Pentest – Test d’intrusion

Un audit pentest, également appelé test d’intrusion, est l’une des activités d’audit de sécurité que réalise notre cabinet de conseil Harmonie Technologie dans le cadre de son offre Cybersécurité. A la différence d’un audit de sécurité plus classique, lors d’un audit pentest,  le consultant va utiliser des méthodologies de hackers. Le consultant pentester a pour objectif d’exploiter les failles, afin de montrer la vulnérabilité du système d’information. Durant cet audit pentest (test d’intrusion ), le consultant a pour mission d’exploiter chacune des failles, qu’elles soient fonctionnelles ou techniques, et ainsi donner une analyse précise des vulnérabilités et du degré de risque associé à chacune de ces vulnérabilités.

Un test d’intrusion va permettre de restituer une description précise des vulnérabilités, accompagné des recommandations de sécurité à mettre en place. Lors du pentest,  le consultant va donc effectuer une analyse d’un système défaillant : analyse des flux, analyse des espaces de stockages, analyse de sécurité spécifique au terminal utilisé. Pour ce type d’audit de sécurité, le consultant pentester devra utiliser des outils de scan de réseaux, d’analyse système et web (solution éditeurs et/ou open source customisées en fonction des objectifs de la mission). Ces outils techniques vont lui permettre de collecter des informations afin de mieux identifier les défaillances que présente un système informatique vulnérable. Cette intervention va permettre d’apporter une analyse des risques potentiels dus à une mauvaise configuration d’un système, d’une vulnérabilité, d’un défaut de programmation.

Les principaux types de tests d’intrusion :

  • Audit pentest de type boîte blanche, ou whitebox en anglais : Le pentester dispose de renseignements fournis par l’entreprise tels que la cartographie des réseaux, la liste d’adresses IP, … .
  • Audit pentest de type boîte noire, ou blackbox en anglais : L’entreprise auditée ne fournit aucun renseignement au consultant qui réalise la mission en situation réelle d’un hacker : aucune précision sur l’architecture, la cartographie des serveurs, le système de détection des intrusions, etc.).
  • Audit pentest de type boîte grise, ou graybox en anglais : le consultant a pour objectif d’évaluer les dangers potentiels au sein même de l’entreprise : dangers/risques dus  à des erreurs, de la malveillance, des actes de fraude.

Dans ce type d’intervention, les tests d’intrusion réalisés peuvent être de différentes natures : tests de vulnérabilité, de pénétration, évaluation du réseau, hacking éthique, exercice d’alerte, etc.

Les audits pentest ou test d’intrusion vont notamment être utilisés pour :

  • évaluer si les solutions de détection d’intrusions détectent pertinemment les attaques, notamment si elles détectent comment et quand le hacker a réussi à pénétrer le système d’information ;
  • sensibiliser les équipes IT avec des scenarii de tests ;
  • tester la réactivité des équipes, dans le cadre de campagnes préventives
  • etc.

Le consultant réalisant les audits pentest peuvent être appelés WhiteHat. A la différence d’un Blackhat, ou d’un GreysHaT, un WhiteHAT, pénètre le SI avec l’autorisation de l’auteur pour faire sauter les protections.


Partenaire sécurité des Grands Comptes (Principalement CAC 40 et SBF 120), le cabinet de conseil HARMONIE TECHNOLOGIE intervient auprès des filières risques, sécurité de l’information et des directions informatiques pour les aider à définir leur schéma de transformation et les investissements nécessaires en matière de sécurité du SI. Dans la continuité des orientations stratégiques, le cabinet de conseil HARMONIE TECHNOLOGIE accompagne également les acteurs opérationnels de la cyber securité, de la maîtrise des risques et de la transformation digitale en audit, conseil et intégration de solutions.

Les domaines d’expertises du cabinet Harmonie Technologie couvrent l’ensemble des sujets de la Cyber sécurité : la stratégie SSI (Définir), le management des identités et des accès (Prévenir) et la gouvernance et la protection des données sensibles (Protéger). Définir une stratégie de cyber sécurité et de cyber résilience en renforçant la capacité à accompagner la transformation digitale de l’entreprise et à gérer une cyber crise en minimisant l’impact métier.

Découvrez nos offres : https://www.harmonie-technologie.com/conseil-cybersecurite

Laisser un commentaire

Looking for a First-Class Business Plan Consultant?