Le test d'intrusion est une attaque simulée et autorisée contre un système informatique, un réseau ou une application, menée pour trouver les failles de sécurité avant qu'un véritable attaquant ne le fasse. Un pentester utilise les mêmes techniques qu'un criminel, mais avec un contrat signé, un périmètre défini, et un rapport final qui indique au client exactement comment corriger ce qui a été trouvé. Ce guide explique ce qu'est le test d'intrusion en 2026, les cinq phases d'une mission réelle, les principaux types de tests, les outils qui comptent, et le chemin vers le métier. Suivez le déroulé complet en pratique dans le cours Network Penetration Testing de HackerDNA pendant votre lecture.
Ce guide s'adresse à la personne qui veut faire le travail, pas survoler une définition. À la fin, vous comprendrez comment une mission est structurée, où chaque outil s'insère, comment les testeurs restent du bon côté de la loi, et quoi pratiquer en premier. Chaque outil et chaque technique ci-dessous renvoie vers un guide détaillé que vous pourrez suivre ensuite.
TL;DR : Le test d'intrusion est du hacking autorisé. Le testeur suit une méthodologie en cinq phases (planification et reconnaissance, scan et énumération, exploitation, post-exploitation et élévation de privilèges, puis rapport) pour prouver un impact réel et remettre au client une liste de correctifs. Les tests existent en boîte noire, boîte grise et boîte blanche, sur le web, le réseau, le sans-fil, le cloud et l'ingénierie sociale. La compétence se construit en laboratoire, pas en lisant.
Dans ce guide :
- Qu'est-ce que le test d'intrusion ?
- Test d'intrusion vs scan de vulnérabilités vs red teaming
- Les types de tests d'intrusion
- Les 5 phases d'un test d'intrusion
- Les outils de test d'intrusion
- Méthodologies et standards
- Comment devenir pentester
- Considérations légales et éthiques
- Comment pratiquer le test d'intrusion
- Questions fréquentes
Qu'est-ce que le test d'intrusion ?
Qu'est-ce que le test d'intrusion ? Le test d'intrusion, ou pentest, consiste à attaquer un système avec la permission de son propriétaire afin d'identifier et de prouver les failles de sécurité qu'un attaquant malveillant pourrait exploiter. Le but n'est pas seulement de trouver des vulnérabilités, mais de démontrer leur impact réel et de fournir à l'organisation une liste de correctifs hiérarchisée.
Le mot qui sépare le test d'intrusion du crime, c'est l'autorisation. Un pentester et un criminel peuvent lancer le même scan Nmap, exploiter la même injection SQL et extraire la même base de données. La différence, c'est un contrat signé qui précise, par écrit, quels systèmes sont dans le périmètre et ce que le testeur a le droit de faire. Retirez ce document et les mêmes frappes au clavier deviennent un délit.
Le test d'intrusion diffère aussi d'un simple scan de vulnérabilités sur un point important : un scanner signale qu'une porte est peut-être déverrouillée, tandis qu'un pentester la franchit et vous montre ce qu'il y a derrière. Cette distinction compte pour ceux qui paient le travail. Un conseil d'administration n'agit pas sur « injection SQL possible sur la page de connexion ». Il agit sur « nous avons extrait 40 000 dossiers clients par la page de connexion en moins d'une heure ».
Les organisations commandent des tests d'intrusion pour trois raisons. La première est le risque : elles veulent savoir ce qu'un attaquant peut réellement atteindre avant qu'un attaquant n'essaie. La deuxième est la conformité, car des standards comme PCI DSS, SOC 2, ISO 27001 et HIPAA exigent ou attendent fortement des tests réguliers. La troisième est l'assurance après un changement, comme le lancement d'une application, une migration cloud, ou une fusion qui relie deux réseaux.
Test d'intrusion vs scan de vulnérabilités vs red teaming
On emploie ces trois termes comme s'ils étaient synonymes. Ils ne le sont pas, et les confondre conduit à acheter le mauvais service.
Le scan de vulnérabilités est automatisé et large. Un outil comme Nessus ou OpenVAS compare une cible à une base d'incidents connus et produit une liste de résultats potentiels. Il s'exécute en quelques minutes ou heures, coûte peu, et devrait tourner en continu. Sa faiblesse, c'est le contexte : un scanner ne peut pas vous dire si un résultat « de gravité moyenne » est en réalité un chemin direct vers votre base de données clients.
Le test d'intrusion est manuel et approfondi. Un humain reprend la sortie des scans, écarte les faux positifs, enchaîne de petites faiblesses en une vraie attaque, et prouve l'impact. Il a lieu de façon planifiée (souvent annuellement ou après des changements majeurs) et coûte davantage car le temps qualifié est cher. Un pentest répond à « que peut réellement faire un attaquant ici », ce qu'un scan ne peut pas.
Le red teaming est une simulation d'adversaire. Une red team choisit un objectif (par exemple « atteindre le système de reporting financier ») et tente de l'accomplir par tous les chemins disponibles, y compris le phishing, l'entrée physique et l'évitement des défenseurs, qui ignorent en général que le test a lieu. Le red teaming mesure la détection et la réponse, pas seulement la présence de vulnérabilités. C'est une mission plus avancée qui suppose que les bases d'un pentest classique sont déjà couvertes.
Le constat honnête : la plupart des organisations qui demandent une « red team » ont d'abord besoin d'un test d'intrusion sérieux. Lancer une simulation d'adversaire contre un réseau qui n'a jamais eu de pentest de base, c'est comme engager un cascadeur avant d'avoir appris à changer une roue.
Les types de tests d'intrusion
Les tests d'intrusion se classent de deux façons : selon ce que le testeur sait au départ, et selon ce qui est attaqué.
Selon le niveau de connaissance
Le test en boîte noire ne donne au testeur qu'un nom de cible, simulant un attaquant externe sans information interne. C'est réaliste mais lent, car du temps part en reconnaissance qu'un initié sauterait. Le test en boîte grise fournit des informations limitées, comme un compte utilisateur à faibles privilèges, ce qui reflète le scénario fréquent d'un attaquant ayant déjà hameçonné un jeu d'identifiants. Le test en boîte blanche donne un accès complet : code source, schémas d'architecture et identifiants administrateur. Il trouve le plus de bugs par heure car aucun temps n'est perdu en découverte.
La boîte grise est le bon compromis pour la plupart des missions. Elle équilibre réalisme et usage efficace du budget de test, et c'est pourquoi elle est la norme pour la plupart des travaux commerciaux sur applications web.
Selon la cible
Le test d'applications web vise les applications et les API qu'une entreprise expose sur internet. C'est la spécialité la plus demandée car presque toute organisation exécute des applications web, et l'OWASP Top 10 (injection, contrôle d'accès défaillant, et le reste) revient sans cesse. Notre guide du test d'intrusion d'applications web couvre cette méthodologie en profondeur.
Le test réseau et infrastructure vise les serveurs, les services, les pare-feux et l'Active Directory. Le travail comprend le scan de ports, l'exploitation de services et le déplacement latéral entre machines. Le test sans-fil attaque le Wi-Fi et le Bluetooth. Le test cloud évalue les configurations AWS, Azure et GCP, où les résultats les plus fréquents sont des rôles IAM trop permissifs et des buckets de stockage exposés plutôt que des bugs logiciels classiques. L'ingénierie sociale teste les personnes via le phishing et le pretexting. Le test physique tente d'entrer dans les bâtiments et d'y déposer des dispositifs.
On n'apprend pas tout cela d'un coup. Choisissez-en un, en général le web ou le réseau, et approfondissez avant de vous diversifier.
Les 5 phases d'un test d'intrusion
Toute mission professionnelle suit une méthodologie, et l'ordre compte car chaque phase nourrit la suivante. Le modèle en cinq phases ci-dessous décrit le cycle de vie d'un test autorisé. La seule caractéristique qui le distingue d'une intrusion criminelle, c'est la dernière phase : le rapport.
Phase 1 : planification et reconnaissance
La planification fixe les règles. Avant tout envoi de paquet, le testeur et le client conviennent du périmètre (quelles plages d'adresses IP, quels domaines et quelles applications sont concernés), du calendrier et des règles d'engagement. C'est aussi là que l'autorisation légale est signée. La reconnaissance recueille ensuite des informations sur la cible. La reconnaissance passive utilise des sources publiques : enregistrements DNS, journaux de transparence des certificats, dépôts GitHub, profils d'employés et identifiants fuités lors d'anciennes compromissions. La reconnaissance active touche la cible avec des sondes discrètes.
En pratique, la reconnaissance décide souvent du résultat. Un testeur qui découvre un serveur de préproduction oublié avec des identifiants par défaut pendant la reconnaissance a pour ainsi dire gagné avant d'écrire le moindre exploit.
Phase 2 : scan et énumération
Le scan cartographie la surface d'attaque. Nmap identifie les ports ouverts, les services actifs et les versions des logiciels. Une commande comme nmap -sV -sC -p- target.com scanne les 65 535 ports TCP, détecte les versions des services et lance le jeu de scripts par défaut. L'énumération va plus loin, en interrogeant chaque service pour des noms d'utilisateurs, des partages et des détails de configuration. Notre aide-mémoire Nmap liste les options à mémoriser.
Pour les cibles web, cette phase signifie la découverte de contenu : trouver les répertoires, points d'accès et paramètres cachés. Des outils comme Gobuster et ffuf testent les chemins par force brute à partir d'une liste de mots, et la liste compte plus que n'importe quelle option. Notre guide des listes de mots Gobuster explique quelle liste utiliser quand, et si vous préférez une approche en interface graphique, notre guide sur comment utiliser DirBuster montre la méthode classique.
Phase 3 : exploitation
L'exploitation est le moment où une faiblesse découverte devient un accès réel. L'exploit peut être un CVE public avec du code de démonstration, une charge utile sur mesure pour un service non corrigé, ou une faille logique enchaînée à partir de plusieurs petits bugs. Pour les applications web, le proxy d'interception Burp Suite est au cœur de ce travail ; commencez par notre tutoriel Burp Suite si vous ne l'avez jamais utilisé. Pour générer des reverse shells et d'autres charges utiles, notre aide-mémoire msfvenom documente la syntaxe que vous utiliserez vraiment.
La plupart des intrusions réelles ne commencent pas par un zero-day. Elles commencent par une vulnérabilité connue et non corrigée, un mot de passe faible, ou un phishing réussi. Le catalogue 2024 des vulnérabilités activement exploitées de la CISA était dominé par des bugs dont les correctifs existaient bien avant leur abus. Consacrez votre temps d'étude aux failles ennuyeuses et courantes, car ce sont elles qui fonctionnent.
Phase 4 : post-exploitation et élévation de privilèges
L'accès initial est rarement la fin. Un shell tournant sous un utilisateur web à faibles privilèges peut lire les fichiers de l'application mais ne peut pas extraire toute la base de données ni pivoter vers d'autres machines. L'élévation de privilèges transforme ce point d'appui en accès root, administrateur ou administrateur de domaine. Sous Linux, cela passe souvent par l'abus de binaires SUID mal configurés, de règles sudo ou de capabilities ; sous Windows, par les chemins de service non protégés, l'usurpation de jetons et les mauvaises configurations Active Directory.
Les attaques sur identifiants se déroulent ici aussi. Un testeur qui récupère un fichier shadow, un dump NTDS.dit ou une base de hachages de mots de passe les casse hors ligne pour étendre son accès. Notre tutoriel de cassage de hachages et notre guide sur comment utiliser John the Ripper couvrent le déroulé, et si vous vous êtes déjà demandé pourquoi un hachage MD5 capturé ne peut pas simplement être déchiffré, notre guide sur comment inverser un MD5 explique ce qui se passe réellement.
Phase 5 : rapport et remédiation
Le rapport est le produit. Tout ce qui précède n'est que la recherche qui en remplit les pages. Un bon rapport classe les résultats par risque réel, explique chacun pour qu'un développeur puisse le reproduire, et donne des étapes de correction claires. Il sépare le contournement d'authentification critique de l'en-tête manquant à faible gravité, car un client au temps limité doit savoir quoi corriger en premier.
Cette phase est aussi là où les testeurs éthiques s'arrêtent avant les dégâts. Ils documentent que des données pourraient être exfiltrées ou qu'une persistance était possible, sans pour autant laisser au client une vraie compromission à nettoyer. Le but d'un test autorisé est de démontrer l'impact, pas de le causer.
Les outils de test d'intrusion
Vous n'avez pas besoin de 40 outils pour être efficace. Il vous en faut cinq ou six et une grande familiarité avec chacun. Ceux ci-dessous couvrent l'essentiel du travail réel, classés par la phase où ils prennent leur place. Pour un tour d'horizon plus large avec des exemples de commandes pour chacun, voyez notre guide des outils de test d'intrusion.
- Nmap est le scanner réseau par défaut. Presque toute mission commence par lui, quelle que soit la suite de la chaîne d'outils.
- Burp Suite est le proxy d'interception au cœur de tout test web. L'édition Community gratuite couvre la plupart des usages débutants ; la Pro ajoute un scanner automatisé.
- Metasploit et msfvenom fournissent des exploits prêts à l'emploi et un générateur de charges utiles pour livrer des reverse shells multiplateformes.
- sqlmap et ffuf automatisent l'extraction par injection SQL et le fuzzing à grande vitesse une fois un point d'injection confirmé à la main.
- Hashcat et John the Ripper cassent les hachages de mots de passe récupérés, Hashcat l'emportant sur la vitesse GPU et John sur la souplesse des formats.
- LinPEAS, WinPEAS et GTFOBins automatisent l'énumération pour l'élévation de privilèges et indiquent comment exploiter ce qu'ils trouvent.
Une opinion forte à intégrer tôt : laissez tomber les plateformes tout-en-un qui promettent d'« automatiser tout le pentest ». Le test d'intrusion ne peut pas être entièrement automatisé, et un produit qui prétend le contraire vend du scan de vulnérabilités sous un nom plus cher. Laissez aussi tomber l'interface graphique de DirBuster pour le travail quotidien ; Gobuster et ffuf font le même travail plus vite en ligne de commande.
La plupart de ces outils sont préinstallés sur Kali Linux, mais Kali n'est pas strictement nécessaire. Chacun tourne sur Linux, macOS ou Windows standard avec le bon gestionnaire de paquets. Pour un débutant, Kali est pratique car la configuration est déjà faite.
Méthodologies et standards
Le test professionnel suit des méthodologies publiées afin que deux testeurs évaluant la même cible couvrent le même terrain. Vous n'avez pas besoin de les mémoriser, mais vous devez savoir qu'elles existent et y recourir lors du cadrage d'une mission ou de la rédaction d'un rapport.
Le OWASP Web Security Testing Guide est la référence pour les tests d'applications web. Il décompose le test en catégories (authentification, gestion de session, validation des entrées, et plus) avec des vérifications précises sous chacune. Pour une visite accessible aux débutants, nous avons écrit un guide dédié à l'OWASP WSTG.
Pour des missions plus larges, le NIST SP 800-115, « Technical Guide to Information Security Testing and Assessment », est le cadre standard gouvernemental, et le Penetration Testing Execution Standard (PTES) définit un processus en sept étapes, du pré-engagement au rapport. Le framework MITRE ATT&CK catalogue les techniques réelles des adversaires et constitue le langage commun aux testeurs et aux défenseurs pour décrire ce qui a été fait. L'OSSTMM est plus ancien et plus académique ; la plupart des testeurs en activité se réfèrent au quotidien à l'OWASP WSTG et au PTES.
La valeur pratique d'une méthodologie, c'est la couverture. Sous la pression des délais, il est facile de courir après le premier bug intéressant et d'oublier de vérifier la gestion de session ou le contrôle d'accès. Une liste de contrôle tirée de ces standards garde le test honnête.
Comment devenir pentester
Le test d'intrusion est un métier qui s'apprend par la pratique structurée, pas par la lecture seule. Le chemin ci-dessous est celui que la plupart des testeurs en activité ont suivi sous une forme ou une autre, et il s'appuie sur la compétence plus large du hacking en tant que discipline.
Construire les fondations
Trois choses viennent avant l'exploitation : le réseau (TCP/IP, DNS, HTTP), les systèmes d'exploitation (la ligne de commande Linux et les fondamentaux Windows), et au moins un langage de script, où Python est la norme. Vous ne pouvez pas exploiter ce que vous ne comprenez pas, et la plupart des débutants qui échouent ont sauté cette étape pour foncer sur les outils.
Choisir une spécialité et la travailler
Les applications web sont le point d'entrée le plus rapide car il suffit d'un navigateur et de Burp Suite. Le test réseau et Active Directory paie bien mais demande plus d'outillage et un labo maison. Quel que soit votre choix, la boucle d'apprentissage est la même : lire sur une classe de vulnérabilité, l'exploiter en laboratoire, rédiger ce que vous avez appris, puis recommencer avec la suivante.
Obtenir une certification quand vous êtes prêt
Les certifications ne sont pas le but, mais elles aident à être embauché et reçu en entretien. L'Offensive Security Certified Professional (OSCP) est la certification offensive d'entrée la plus respectée, bâtie autour d'un examen pratique de 24 heures où vous compromettez des machines dans un réseau bac à sable. Notre guide de préparation à l'OSCP explique comment se préparer sans s'épuiser. Les salaires reflètent la demande : les pentesters en activité aux États-Unis gagnent couramment entre 90 000 $ et 150 000 $, les spécialistes seniors allant au-delà.
Considérations légales et éthiques
Rappel essentiel : Le test d'intrusion sans autorisation écrite explicite du propriétaire du système est un délit. Aux États-Unis, le Computer Fraud and Abuse Act (CFAA, 18 USC 1030) prévoit des peines allant jusqu'à 10 ans de prison fédérale par violation. Le Royaume-Uni applique le Computer Misuse Act 1990, et l'Union européenne la directive 2013/40/UE. Une permission verbale ne tient pas devant un tribunal. Obtenez l'autorisation par écrit, signée par une personne ayant le pouvoir de l'accorder.
La légalité tient à trois questions : qui possède la cible, quelle autorisation vous avez, et ce que vous faites de ce que vous trouvez. Tester vos propres systèmes est légal. Tester les systèmes d'une entreprise sans document de périmètre signé est presque toujours un délit, même quand les failles sont évidentes et vos intentions bonnes.
Le test autorisé se déroule dans trois cadres. Le premier, ce sont les missions payées sous un contrat signé qui définit périmètre, calendrier et méthodologie. Le deuxième, ce sont les programmes de bug bounty gérés par des plateformes comme HackerOne et Bugcrowd, où les règles du programme accordent la permission de tester dans des limites définies. Le troisième, ce sont les environnements de pratique en bac à sable comme les plateformes de labs et les événements CTF, où les cibles appartiennent à la plateforme et sont explicitement offertes à l'attaque.
Deux garde-fous vous évitent les ennuis. Ne testez jamais ce que vous ne possédez pas ou pour quoi vous n'avez pas de permission écrite, et quand vous avez la permission, restez strictement dans le périmètre documenté. Le moyen le plus rapide de mettre fin à une carrière en sécurité, c'est de trouver quelque chose d'intéressant juste hors périmètre et de décider de « vérifier vite fait » si c'est exploitable.
Comment pratiquer le test d'intrusion
Vous ne pouvez pas pratiquer légalement sur des systèmes de production, il vous faut donc des cibles conçues pour cela. Trois options fonctionnent bien. Les compétitions CTF proposent des énigmes ciblées et limitées dans le temps qui affûtent des compétences précises. Les machines virtuelles volontairement vulnérables vous permettent de pratiquer des chaînes d'exploitation complètes hors ligne. Les plateformes de labs toujours disponibles vous donnent des centaines d'applications et de machines vulnérables accessibles dès que vous avez une heure.
L'erreur de la plupart des débutants, c'est de lire et de regarder au lieu de faire. Vous pouvez regarder cinquante heures de vidéos de pentest et figer quand même devant le premier vrai formulaire de connexion. La compétence vient des répétitions : scanner, énumérer, exploiter, élever, rédiger, recommencer. Un lab guidé qui vous fait parcourir cette boucle les premières fois raccourcit nettement la courbe d'apprentissage.
Les labs de HackerDNA tournent dans le navigateur sans configuration, ce qui supprime le plus gros obstacle des débutants : passer un week-end à se battre avec une VM Kali cassée au lieu de hacker. Commencez par un lab guidé, suivez les étapes, puis tentez le suivant sans regarder.
Dernière vérification : juin 2026.
Questions fréquentes
Le test d'intrusion est-il légal ?
Oui, lorsqu'il est autorisé. Le test d'intrusion n'est légal qu'avec une permission écrite explicite du propriétaire du système, définissant ce qui peut être testé et comment. Les mêmes actions menées sans cette autorisation sont des délits sous des lois comme le CFAA aux États-Unis et le Computer Misuse Act au Royaume-Uni.
Combien de temps dure un test d'intrusion ?
Un test d'intrusion commercial type dure d'une à trois semaines de test actif, selon le périmètre, suivies de plusieurs jours de rédaction du rapport. Une seule application web peut prendre une semaine ; un grand réseau avec de nombreux hôtes et un Active Directory peut prendre un mois ou plus. Le périmètre et la complexité dictent le délai, pas un calendrier fixe.
Faut-il savoir programmer pour être pentester ?
Vous devez lire le code couramment et écrire des scripts simples, mais vous n'avez pas besoin d'être ingénieur logiciel. La plupart des testeurs utilisent Python ou Bash pour automatiser des tâches répétitives, modifier du code d'exploit public et lire le code source d'une application assez bien pour y repérer des failles. Le seuil, c'est « à l'aise pour lire n'importe quel langage, capable de scripter dans un ou deux ».
Quelle est la différence entre test d'intrusion et hacking éthique ?
Le hacking éthique est la pratique large consistant à utiliser légalement des compétences offensives. Le test d'intrusion est une mission précise et structurée au sein de cette pratique : une évaluation cadrée et limitée dans le temps qui produit un rapport. Tout test d'intrusion est du hacking éthique, mais le hacking éthique couvre aussi le bug bounty, le red teaming et la recherche en sécurité.
Combien gagnent les pentesters ?
Aux États-Unis, les pentesters gagnent couramment entre 90 000 $ et 150 000 $ par an, les rôles seniors et spécialisés comme opérateur red team gagnant davantage. La rémunération varie selon la région, la spécialité et les certifications détenues. La demande reste forte car le déficit mondial de main-d'œuvre en cybersécurité se compte toujours en millions de postes non pourvus selon les estimations de l'ISC2.
Quelles certifications sont les meilleures pour le test d'intrusion ?
L'OSCP est la certification offensive d'entrée la plus respectée car son examen est entièrement pratique. Parmi les autres options reconnues figurent le PNPT, le CompTIA PenTest+ et l'eJPT pour les vrais débutants. Les certifications aident à l'embauche, mais la compétence démontrée par les labs, les résultats CTF et les divulgations de bug bounty compte davantage en pratique.
Peut-on apprendre le test d'intrusion seul ?
Oui. La plupart des pentesters en activité sont largement autodidactes, grâce aux cours en ligne, aux plateformes de labs et aux événements CTF. Un diplôme aide mais n'est pas indispensable. Le recrutement valorise la preuve de compétence plutôt que les diplômes, et c'est pourquoi un solide historique de labs et de CTF ouvre des portes.
Quel est le moyen le plus simple de commencer le test d'intrusion aujourd'hui ?
Ouvrez un compte gratuit sur une plateforme de labs en bac à sable, choisissez un défi débutant et suivez les étapes guidées. Le lab Learn 101 de HackerDNA tourne dans votre navigateur sans configuration, vous pouvez donc lancer votre premier scan et exploiter votre première vulnérabilité en moins d'une heure.
Vos prochaines étapes
Le test d'intrusion est un long apprentissage de la façon dont les systèmes se brisent et de la manière de le prouver. Lire un guide est la partie facile. La compétence elle-même se construit en laboratoire, où vous exploitez une vulnérabilité vous-même, échouez quelques fois, et finissez par comprendre pourquoi le bug existe et comment trouver le suivant. Il n'y a pas de raccourci, et il n'y a pas de substitut.
Commencez dans le cours Network Penetration Testing de HackerDNA pour le déroulé complet d'une mission, du premier scan Nmap jusqu'à l'élévation de privilèges et au rapport. Si vous préférez vous spécialiser dans les applications web, le cours Web Attacks couvre l'injection SQL, le XSS, le SSRF et le reste de l'OWASP Top 10 en pratique. Les vrais débutants devraient d'abord s'échauffer avec le lab Learn 101.
L'offre gratuite de HackerDNA vous donne des labs dans le navigateur, sans carte bancaire ni installation locale. Ouvrez un navigateur, choisissez un lab, et commencez à tester, la version autorisée.
