AccueilExpertisePentest en Belgique
Guide · Pentest en Belgique

Pentest en Belgique : ce que c'est vraiment, comment le cadrer, comment le lire.

Les tests d'intrusion sont l'un des services cyber les plus demandés et les plus mal compris. Ce guide vous donne les clés pour cadrer une mission, lire un rapport, et savoir ce qu'un pentest ne couvre pas.

Pentest, audit, scan : ne pas confondre

Trois activités sont régulièrement confondues alors qu'elles répondent à des besoins très différents.

Le scan de vulnérabilités est une analyse automatisée qui identifie les vulnérabilités connues à partir de signatures. Rapide, peu cher, mais limité aux vulnérabilités déjà répertoriées et générant beaucoup de faux positifs. Utile en supervision continue, insuffisant comme évaluation.

L'audit de configuration compare la configuration réelle de vos systèmes à un référentiel (CIS Benchmarks, recommandations éditeur). Il identifie les durcissements manquants. Complémentaire du pentest mais ne valide pas l'exploitabilité.

Le pentest reproduit la démarche d'un attaquant : découverte, cartographie, identification de vulnérabilités, exploitation, élévation de privilèges, mouvement latéral. Il valide ce qu'un attaquant peut concrètement faire dans votre environnement.

Les trois sont complémentaires. Un programme cyber mature combine scan continu, audit annuel et pentest régulier sur les actifs critiques.

Les types de pentest et leurs cas d'usage

Le terme "pentest" recouvre des prestations très différentes. Bien cadrer le type de pentest est la première étape pour ne pas se tromper.

  • Pentest applicatif web : tests OWASP sur une application, ses API et ses fonctionnalités. Cible : applications métier, plateformes SaaS, sites e-commerce.
  • Pentest infrastructure externe : tests sur la surface exposée à Internet (sites, VPN, mail, cloud). Cible : périmètre Internet de l'entreprise.
  • Pentest infrastructure interne : tests depuis le LAN, simulant un poste compromis. Cible : posture face à un attaquant déjà entré.
  • Pentest Active Directory : tests spécifiques sur l'AD, élévation de privilèges, golden tickets, persistence. Cible : socle d'identité Microsoft.
  • Pentest mobile : tests sur applications iOS et Android, OWASP MASVS. Cible : applications mobiles métier ou clients.
  • Red team : exercice global avec scénarios d'attaque ciblée, couvrant phishing, intrusion physique, exploitation. Cible : maturité globale de détection et réponse.
  • Phishing simulé : campagne de mails de phishing pour tester la sensibilisation. Cible : maturité humaine de l'organisation.

Comment cadrer un pentest sans se faire avoir

Un pentest mal cadré donne un résultat médiocre, quel que soit le talent du consultant. Le cadrage doit couvrir au minimum sept éléments.

  • Périmètre exact : URLs, plages IP, fonctionnalités testées, fonctionnalités exclues. Sans périmètre précis, le test est aléatoire.
  • Type d'accès : black box (sans information), grey box (compte standard), white box (accès complet). Le grey box est généralement le meilleur compromis.
  • Nombre de profils : tester un seul profil utilisateur ou plusieurs (utilisateur, manager, admin). Les bugs d'autorisation se découvrent en croisant les profils.
  • Effort cible : nombre de jours-homme alloués. Un pentest sérieux d'une application moyenne demande 5 à 10 jours-homme effectifs.
  • Fenêtre de test : dates, heures, jours autorisés. Pour les systèmes en production, les attaques bruyantes (DoS, brute force) sont souvent exclues.
  • Procédure d'incident : qui contacter en cas de découverte critique, qui contacter si le test impacte la production.
  • Modalités de restitution : rapport technique, synthèse direction, débrief vidéo, rejeu post-remédiation.

Comment lire un rapport de pentest

Un bon rapport de pentest se lit à plusieurs niveaux. La synthèse direction (2 à 4 pages) doit donner immédiatement la posture globale, les risques majeurs, et le plan d'action priorisé.

Le détail technique des vulnérabilités doit comporter pour chaque finding : description, scoring CVSS v4, preuve d'exploitation reproductible, impact métier concret, recommandation de remédiation, effort estimé.

Méfiez-vous des rapports avec beaucoup de findings de criticité "informative" ou "low" : c'est souvent du remplissage. Un bon rapport contient peu de findings, mais bien argumentés et exploitables.

Demandez systématiquement la liste des techniques essayées qui n'ont pas abouti. Cela vous permet de savoir ce qui a été testé et ce qui ne l'a pas été. Un rapport qui ne mentionne que ce qui a été trouvé est incomplet.

Ce qu'un pentest ne couvre pas

Un pentest est une évaluation à un instant T sur un périmètre cadré. Il ne remplace ni un programme cyber complet, ni une supervision continue.

Un pentest ne couvre pas la sécurité organisationnelle (politique, procédures, sensibilisation, gouvernance). Un pentest ne dit rien sur votre conformité réglementaire (RGPD, NIS2, ISO 27001). Un pentest ne remplace pas la détection (SOC, SIEM) qui doit fonctionner en continu.

Un pentest ne couvre que ce qui était testable au moment du test, dans le périmètre fixé. Une vulnérabilité introduite par une nouvelle release deux semaines après le pentest n'est pas couverte. D'où l'importance de tester régulièrement (idéalement à chaque release majeure pour les actifs critiques).

Un pentest sans tests réguliers, sans correction effective des findings, sans intégration dans un programme cyber plus large, est un investissement gaspillé.

Questions fréquentes

FAQ Pentest en Belgique

Combien coûte un pentest en Belgique ?
Pour une application web standard de 10 à 15 fonctionnalités : 8 000 à 25 000 euros selon profondeur. Pour une infrastructure interne de 200 machines : 12 000 à 30 000 euros. Pour un red team complet : 40 000 à 100 000 euros.
À quelle fréquence faut-il faire un pentest ?
Pour les actifs exposés (sites web, API), au minimum une fois par an et à chaque release majeure. Pour l'infrastructure interne, une fois par an. Pour les composants moins exposés, tous les deux ans est acceptable.
Le pentest peut-il casser mes systèmes ?
Très rarement avec un consultant sérieux. Les techniques destructives (DoS, brute force agressif) sont exclues par défaut. Les exploits sont validés sur preuve de concept, pas en mode destructif. Les conditions de test sont écrites dans un mandat signé.
Faut-il prévenir les équipes IT ou les laisser dans le flou ?
Pour un pentest classique : prévenir les équipes IT et SOC pour qu'elles ne déclenchent pas une cellule de crise. Pour un red team, le but est justement de tester la détection : seules une ou deux personnes très haut placées sont au courant.
Le consultant peut-il accéder à mes données réelles ?
En théorie oui s'il y arrive. En pratique, le mandat impose de ne pas exfiltrer les données et d'arrêter dès que la preuve est faite. Les rapports anonymisent ou caviardent les données sensibles vues pendant le test.
Que faire si le pentest révèle une compromission active ?
Le consultant doit immédiatement vous prévenir, arrêter les tests, préserver les preuves. Vous activez votre cellule de crise et basculez vers une mission de réponse à incident. Cette procédure d'escalade doit être prévue dans le mandat.
Pour aller plus loin

Guides et services associés

Service Tests d'intrusion

Notre offre de pentest complète.

Lire

ISO 27001

Cadre dans lequel s'inscrivent les pentests réguliers.

Lire

SOC managé

Détection continue, complément du pentest ponctuel.

Lire

Une question sur ce sujet ?

Échange gratuit de 30 minutes avec un consultant senior pour cadrer votre projet.

Réserver un échange