Loi 25 & Conformité

Test de pénétration : c'est quoi et pourquoi en faire un

Illustration: Test de pénétration : c'est quoi et pourquoi en faire un
5 min de lecture 0

Test de pénétration : c’est quoi, comment ça se passe, et pourquoi t’en as besoin

Le test de pénétration — ou pentest — est encore trop souvent vu comme quelque chose de réservé aux grandes entreprises ou aux institutions gouvernementales. La réalité en 2026 : une PME qui fait traiter des paiements en ligne, qui stocke des données clients ou qui offre des services à distance est une cible aussi attractive qu’une grande entreprise — avec des défenses généralement bien moins robustes. Ce guide explique ce qu’est un pentest, comment ça fonctionne, et ce que ça te donne en retour.

Qu’est-ce qu’un test de pénétration ?

Un test de pénétration est une simulation d’attaque informatique autorisée, menée par un professionnel de la sécurité, contre tes propres systèmes. L’objectif est de découvrir les failles de sécurité avant que des personnes malveillantes ne le fassent.

La différence avec un hacker malveillant : le but est de t’informer et de t’aider à corriger, pas de te nuire ou de voler tes données. Tout est fait avec ton consentement et dans un cadre légal défini.

Les types de tests de pénétration

Par niveau de connaissance (les trois boîtes)

Boîte noire (Black Box) : le testeur n’a aucune information préalable sur tes systèmes. Il part de zéro, comme un attaquant externe qui ne te connaît pas. Réaliste pour simuler une attaque externe, mais prend plus de temps et peut manquer des vulnérabilités internes.

Boîte grise (Grey Box) : le testeur a certaines informations — peut-être un compte utilisateur, de la documentation sur l’architecture, un accès à l’intranet. Simule un employé malveillant ou un attaquant qui a obtenu des informations initiales.

Boîte blanche (White Box) : le testeur a un accès complet à la documentation, au code source, aux configurations. Permet une analyse exhaustive, idéale pour les audits de sécurité approfondis.

Par périmètre

Test réseau externe : ce qu’un attaquant peut faire depuis internet contre tes actifs exposés — site web, VPN, serveur email, services cloud.

Test réseau interne : ce qu’un attaquant peut faire une fois à l’intérieur de ton réseau (simule une compromission par malware, un employé malveillant, ou un accès physique non autorisé).

Test d’application web : analyse spécifique de ton application web ou API — injection SQL, XSS, IDOR, mauvaise gestion des sessions, vulnérabilités de logique métier.

Test mobile : analyse de tes applications iOS et Android.

Test d’ingénierie sociale : simulation d’attaques de phishing contre tes employés, tests d’accès physique.

Comment se déroule un test de pénétration

Phase 1 : Définition du périmètre et autorisation écrite

La première étape est cruciale et souvent sous-estimée. Avant toute action technique, on définit :

  • Le périmètre exact (quels systèmes, quelles adresses IP, quelles applications)
  • Les contraintes (plages horaires, systèmes critiques à ne pas tester en production)
  • Les règles d’engagement (ce qui est permis, ce qui ne l’est pas)
  • Le point de contact en cas d’incident réel découvert pendant le test

Tout ceci est signé. Un test de pénétration sans autorisation écrite explicite est illégal, peu importe les intentions.

Phase 2 : Reconnaissance (Recon)

Le testeur collecte des informations sur ta cible depuis des sources publiques : informations WHOIS, certificats SSL, emails exposés, technologies utilisées (détectables via les headers HTTP), présence sur LinkedIn, offres d’emploi qui révèlent ton stack technologique.

Cela simule le travail qu’un vrai attaquant ferait avant de passer à l’action.

Phase 3 : Scan et énumération

Identification des systèmes actifs, des ports ouverts, des services qui tournent et de leurs versions. À partir des versions, on peut identifier des vulnérabilités connues.

Phase 4 : Exploitation

C’est la phase “attaque”. Le testeur tente d’exploiter les vulnérabilités identifiées pour obtenir un accès non autorisé — accès à des données, escalade de privilèges, mouvement latéral dans le réseau.

L’objectif n’est pas de faire le plus de dommages possible, mais de démontrer la faisabilité de l’attaque et d’évaluer son impact potentiel.

Phase 5 : Post-exploitation (si applicable)

Si le testeur obtient un accès, il peut aller plus loin pour évaluer l’étendue des dommages potentiels : accès à d’autres systèmes, persistence (comment un vrai attaquant resterait caché), exfiltration de données (simulée, pas réelle).

Phase 6 : Rapport

C’est ce qui rend le test utile. Un bon rapport de pentest inclut :

  • Un résumé exécutif compréhensible sans expertise technique
  • La liste de toutes les vulnérabilités trouvées avec leur niveau de sévérité (Critique / Haute / Moyenne / Faible)
  • Pour chaque vulnérabilité : une description, la méthode d’exploitation utilisée, l’impact potentiel et des recommandations de remédiation concrètes
  • Une priorisation : quoi corriger en premier

Ce que tu dois savoir avant de commander un pentest

La durée typique : selon le périmètre, un test va de 2 à 10 jours de travail. Un “pentest en 4 heures pour 200$” n’est pas un vrai pentest — c’est un scan automatisé.

Le coût au Canada : pour une PME, prévois entre 3 000$ et 15 000$ selon la taille et le périmètre. Un test d’application web simple est moins coûteux qu’un test réseau complet avec ingénierie sociale.

Le rapport n’est que le début : le pentest identifie les problèmes. La correction te revient. Prévois un budget de remédiation.

La fréquence recommandée : au minimum une fois par an, et à chaque changement significatif de l’infrastructure (nouveau site web, migration cloud, acquisition).

Les certifications à chercher : OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), GPEN (GIAC Penetration Tester) sont des certifications reconnues dans l’industrie.

Qui devrait faire un test de pénétration ?

  • Toute organisation qui traite des paiements en ligne
  • Les PME avec des données clients sensibles (santé, finances, informations personnelles)
  • Les entreprises qui ont des obligations de conformité (Loi 25, PIPEDA, PCI-DSS pour les paiements par carte)
  • Les startups tech avant un lancement ou une levée de fonds
  • Toute organisation qui a subi un incident de sécurité récent

Tu veux réaliser un test de pénétration pour ton organisation ? Je réalise des tests de pénétration pour des PME québécoises — site web, application, réseau, et ingénierie sociale. Contacte-moi à khalid@sequr.ca pour un devis selon ton périmètre.

Voir aussi : Test de pénétration au Québec : tout ce qu’il faut savoir avant d’engager un spécialisteGuide complet cybersécurité pour PME au Québec

Khalid Mokrini

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5) Québec, Canada

Articles connexes

Loi 25 & Conformité

Test de pénétration Québec : tout savoir avant d'engager

Pentest au Québec : comment choisir un spécialiste, ce qu'inclut un vrai test, les prix réels et les pièges à éviter.
Loi 25 & Conformité

Cybersécurité PME Québec : guide complet 2026

Guide cybersécurité PME Québec : menaces, outils, conformité Loi 25 et plan d'action concret pour protéger ton entreprise.
Loi 25 & Conformité

PIPEDA et Loi 25 : guide conformité PME québécoises

PIPEDA et Loi 25 Québec : différences, obligations cumulatives et guide pratique de conformité pour les PME en 2026.

Consultation personnalisée

Votre appareil est-il vraiment protégé ?

Un expert certifié analyse votre situation et vous propose un plan d'action concret, adapté à votre appareil et vos habitudes.

Demander une consultation

100 % à distance — Québec