Pôle d'expertise
Test d'intrusion (pentest) : exploiter pour prouver le risque
Pentest · 01
Qu'est-ce qu'un test d'intrusion (pentest) ?
Un test d'intrusion, ou pentest, est une simulation d'attaque autorisée et cadrée qui vise à compromettre un périmètre défini pour en mesurer la sécurité réelle. Là où un scan signale des faiblesses potentielles, le pentest les enchaîne et les exploite : il transforme une hypothèse de risque en preuve, capture d'écran et scénario de compromission à l'appui.
L'objectif n'est pas d'accumuler des constats, mais de répondre à une question opérationnelle : jusqu'où un attaquant peut-il aller, par quel chemin, et avec quel impact métier ? Nos chercheurs raisonnent en adversaire, contournent les protections en place et vérifient chaque résultat pour éliminer les faux positifs.
Le test d'intrusion s'adapte au niveau d'information partagé. En boîte noire, l'équipe part de zéro, comme un attaquant externe. En boîte grise, elle dispose d'un compte ou d'un plan pour aller plus loin dans le temps imparti. En boîte blanche, l'accès complet aux configurations et au code maximise la couverture des chemins d'attaque.
Pentest · 02
Pentest ou audit : ne pas confondre couverture et preuve
Le test d'intrusion et l'audit de cybersécurité sont complémentaires, mais poursuivent deux logiques distinctes. L'audit vise la couverture : il passe en revue l'architecture, les configurations, le code et l'organisation pour cartographier largement les faiblesses. Le pentest vise la preuve : il concentre l'effort sur un périmètre pour démontrer une exploitation concrète et son impact.
Choisir l'un ou l'autre dépend de votre objectif. Pour objectiver la maturité globale ou préparer une conformité, l'audit cadre le sujet. Pour convaincre un comité de direction, valider une exposition avant une mise en production ou répondre à une exigence contractuelle, le pentest apporte la démonstration.
Pentest · 03
Nos types de test d'intrusion
AOCSI décline le pentest selon votre surface d'exposition et vos scénarios de menace. Chaque typologie mobilise des chercheurs du Collectif dont la spécialité correspond à la cible, afin d'aller à la profondeur qu'un généraliste n'atteindrait pas.
Pentest · 04
Notre méthode : PTES, OWASP, MITRE ATT&CK, MASVS
Chaque mission s'appuie sur les référentiels reconnus de la profession, gage de reproductibilité et de couverture. La démarche PTES structure le déroulé, de la reconnaissance à la post-exploitation. Le guide OWASP encadre les tests applicatifs web et API, le MASVS ceux du mobile, et la matrice MITRE ATT&CK sert de langage commun pour décrire les techniques employées.
Le cadrage fixe le périmètre, les objectifs et les règles d'engagement. La phase offensive combine reconnaissance, identification de vulnérabilités, exploitation et, lorsque c'est pertinent, mouvement latéral et élévation de privilèges. Chaque étape est journalisée pour garantir la traçabilité et la réversibilité des actions.
Pentest · 05
Le Collectif, l'Indice et la Ligue
La qualité d'un test d'intrusion tient d'abord à la personne qui le mène. AOCSI s'appuie sur le Collectif, un réseau de chercheurs de typologies complémentaires : spécialistes de l'applicatif, de l'Active Directory, du cloud, du mobile ou de la furtivité. Nous affectons à votre cible le profil dont c'est le terrain de jeu, avec un intervenant senior nominatif référent de mission.
L'Indice, notre système de scoring interne, objective la couverture atteinte et hiérarchise les remédiations selon la probabilité d'exploitation et l'impact métier. La Ligue entretient l'émulation entre chercheurs, la veille sur les techniques offensives émergentes et le partage des méthodes, pour que votre mission bénéficie de l'état de l'art.
AOCSI accompagne ses clients de bout en bout, sans revente de licence ni marge cachée sur des outils tiers. Nous n'affichons aucun label que nous ne détenons pas : notre engagement porte sur le risque réellement réduit, mesuré et vérifié lors du retest.
Pentest · 06
Combien coûte un test d'intrusion ?
AOCSI est le premier cabinet français à publier ses tarifs. Le prix d'un pentest dépend de la typologie, de la taille du périmètre (nombre d'applications, de comptes, de plages exposées) et de la profondeur attendue, exprimée en jours-hommes de chercheur. Un test ciblé se chiffre à quelques jours ; une red team ou un pentest interne d'ampleur mobilisent davantage.
Le devis est transparent et détaillé, sans coût caché : vous savez qui intervient, sur quel périmètre et pour quel livrable. Un retest de vérification est proposé pour attester l'efficacité des correctifs après remédiation.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Notre expertise en détail
Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
Quelle différence entre un pentest et un audit ?
L'audit couvre largement la sécurité (architecture, configuration, code, organisation) pour cartographier les faiblesses. Le test d'intrusion exploite réellement un périmètre pour prouver un impact concret. L'audit cadre, le pentest démontre : les deux sont complémentaires.
Combien de temps dure un test d'intrusion ?
La durée dépend du périmètre et de la profondeur : un test ciblé demande quelques jours de chercheur, un pentest interne ou une red team plusieurs semaines. Le cadrage fixe le volume de jours et le calendrier avant tout démarrage.
Boîte noire, grise ou blanche : que choisir ?
La boîte noire simule un attaquant sans information et teste votre exposition brute. La boîte grise (un compte, un plan) va plus loin dans le temps imparti. La boîte blanche, avec accès complet, maximise la couverture. Le choix découle de votre scénario de menace.
Un pentest est-il dangereux pour la production ?
Les actions sont encadrées par des règles d'engagement strictes et journalisées pour rester réversibles. Les tests potentiellement intrusifs sont validés avec vous et, si nécessaire, menés en pré-production ou dans des fenêtres convenues.
Faut-il un pentest ou une red team ?
Un pentest mesure la sécurité d'un périmètre donné avec une large couverture technique. La red team simule un adversaire déterminé, furtif, visant un objectif métier précis, et teste aussi votre détection. On passe à la red team quand les fondamentaux sont déjà éprouvés.