Pôle d'expertise

Test d'intrusion (pentest) : exploiter pour prouver le risque

Un test d'intrusion ne se contente pas d'énumérer des vulnérabilités : il les exploite pour démontrer un impact réel sur votre système d'information. AOCSI mobilise les chercheurs de son Collectif pour reproduire le geste d'un attaquant, prouver ce qui est atteignable et livrer un plan de remédiation priorisé par le risque.
Experts seniors nominatifs
Prix publics affichés
Livrables priorisés par le risque
Intervention partout en France

Pentest · 01

Qu'est-ce qu'un test d'intrusion (pentest) ?

Un test d'intrusion, ou pentest, est une simulation d'attaque autorisée et cadrée qui vise à compromettre un périmètre défini pour en mesurer la sécurité réelle. Là où un scan signale des faiblesses potentielles, le pentest les enchaîne et les exploite : il transforme une hypothèse de risque en preuve, capture d'écran et scénario de compromission à l'appui.

L'objectif n'est pas d'accumuler des constats, mais de répondre à une question opérationnelle : jusqu'où un attaquant peut-il aller, par quel chemin, et avec quel impact métier ? Nos chercheurs raisonnent en adversaire, contournent les protections en place et vérifient chaque résultat pour éliminer les faux positifs.

Le test d'intrusion s'adapte au niveau d'information partagé. En boîte noire, l'équipe part de zéro, comme un attaquant externe. En boîte grise, elle dispose d'un compte ou d'un plan pour aller plus loin dans le temps imparti. En boîte blanche, l'accès complet aux configurations et au code maximise la couverture des chemins d'attaque.

Pentest · 02

Pentest ou audit : ne pas confondre couverture et preuve

Le test d'intrusion et l'audit de cybersécurité sont complémentaires, mais poursuivent deux logiques distinctes. L'audit vise la couverture : il passe en revue l'architecture, les configurations, le code et l'organisation pour cartographier largement les faiblesses. Le pentest vise la preuve : il concentre l'effort sur un périmètre pour démontrer une exploitation concrète et son impact.

Choisir l'un ou l'autre dépend de votre objectif. Pour objectiver la maturité globale ou préparer une conformité, l'audit cadre le sujet. Pour convaincre un comité de direction, valider une exposition avant une mise en production ou répondre à une exigence contractuelle, le pentest apporte la démonstration.

Audit : large couverture, cotation des écarts, vision de maturité.
Pentest : périmètre resserré, exploitation réelle, preuve d'impact.
Les deux partagent une trame de restitution priorisée par le risque.
Un audit peut désigner les périmètres à pentester en priorité.

Pentest · 03

Nos types de test d'intrusion

AOCSI décline le pentest selon votre surface d'exposition et vos scénarios de menace. Chaque typologie mobilise des chercheurs du Collectif dont la spécialité correspond à la cible, afin d'aller à la profondeur qu'un généraliste n'atteindrait pas.

Pentest web et API : OWASP Top 10, authentification, logique métier.
Pentest interne : compromission depuis le réseau et Active Directory.
Pentest externe : périmètre exposé sur Internet et surface d'attaque.
Pentest mobile : applications iOS et Android selon le standard MASVS.
Red Team : scénario d'attaque furtif orienté objectifs métier.
Pentest continu (PTaaS) : tests répétés au rythme de vos évolutions.

Pentest · 04

Notre méthode : PTES, OWASP, MITRE ATT&CK, MASVS

Chaque mission s'appuie sur les référentiels reconnus de la profession, gage de reproductibilité et de couverture. La démarche PTES structure le déroulé, de la reconnaissance à la post-exploitation. Le guide OWASP encadre les tests applicatifs web et API, le MASVS ceux du mobile, et la matrice MITRE ATT&CK sert de langage commun pour décrire les techniques employées.

Le cadrage fixe le périmètre, les objectifs et les règles d'engagement. La phase offensive combine reconnaissance, identification de vulnérabilités, exploitation et, lorsque c'est pertinent, mouvement latéral et élévation de privilèges. Chaque étape est journalisée pour garantir la traçabilité et la réversibilité des actions.

Cadrage : périmètre, scénarios de menace, règles d'engagement, autorisations.
Reconnaissance : cartographie de la surface et collecte d'informations.
Exploitation : preuve de la vulnérabilité et démonstration de l'impact.
Post-exploitation : latéralisation, persistance et portée réelle.
Restitution : rapport priorisé, synthèse dirigeants, plan de remédiation.

Pentest · 05

Le Collectif, l'Indice et la Ligue

La qualité d'un test d'intrusion tient d'abord à la personne qui le mène. AOCSI s'appuie sur le Collectif, un réseau de chercheurs de typologies complémentaires : spécialistes de l'applicatif, de l'Active Directory, du cloud, du mobile ou de la furtivité. Nous affectons à votre cible le profil dont c'est le terrain de jeu, avec un intervenant senior nominatif référent de mission.

L'Indice, notre système de scoring interne, objective la couverture atteinte et hiérarchise les remédiations selon la probabilité d'exploitation et l'impact métier. La Ligue entretient l'émulation entre chercheurs, la veille sur les techniques offensives émergentes et le partage des méthodes, pour que votre mission bénéficie de l'état de l'art.

AOCSI accompagne ses clients de bout en bout, sans revente de licence ni marge cachée sur des outils tiers. Nous n'affichons aucun label que nous ne détenons pas : notre engagement porte sur le risque réellement réduit, mesuré et vérifié lors du retest.

Pentest · 06

Combien coûte un test d'intrusion ?

AOCSI est le premier cabinet français à publier ses tarifs. Le prix d'un pentest dépend de la typologie, de la taille du périmètre (nombre d'applications, de comptes, de plages exposées) et de la profondeur attendue, exprimée en jours-hommes de chercheur. Un test ciblé se chiffre à quelques jours ; une red team ou un pentest interne d'ampleur mobilisent davantage.

Le devis est transparent et détaillé, sans coût caché : vous savez qui intervient, sur quel périmètre et pour quel livrable. Un retest de vérification est proposé pour attester l'efficacité des correctifs après remédiation.

Notre méthode

Une intervention cadrée, du premier échange au suivi.

La même rigueur à chaque mission, quel que soit le périmètre.

1

Cadrage

Périmètre, objectifs et règles d'engagement définis avec vous.

2

Intervention

Nos experts exécutent la mission : outillage et analyse manuelle.

3

Restitution

Rapport priorisé par le risque, synthèse direction et plan d'action.

4

Accompagnement

Suivi de la remédiation et contre-vérification des correctifs.

Notre expertise en détail

Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.

Prêt à y voir clair sur votre exposition ?

Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.

Questions fréquentes

Quelle différence entre un pentest et un audit ?

L'audit couvre largement la sécurité (architecture, configuration, code, organisation) pour cartographier les faiblesses. Le test d'intrusion exploite réellement un périmètre pour prouver un impact concret. L'audit cadre, le pentest démontre : les deux sont complémentaires.

Combien de temps dure un test d'intrusion ?

La durée dépend du périmètre et de la profondeur : un test ciblé demande quelques jours de chercheur, un pentest interne ou une red team plusieurs semaines. Le cadrage fixe le volume de jours et le calendrier avant tout démarrage.

Boîte noire, grise ou blanche : que choisir ?

La boîte noire simule un attaquant sans information et teste votre exposition brute. La boîte grise (un compte, un plan) va plus loin dans le temps imparti. La boîte blanche, avec accès complet, maximise la couverture. Le choix découle de votre scénario de menace.

Un pentest est-il dangereux pour la production ?

Les actions sont encadrées par des règles d'engagement strictes et journalisées pour rester réversibles. Les tests potentiellement intrusifs sont validés avec vous et, si nécessaire, menés en pré-production ou dans des fenêtres convenues.

Faut-il un pentest ou une red team ?

Un pentest mesure la sécurité d'un périmètre donné avec une large couverture technique. La red team simule un adversaire déterminé, furtif, visant un objectif métier précis, et teste aussi votre détection. On passe à la red team quand les fondamentaux sont déjà éprouvés.