléphone. Très pédagogique.
Durée typique : 1-3 jours. Prix : 2 500 à 8 000 €.
Le cadrage légal et éthique
Article 323-1 du Code pénal : l'accès frauduleux à un système d'information est un délit. Conséquence : aucun pentest ne se fait sans autorisation écrite explicite, formalisée dans une lettre de mission qui précise :
- Le périmètre exact (IPs, domaines, applications).
- La période exacte (dates et heures).
- Les techniques autorisées (DDoS interdit ? phishing autorisé ?).
- Les exclusions (un système trop fragile à exclure).
- L'escalade (qui appeler si quelque chose tombe).
Tout cabinet sérieux refuse de pentester sans ce cadrage. Tout cabinet qui le fait quand même est un drapeau rouge à fuir.
Le livrable type
- Synthèse dirigeant (1-2 pages) : niveau de risque global, scénarios d'attaque réussis, top 3 des actions à mener.
- Rapport détaillé : chaque vulnérabilité trouvée, score CVSS, preuve d'exploitation (capture, payload), recommandation de remédiation.
- Restitution orale avec démonstration des scénarios majeurs.
- Re-test (souvent inclus, parfois en option) : après remédiation, l'auditeur revérifie que les correctifs tiennent.
À retenir
Ce que Scryptoura fait pour vous
Notre offre Cybersécurité inclut le pentest externe, interne, applicatif et physique. Si vous hésitez entre audit et pentest, le Diagnostic Découverte donne une lecture rapide qui aide à choisir.