Qu'est-ce qu'un test d'intrusion et combien ça coûte ? Un test d'intrusion, ou pentest, est une simulation d'attaque autorisée menée par un expert en sécurité pour trouver et exploiter réellement les failles d'une entreprise avant qu'un vrai attaquant ne le fasse. Pour une PME, les tarifs du marché se situent généralement entre 3 000 $ et 15 000 $ selon la portée du mandat.
Ce guide s'adresse aux propriétaires et gestionnaires de PME québécoises qui entendent parler de « test d'intrusion » ou de « pentest » — souvent exigé par un client, un assureur ou une obligation réglementaire — sans savoir exactement ce que le terme recouvre, ce qu'il coûte réellement ni comment distinguer un prestataire sérieux d'un simple vendeur de rapport automatisé. Nous couvrons la définition précise du test d'intrusion, ses quatre grands types, des fourchettes de prix réalistes, le déroulement complet d'un mandat étape par étape, qui en a vraiment besoin, et comment évaluer un prestataire avant de signer. Nos techniciens certifiés appliquent cette même structure lorsqu'ils réalisent un audit de sécurité informatique ou déploient des mesures de cybersécurité en entreprise pour des PME à Montréal et ailleurs au Québec.
Un terme souvent mal compris
Beaucoup de PME utilisent « audit de sécurité » et « test d'intrusion » de façon interchangeable, alors que ce sont deux services distincts avec des méthodes, des coûts et des livrables différents. Comprendre cette distinction est la première étape avant de demander une soumission — et souvent celle qui évite de payer pour un service qui ne correspond pas au besoin réel de l'entreprise.
Qu'est-ce qu'un test d'intrusion exactement
Un test d'intrusion (en anglais « penetration test », abrégé pentest) est un mandat au cours duquel un expert en cybersécurité, avec l'autorisation écrite explicite de l'entreprise, tente de s'introduire dans ses systèmes exactement comme le ferait un attaquant malveillant réel — mais dans un cadre contrôlé, documenté, et sans intention de nuire. L'objectif n'est pas de dresser une simple liste théorique de failles possibles, mais de démontrer concrètement ce qu'un attaquant pourrait accomplir s'il ciblait réellement l'entreprise : accéder à un serveur, extraire des données clients, obtenir des identifiants administrateur, ou s'introduire dans le réseau interne à partir d'un poste de travail compromis.
Cette approche « offensive » distingue fondamentalement le pentest des mesures de sécurité défensives plus familières aux PME, comme un pare-feu, un antivirus ou une politique de sauvegarde. Plutôt que de se demander « avons-nous mis en place des protections standards ? », un test d'intrusion pose la question inverse et beaucoup plus révélatrice : « ces protections résistent-elles vraiment à une tentative réelle d'intrusion, menée par une personne compétente et motivée ? ».
Audit de vulnérabilités automatisé vs test d'intrusion manuel
La confusion la plus fréquente concerne la différence entre un audit de vulnérabilités (souvent appelé « scan de vulnérabilités ») et un véritable test d'intrusion. Ce sont deux services légitimes et complémentaires, mais leur profondeur et leur coût diffèrent considérablement :
| Critère | Audit de vulnérabilités (scan) | Test d'intrusion (pentest) |
|---|---|---|
| Méthode | Outil automatisé qui compare les systèmes à des bases de failles connues | Expert humain qui tente manuellement d'exploiter les failles trouvées |
| Validation des failles | Théorique — signale des failles potentielles sans les exploiter | Confirmée — démontre si la faille est réellement exploitable en pratique |
| Faux positifs | Fréquents, car l'outil ne peut pas juger le contexte réel | Rares, puisque chaque faille signalée a été testée manuellement |
| Enchaînement de failles | Non — chaque faille est évaluée isolément | Oui — un expert peut combiner plusieurs failles mineures pour un impact majeur |
| Durée typique | Quelques heures à une journée | Plusieurs jours à quelques semaines |
| Coût typique pour une PME | Souvent quelques centaines à 2 000 $ | Généralement 3 000 $ à 15 000 $ et plus selon la portée |
En pratique, un audit de vulnérabilités constitue souvent une bonne première étape, moins coûteuse, pour identifier les failles évidentes et les corriger rapidement. Un test d'intrusion prend le relais lorsque l'entreprise doit démontrer, preuves à l'appui, que ses défenses résistent réellement à une tentative d'attaque motivée — une exigence de plus en plus fréquente de la part de clients B2B, d'assureurs cyber-risque ou de régulateurs. Notre page Audit de Sécurité Informatique Montréal détaille davantage cette distinction dans le contexte d'un audit de sécurité complet.
Un rapport de scan n'est pas un rapport de pentest
Certains prestataires facturent le prix d'un test d'intrusion tout en livrant essentiellement un rapport généré par un outil de scan automatisé, avec un minimum de validation manuelle. Un vrai rapport de pentest doit démontrer, avec preuves concrètes à l'appui (captures d'écran, journaux, données extraites de façon contrôlée), que chaque faille critique a été réellement exploitée par un humain — pas simplement détectée par un logiciel.
Les quatre types de tests d'intrusion
Le terme générique « test d'intrusion » recouvre en réalité plusieurs types de mandats distincts, chacun ciblant une surface d'attaque différente. Une PME n'a pas toujours besoin des quatre types simultanément — la portée dépend de son modèle d'affaires, de ses systèmes exposés et de son budget.
Le test d'intrusion externe
Le test externe simule une attaque menée depuis Internet, sans accès préalable au réseau interne de l'entreprise — exactement la position d'un attaquant anonyme qui ne connaît rien de l'organisation au départ. L'expert cible les systèmes exposés publiquement : site web, serveurs de courriel, VPN, pare-feu périmétrique, portails clients ou tout autre service accessible depuis l'extérieur. C'est généralement le type de test le plus fréquemment demandé par les PME, car il correspond au scénario d'attaque le plus courant : un inconnu qui tente de s'introduire depuis l'extérieur sans complicité interne.
Le test d'intrusion interne
Le test interne simule ce qui se produirait si un attaquant avait déjà obtenu un point d'ancrage à l'intérieur du réseau de l'entreprise — par exemple via un poste de travail compromis, un employé malveillant, ou un appareil connecté physiquement au réseau local. L'expert évalue alors jusqu'où un tel accès initial permettrait de progresser : élévation de privilèges, accès à des serveurs de fichiers sensibles, contrôleur de domaine, ou systèmes financiers. Ce type de test est particulièrement révélateur, car il répond à une question souvent négligée : « si un seul poste tombe, que peut réellement faire l'attaquant ensuite ? ».
Le test d'intrusion applicatif (site web et application)
Le test applicatif cible spécifiquement un site web, une application web ou une application mobile — souvent le portail client, la boutique en ligne ou le système de réservation d'une PME. L'expert recherche des failles propres au développement logiciel : injection SQL, faille de type cross-site scripting (XSS), contrôle d'accès défaillant permettant à un utilisateur de voir les données d'un autre client, ou gestion de sessions mal sécurisée. Ce type de test est particulièrement pertinent pour toute entreprise dont une application web ou mobile constitue un canal de revenus ou traite des données de paiement.
Le test d'ingénierie sociale
Le test d'ingénierie sociale évalue le facteur humain plutôt que la technologie : simulations de phishing ciblées, appels téléphoniques prétendant venir du support technique, ou tentatives d'accès physique à des locaux en se faisant passer pour un livreur ou un technicien. Ce volet complète directement les mesures décrites dans notre guide de formation cybersécurité pour employés : un pentest d'ingénierie sociale mesure objectivement l'efficacité réelle d'un programme de sensibilisation, plutôt que de simplement présumer qu'il fonctionne.
Boîte noire, boîte grise, boîte blanche : le niveau de connaissance préalable
En plus des quatre types ci-dessus, qui définissent la surface d'attaque testée, un second axe important détermine la profondeur d'un mandat : la quantité d'informations fournies à l'expert avant le début des tests. Ce vocabulaire revient fréquemment dans les soumissions de prestataires, et vaut la peine d'être compris avant de comparer deux offres qui semblent porter sur la même surface.
- Boîte noire (black box) — l'expert ne reçoit aucune information préalable, exactement comme un attaquant externe anonyme. Ce mode reproduit le scénario le plus réaliste, mais demande davantage de temps de reconnaissance, ce qui peut limiter la profondeur d'exploitation atteinte dans un budget donné.
- Boîte grise (grey box) — l'expert reçoit un accès limité, comparable à celui d'un employé standard ou d'un utilisateur enregistré. C'est souvent le compromis le plus rentable pour une PME : il élimine le temps perdu en reconnaissance pure tout en conservant une bonne partie du réalisme du test.
- Boîte blanche (white box) — l'expert reçoit un accès complet, incluant parfois le code source ou la documentation d'architecture. Ce mode permet l'analyse la plus approfondie et exhaustive dans un temps donné, au prix d'un réalisme moindre par rapport à une attaque réelle menée sans aucune information de départ.
Aucun de ces trois modes n'est objectivement supérieur aux deux autres : le choix dépend de l'objectif du mandat. Une PME qui veut savoir « un inconnu pourrait-il nous atteindre depuis Internet ? » privilégiera généralement une approche boîte noire ou grise, tandis qu'une entreprise qui vient de lancer une nouvelle application et veut une revue de sécurité la plus exhaustive possible dans un délai serré optera plutôt pour une approche boîte blanche.
Vous ne savez pas quel type de test convient à votre PME ?
Nos techniciens certifiés IT Cares évaluent d'abord votre surface numérique réelle avant de proposer une portée de test adaptée à votre budget et à vos obligations réglementaires. Audit initial dès 119,99 $.
Combien coûte réellement un test d'intrusion pour une PME au Québec
Le prix d'un test d'intrusion varie considérablement selon la portée du mandat, le nombre de systèmes testés, la complexité de l'environnement et la réputation du prestataire. Il n'existe pas de tarif fixe universel, mais les tarifs du marché suivent généralement des fourchettes reconnues selon la taille et la complexité de l'engagement.
| Portée du mandat | Fourchette de prix typique | Durée typique |
|---|---|---|
| Test externe simple (petite surface, quelques systèmes exposés) | 3 000 $ à 6 000 $ | 2 à 4 jours |
| Test externe + interne combiné | 6 000 $ à 12 000 $ | 4 à 8 jours |
| Test applicatif (une application web ou mobile) | 4 000 $ à 10 000 $ | 3 à 7 jours |
| Test d'ingénierie sociale (simulation de phishing ciblée) | 1 500 $ à 5 000 $ | 2 à 4 semaines (incluant préparation) |
| Mandat complet (externe + interne + applicatif + social) | 12 000 $ à 25 000 $ et plus | 2 à 5 semaines |
Ces chiffres demeurent des ordres de grandeur généraux observés sur le marché nord-américain pour des mandats de PME, et non des tarifs garantis — chaque soumission doit être évaluée selon la portée exacte proposée. Plusieurs facteurs font varier le prix à l'intérieur de ces fourchettes, voire au-delà :
- La taille de la surface d'attaque — le nombre d'adresses IP, de domaines, d'applications ou de bureaux à tester influence directement le temps requis
- La complexité de l'environnement — une infrastructure cloud hybride avec plusieurs fournisseurs demande généralement plus d'effort qu'un environnement simple et centralisé
- Le niveau de preuve exigé — un rapport destiné à satisfaire une exigence contractuelle stricte ou un audit réglementaire demande souvent plus de rigueur documentaire qu'un test exploratoire interne
- L'expérience et les certifications de l'équipe — des experts certifiés avec un historique reconnu facturent généralement des taux plus élevés que des prestataires génériques
- Le retest inclus ou non — certains prestataires incluent un retest de validation dans leur prix, d'autres le facturent séparément
Comparer le prix au bon service
Une soumission anormalement basse pour une portée large mérite une question directe : combien d'heures d'exploitation manuelle réelle sont-elles prévues, par opposition à un scan automatisé habillé en rapport de pentest ? Le coût d'un pentest reflète avant tout le temps d'expertise humaine investi — un mandat qui semble trop économique par rapport à sa portée annoncée cache souvent une profondeur de test insuffisante.
Mis en perspective, le coût d'un test d'intrusion complet reste généralement bien inférieur à celui d'un incident de sécurité majeur — interruption d'activité, notification obligatoire de brèche, perte de confiance client ou rançon exigée après une attaque par rançongiciel. Considérer le pentest comme une dépense de prévention plutôt qu'une dépense discrétionnaire aide généralement à justifier l'investissement auprès de la direction.
Le déroulement complet d'un test d'intrusion, étape par étape
Un mandat de test d'intrusion sérieux suit toujours une structure prévisible, quelle que soit la portée retenue. Comprendre ces six étapes aide une PME à savoir à quoi s'attendre et à reconnaître un processus incomplet ou bâclé.
Portée et scoping (scope de test)
Le prestataire et l'entreprise définissent précisément ce qui sera testé (systèmes, applications, plages d'adresses IP, comptes de test), les méthodes autorisées ou explicitement exclues, les fenêtres horaires acceptables et les personnes à contacter en cas d'urgence. Une autorisation écrite formelle — souvent appelée « lettre d'autorisation » ou « rules of engagement » — est signée avant toute action, protégeant à la fois l'entreprise et le prestataire.
Reconnaissance et cartographie de la surface d'attaque
L'expert collecte des informations publiques et techniques sur la cible : domaines et sous-domaines, adresses IP, services et ports exposés, technologies utilisées, employés identifiables publiquement (utile pour le volet ingénierie sociale). Cette étape reproduit exactement le travail préparatoire qu'effectuerait un attaquant réel avant de tenter quoi que ce soit.
Tentative d'exploitation manuelle
C'est le cœur du mandat : l'expert tente manuellement d'exploiter les failles identifiées pour vérifier si elles permettent réellement un accès non autorisé, une élévation de privilèges, un mouvement latéral dans le réseau ou l'extraction de données. Chaque tentative, réussie ou échouée, est documentée en temps réel, avec une attention particulière à ne pas causer de dommage inutile aux systèmes en production.
Rapport détaillé avec preuves
Le prestataire livre un rapport écrit structuré autour de deux volets : un résumé exécutif non technique destiné à la direction (risques principaux, impact potentiel, priorités) et une section technique détaillée présentant chaque vulnérabilité confirmée, son niveau de risque, et des preuves concrètes d'exploitation (captures d'écran, journaux, extraits de données non sensibles).
Plan de remédiation priorisé
Au-delà du simple constat, un bon rapport propose des recommandations concrètes et réalistes pour corriger chaque faille, classées par ordre de risque et d'effort de correction requis. L'objectif est de donner à l'équipe informatique interne — ou à son partenaire externe — une feuille de route claire plutôt qu'une liste générique de bonnes pratiques.
Retest de validation
Après la correction des failles signalées, un retest ciblé confirme que les vulnérabilités identifiées ont bien été corrigées, sans en avoir introduit de nouvelles. Cette étape, parfois négligée par les prestataires les moins rigoureux, est essentielle pour clore le mandat avec une preuve réelle d'amélioration plutôt qu'une simple promesse de correction.
L'ensemble de ce processus, de la signature de l'autorisation jusqu'à la remise du rapport final et du retest, s'étale habituellement sur deux à cinq semaines pour une PME, selon la portée retenue et la disponibilité des équipes internes pour appliquer les correctifs entre les étapes 5 et 6.
Qui a réellement besoin d'un test d'intrusion
Un test d'intrusion complet représente un investissement significatif, et toutes les PME n'en ont pas nécessairement besoin dans l'immédiat. Distinguer les cas où un pentest s'impose de ceux où un simple audit de vulnérabilités suffit permet d'allouer le budget sécurité de façon réaliste.
Les entreprises qui bénéficient généralement d'un véritable pentest
- Entreprises traitant des données de paiement — commerce en ligne, systèmes de point de vente ou toute organisation qui stocke ou transmet des données de carte de crédit
- Entreprises soumises à des obligations réglementaires — au Québec, la Loi 25 sur la protection des renseignements personnels impose des mesures de sécurité proportionnelles au risque, et un test d'intrusion documenté constitue une preuve tangible de diligence raisonnable en cas d'incident ou de vérification
- Entreprises dont l'assureur cyber-risque l'exige — de plus en plus de polices d'assurance cyber-risque conditionnent la couverture, ou le montant de la prime, à la réalisation d'un test d'intrusion périodique documenté
- Entreprises avec des obligations contractuelles B2B — un client majeur, en particulier dans les secteurs financier, gouvernemental ou de la santé, exige parfois une preuve de test d'intrusion récent avant de signer ou de renouveler un contrat
- Entreprises exploitant une application web ou mobile générant des revenus directs — le risque d'exploitation d'une faille applicative touche directement la continuité des affaires
- Entreprises ayant subi un incident de sécurité récent — un pentest post-incident permet de vérifier que les correctifs appliqués couvrent l'ensemble de la surface d'attaque, pas seulement la faille initialement exploitée
Les PME pour qui un simple audit suffit généralement, pour l'instant
- Très petites entreprises avec une surface numérique minimale (peu de systèmes exposés, pas d'application propriétaire)
- Entreprises sans données particulièrement sensibles ni obligations contractuelles ou réglementaires spécifiques
- Organisations qui n'ont jamais réalisé de démarche de sécurité formelle et qui bénéficieraient d'abord d'un audit de vulnérabilités pour corriger les failles les plus évidentes avant d'investir dans un test plus approfondi
Une progression logique plutôt qu'un choix binaire
Il n'est pas rare qu'une PME commence par un audit de vulnérabilités, corrige les failles évidentes qui en ressortent, puis investisse dans un test d'intrusion complet une fois ce ménage de base effectué. Cette approche progressive évite de payer un tarif de pentest pour découvrir des failles qu'un scan automatisé beaucoup moins coûteux aurait déjà révélées.
Comment choisir un prestataire de test d'intrusion
La qualité d'un test d'intrusion dépend presque entièrement de la compétence et de la rigueur de la personne ou de l'équipe qui l'exécute — bien plus que de l'outil utilisé. Voici les critères concrets à vérifier avant de signer un mandat.
Les certifications à rechercher
Aucune certification, prise isolément, ne garantit à elle seule la qualité d'un mandat, mais leur présence reflète un niveau de compétence technique validé par un tiers reconnu dans l'industrie. Les certifications les plus respectées dans le domaine du test d'intrusion incluent :
- OSCP (Offensive Security Certified Professional) — reconnue pour son examen pratique exigeant, entièrement basé sur l'exploitation réelle de systèmes plutôt que sur des questions théoriques
- CEH (Certified Ethical Hacker) — une certification largement répandue couvrant les méthodologies et outils standards du hacking éthique
- GPEN (GIAC Penetration Tester) — une certification technique reconnue, axée sur les méthodologies formelles de test d'intrusion
- CISSP — pertinente pour évaluer la gouvernance globale de sécurité de l'équipe ou du prestataire, en complément des certifications plus techniques ci-dessus
Ce qu'un bon rapport doit contenir
Avant de signer, demandez à voir un exemple de rapport anonymisé d'un mandat précédent. Un rapport de qualité présente généralement :
- Un résumé exécutif clair, sans jargon technique, destiné à une direction non technique
- Chaque vulnérabilité classée par niveau de risque réel (critique, élevé, moyen, faible), pas seulement par sévérité technique brute
- Des preuves concrètes d'exploitation pour chaque faille critique — pas uniquement une référence à une base de données de vulnérabilités connue
- Des recommandations de remédiation spécifiques à l'environnement testé, pas des conseils génériques copiés d'un modèle
- Une section méthodologie expliquant précisément ce qui a été testé, et surtout ce qui ne l'a pas été
Les signaux d'alarme (red flags) à éviter
- Un prix anormalement bas pour une portée large, souvent signe d'un scan automatisé habillé en pentest manuel
- L'absence de lettre d'autorisation formelle avant le début des tests — un manque de rigueur juridique et professionnelle inacceptable
- Aucune fenêtre de contact d'urgence disponible durant le mandat en cas d'incident imprévu sur les systèmes testés
- Un rapport livré en quelques heures après la fin d'une portée large — un délai irréaliste pour une rédaction rigoureuse avec preuves
- Aucun retest proposé ou inclus après la correction des failles, laissant l'entreprise sans confirmation réelle d'amélioration
- Une pression commerciale forte pour signer un contrat de services récurrents avant même d'avoir livré un premier mandat convaincant
Faites évaluer la sécurité réelle de votre PME par des techniciens certifiés
IT Cares réalise des audits de sécurité informatique et accompagne les PME québécoises dans leurs démarches de cybersécurité, de la correction des failles courantes jusqu'à la mise en place de mesures de protection avancées. Nos techniciens certifiés interviennent aussi en cybersécurité continue pour sécuriser vos systèmes au quotidien.
Après le pentest : de l'exploitation trouvée à la remédiation réelle
Un rapport de test d'intrusion, aussi détaillé soit-il, ne corrige rien par lui-même. La valeur réelle du mandat se mesure dans les semaines suivant sa réception, lorsque l'entreprise applique effectivement les correctifs recommandés. Plusieurs erreurs fréquentes réduisent l'impact d'un pentest par ailleurs bien exécuté :
Classer le rapport sans plan d'action daté
Un rapport reçu, discuté en réunion, puis archivé sans échéancier précis de correction perd rapidement de sa valeur. Chaque faille critique devrait être associée à un responsable et à une date cible de correction, suivie en comité de direction jusqu'à sa fermeture effective.
Corriger seulement les failles critiques et ignorer les failles moyennes
Une erreur fréquente consiste à ne traiter que les vulnérabilités classées « critiques », en repoussant indéfiniment les failles de risque moyen. Or, un attaquant compétent enchaîne souvent plusieurs failles moyennes pour obtenir un impact équivalent à une faille critique isolée — c'est précisément ce que le rapport de pentest devrait avoir démontré.
Ne jamais planifier le prochain test
Un test d'intrusion représente une photographie de la sécurité à un moment précis. De nouveaux systèmes, applications ou intégrations ajoutés après le mandat créent de nouvelles surfaces d'attaque non couvertes par le rapport initial. La pratique courante recommande un nouveau test annuel, ainsi qu'un test ciblé après tout changement majeur d'infrastructure.
Un pentest n'est pas une certification permanente
Un rapport indiquant « aucune faille critique trouvée » aujourd'hui ne garantit rien pour l'année suivante : de nouvelles vulnérabilités sont découvertes en continu dans les logiciels largement utilisés, et l'infrastructure d'une entreprise évolue elle aussi constamment. Traiter un pentest comme un exercice ponctuel plutôt qu'un cycle récurrent est l'une des erreurs les plus coûteuses à long terme en matière de cybersécurité d'entreprise.
Questions fréquentes — Test d'intrusion (pentest) pour PME
Un test d'intrusion, ou pentest, est une simulation d'attaque autorisée menée par un expert en sécurité pour trouver et exploiter réellement les failles d'une entreprise avant qu'un vrai attaquant ne le fasse. Pour une PME, les tarifs du marché se situent généralement entre 3 000 $ et 15 000 $ selon la portée du mandat, et peuvent dépasser ce montant pour des environnements plus complexes.
Un audit de vulnérabilités repose généralement sur un scan automatisé qui dresse une liste de failles potentielles selon des bases de données connues, sans les exploiter. Un test d'intrusion va plus loin : un expert humain tente réellement d'exploiter ces failles pour confirmer si elles sont exploitables en pratique, mesurer l'impact réel d'une compromission et enchaîner plusieurs failles mineures pour obtenir un accès qu'un scan automatisé n'aurait jamais détecté seul.
La phase active de tests dure généralement de trois à dix jours ouvrables selon la portée, à laquelle s'ajoutent la préparation (scoping) et la rédaction du rapport final. Un mandat complet, de la signature de l'autorisation jusqu'à la remise du rapport et du retest, s'étale habituellement sur deux à cinq semaines.
Un risque limité existe, particulièrement lors de tests visant des systèmes anciens ou fragiles, mais un prestataire sérieux planifie des fenêtres de test, évite certaines techniques destructrices sans autorisation explicite préalable, et reste joignable en tout temps durant le mandat pour interrompre immédiatement une action si un comportement anormal est observé. C'est précisément pour cette raison que la portée et les règles d'engagement doivent être définies clairement avant le début des tests.
Les certifications reconnues dans l'industrie incluent l'OSCP (Offensive Security Certified Professional), le CEH (Certified Ethical Hacker), le GPEN (GIAC Penetration Tester) et, pour une vision plus large de la gouvernance de sécurité, le CISSP. Aucune certification unique ne garantit à elle seule la qualité d'un mandat, mais leur absence totale chez l'équipe qui effectuera le test devrait éveiller la prudence.
Une PME qui traite des données de paiement, des renseignements personnels sensibles, qui est soumise à des obligations réglementaires comme la Loi 25 au Québec, ou dont l'assureur cyber-risque l'exige contractuellement, bénéficie généralement d'un véritable test d'intrusion. Une petite entreprise avec une surface numérique simple et peu de données sensibles peut souvent commencer par un audit de vulnérabilités, moins coûteux, avant d'envisager un pentest complet.
La pratique courante recommande un test d'intrusion annuel, ainsi qu'un nouveau test après tout changement majeur de l'infrastructure : migration vers un nouveau système, lancement d'une application web, changement de fournisseur cloud ou fusion avec une autre entreprise. Certaines obligations contractuelles ou réglementaires peuvent aussi imposer une fréquence minimale spécifique.
Un rapport de qualité présente un résumé exécutif non technique destiné à la direction, la liste détaillée de chaque vulnérabilité confirmée avec son niveau de risque, des preuves concrètes d'exploitation (captures d'écran, journaux, extraits de données non sensibles), et des recommandations de remédiation priorisées et réalistes plutôt qu'une simple liste générique copiée d'un outil automatisé.

Commentaires (3)
Notre assureur nous a demandé un pentest avant le renouvellement de notre police cyber-risque. On pensait que c'était la même chose qu'un audit qu'on avait fait il y a deux ans — bon à savoir que ce n'est vraiment pas le même service.
Le tableau des fourchettes de prix aide beaucoup pour préparer un budget avant de recevoir des soumissions. On avait reçu une offre à moitié prix des autres et maintenant je comprends pourquoi il fallait se méfier.
La section sur le retest de validation est celle qui manquait dans notre premier mandat avec un autre fournisseur. On a corrigé les failles mais jamais confirmé que c'était vraiment réglé. On va l'exiger la prochaine fois.
Laisser un commentaire