BRIEFING SÉCURITÉ · 11.07.2026 DEENFRES

Lexique de sécurité

Qu’est-ce qu’un test d’intrusion ? Définition et différences

Par Benedikt Langer · 10 juillet 2026 · 8 min de lecture

Qu’est-ce qu’un test d’intrusion ? Un test d’intrusion est une attaque commanditée et contrôlée menée contre sa propre infrastructure informatique, afin d’identifier des vulnérabilités exploitables avant que des attaquants malveillants ne le fassent. Contrairement à un scan automatisé de vulnérabilités, ce test vérifie si les failles découvertes peuvent effectivement être exploitées et évalue le risque réel qui en découle. Une condition préalable est toujours l’autorisation écrite du propriétaire du système.

Points clés

  • En bref : une attaque commanditée et contrôlée contre son propre système informatique, visant à identifier des vulnérabilités exploitables et à prioriser les risques réels.
  • Différenciation : un scan de vulnérabilités détecte automatiquement les failles connues, tandis que le test d’intrusion exploite manuellement ces vulnérabilités. Le Red Teaming ajoute une dimension supplémentaire en testant la détection et la réaction des défenseurs.
  • Cadre juridique : seul un mandat écrit du propriétaire du système est autorisé. Sans autorisation, cette même procédure constitue une infraction pénale.

Ce qu’un test d’intrusion permet d’évaluer

Un test d’intrusion simule une attaque réelle contre votre infrastructure informatique, une application web ou votre organisation. L’objectif n’est pas d’identifier l’intégralité des vulnérabilités, mais de déterminer quelles failles peuvent effectivement être exploitées et quels dommages un attaquant pourrait causer. Ce test fournit ainsi une priorisation des risques, que les scans automatisés ne peuvent pas offrir.

3 niveaux

Scan de vulnérabilités, test d’intrusion, Red Teaming

automatisé – manuel – discret

Les résultats sont intégrés dans un rapport qui indique, pour chaque vulnérabilité identifiée, le niveau de risque, la méthode de reproduction et une priorité pour la correction. Un retest vérifie ensuite si les mesures correctives ont été efficaces. Cette priorisation représente la véritable valeur ajoutée pour les responsables informatiques et les RSSI : ils savent où investir en priorité.

Déroulement d’un test d’intrusion

Un test d’intrusion se déroule en plusieurs phases. La première phase est le cadrage (scoping) : le commanditaire et les testeurs définissent les systèmes à auditer, les objectifs visés ainsi que le niveau de profondeur souhaité pour le test. C’est également à ce stade que le cadre juridique est convenu.

Vient ensuite la phase de reconnaissance, qui consiste à collecter des informations sur les systèmes cibles : données publiques disponibles, infrastructure technique et surfaces d’attaque potentielles. Lors de la phase d’exploitation (exploitation), les testeurs tentent d’exploiter de manière contrôlée les vulnérabilités identifiées pour progresser au sein de l’infrastructure. Chaque étape est documentée afin de garantir la reproductibilité des résultats.

Le rapport constitue l’aboutissement du processus. Il recense chaque vulnérabilité avec sa description, son évaluation des risques et des recommandations d’action. Une priorisation claire permet au commanditaire de traiter en priorité les failles critiques. Un nouveau test après la correction des vulnérabilités permet de valider l’efficacité des mesures mises en place.

Tests en boîte noire, boîte grise et boîte blanche

Les tests d’intrusion se distinguent selon le niveau de connaissances préalables mis à disposition des testeurs. Dans le cadre d’un test en boîte noire, le testeur ne reçoit aucune information sur le système cible et procède comme un attaquant externe. Cette approche est réaliste, mais chronophage et ne permet pas de couvrir tous les chemins d’attaque.

Lors d’un test en boîte grise, le testeur dispose d’informations sélectionnées, telles que des identifiants d’accès ou des documents d’architecture. Cette méthode concentre l’analyse sur des zones spécifiques et s’avère plus efficace. Enfin, dans le cadre d’un test en boîte blanche, le testeur bénéficie d’un accès complet au code source, à la configuration et à l’architecture. Cette approche permet de détecter la majorité des vulnérabilités, mais ne simule pas une attaque externe réelle.

Différenciation avec des concepts apparentés

Les termes *scan de vulnérabilités*, *test d’intrusion* et *Red Teaming* sont souvent confondus, bien qu’ils diffèrent clairement par leur profondeur et leurs objectifs. Un **scan de vulnérabilités** est une procédure automatisée qui identifie les failles connues à l’aide de signatures. Rapide et reproductible, il ne vérifie cependant pas si une vulnérabilité peut effectivement être exploitée.

Lors d’un **test d’intrusion**, un expert humain exploite de manière contrôlée les vulnérabilités détectées, combine plusieurs failles entre elles et évalue le risque réel encouru. Le résultat se présente sous la forme d’une liste priorisée des vulnérabilités exploitables.

Le **Red Teaming** va encore plus loin. Il poursuit un objectif concret, comme l’accès à un système spécifique ou le vol de données, et se déroule de manière discrète. L’évaluation porte également sur la capacité des défenseurs à détecter et à réagir à l’attaque. Le Red Teaming examine ainsi l’ensemble de la chaîne de défense, incluant la technologie, les processus et les personnes.

Cadre juridique et mandat

Un test d’intrusion ne peut être réalisé qu’avec un mandat écrit du propriétaire du système. Sans ce mandat, l’opération équivaut à un délit pénal : l’accès non autorisé à des systèmes étrangers est passible de sanctions, quelle que soit l’intention.

Pour les systèmes tiers, comme les services SaaS ou les plateformes cloud, l’accord du fournisseur concerné est également requis. Si vous souhaitez tester une application hébergée sur une infrastructure cloud, vous devez obtenir l’autorisation du fournisseur de cloud. De nombreux prestataires proposent pour cela des processus et formulaires dédiés.

Pour le mandat, le guide pratique du BSI (Bundesamt für Sicherheit in der Informationstechnik) sur les tests d’intrusion offre une référence. Il décrit les critères de qualité et facilite la comparaison des prestataires. Les certifications des testeurs constituent un autre gage de qualité. La directive NIS2 renforce également la demande, car elle exige des vérifications régulières de l’efficacité des mesures de sécurité. Un test d’intrusion est un outil adapté pour démontrer cette efficacité.

Contexte DACH : En Allemagne, en Autriche et en Suisse, les tests d’intrusion sont strictement encadrés par la loi pour éviter tout abus. Le BSI (Office fédéral allemand pour la sécurité de l’information) publie des recommandations pour garantir des pratiques conformes et sécurisées.

Foire aux questions

Chaque question est verrouillée. Un clic déverrouille la réponse.

Quelle est la différence entre un scan de vulnérabilités et un test d’intrusion ?

Un scan de vulnérabilités détecte automatiquement les failles connues à l’aide de signatures, mais ne vérifie pas si elles sont exploitables. Un test d’intrusion exploite manuellement les vulnérabilités identifiées et évalue le risque réel.

Quand un test d’intrusion est-il légalement admissible ?

Un test d’intrusion n’est autorisé qu’avec une mission écrite du propriétaire du système. Sans cet ordre, l’opération constitue un délit. Pour les systèmes tiers, comme les services SaaS, l’accord de ces derniers est également requis.

Quelle est la différence entre un test d’intrusion et le Red Teaming ?

Un test d’intrusion (pentest) recherche de manière ciblée des vulnérabilités exploitables. Le Red Teaming, quant à lui, poursuit un objectif d’attaque précis et se déroule de manière discrète. Il évalue en outre si les défenseurs détectent l’attaque et y réagissent de façon appropriée.

À quelle fréquence un test d’intrusion (pentest) doit-il être réalisé ?

Un test d’intrusion (pentest) doit être réalisé régulièrement, ainsi qu’après des modifications majeures de l’infrastructure. La directive NIS2 impose des évaluations régulières de l’efficacité des mesures de sécurité, pour lesquelles un test d’intrusion constitue un outil adapté.

Quels points faut-il vérifier lors de la passation d’un contrat ?

Le guide pratique du BSI (Bundesamt für Sicherheit in der Informationstechnik) sur les tests d’intrusion fournit des orientations pour la commande de tels services. Il est essentiel de définir un périmètre clair, de produire des rapports compréhensibles avec une priorisation des vulnérabilités détectées, ainsi que de prévoir un test de validation post-correction. Les certifications des testeurs constituent un gage de qualité.

Les choix de la rédaction

À lireEDR et XDR : définition et différences expliquéesÀ lireDurcir l’Active Directory avant que l’attaquant ne le fasse

Plus du réseau MBF Media

cloudmagazinHuit minutes jusqu’à l’administration d’AWS : comment un bucket S3 ouvert et une Lambda admin ontMyBusinessFutureLorsque la mise à jour devient la porte d’entrée des intrusions

Pour aller plus loin

Un magazine d'Evernine Media GmbH