Lorsqu’on parle de pentest, beaucoup imaginent une démarche uniforme, une sorte de “processus standard” appliqué de la même manière dans toutes les entreprises. En réalité, c’est tout l’inverse : un pentest sérieux s’appuie sur des méthodologies, des référentiels et des cadres techniques conçus pour structurer la démarche offensive, éviter les angles morts et garantir une évaluation fiable de la sécurité.

Avant d’entrer dans le sujet, précisons que nous ne parlerons pas ici des approches black box, grey box ou white box, qui concernent le niveau d’information donné au pentester. Ces stratégies sont décrites dans notre article dédié aux pentests black box, grey box et white box. De la même manière, nous ne parlerons pas du positionnement de l’attaque (interne ou externe), déjà traité dans notre analyse des tests d’intrusion internes vs externes.

Ici, nous nous concentrons sur les méthodologies de structure de ces tests, celles qui définissent la démarche d’un pentester, en se concentrant sur les 5 les plus répendus : OWASP, OSSTMM, PTES, ISSAF et NIST SP 800-115. Ce sont elles qui définissent ce qu’un test d’intrusion doit couvrir, comment il doit être mené et quel niveau de rigueur est attendu.

Pourquoi existe-t-il des méthodologies de pentest ?

Donner un cadre clair et reproductible aux tests d’intrusion

Les méthodologies de pentest ont été créées pour éviter les tests improvisés, incomplets ou trop dépendants de l’expérience individuelle d’un pentester. Elles offrent une structure, un cadre et des étapes clairement définies, afin que deux professionnels puissent, en partant d’un même périmètre, produire une analyse cohérente et comparable.

Car non, un pentest n’est pas un concours de hacking : c’est une évaluation méthodique, qui doit pouvoir être auditée, relue et justifiée.

Harmoniser les pratiques et créer un langage commun

L’un des enjeux cruciaux en cybersécurité est la communication. RSSI, pentesters, développeurs, administrateurs, direction : chacun a son vocabulaire, sa vision et ses priorités. Ces standards permettent de créer un langage partagé.

Lorsqu’un rapport de test mentionne un “test d’injection” ou une “analyse de la surface d’attaque web selon l’OWASP Testing Guide”, tout le monde comprend de quoi il s’agit. Cela facilite les échanges, les arbitrages et la priorisation des risques.

Structurer un test d’intrusion du début à la fin et ne rien manquer

Un test d’intrusion complet ne consiste pas seulement à “tenter de hacker” une application ou un système, d’exploiter la faille trouvée et terminé. Il comprend la préparation, la reconnaissance, l’identification des vulnérabilités, l’exploitation, la post-exploitation, la remontée des preuves et enfin la rédaction du rapport.

Les méthodologies structurent chaque étape afin qu’aucun point critique ne soit oublié. Elles servent de boussole pour les pentesters et de garantie pour les clients que le test couvre bien l’ensemble du périmètre défini.

Les cinq grandes méthodologies reconnues dans le pentest

OWASP : la référence mondiale pour les tests applicatifs

L’OWASP est sans conteste la méthodologie la plus connue dans le domaine du pentest applicatif. Le OWASP Testing Guide est un référentiel complet décrivant comment analyser une application web, ses flux, ses formulaires, ses API, son authentification ou encore sa logique métier.

Il propose une liste d’attaques, des techniques de détection de vulnérabilités et des scénarios de test.

Pour les tests web, personne ne peut s’en passer : OWASP constitue le socle de la sécurité applicative moderne.

OSSTMM : la méthodologie la plus exhaustive et opérationnelle

L’OSSTMM (Open Source Security Testing Methodology Manual) est probablement le standard le plus complet et le plus ambitieux. Il couvre :

• les réseaux,
• les systèmes,
• la sécurité physique,
• les procédures internes,
• les interactions humaines,
• et même la robustesse organisationnelle.

Il s’appuie sur une approche scientifique et propose un modèle de scoring précis pour mesurer la surface d’exposition réelle d’une organisation.

Très utilisé dans les environnements complexes ou critiques, il est toutefois moins répandu que l’OWASP ou le PTES en raison de sa densité et de sa technicité.

PTES : la méthodologie simple, structurée et pédagogique

Le PTES (Penetration Testing Execution Standard) est l’une des méthodologies les plus appréciées par les pentesters, car elle propose une structure simple, lisible et efficace.

Elle découpe un test d’intrusion en étapes logiques :

1. pré-engagement,
2. analyse de périmètre,
3. collecte d’informations,
4. modélisation des menaces,
5. exploitation,
6. post-exploitation,
7. et enfin le rapport.

Son langage clair et sa structure directe en font un excellent outil pédagogique — parfait pour expliquer la démarche offensive à un client ou pour onboarder un nouveau pentester.

ISSAF : un framework dense et technique, moins utilisé aujourd’hui

L’ISSAF (pour Information System Security Assessment Framework) est un standard très complet, couvrant de nombreux aspects techniques et organisationnels. Historiquement important, c’est un framework que nous ne recommandons pas. En effet : pas de mise à jour depuis 2005 !

➡️ Entre un manque de mises à jour régulières et la montée en puissance de standards comme OWASP et PTES… Nous pouvons nous en inspirer, mais ne se baser que sur celui-ci serait une erreur tant le monde de l’IT évolue à une vitesse folle.

NIST SP 800-115 : la référence institutionnelle pour structurer un engagement

Le NIST Penetration Testing Framework, ou NIST SP 800-115, n’est pas qu’une méthodologie offensive : c’est surtout un guide institutionnel destiné à standardiser la manière dont un test d’intrusion doit être préparé, cadré, piloté et documenté.

Il s’adresse en priorité aux grandes organisations, aux institutions ou aux environnements soumis à des exigences réglementaires élevées. Il apporte un cadre documentaire et méthodologique précieux pour formaliser un engagement.

Que représentent réellement ces méthodologies dans un pentest ?

Une base, pas une fin en soi

Tous les pentesters sérieux se réfèrent à ces standards, mais aucun ne les applique à la lettre. Les méthodologies servent de base / de structure / de checklist, et non pas de recette figée. Un pentest reste avant tout un test créatif, où l’expertise, l’expérience et l’intuition de l’analyste jouent un rôle essentiel. D’où l’importance de faire confiance aux professionnels et à leur expérience.

Un point de repère pour le client et les équipes techniques

Les méthodologies rassurent : elles montrent que la prestation est cadrée, structurée et alignée avec des pratiques reconnues. Elles permettent au RSSI, au DSI ou aux équipes techniques de comprendre :

• comment le test a été réalisé,
• d’auditer la qualité du travail fourni.

Une garantie de rigueur et d’auditabilité

Une prestation alignée sur des standards reconnus offre une garantie de qualité. Ces méthodologies permettent d’éviter les zones d’ombre, de s’assurer que le pentest couvre bien chaque volet technique pertinent, et de rendre les résultats auditables.

Avant de choisir une méthodologie, il faut comprendre pourquoi l’on teste

Comme nous le disions un peu plus tôt, avant de s’interroger sur la méthodologie la plus adaptée, l’entreprise doit définir ses objectifs et le périmètre de recherche (conjointement avec le consultant en cybersécurité / pentester). Comme nous le rappelons dans notre article sur pourquoi réaliser un test d’intrusion, un pentest n’a de valeur que s’il répond à une intention claire. Tester la résistance externe, valider la sécurité d’une application critique, évaluer la surface d’attaque interne, vérifier la robustesse d’un cloud, ou encore anticiper un audit réglementaire par exemple.

Ce sont ces choix stratégiques qui déterminent ensuite la méthodologie à privilégier. Nous y répondrons dans un prochain article dédié à comment choisir la bonne méthodologie de pentest selon son contexte.