Pentest 2025 : guide complet pour réussir son audit de sécurité informatique | RM3A
Mis à jour en juin 2025 – Temps de lecture : 15 min
Les cyber-attaques n’attendent pas. En 2024, 43 % des PME françaises ont subi au moins une intrusion réussie (rapport ANSSI 2025). Pour 2025, la directive NIS 2, le Digital Operational Resilience Act (DORA) et le futur Cyber Resilience Act imposent des contrôles de plus en plus stricts. Le pentest (ou test d’intrusion) reste la méthode la plus fiable pour identifier vos vulnérabilités avant les attaquants.
Cet article de référence vous explique :
- Pourquoi le pentest est devenu indispensable,
- Comment cadrer un audit de sécurité conforme aux normes 2025,
- Combien cela coûte et quel retour sur investissement en attendre,
- Comment transformer un audit et test d’intrusion en plan d’action concret.
1. Le pentest, une exigence stratégique en 2025
1.1 Au-delà de la conformité : mesurer le risque réel
Un audit documentaire ISO 27001 vérifie des procédures ; le pentest mesure la résistance technique effective du système d’information. Il teste :
- La surface d’attaque externe : IP publiques, VPN, M365, DNS.
- La surface d’attaque interne : Active Directory, VLAN, Wi-Fi, IoT.
- Les applications : web, API, mobile, SaaS.
« Un pentest annuel réduit en moyenne de 50 % le risque d’intrusion critique » – Étude Gartner Q1 2025.
1.2 Pression réglementaire : NIS 2, DORA, CRA
| Règlement | Exigence liée au pentest | Date d’entrée en vigueur |
|---|---|---|
| NIS 2 (UE) | Tests réguliers de cybersécurité adaptés au risque | 17 octobre 2024 |
| DORA (UE Finances) | Résilience opérationnelle : scénarios de tests avancés | 17 janvier 2025 |
| Cyber Resilience Act | Proof of security pour produits numériques | Fin 2025 |
Ne pas planifier de pentest en 2025, c’est s’exposer à des sanctions, mais aussi à la perte d’assurabilité cyber.
2. Typologies de tests d’intrusion : choisissez le bon scénario
2.1 Boîte noire, grise ou blanche ?
- Boîte noire : aucune information préalable. Simule un attaquant externe.
- Boîte grise : comptes utilisateurs limités. Reflète un employé ou sous-traitant.
- Boîte blanche : accès complet (schémas, code source). Permet un audit exhaustif.
Le choix dépend de vos objectifs : conformité, évaluation de la détection, validation code secure, etc.
2.2 Pentest spécial IoT et OT
Avec l’essor de l’Industrie 4.0, les réseaux OT (SCADA, PLC) sont souvent oubliés. Un pentest OT inclut :
- Cartographie des segments réseau industriels,
- Fuzzing des protocoles (Modbus, ProfiNet),
- Tests de sécurisation des passerelles IT/OT.
3. Préparer son pentest : la check-list 2025
- Inventaire des actifs (outils CMDB ou scan auto).
- Modélisation de menaces (EBIOS RM 2023 ou OCTAVE Allegro).
- Définition du périmètre et des contraintes de production.
- Signature d’un accord d’engagement (NDA, charte éthique, clause RGPD).
- Configuration du monitoring pour capturer logs et alertes SOC.
Pensez à informer votre assureur cyber ; certains réduisent la prime si un pentest annuel est prouvé.
4. Déroulement d’un pentest moderne
4.1 Reconnaissance & cartographie
Utilisation d’outils passifs (Censys, Shodan) et actifs (Nmap, Masscan). Objectif : identifier les services exposés et versions logicielles.
4.2 Exploitation manuelle et automatisée
- Exploits publics (CVE 2025-xxxx) via Metasploit, Nuclei.
- Fuzzing logique (injections GraphQL, SSRF, BOLA).
- Attaques identités : pass-the-hash, Kerberoasting, OAuth abuse.
4.3 Escalade & pivot
Objectif : démontrer l’impact business (accès données RGPD, sabotage OT). Outils : Cobalt Strike, BloodHound Neo, SharpHound.
4.4 Rapport, scoring et plan de remédiation
Chaque vulnérabilité est classée via CVSS 4.0 (nouvelle version 2024). Exemple :
| # | Description | Score CVSS | Impact | Correction |
|---|---|---|---|---|
| 1 | Injection SQL – module paiement | 9.8 (Critique) | Extraction BDD clients | Préparer statements, WAF règle 942100 |
| 2 | Kerberoasting AD | 8.1 (Élevé) | Escalade admin domaine | ROTATE RC4, activer AES SHA-256 |
5. Combien coûte un pentest en 2025 ?
Les tarifs varient selon la complexité et l’expertise demandée :
| Prestation | Fourchette € HT | Durée (jours-h) |
|---|---|---|
| Pentest web (1 appli) | 5 000 – 12 000 | 5 – 12 |
| Pentest interne (50–250 IPs) | 7 000 – 25 000 | 7 – 20 |
| Pentest mobile iOS + Android | 6 000 – 18 000 | 6 – 15 |
| Pentest OT / SCADA | 12 000 – 40 000 | 10 – 25 |
Astuce : mutualisez avec un audit RGPD ou une simulation d’hameçonnage pour réduire le coût global.
6. Exploiter les résultats : transformer le rapport en actions
6.1 Quick wins 72 h
- Patch critique CVE 0-day,
- Blocage IP malveillantes sur WAF,
- Réinitialisation mots de passe partagés.
6.2 Plan de remédiation sur 90 jours
- Sécurisation identity : MFA, PAM, rotation secrets.
- Hardening endpoints : EDR, sandboxing, patch management.
- Surveillance continue : corrélation log SIEM + détection comportementale.
- Formation phishing & secure-code (programme RM3A).
6.3 Retest et attestation de conformité
Un retest gratuit sous 90 jours est intégré dans notre offre de pentest en Normandie. Il permet de démontrer la bonne correction aux auditeurs ISO 27001 ou aux clients grands comptes.
7. Étude de cas : PME logistique en Normandie
Contexte : société de transport (200 salariés) devant prouver sa résilience pour un appel d’offres. Périmètre : site e-commerce, AD, VPN.
- Durée : 12 jours.
- Failles critiques : 5 (RCE, SQLi, Kerberoasting).
- Plan d’action : segmentation réseau, MFA Azure, patch MS-KB5030214.
- Résultat : score cybersécurité passé de 52 % à 88 % (plateforme SecurityScorecard) ; gain de 65 k € par an sur la prime d’assurance cyber.
« RM3A a livré un rapport clair, un support remédiation et un retest en moins de 90 jours. » — DSI, client logistique (avril 2025)
8. Mesurer le ROI d’un pentest
- Réduction du risque financier : coût moyen d’une fuite = 155 € par dossier (Cost of Breach IBM 2025).
- Réduction prime cyber-assurance : jusqu’à –30 % si pentest annuel.
- Gain d’image : référencement fournisseur (score TISAX, DISR 6).
Un tableur ROI simple : (probabilité x impact) – coût pentest. Si la proba chute de 4 % à 2 %, l’investissement est rentable dès 12 mois.
9. Erreurs fréquentes à éviter
- Choisir le prestataire uniquement sur le prix.
- Négliger la phase de cadrage (périmètre flou = rapport inutilisable).
- Reporter indéfiniment les correctifs “faible” ou “moyen” — cumul de dettes techniques.
- Oublier de tester les environnements SaaS (ERP cloud, CRM).
- Omettre la communication interne pour éviter l’effet “shaming”.
10. FAQ — Pentest & audit de sécurité (2025)
À quelle fréquence réaliser un pentest ?
Au moins une fois par an, ou après toute évolution majeure
Pentest et scan de vulnérabilité, est-ce la même chose ?
Non. Le scan est automatisé et détecte surtout des failles connues ; le pentest inclut une exploitation manuelle et créative pour mesurer l’impact réel.
Faut-il tester directement l’environnement de production ?
Idéalement oui, pour refléter la réalité. Toutefois il est possible de cloner l’environnement ou de basculer certaines parties en mode « read-only » pour limiter les risques d’indisponibilité.
Combien de temps dure un test d’intrusion interne ?
De 5 à 20 jours ouvrés, selon la taille du réseau, le nombre d’IP et la profondeur souhaitée (AD, Wi-Fi, IoT…).
RM3A est-il assuré en responsabilité civile professionnelle ?
Oui, à hauteur de 3 M € (police AXA France, n° CYB-2025-451).
11. Prochaines étapes : sécurisez dès maintenant votre SI
Vous souhaitez une estimation sur-mesure ? Envoyez-nous la liste succincte de vos actifs ou un simple extrait Shodan ; nos pentesters reviendront vers vous sous 24 h avec un devis et un planning prévisionnel.
