Comment se préparer à un pentest ?
Vous avez décidé de réaliser un test d'intrusion pour évaluer la sécurité de votre entreprise ? Excellente décision. Mais pour tirer le maximum de cette prestation, une bonne préparation est essentielle. Un pentest bien préparé sera plus efficace, plus rapide et donc plus rentable. Voici le guide complet pour préparer votre entreprise.
Avant le pentest : les questions à se poser
Avant même de contacter un prestataire, prenez le temps de clarifier vos objectifs et vos contraintes. Ces réflexions préalables vous permettront de mieux cadrer la mission et d'obtenir des devis pertinents.
Définir vos objectifs
Pourquoi voulez-vous réaliser un pentest ? Les motivations peuvent être variées et influencent le type de test à réaliser : vérifier la sécurité d'une nouvelle application avant sa mise en production, évaluer la résistance de votre infrastructure après une migration cloud, répondre à une exigence réglementaire (NIS2, DORA, PCI-DSS), rassurer un client qui demande des garanties de sécurité, ou simplement évaluer votre posture de sécurité globale après n'avoir jamais réalisé de test.
Chaque objectif orientera le choix du type de pentest (externe, interne, applicatif), de l'approche (boîte noire, grise, blanche) et du périmètre à tester. Plus vos objectifs sont clairs, plus le prestataire pourra vous proposer une prestation adaptée et efficace.
Identifier le périmètre
Le périmètre est l'ensemble des systèmes, applications et réseaux qui seront testés. Un périmètre trop large augmentera le coût et diluera la profondeur des tests. Un périmètre trop restreint risquera de passer à côté de vulnérabilités critiques. Pour commencer, identifiez :
- Vos actifs exposés sur Internet (sites web, applications, VPN, serveurs mail)
- Vos applications métier critiques (ERP, CRM, portail client)
- Votre infrastructure réseau interne (Active Directory, serveurs de fichiers)
- Vos environnements cloud (AWS, Azure, Microsoft 365)
- Les systèmes qui traitent des données sensibles (données clients, données financières, propriété intellectuelle)
Pour une PME qui réalise son premier pentest, il est recommandé de commencer par le périmètre externe (ce qui est exposé sur Internet) et les applications web critiques. C'est ce que les attaquants ciblent en priorité et c'est souvent là que les vulnérabilités les plus exploitables se trouvent.
Planifier la mission
La planification logistique d'un pentest est souvent sous-estimée. Pourtant, une bonne organisation en amont peut faire gagner du temps et de l'argent.
Choisir le bon timing
Évitez de planifier un pentest pendant une période critique pour votre activité (clôture comptable, lancement de produit, période de forte charge). Prévoyez une fenêtre de test suffisamment large pour permettre aux pentesters de travailler sereinement et prévoyez un délai de 2 à 4 semaines entre la commande et le début des tests pour la préparation.
Pour les tests sur des systèmes en production, définissez les créneaux horaires autorisés. Certaines entreprises préfèrent que les tests soient réalisés en dehors des heures ouvrées pour minimiser l'impact sur les utilisateurs. D'autres préfèrent les heures ouvrées pour pouvoir monitorer les tests et réagir rapidement en cas de problème.
Identifier les interlocuteurs
Désignez un point de contact principal côté client pour la coordination avec le prestataire. Cette personne doit être disponible pendant toute la durée des tests pour répondre aux questions et gérer les éventuels incidents. Identifiez également les personnes à contacter en cas d'urgence (responsable IT, direction) et les personnes habilitées à autoriser le test et signer le mandat d'autorisation.
La documentation à préparer
Selon le type de pentest choisi, le prestataire aura besoin de différents éléments. Préparer cette documentation en amont accélère le démarrage de la mission et évite les allers-retours chronophages.
Pour un pentest en boîte noire
- Les noms de domaine et/ou plages d'adresses IP à tester
- Les systèmes à exclure du périmètre (environnements tiers, systèmes fragiles)
- Le mandat d'autorisation signé par un représentant légal
- Les contacts d'urgence
Pour un pentest en boîte grise
- Tout ce qui précède, plus :
- Des comptes utilisateur de test (avec différents niveaux de privilèges)
- La documentation fonctionnelle des applications testées
- Les URL des environnements de test ou de pré-production
- Les schémas réseau (si pentest interne)
Pour un pentest en boîte blanche
- Tout ce qui précède, plus :
- Le code source des applications testées
- La documentation technique détaillée (architecture, flux de données)
- Les accès administrateur aux systèmes testés
- Les résultats d'audits ou de scans précédents
Préparer vos équipes
La question de savoir qui doit être informé du pentest fait débat. Pour un pentest en boîte noire visant à tester la réactivité de vos équipes de sécurité (exercice de type Red Team), seule la direction et le point de contact principal doivent être informés. Mais pour un pentest classique, il est recommandé de prévenir :
- L'équipe IT/infra : pour qu'elle puisse distinguer les actions du pentester d'une vraie attaque et pour éviter que des alertes ne déclenchent des procédures de réponse à incident inutiles.
- L'hébergeur ou le fournisseur cloud : certains hébergeurs peuvent bloquer les scans et les tentatives d'exploitation si ils ne sont pas prévenus. Vérifiez les conditions d'utilisation de votre hébergeur et informez-le si nécessaire.
- Le SOC/prestataire de supervision : si vous avez un service de supervision de sécurité, prévenez-le des dates et du périmètre du test pour éviter les faux positifs et les interventions inutiles.
N'oubliez pas de prévenir votre assureur cyber si vous en avez un. Certains contrats imposent une notification préalable avant la réalisation de tests d'intrusion.
Préparer l'environnement technique
Quelques préparations techniques peuvent maximiser l'efficacité du pentest :
- Vérifier les sauvegardes : avant tout test, assurez-vous que des sauvegardes récentes et testées sont disponibles pour les systèmes dans le périmètre. Bien qu'un pentest professionnel ne devrait pas causer de dommage, le risque zéro n'existe pas.
- Préparer un environnement de test : si possible, mettez à disposition un environnement de pré-production identique à la production pour les applications web. Cela permet de tester de manière plus agressive sans risquer d'impacter les utilisateurs réels.
- Whitelister les IP du prestataire : si vos systèmes de protection (WAF, IPS) risquent de bloquer les tests, discutez avec le prestataire de la meilleure approche. Certains préfèrent être bloqués pour tester l'efficacité des protections, d'autres préfèrent être whitelistés pour maximiser la couverture des tests.
- Activer les logs détaillés : augmenter le niveau de journalisation pendant le pentest peut aider l'investigation. Les logs permettent au pentester de corréler ses actions avec les alertes générées et d'évaluer la capacité de détection de vos systèmes.
Checklist de préparation
Voici une checklist récapitulative pour vous assurer que rien n'est oublié avant le début du pentest :
- Objectifs du pentest clairement définis
- Périmètre identifié et validé (IP, URLs, applications)
- Systèmes à exclure listés
- Budget validé et bon de commande émis
- Mandat d'autorisation signé par un représentant légal
- Dates et créneaux horaires validés
- Point de contact principal désigné
- Contacts d'urgence communiqués au prestataire
- Documentation technique préparée (selon le type de test)
- Comptes de test créés (pour boîte grise/blanche)
- Équipe IT informée des dates et du périmètre
- Hébergeur/cloud provider prévenu si nécessaire
- SOC/supervision prévenu pour éviter les faux positifs
- Assureur cyber notifié si requis par le contrat
- Sauvegardes vérifiées et testées
- Environnement de test disponible (si applicable)
- Politique de whitelisting définie avec le prestataire
- Logs augmentés sur les systèmes dans le périmètre
- Réunion de lancement planifiée
Pendant et après le pentest
Pendant le pentest, restez disponible pour répondre aux questions du prestataire. Si le pentester identifie une vulnérabilité critique en cours de test (permettant par exemple un accès immédiat à des données sensibles), il doit vous alerter immédiatement sans attendre le rapport final. Assurez-vous que cette procédure d'alerte est définie dans les règles d'engagement.
Après le pentest, planifiez une réunion de restitution avec le prestataire pour comprendre les résultats, poser des questions et prioriser les actions de remédiation. Impliquez les personnes qui devront mettre en œuvre les corrections (équipe IT, développeurs, administrateurs).
Enfin, établissez un plan de remédiation réaliste avec des échéances et des responsables pour chaque action. Un audit de contrôle (re-test) quelques mois après la remédiation permettra de vérifier que les correctifs sont efficaces et que de nouvelles vulnérabilités ne sont pas apparues.
Prêt pour votre pentest ?
Nos pentesters certifiés vous accompagnent de la phase de cadrage à la remédiation. Contactez-nous pour planifier votre test d'intrusion.
Planifier un pentest