Un pentest est-il légalement encadré en France ?

Oui. Un test d'intrusion doit être réalisé avec une autorisation écrite explicite du propriétaire du système testé. Sans cette autorisation, l'activité tombe sous le coup des articles 323-1 à 323-7 du Code pénal (accès frauduleux à un système automatisé de données). La lettre d'autorisation définit le périmètre, la durée et les méthodes autorisées.

Un pentest suffit-il pour être conforme NIS2 ?

Le pentest est l'un des éléments de preuve les plus solides pour démontrer la mise en œuvre de mesures techniques au titre de l'Article 21 de la directive NIS2. Il ne couvre pas à lui seul l'ensemble des exigences (gouvernance, gestion des incidents, continuité d'activité), mais il constitue une pièce centrale du dossier de conformité pour les entités essentielles et importantes.

Qu'est-ce qu'un pentest (test d'intrusion) ? Définition, méthodes, coût

Q: Combien coûte un pentest en France ?

Le tarif d'un pentest web varie selon le périmètre et la durée : une mission de 3 à 5 jours sur une application web ciblée se situe généralement entre 3 000 et 8 000 € HT pour un consultant indépendant. Un pentest AWS IAM ou un programme complet (web + cloud) sur 10 jours peut atteindre 12 000 à 20 000 € HT. Les sociétés de conseil factureront davantage en raison de leurs frais de structure.

Q: Combien de temps dure un pentest ?

La durée dépend du périmètre. Un pentest web ciblé (une application, quelques dizaines de fonctionnalités) nécessite 3 à 5 jours. Un pentest SaaS avec infrastructure AWS associée requiert plutôt 7 à 10 jours. Un programme de tests récurrents sur plusieurs applications peut s'étaler sur plusieurs semaines réparties dans l'année.

Un pentest (contraction de penetration test, ou test d'intrusion en français) est une évaluation de sécurité dans laquelle un expert tente d'exploiter les failles d'un système avec les mêmes techniques qu'un attaquant - mais dans un cadre légal, contractuel et délimité. L'objectif : identifier ce qui est réellement exploitable avant que quelqu'un de malveillant ne le fasse.

Ce guide couvre ce qu'est concrètement un pentest, comment il se déroule, ce que vous recevez à la fin, et comment choisir le bon format pour votre contexte. Pour les aspects budgétaires, consultez notre article dédié : combien coûte un pentest en 2026.

Définition et objectif

Un pentest est une simulation d'attaque contrôlée. Le consultant - appelé pentester - utilise les mêmes outils et techniques qu'un attaquant réel : reconnaissance passive, recherche de failles, exploitation, escalade de privilèges, post-exploitation. La différence : il travaille avec votre accord, dans un périmètre défini, et vous remet un rapport détaillé.

L'objectif n'est pas de vérifier si vos configurations respectent une norme, mais de démontrer ce qu'un attaquant peut réellement faire avec les failles trouvées. Chaque vulnérabilité rapportée est exploitée et documentée avec une preuve reproductible - pas une simple supposition.

En résumé : un audit de sécurité dit « cette porte est mal verrouillée ». Un pentest démontre qu'on peut l'ouvrir - et révèle ce qui se trouve derrière.

Les 3 types de pentest

La distinction repose sur le niveau d'information transmis au pentester avant le test :

Type	Information fournie	Simule	Usage typique
Boîte noire (Black box)	Aucune - seulement l'URL ou l'IP cible	Un attaquant externe sans accès préalable	Test de surface d'attaque exposée, première évaluation
Boîte grise (Grey box)	Accès utilisateur standard, documentation partielle	Un utilisateur malveillant, un sous-traitant	Applications SaaS, portails clients, scénarios post-phishing
Boîte blanche (White box)	Code source, accès admin, architecture complète	Un développeur ou un insider avec accès complet	Audit approfondi avant lancement, scénario insider threat

En pratique, la boîte grise est la plus fréquente pour les applications web et SaaS : elle donne au pentester un point de départ réaliste (un compte utilisateur comme en aurait un abonné malveillant) tout en couvrant efficacement les logiques d'autorisation, les flux sensibles et l'infrastructure associée.

Périmètres couverts

Un pentest peut cibler différents types de systèmes :

Pentest web et API - applications web, API REST/GraphQL, flux mobiles. Le périmètre le plus courant pour les éditeurs SaaS et les entreprises avec une présence en ligne. Il couvre les vulnérabilités OWASP : injections, contrôles d'accès défaillants, XSS, gestion de session, CSRF, upload de fichiers… (voir notre classement des 10 vulnérabilités web les plus fréquentes)
Pentest cloud / AWS IAM - revue des identités, rôles, politiques et chemins d'escalade de privilèges sur Amazon Web Services. Indispensable pour toute organisation dont l'infrastructure repose sur AWS.
Pentest réseau interne - switches, VLANs, services exposés sur le réseau interne, segmentation, accès VPN.
Pentest applicatif (mobile) - applications iOS et Android : stockage local, communications réseau, authentification, logique côté client.
Pentest d'ingénierie sociale - campagnes de phishing simulées, prétexte téléphonique, sensibilisation des équipes à la manipulation.

Les services proposés par CodiTrust couvrent le pentest web, l'audit IAM AWS et les programmes de tests récurrents.

Comment se déroule un pentest

Un test d'intrusion suit une séquence structurée. En voici les grandes étapes :

1. Cadrage (avant la mission)

Un échange technique permet de définir :

le périmètre exact (URL, plages IP, applications ciblées) ;
le type de test (boîte noire, grise, blanche) ;
les contraintes : fenêtre de test, environnement de production vs staging, éléments à exclure (serveurs tiers, prestataires) ;
les livrables attendus et les destinataires (équipe technique, RSSI, direction).

Ce cadrage débouche sur une lettre d'autorisation signée des deux parties - document indispensable sur le plan légal.

2. Reconnaissance

Avant d'exploiter quoi que ce soit, le pentester cartographie la surface d'attaque : sous-domaines, technologies utilisées, points d'entrée (formulaires, API, authentification), comportement de l'application face à des entrées malformées. En boîte noire, cette phase est souvent plus longue et détermine l'efficacité des phases suivantes.

3. Tests et exploitation

C'est la phase principale. Le pentester tente d'exploiter les failles identifiées : injections, contournement d'authentification, escalade de privilèges, chaînage de vulnérabilités. Chaque faille exploitée est documentée avec une preuve de concept reproductible - capture d'écran, requête complète, payload. Aucune supposition : si la faille n'est pas exploitable, elle n'est pas rapportée comme critique.

4. Post-exploitation (si prévu au scope)

Après un accès initial, le pentester peut chercher à pivoter vers d'autres systèmes, exfiltrer des données de démonstration, ou mesurer la blast radius : jusqu'où peut aller un attaquant qui a compromis ce premier point ?

5. Rapport et restitution

Le pentest se conclut par un rapport structuré (détaillé ci-dessous) et un atelier de restitution avec vos équipes. Un retest ciblé est ensuite réalisé sur les vulnérabilités critiques après vos corrections pour vérifier leur efficacité.

Contenu d'un rapport de pentest

Un rapport de pentest de qualité contient systématiquement :

Executive summary - synthèse d'une page à destination de la direction : niveau de risque global, vulnérabilités critiques, recommandations prioritaires. Aucune connaissance technique requise pour le lire.
Méthodologie - périmètre testé, type de test, outils utilisés, durée. Permet d'évaluer la couverture du test.
Inventaire des vulnérabilités - chaque faille est documentée avec : description, impact, preuve d'exploitation, score de criticité (CVSS ou équivalent), recommandation de correction spécifique.
Matrice de criticité - tableau synthétique classé par sévérité (critique, haute, moyenne, faible) pour prioriser la remédiation.
Plan de remédiation priorisé - recommandations concrètes, organisées par équipe (dev, infra, cloud) et par ordre de priorité.

Un bon rapport doit permettre à un développeur de corriger la faille sans poser de question supplémentaire. Si le rapport nécessite une interprétation pour être exploité, c'est un signe de qualité insuffisante.

Combien coûte un pentest en France

Le tarif d'un pentest dépend principalement du périmètre et de la durée de la mission :

Pentest web ciblé (3 à 5 jours) - application web ou API de taille standard : 3 000 à 8 000 € HT pour un consultant indépendant.
Pentest SaaS + AWS (7 à 10 jours) - périmètre web élargi avec infrastructure cloud associée : 8 000 à 15 000 € HT.
Programme de tests récurrents - campagnes trimestrielles ou mensuelles : tarif annuel négocié, souvent plus avantageux que des missions ponctuelles répétées.

Les sociétés de conseil grands comptes facturent généralement plus cher en raison de leurs frais de structure. Un consultant indépendant spécialisé offre souvent un meilleur ratio qualité/coût, avec un interlocuteur unique du cadrage au retest.

Quand faut-il faire un pentest

Plusieurs contextes rendent un pentest particulièrement pertinent :

Avant une mise en production d'une nouvelle application ou d'une évolution majeure ;
Après une refonte ou une migration cloud ;
Dans le cadre d'une conformité réglementaire : NIS2, PCI-DSS, ISO 27001, SOC 2 ;
Avant une levée de fonds ou une acquisition : les investisseurs et acquéreurs exigent souvent un audit de sécurité technique ;
À intervalles réguliers (annuel ou semestriel) pour des applications exposées en production ;
Suite à un incident pour comprendre l'étendue de la compromission et fermer les vecteurs d'entrée.

La question n'est pas si vous serez ciblé, mais quand - et si vos défenses seront suffisantes à ce moment-là. Un test régulier est le seul moyen d'avoir une réponse fondée sur des preuves plutôt que sur des suppositions.

Cadre légal du pentest en France

Un test d'intrusion sans autorisation constitue une infraction pénale au titre des articles 323-1 à 323-7 du Code pénal français (accès frauduleux à un système automatisé de données), passibles de 2 ans d'emprisonnement et 100 000 € d'amende.

Tout pentest doit donc être précédé d'une lettre d'autorisation signée par le responsable légal du système cible. Ce document doit préciser :

le périmètre exact des systèmes autorisés ;
la période de test ;
les méthodes autorisées (et éventuellement celles exclues) ;
les coordonnées du point de contact technique en cas d'alerte.

Un pentester sérieux ne commencera jamais une mission sans ce document signé - c'est aussi votre garantie que les tests resteront dans le périmètre convenu.

Questions fréquentes

Un audit de sécurité vérifie la conformité aux bonnes pratiques (configurations, politiques, procédures). Un pentest va plus loin : le consultant exploite réellement les failles pour prouver leur impact. L'audit dit « cette porte est mal verrouillée » ; le pentest démontre qu'on peut l'ouvrir - et accéder à ce qui se trouve derrière.

Une mission de 3 à 5 jours sur une application web ciblée se situe généralement entre 3 000 et 8 000 € HT pour un consultant indépendant. Un pentest AWS IAM ou un programme complet (web + cloud) sur 10 jours peut atteindre 12 000 à 20 000 € HT. Les sociétés de conseil facturent davantage en raison de leurs frais de structure.

Oui. Sans autorisation écrite du propriétaire du système, le test tombe sous le coup des articles 323-1 à 323-7 du Code pénal. La lettre d'autorisation définit le périmètre, la durée et les méthodes autorisées - c'est un prérequis non négociable.

Un pentest web ciblé nécessite 3 à 5 jours. Un pentest SaaS avec infrastructure AWS associée requiert plutôt 7 à 10 jours. Un programme de tests récurrents s'étale sur plusieurs missions dans l'année, cadencées sur vos releases.

Le pentest est l'un des éléments de preuve les plus solides pour démontrer la mise en œuvre de mesures techniques au titre de l'Article 21. Il ne couvre pas l'ensemble des exigences NIS2 (gouvernance, gestion des incidents, continuité), mais constitue une pièce centrale du dossier pour les entités essentielles et importantes. En savoir plus sur pentests et conformité NIS2.