Retour au blog

Quels sont les différents types de pentests ? Approches, périmètres et choix stratégique pour votre entreprise

9 décembre 2025
Les différents type de pentest | SkillX | Cybersécurité & cloud

Image de standret

En s’arrêtant à la définition du test d’intrusion, ou pentest, on peut croire à un exercice simple. Pourtant, ce type de test se décline en plusieurs approches, plusieurs périmètres, plusieurs niveaux d’information et plusieurs environnements techniques. En somme, de nombreux types de pentests différents. Alors, lorsqu’une organisation décide de réaliser un test d’intrusion, elle se heurte rapidement à une question que l’on sous-estime souvent : tester quoi exactement ? Et comment ?

Un test d’intrusion n’a pas le même objectif selon ce qu’il vise, et c’est précisément ici que la sécurité offensive prend tout son sens.

De manière générale, un pentest n’est pas un simple audit de sécurité. L’audit évalue la conformité et la gouvernance par exemple, alors que le test d’intrusion cherche à exploiter des vulnérabilités réelles pour comprendre jusqu’où un attaquant pourrait aller (selon un ou plusieurs scénarios définis). Il révèle la surface d’attaque réelle du système d’information en identifiant des failles parfois invisibles, surtout dans les environnements hybrides actuels (qui mêlent réseau, infrastructure traditionnelle, services cloud, applications web, API critiques, annuaires AD, postes de travail, …) comprenant de nombreuses composantes désormais constamment connectées, ce qui en fait un exercice indispensable pour toutes les entreprises qui souhaitent évaluer la maturité de leur cybersécurité. Voyons donc ensemble les différents types de pentests.

 

Les 3 approches méthodologiques : les types de pentests black box, grey box et white box

En parlant de types de pentests, on parle souvent des méthodologies de pentest black box, grey box et white box, qui constituent les trois façons d’aborder un test d’intrusion. Elles définissent le niveau d’information transmis au pentester avant d’engager la simulation d’attaque.

pentest black box

En black box, l’entreprise de pentest dispose uniquement d’une adresse IP ou d’une URL publique. Le test reproduit la posture d’un véritable attaquant qui découvre l’infrastructure depuis l’extérieur. La reconnaissance prend une place majeure et l’objectif est d’identifier les failles accessibles en internet.

pentest grey boxEn grey box, le pentester bénéficie d’un accès partiel qui peut prendre la forme de comptes non privilégiés, de clés API ou d’une documentation technique limitée. Cette approche est plus représentative d’un attaquant ayant réussi à compromettre un compte interne, d’un utilisateur malveillant qui chercherait à élever ses privilèges ou à compromettre un système déjà accessible.

pentest white boxEn test d’intrusion white box, l’équipe offensive connaît l’architecture applicative, le code source ou la configuration de l’infrastructure cloud, en plus de bénéficier d’un accès à un compte administrateur. Cette approche offre la vision la plus complète puisqu’elle permet d’évaluer les vulnérabilités profondes que seul un audit poussé peut révéler.

Pour comprendre en détail les avantages et limites de ces trois approches, vous pouvez consulter notre article dédié aux différences entre pentest black box, grey box et white box.

 

Pentest interne et pentest externe : deux visions complémentaires du risque

Un pentest externe vise tout ce qui est exposé à internet (applications web, API, infrastructure cloud, firewalls, VPN, services accessibles depuis l’extérieur). Il reflète la maturité de la première ligne de défense de l’entreprise, le moindre défaut sur un service exposé pouvant conduire à des compromissions majeures.

À l’inverse, un pentest interne se déroule depuis le réseau local ou depuis une machine considérée comme compromise. C’est le test qui pourra par exemple révéler les failles de segmentation, les erreurs de configuration Active Directory, les privilèges excessifs ou les chemins d’attaque possibles dans l’infrastructure interne par exemple. De nombreuses compromissions graves proviennent d’une élévation de privilèges réussie sur l’AD ou d’un poste de travail qui aurait servi de pivot.

Même si elles s’opposent, ces deux approches sont indissociables : un test externe évalue la robustesse du périmètre alors qu’un test interne montre ce qu’il se passerait si un attaquant parvenait à contourner ou franchir la première barrière. Pour approfondir, consultez notre analyse comparative de ces types de pentests ici : pentest interne vs pentest externe.

Les différents types de pentests : panorama complet et contextualisé

Quand on parle de types de pentests, on peut également parler de composante testée au sein d’un système d’informations. Il n’existe donc pas un seul ou seulement des types de pentests en fonction des niveaux d’information ou d’accès, mais plusieurs catégories complémentaires. Chaque environnement apporte ses propres vulnérabilités, ses propres mécanismes d’authentification, ses propres surfaces d’attaque et ses propres risques.

Pentest réseau et infrastructure

Le pentest réseau évalue la solidité de l’infrastructure de l’entreprise, qu’elle soit interne ou exposée. Il s’agit d’identifier par exemple les failles de segmentation, les mauvais paramétrages des routeurs, les services non sécurisés ou les vulnérabilités d’exploitation sur les serveurs. Ce test montre comment un attaquant peut se déplacer latéralement dans le système d’information à partir d’un point de compromission.

Pentest infrastructure cloud

Le cloud, suite à sa démocratisation au sein de nombreux systèmes d’information aujourd’hui, introduit de nouvelles surfaces d’attaque. Une infrastructure cloud peut contenir des API Gateway non sécurisées, des permissions IAM trop permissives, des buckets ou des stockages mal configurés, des secrets exposés ou des microservices insuffisamment protégés. Les pentests cloud se concentrent sur les erreurs de configuration, point de fragilité majeur dans les environnements modernes, souvent hybrides.

Pentest application web

Les tests d’intrusion applicatifs visent les failles logiques, les injections possibles, les défauts d’authentification ou les erreurs de contrôle d’accès. Ces tests restent indispensables pour tout service exposé à internet. Une faille sur une application web peut suffire à compromettre l’intégralité de l’entreprise.

Pentest API

Les API sont devenues centrales dans les systèmes modernes. Elles véhiculent de la donnée sensible, orchestrent les flux métier et sont souvent interconnectées. Un pentest d’API permet d’identifier les failles d’authentification, les erreurs d’autorisation ou les risques de divulgation d’informations.

Pentest Active Directory (AD)

Au sein d’un SI, l’Active Directory joue un rôle fondamental. C’est le cœur des identités et des privilèges. Un test d’intrusion d’Active Directory permet d’identifier les comptes à privilèges mal protégés, les délégations hasardeuses ou les chemins d’attaque utilisés pour obtenir un compte administrateur de domaine. Pour de nombreuses attaques, l’AD représente la clé de voûte de la compromission, puisqu’un accès privilégié sur l’annuaire suffit pour prendre le contrôle de toute l’infrastructure.

Pentest des workspaces et postes de travail

Les workspaces constituent une porte d’entrée privilégiée. Un poste compromis, en fonction de ses droits, peut permettre la récupération de mots de passe, la montée de privilèges ou l’installation de mécanismes de persistance. Le pentest de workspace et de poste de travail permettent eux d’évaluer la capacité d’un attaquant à pivoter sur l’infrastructure interne.

Pentest physique

Un test d’intrusion physique évalue la capacité d’un individu à accéder à des zones sensibles, à brancher un matériel espion, à contourner la surveillance ou à compromettre un poste depuis l’intérieur des locaux par exemple. Ce test et les vulnérabilités mises en lumière rappellent que la cybersécurité reste étroitement liée à la sécurité physique.

Quels sont les risques si certaines composantes du SI ne sont pas testées ?

Un test d’intrusion partiel crée un faux sentiment de sécurité. Par exemple, une entreprise :

  • peut considérer qu’une application web est conforme alors que son API associée expose toutes les données,
  • peut sécuriser son infrastructure cloud alors que les droits IAM restent trop permissifs,
  • peut renforcer son périmètre réseau alors qu’un simple compte Active Directory non protégé permet une escalade de privilèges immédiate.

À partir d’une seule machine compromise, un attaquant peut se déplacer dans l’infrastructure et atteindre des données critiques, expliquant pourquoi chaque brique du système d’information joue un rôle spécifique pour la sécurité des données de l’entreprise, de ses partenaires et de ses clients. Ne pas en auditer ou en tester une revient à laisser un angle mort. Plus l’environnement est hybride, plus ces angles morts se multiplient.

Comment choisir ce qu’il faut pentester ?

Que choisir parmi tous ces types de pentests ?

C’est l’une des décisions les plus sensibles pour un RSSI ou un DSI puisque le périmètre et les objectifs associés conditionnent toute la valeur de l’exercice. Cependant, un pentest ne peut pas couvrir l’ensemble d’un système d’information conséquent à chaque campagne. L’enjeu consiste plutôt à déterminer ce qui doit être testé au moment où l’entreprise en a besoin (selon l’évolution du SI, les transformations en cours et les zones où le risque d’erreur technique ou humaine est le plus élevé).

Partir de la surface d’attaque réelle

Adresses IP, portails applicatifs, API, services cloud, VPN ou objets connectés : ce sont les éléments visibles depuis l’extérieur qui doivent être testés en priorité puisque ce sont les portes d’entrée directes pour un attaquant.

 

Prioriser selon les risques métiers

Plus une donnée est sensible, plus la compromission aurait un impact significatif. Les environnements qui manipulent ces informations doivent faire partie du périmètre. Les applications critiques ou les API qui orchestrent des opérations essentielles au métier doivent également être évaluées.

 

Identifier les points à forte valeur pour l’attaquant

Certains systèmes offrent un pouvoir disproportionné lorsqu’ils sont compromis. Une entreprise doit se poser la question suivante : “Si un attaquant prenait le contrôle de cet élément, quel serait le scénario le plus grave ?”.

Tester en priorité ce qui évolue régulièrement

Les environnements modernes changent vite. Les microservices sont mis à jour en continu et les architectures cloud évoluent chaque semaine. Plus un composant évolue, plus le risque d’introduire une vulnérabilité augmente.

En résumé, choisir le périmètre revient à analyser sa surface d’attaque. Il faut identifier les composants exposés, les environnements critiques pour le métier, les accès privilégiés, les API qui véhiculent des données sensibles ou les infrastructures cloud qui évoluent rapidement. Cette réflexion s’appuie sur la compréhension du fonctionnement réel du SI et des scénarios d’attaque les plus plausibles.

Mais c’est aussi un exercice d’arbitrage de priorité. Tester un service web mis à jour en continu peut être plus urgent qu’analyser un composant interne peu critique. Définir ce qu’il faut pentester ne relève pas d’une checklist, mais d’une analyse du rapport entre impact potentiel et probabilité d’exploitation. C’est cette logique pragmatique qui permet de concevoir des tests réellement utiles pour l’entreprise.

S’appuyer sur une entreprise de pentest pour affiner le périmètre

Le choix du périmètre n’est jamais trivial. Il se construit avec l’expertise offensive du prestataire qui comprend les chemins d’attaque, la logique des privilèges et la réalité opérationnelle d’un système d’information. Définir un périmètre cohérent est une étape aussi stratégique que le test en lui-même.

Choisir le bon type de pentest pour renforcer sa posture de sécurité

Les différents types de pentest révèlent chacun une facette de la sécurité offensive. L’enjeu n’est pas de tout tester en permanence, mais de tester ce qui compte vraiment pour votre métier.

Certaines idées reçues persistent dans les entreprises, croyances qui conduisent souvent à des angles morts dangereux pour les données et la santé économique de la boîte. La sécurité offensive doit refléter le fonctionnement réel de votre infrastructure, mais surtout servir de test de maturité cyber.

Choisir le bon test d’intrusion parmi tous les types de pentests disponibles revient à comprendre ce que l’attaquant viserait, ce que vous devez protéger et à tester le fonctionnement global de votre SI. Un pentest bien cadré apporte une vision claire de votre exposition et vous aide à renforcer durablement votre posture de sécurité, sur laquelle il est nécessaire de travailler en amont.

portrait

Olivier ANDOH

Je suis Olivier, j'ai créé SKillX en octobre 2018. SkillX est une société de conseil en informatique basée sur un management libéré où les collaborateurs peuvent prendre un maximum de décisions en toute responsabilité. L'objectif est que chaque SkillXmate puisse être lui même. Notre raison d'être est "Be yourself and let's build the future." Au delà delà sphère professionnelle je suis passionné de basket-ball depuis l'âge de 8 ans et depuis quelques années je me suis mis à la course à pieds et j'aime découvrir de nouveaux sports.

Olivier ANDOH, fondateur de SkillX | Cybersécurité et cloud

Rencontrons nous !

Prenez rendez-vous avec l'équipe SkillX

Prendre RDV

⚡ Votre navigateur est obsolète ⚡

Mettre à jour mon navigateur