Les 5 incontournables outils du pentest interne

Lorsqu’on pense “pentest”, on imagine souvent l’attaquant qui tente de s’introduire depuis Internet. Pourtant, dans la majorité des cyberattaques réelles, la compromission interne est la phase la plus destructrice : l’entrée initiale n’est que le début. Une fois dans le SI grâce à un accès physique ou une compromission de compte, l’attaquant dispose d’un terrain beaucoup plus riche, plus vaste et souvent insuffisamment protégé. C’est précisément ce que cherche à mesurer un pentest interne : l’impact réel d’une compromission à l’intérieur du réseau.

Avant d’aller plus loin, rappelons que nous parlons ici d’un test interne, à ne pas confondre avec un test depuis l’extérieur. La distinction comparaison entre pentest interne et externe repose sur des enjeux, des méthodes et des risques différents.

Dans cet article-ci, nous nous concentrons sur la réalité opérationnelle d’un attaquant déjà dans votre réseau, et sur les cinq outils qui constituent la base technique de la majorité des compromissions internes.

 

Qu’est-ce qu’un pentest interne et à quoi sert-il ?

Comprendre ce qu’est un test d’intrusion interne

Un test d’intrusion interne simule un attaquant ayant déjà obtenu un accès local ou distant dans l’infrastructure :

• poste utilisateur compromis via phishing,
• accès Wi-Fi obtenu,
• machine virtuelle ou serveur mal isolé,
• vulnérabilité interne exploitée,
• clé USB branchée physiquement.

Contrairement à une attaque externe, l’objectif n’est pas de tester la résistance du périmètre mais d’évaluer ce que permet réellement un point d’accès interne.

C’est dans ce contexte qu’on cherche à mesurer la surface d’attaque interne, car cette analyse conditionne toute la suite de la mission.

 

Pourquoi un pentest interne est indispensable ?

Un test interne répond à une question simple mais cruciale : que se passerait-il si un compte utilisateur était compromis ?

Il permet notamment de vérifier :

• la facilité (ou non) à élever les privilèges,
• la possibilité de compromettre des comptes administrateurs,
• la qualité de la segmentation réseau,
• la présence de secrets ou credentials accessibles,
• la capacité d’un attaquant à se déplacer latéralement,
• les failles d’Active Directory, souvent le point névralgique du SI.

C’est également l’un des moyens les plus fiables pour vérifier que les défenses internes (journaux, supervision, durcissement, permissions) sont réellement efficaces.

 

Les 5 outils incontournables du pentest interne

1. Nmap : le socle de la reconnaissance interne

Nmap reste l’un des outils les plus polyvalents du pentest interne.

Contrairement à un test externe où la visibilité est limitée, un attaquant interne peut scanner largement le réseau pour :

• identifier les machines actives,
• dévoiler les services exposés,
• détecter des ports sensibles ouverts,
• repérer des services oubliés ou mal configurés.

Nmap fournit une vision initiale indispensable pour comprendre l’architecture interne, les segments réseau et le potentiel de déplacement latéral.

C’est l’outil qui transforme un accès utilisateur en première cartographie exploitable.

 

2. BloodHound : la cartographie Active Directory incontournable

Dans un environnement Windows, tout tourne autour d’Active Directory : identités, privilèges, groupes, stratégies, services.

BloodHound analyse automatiquement ces relations et :

• identifie des chemins d’attaque,
• révèle des permissions dangereuses,
• détecte des comptes à privilèges excessifs,
• met en lumière des dérives de configuration,
• expose les voies possibles vers le Domain Admin.

Pour un pentest interne, BloodHound n’est pas “un outil parmi d’autres” : c’est la cartographie stratégique qui permet de comprendre comment un attaquant peut progresser à partir d’un simple compte compromis.

 

3. CrackMapExec : le couteau suisse des environnements Windows

CrackMapExec (CME) est indispensable pour valider les identifiants, tester des connexions, exécuter du code à distance ou évaluer les permissions.

C’est un outil central pour :

• tester des credentials (légitimes ou capturés),
• énumérer les shares SMB,
• lister les sessions ouvertes sur les machines,
• identifier les failles d’exposition NTLM,
• vérifier l’impact de l’utilisation excessive d’un même mot de passe.

Dans un pentest interne, CME accélère considérablement l’analyse et permet de confirmer rapidement des hypothèses issues de Nmap ou BloodHound.

 

4. Mimikatz / Rubeus : l’art d’abuser des identités

Les attaques modernes contre les environnements Windows ne reposent plus sur l’exploitation technique brute, mais sur l’abus d’identités.

Mimikatz et Rubeus permettent de :

• récupérer des mots de passe en clair,
• extraire des hachages NTLM,
• voler des tickets Kerberos,
• mener des attaques comme Kerberoasting ou AS-REP Roasting,
• reconstruire des sessions administrateur.

Ces outils représentent la phase la plus critique du pentest interne : ils montrent si un attaquant peut obtenir rapidement un accès privilégié (ce qui, dans un AD mal configuré, peut arriver en quelques minutes).

 

5. Nessus / OpenVAS : l’audit des vulnérabilités internes

Les scanners internes comme Nessus ou OpenVAS permettent d’évaluer l’exposition réelle des services internes.

Ils identifient :

• les patchs manquants,
• les versions vulnérables de logiciels,
• les services obsolètes,
• les mauvaises configurations systèmes,
• les ports critiques oubliés ouverts.

Depuis l’intérieur du réseau, l’outil n’est plus bloqué par les pare-feux, le WAF, la segmentation externe ou les règles de filtrage périmétriques. Il analyse directement les services internes tels qu’ils fonctionnent réellement : versions exactes des logiciels, patchs manquants, modules obsolètes, bibliothèques vulnérables, protocoles hérités, ports laissés ouverts « par habitude » ou par facilité.

Un scan interne révèle alors des failles qui ne sont jamais visibles depuis l’extérieur :

• serveurs oubliés dans une DMZ interne,
• services RPC ou RDP exposés sans restriction,
• protocoles anciens (SMBv1, NTLMv1),
• vulnérabilités connues mais non patchées,
• configurations faibles sur les machines administratives,
• applications métiers internes non mises à jour depuis plusieurs années.

C’est la base pour identifier les failles structurelles, celles qui découlent moins d’une erreur ponctuelle que d’un manque de maintenance, d’un shadow IT ou d’une dette technique accumulée avec le temps. Ce sont précisément ces failles que les attaquants exploitent après une première compromission : escalades de privilèges, rebonds réseau, abus de droits, exploitation de services internes vulnérables ou de configurations laxistes.

En d’autres termes, un scanner interne donne une visibilité fidèle de l’état réel du SI, celui que découvrira un attaquant une fois à l’intérieur.

 

Comment bien préparer un pentest interne ?

Définir le périmètre et les objectifs

Un pentest interne ne se résume jamais à “tester tout”. Il faut définir :

• le niveau d’accès de départ,
• le périmètre technique (AD, serveurs, endpoints, cloud interne),
• les segments à inclure,
• les risques métier à évaluer.

 

Aligner le test avec la maturité de l’entreprise

Une PME, une ETI ou une startup n’ont pas les mêmes besoins ni les mêmes priorités. Une jeune entreprise technologique évolue vite, déploie fréquemment de nouvelles fonctionnalités et s’appuie souvent sur des environnements cloud dynamiques : son principal risque réside dans les failles applicatives, les erreurs de configuration cloud et l’absence de processus formalisés. À l’inverse, une PME plus traditionnelle possède souvent un SI hybride avec de la dette technique accumulée, des serveurs vieillissants, un Active Directory peu maîtrisé et une dépendance forte à l’infrastructure interne. Quant aux ETI, elles doivent composer avec des enjeux de disponibilité, de continuité d’activité et parfois de conformité sectorielle.

Dans chaque cas, le pentest interne doit donc être aligné sur le niveau de risque réel, la criticité des environnements, le niveau de maturité et la dette technique de l’organisation. L’objectif doit refléter la réalité opérationnelle : tester une application si elle porte la valeur, auditer l’AD si le SI interne est central, ou analyser la segmentation si les impacts business d’une propagation latérale seraient critiques. Un pentest n’a de sens que s’il est entièrement cohérent avec le fonctionnement de l’entreprise et les scénarios d’attaque les plus plausibles.

 

Préparer l’environnement pour maximiser la valeur du pentest

Un pentest interne est plus riche lorsque :

• les équipes sont informées du périmètre,
• les environnements critiques sont stables,
• la supervision est en place,
• les logs internes sont activés.

Pour aller plus loin, l’article expliquant comment préparer et effectuer un pentest fournit une base méthodologique solide.

 

Un pentest interne révèle la sécurité réelle de votre entreprise

Un pentest interne n’est pas un simple exercice technique : c’est l’un des moyens les plus fiables de mesurer l’impact réel d’une compromission.

Les outils utilisés (Nmap, BloodHound, CrackMapExec, Mimikatz, Nessus) ne sont pas des gadgets : ce sont les piliers techniques permettant de cartographier, analyser et exploiter les faiblesses internes d’un système d’information.

Dans un contexte où la majorité des attaques passent par l’humain ou par une machine compromise, comprendre ce qui se passe une fois l’assaillant à l’intérieur est indispensable.

Un pentest interne éclaire ce que les outils de supervision ne montrent pas toujours et ce que la documentation ne dit jamais : la réalité du terrain.