Pen test : 10 questions à vous poser avant de commander un premier pentest
Introduction
« On va faire un test d’intrusion. Comme ça, on saura si on est sécurisés. »
Cette phrase, nous l’entendons souvent chez Sécurité Info Services. Et c’est une excellente intention. Mais attention : un test d’intrusion mal préparé ou mal cadré peut vous donner une fausse sensation de sécurité – ce qui est pire que pas de test du tout.
Un pentest (penetration test) est une simulation d’attaque réaliste menée par des professionnels pour identifier des failles exploitables. Mais contrairement à une idée reçue, ce n’est pas un audit de sécurité exhaustif, et ça ne garantit pas que vous êtes à l’abri.
Avant de signer un devis, posez-vous les 10 questions suivantes.
Question n°1 : Pourquoi je veux vraiment faire un pentest ?
La réponse « pour savoir si je suis sécurisé » n’est pas suffisante.
Les vraies raisons de faire un pentest
| Raison | Pertinence | Commentaire |
|---|---|---|
| Exigence client | ✅ | Souvent imposé par un grand donneur d’ordre |
| Cyberassurance | ✅ | Preuves de sécurité de plus en plus demandées |
| Conformité (Loi 25, PIPEDA) | ✅ | Souvent recommandé lors d’une ÉFVP |
| Lancement critique | ✅ | Identifier les failles avant l’ouverture |
| Après un incident | ✅ | Comprendre le point d’entrée |
| Par curiosité | ❌ | Vision très partielle de la sécurité |
👉 Un pentest est un instantané, pas une stratégie.
Question n°2 : Quel périmètre dois-je faire tester ?
Le périmètre définit ce que le testeur peut attaquer.
Types de périmètres possibles
| Périmètre | Exemple | Pour PME |
|---|---|---|
| Application web | Site, portail client | ✅ |
| Infrastructure externe | VPN, pare-feu | ✅ |
| Infrastructure interne | Serveurs, postes | ✅ |
| Wi-Fi | Réseau sans fil | ⚠️ |
| Application mobile | iOS / Android | ⚠️ |
| Ingénierie sociale | Phishing ciblé | ⚠️ séparé |
| Fournisseurs | Tiers | ❌ |
❌ Ne dites jamais « testez tout »
✅ Soyez précis
Question n°3 : Boîte noire, grise ou blanche ?
| Approche | Infos données | Résultat | Coût | Recommandation |
|---|---|---|---|---|
| Boîte noire | Aucune | Vision pirate externe | Élevé | ❌ |
| Boîte grise | Accès limité | Réaliste | Moyen | ✅ Idéal |
| Boîte blanche | Accès complet | Exhaustif | Élevé | ⚠️ ciblé |
👉 Pour une PME : boîte grise
Question n°4 : Quel type de testeur choisir ?
| Type | Avantages | Inconvénients | Recommandation |
|---|---|---|---|
| Freelance amateur | Prix | Aucun cadre légal | ❌ |
| Cabinet spécialisé | Qualité, assurance | Coût | ✅ Oui |
| Big4 | Réputation | Très cher | ⚠️ |
Certifications utiles
- OSCP
- CREST
- CISSP
Question n°5 : Que faire AVANT le test ?
Checklist essentielle
| Action | Pourquoi |
|---|---|
| Inventaire des actifs | Priorisation |
| Corriger évidences | Éviter gaspillage |
| Sauvegardes vérifiées | Sécurité |
| Plan de rollback | Incident possible |
| Informer l’équipe | Moins d’alertes |
👉 Faites un pré-audit avant le pentest
Question n°6 : Que se passe-t-il PENDANT le test ?
Déroulement typique
| Phase | Activité |
|---|---|
| Cadrage | Autorisations |
| Reconnaissance | Collecte d’infos |
| Scan | Détection services |
| Exploitation | Attaques réelles |
| Post-exploitation | Mouvement latéral |
| Rapport | Documentation |
⚠️ Une déstabilisation est possible → prévoir une fenêtre
Question n°7 : Quelles contraintes légales ?
| Point | Exigence |
|---|---|
| Autorisation écrite | Obligatoire |
| Périmètre défini | Contractuel |
| Données personnelles | Loi 25 & PIPEDA |
| Assurance testeur | Indispensable |
Clause recommandée :
Le prestataire s’engage à ne pas consulter les données personnelles exposées.
Question n°8 : Que contient un bon rapport ?
Sections obligatoires
- Résumé exécutif
- Méthodologie
- Failles avec preuves
- Recommandations concrètes
- Risques non couverts
- Annexes techniques
🚩 Rapport sans preuves = refus
Question n°9 : Que faire APRÈS le test ?
Plan 30-60-90 jours
| Délai | Action |
|---|---|
| 48h | Lire + prioriser |
| 7j | Corriger critiques |
| 30j | Corriger élevées |
| 90j | Retest |
❌ Ranger le rapport = erreur fatale
✅ Suivi obligatoire
Question n°10 : Combien ça coûte ?
Ordres de grandeur (CAD – 2026)
| Type | Coût |
|---|---|
| App web simple | 3 000 – 6 000 |
| App complexe | 6 000 – 15 000 |
| Infra externe | 4 000 – 8 000 |
| Infra interne | 5 000 – 12 000 |
| Pentest complet | 12 000 – 25 000 |
👉 Premier test : 8 000 – 12 000 $ max
Conclusion
✅ Un pentest bien préparé est un investissement
❌ Un pentest sans suivi est inutile
Étapes immédiates
- Répondre aux 10 questions
- Rédiger un mini cahier des charges
- Comparer 2-3 prestataires
Besoin d’aide ?
Sécurité Info Services vous accompagne :
- Pré-audit gratuit
- Cahier des charges clé en main
- Pentesters certifiés PME
- Suivi post-pentest
📞 Diagnostic gratuit – 30 minutes
🌐 https://securiteinfoservices.com
📧 info@securiteinfoservices.com