Test de pénétration au Québec : tout ce qu’il faut savoir avant d’engager un spécialiste
Si tu cherches à faire réaliser un test de pénétration au Québec, tu vas rapidement réaliser qu’il est difficile de comparer les offres. Les prix varient énormément, les termes sont utilisés de façon inconsistante, et certains “tests” sont en réalité de simples scans automatisés vendus au prix d’un vrai pentest. Ce guide te donne les informations dont tu as besoin pour faire le bon choix — et éviter de payer pour quelque chose que tu ne comprends pas vraiment.
Qu’est-ce qu’un vrai test de pénétration ?
Un test de pénétration (pentest) est une simulation d’attaque autorisée, menée par un humain qualifié, qui va au-delà de ce que font les outils automatisés.
Un vrai pentest inclut :
- Reconnaissance manuelle de ta surface d’attaque
- Analyse contextuelle des vulnérabilités trouvées
- Exploitation manuelle pour confirmer l’impact réel (pas juste signaler que la faille existe)
- Chaînage de vulnérabilités (comment plusieurs petites failles se combinent pour permettre une intrusion majeure)
- Rapport avec priorisation réfléchie, pas juste une liste sortie d’un scanner
Un scan de vulnérabilités (ce que ce n’est PAS) :
- Un outil automatisé (Nessus, OpenVAS, Qualys) analyse tes systèmes
- Il génère une liste de vulnérabilités potentielles basée sur des signatures
- Aucune exploitation réelle, aucune validation, beaucoup de faux positifs
- Utile mais insuffisant pour comprendre ton risque réel
Scan de vulnérabilités vs Pentest vs Red Team : le tableau
Beaucoup de vendeurs utilisent ces trois termes de façon interchangeable. C’est faux, et ça coûte cher quand tu te trompes de prestation.
| Critère | Scan de vulnérabilités | Pentest standard | Red Team |
|---|---|---|---|
| Qui l’exécute | Outil automatisé | Humain qualifié | Équipe pluridisciplinaire |
| Durée typique | Quelques heures | 1 à 2 semaines | 1 à 3 mois |
| Exploitation réelle | Non | Oui, avec autorisation | Oui, souvent à l’insu des équipes IT |
| Rapport | Liste de CVE bruts | Rapport contextualisé avec preuves | Rapport exécutif + timeline d’attaque complète |
| Prix indicatif | 500$ – 2 000$ | 3 000$ – 20 000$ | 15 000$ – 100 000$+ |
| Pour qui | Conformité basique, audit initial | PME voulant connaître son risque réel | Grandes entreprises, banques, institutions |
Pour 95 % des PME québécoises, le pentest standard est le bon choix. Le red team, c’est pour les organisations qui ont déjà fait plusieurs cycles de pentests, qui ont une équipe sécurité interne, et qui veulent tester leur capacité de détection — pas seulement leurs vulnérabilités techniques. Si tu n’as jamais fait évaluer ta sécurité, commencer par un red team serait comme passer directement à l’examen de conduite sans avoir appris à conduire.
Les types de tests disponibles
Test externe (External Penetration Test)
Simule un attaquant depuis internet, sans accès préalable à tes systèmes. Cible ce qui est visible depuis l’extérieur : site web, VPN, serveurs email, API, services cloud exposés.
Quand le faire : si tu as une présence internet significative, des services exposés, ou si tu n’as jamais évalué ta surface d’attaque externe.
Prix indicatif : 3 000$ à 8 000$ pour une PME de taille standard
Test interne (Internal Penetration Test)
Simule un attaquant déjà dans ton réseau — employé malveillant, visiteur, ou attaquant qui a compromis un premier poste par phishing ou ransomware. Teste la propagation latérale, l’escalade de privilèges, l’accès aux données sensibles.
Quand le faire : après un test externe, ou si tu as des préoccupations sur les accès internes (turnover d’employés, accès de sous-traitants).
Prix indicatif : 5 000$ à 15 000$
Test d’application web
Analyse spécifique d’une application web ou d’une API. Cherche les injections SQL, XSS, IDOR (Insecure Direct Object Reference), problèmes d’authentification, mauvaise gestion des sessions, vulnérabilités de logique métier.
Quand le faire : avant le lancement d’une application, après des modifications majeures, annuellement pour les applications critiques.
Prix indicatif : 4 000$ à 12 000$ selon la complexité de l’application
Test d’ingénierie sociale
Simulation d’attaques de phishing contre tes employés, tentatives d’accès physique, prétexting par téléphone. Évalue le facteur humain de ta sécurité.
Quand le faire : en complément d’un test technique, ou si tu penses que tes employés sont la principale vulnérabilité.
Prix indicatif : 2 000$ à 5 000$ selon l’étendue
La Loi 25 impose-t-elle un pentest ?
La Loi 25 ne nomme pas le “test de pénétration” explicitement dans son texte. Mais elle impose de mettre en place des “mesures de protection appropriées” et d’être en mesure de démontrer une diligence raisonnable. C’est là que ça devient concret pour les PME.
En pratique : si tu subis une brèche et que tu n’as jamais fait évaluer ta sécurité, la Commission d’accès à l’information (CAI) considère l’absence totale d’évaluation comme un facteur aggravant dans l’analyse de la sanction. À l’inverse, une organisation qui peut présenter un rapport de pentest documenté, même s’il date de 12 mois, montre qu’elle a pris la menace au sérieux. C’est une différence qui compte.
Idem pour PIPEDA au fédéral. Les organisations qui traitent des données sensibles — santé, finances, ressources humaines, données de mineurs — ont une obligation de moyens plus élevée que celles qui gèrent des listes d’abonnés à une infolettre.
La question à se poser n’est pas “est-ce que la Loi 25 m’oblige ?”. C’est plutôt : si la CAI frappe à ma porte demain après une brèche, est-ce que j’ai quelque chose à montrer ? Un pentest documenté répond à cette question.
Recommandation directe : fais un pentest avant de subir une brèche, pas après. Après, c’est trop tard pour démontrer la diligence préventive — tu peux seulement montrer ta réaction.
Les certifications à chercher
Les certifications valident les compétences d’un testeur. Voici celles qui sont reconnues dans l’industrie :
OSCP (Offensive Security Certified Professional) : la certification la plus respectée en test de pénétration. L’examen est un test pratique de 24 heures où le candidat doit compromettre plusieurs machines dans un réseau contrôlé. Difficile à obtenir, difficile à feindre.
GPEN (GIAC Penetration Tester) : certification GIAC reconnue, solide mais moins pratique que l’OSCP.
CEH (Certified Ethical Hacker) : souvent citée, mais critiquée dans l’industrie pour être trop théorique. Un titre CEH seul ne vaut pas grand-chose — c’est un examen à choix multiples qui mesure des connaissances, pas une capacité à compromettre des systèmes réels. Tu peux passer le CEH en lisant des livres. Tu ne peux pas passer l’OSCP en lisant des livres.
PNPT (Practical Network Penetration Tester) : certification pratique plus récente, très bien regardée dans la communauté.
eJPT / eCPPT (eLearnSecurity) : certifications d’entrée de gamme et intermédiaires respectées.
Demande les certifications et valide-les sur le site de l’organisme certificateur — certains fournisseurs ont présenté de fausses attestations à des clients qui ne prenaient pas la peine de vérifier.
Les questions à poser avant d’engager
Sur les compétences
- “Quelles certifications vos testeurs détiennent-ils ? Puis-je voir les attestations ?”
- “Combien d’années d’expérience en test de pénétration actif (pas juste en sécurité générale) ?”
- “Avez-vous fait des tests sur des environnements similaires au nôtre ?”
- “Qui exactement sera sur ce projet ?” (pas juste le commercial)
Sur la méthode
- “Quel framework méthodologique utilisez-vous ?” (PTES, OWASP, OSSTMM, NIST)
- “Quelle est la proportion de travail manuel versus outils automatisés ?”
- “Comment gérez-vous la découverte d’une vulnérabilité critique en cours de test ?”
- “Que se passe-t-il si vous causez involontairement une interruption de service ?”
Sur le rapport
- “Quel est le format du rapport final ?”
- “Y a-t-il un résumé exécutif pour les non-techniciens ?”
- “Les vulnérabilités sont-elles priorisées avec des recommandations concrètes ?”
- “Offrez-vous une session de présentation des résultats ?”
- “Y a-t-il un test de revalidation après correction ?”
Sur le légal
- “Quelle documentation contractuelle définissez-vous avant de commencer ?”
- “Comment gérez-vous la confidentialité des informations trouvées ?”
- “Êtes-vous couverts par une assurance responsabilité professionnelle ?”
Ce qu’un bon rapport contient
Le rapport est ce que tu gardes après le test. Un bon rapport :
Résumé exécutif (1-2 pages)
- Évaluation globale du niveau de risque
- Principaux points forts et vulnérabilités critiques
- Recommandations prioritaires
- Lisible par un dirigeant sans expertise technique
Résultats détaillés (pour l’équipe technique)
- Chaque vulnérabilité avec : description, sévérité (Critique/Haute/Moyenne/Faible), preuve de concept (captures d’écran, code), impact réel, recommandation de remédiation
Annexes
- Scope du test, dates, méthodologie utilisée
- Outils utilisés
Ce qu’un mauvais rapport contient :
- Liste de sorties d’outils automatisés non analysées
- Recommandations génériques (“mettre à jour vos systèmes”)
- Pas de preuve d’exploitation réelle
- Sévérités non contextualisées (tout est “Critique”)
Les prix réels au Québec en 2026
Les prix varient selon le scope, l’expérience du testeur et la taille de la firme.
Freelance/consultant indépendant :
- Test externe simple : 2 500$ - 5 000$
- Test web application : 3 000$ - 8 000$
- Test interne : 4 000$ - 10 000$
Petite firme spécialisée :
- Test externe simple : 5 000$ - 10 000$
- Test web application : 6 000$ - 15 000$
- Test interne : 8 000$ - 20 000$
Grande firme (Deloitte, KPMG, Canalys, PwC) :
- 15 000$ à 50 000$+ selon le scope
- Coûts élevés justifiés par la couverture d’assurance, les processus de reporting corporate, et les équipes plus larges
- Souvent surdimensionné pour une PME
Ce qu’il ne faut pas faire : choisir uniquement sur le prix. Un “pentest” à 500$ est quasi-certainement un scan automatisé.
Ce qui se passe concrètement pendant un pentest (semaine par semaine)
Un pentest, pour beaucoup de propriétaires de PME, reste une boîte noire. Quelqu’un entre dans tes systèmes, et quelques semaines plus tard tu reçois un PDF. Voilà ce qui se passe vraiment.
Avant le début (1-2 semaines de préparation)
Avant que quoi que ce soit soit testé, il y a du travail contractuel non négligeable. Le contrat et les autorisations sont signés — c’est non-négociable d’un point de vue légal. On définit le scope exact : quelles adresses IP, quels domaines, quelles applications sont dans le périmètre. Les heures d’intervention sont précisées (peut-on tester pendant les heures d’ouverture si ça risque de ralentir les systèmes ?). Les contacts d’urgence sont échangés de part et d’autre. On établit les règles d’engagement : peut-on tester la production directement, ou faut-il un environnement miroir ?
Ce travail préparatoire est révélateur de la qualité du prestataire. Un bon testeur passe du temps à comprendre ton environnement avant de commencer — pas juste à démarrer Nmap.
Semaine 1 — Reconnaissance et scanning
Le testeur analyse ta surface d’attaque depuis l’extérieur sans encore exploiter quoi que ce soit. Il cartographie tes systèmes, identifie les technologies utilisées (versions de frameworks, serveurs web, CMS), cherche les informations publiquement disponibles : profils LinkedIn de tes employés techniques, adresses email qui traînent dans des breaches publics, sous-domaines oubliés que tu pensais ne plus utiliser depuis 2019.
À ce stade, il n’y a aucun impact sur tes systèmes. Si tes logs détectent quelque chose, c’est du trafic d’analyse — rien n’est touché. C’est aussi la phase qui surprend le plus les clients : ce que le testeur trouve sans même avoir commencé les attaques.
Semaine 1-2 — Exploitation
C’est là que le travail réellement humain commence. Le testeur tente d’exploiter les vulnérabilités identifiées — avec ton autorisation, dans le périmètre défini. Certaines vulnérabilités “théoriques” que les scanners automatisés classent comme “Critique” s’avèrent inexploitables dans ton contexte spécifique. Le testeur le confirme et l’indique dans le rapport — ce qui est en soi une bonne nouvelle.
À l’inverse, certaines vulnérabilités classées “Faible” ou “Informationnelle” par les outils automatisés peuvent, une fois chaînées avec d’autres éléments du contexte, permettre une intrusion majeure. Une information qui semble anodine combinée à un service mal configuré et un mot de passe faible peut donner accès à l’ensemble de ton réseau. C’est exactement ce qu’un scanner ne peut pas faire — et ce que fait un humain qualifié.
Fin de semaine 2 — Rapport et présentation
Une fois les tests terminés, le testeur rédige le rapport. Pas juste exporter les sorties d’outils — rédiger une analyse contextualisée, écrire les preuves, documenter l’impact réel de chaque vulnérabilité pour ton contexte.
Ensuite, une session de débriefing avec ton équipe technique : on parcourt chaque vulnérabilité, on répond aux questions, on clarifie les recommandations. Une bonne présentation exécutive suit pour les décideurs — sans jargon, avec des impacts en langage business.
Après (optionnel mais recommandé) — Retest
Après que tu as corrigé les vulnérabilités, un retest confirme que les failles sont vraiment fermées. Pas juste patchées en surface de façon à passer un scan automatisé, mais réellement corrigées. Certains prestataires incluent le retest dans le prix initial ; d’autres le facturent à part. Demande-le avant de signer.
Les 5 failles les plus courantes dans les PME québécoises
Ce n’est pas théorique. Ce sont les problèmes que les tests de pénétration sur des PME québécoises révèlent systématiquement, année après année.
1. RDP exposé directement sur internet
Le port 3389 (Remote Desktop Protocol) est accessible depuis l’extérieur, souvent sans VPN, parfois avec un compte administrateur aux identifiants faibles. C’est l’équivalent de laisser la porte d’entrée de ton bureau ouverte avec un panneau “salle serveur par ici”. Impact réel : une intrusion directe en moins de 10 minutes pour un attaquant qui sait ce qu’il fait. Les scans automatisés de ports mal configurés se font en permanence sur internet — ton IP exposée sera trouvée.
2. MFA absent sur Office 365 / Microsoft 365
Les trois quarts des PME testées ont au minimum un compte administrateur sans authentification multifacteur activée. Un seul compte admin compromis par credential stuffing (tester des combinaisons email/mot de passe tirées de bases de données volées) suffit pour prendre le contrôle de toute la messagerie de l’entreprise, des partages SharePoint, des données OneDrive. C’est une correction qui prend 30 minutes et qui élimine l’un des vecteurs d’attaque les plus utilisés.
3. Mots de passe par défaut sur les équipements réseau
Routeurs, switches administrables, caméras IP, imprimantes réseau. “admin/admin”, “admin/password”, ou le mot de passe imprimé sur une étiquette collée derrière l’équipement — toujours présent dans les réseaux PME. Un attaquant qui a accès à ton réseau local (via un invité WiFi mal segmenté, par exemple) peut compromettre l’ensemble de ton infrastructure réseau à partir de l’équipement le moins bien protégé.
4. WordPress ou CMS non mis à jour
Les plugins WordPress sont la source de la majorité des compromissions de sites web de PME. Un plugin e-commerce ou de formulaire avec une vulnérabilité d’injection SQL connue depuis 6 mois, non mis à jour parce que “ça fonctionnait” — c’est une porte ouverte. L’impact dépasse souvent le site web : serveur compromis, données client volées, domaine utilisé pour envoyer du spam, blacklisté par les fournisseurs email.
5. Comptes de service avec droits Domain Admin
Dans les environnements Windows avec Active Directory, des applications (logiciels de comptabilité, de sauvegarde, de gestion) ont besoin d’un compte pour fonctionner. Ces comptes de service ont souvent été créés avec des droits Domain Admin parce que c’était “plus simple” au moment de l’installation. Ils ne devraient jamais avoir ces droits. Si le service ou l’application qui utilise ce compte est compromis, l’attaquant hérite instantanément du contrôle total du domaine Active Directory — et donc de tout ce qui y est connecté.
Le cadre légal au Québec
Un test de pénétration sans autorisation écrite explicite est une infraction criminelle au Canada (Loi sur la cybercriminalité, Code criminel).
Le contrat doit définir :
- Le périmètre exact (adresses IP, domaines, applications)
- Les dates et heures du test
- Les personnes autorisées à conduire le test
- Les contacts d’urgence
- La procédure en cas de découverte d’une vulnérabilité critique
Ne jamais commencer sans documentation signée.
Après le test : la remédiation
Le rapport n’est que la moitié du travail. La vraie valeur vient de corriger les vulnérabilités trouvées.
Bonne pratique : demande si le prestataire offre un test de revalidation (retest) après que tu as apporté les corrections — pour confirmer que les failles sont réellement fermées, pas juste patchées en surface.
FAQ — Test de pénétration au Québec
Combien de temps faut-il pour faire un pentest ?
Pour une PME avec un scope standard (périmètre externe ou une application web), compte 2 à 4 semaines au total : 1 à 2 semaines de préparation contractuelle et définition du scope, 1 à 2 semaines de tests, puis quelques jours pour la rédaction du rapport et la présentation. Un devis reçu le lundi ne démarre pas le vendredi — un prestataire sérieux prend le temps de bien comprendre ton environnement avant de commencer.
Faut-il aviser ses employés qu’un pentest est en cours ?
Ça dépend de ce que tu veux tester. Si l’objectif est de tester les systèmes techniques uniquement, tu peux aviser ton équipe IT — ils pourront répondre rapidement si quelque chose sort de l’ordinaire pendant les tests. Si tu veux aussi tester le volet ingénierie sociale (phishing, prétexting), on ne prévient pas les employés — c’est justement l’objectif de mesurer leur réaction naturelle. Dans tous les cas, les dirigeants et les responsables IT principaux doivent être informés. On ne teste jamais à l’insu de la direction.
La Loi 25 impose-t-elle un pentest ?
La Loi 25 n’impose pas explicitement un test de pénétration. Elle impose des “mesures de protection appropriées” et la capacité de démontrer une diligence raisonnable. Un pentest documenté est l’une des meilleures preuves de cette diligence — particulièrement pour les organisations qui traitent des données sensibles (santé, RH, finances). Si une brèche survient et que tu n’as jamais évalué ta sécurité de façon formelle, l’absence de toute évaluation sera un facteur aggravant dans l’analyse de la CAI.
Est-ce qu’un pentest peut faire tomber mes systèmes ?
C’est une préoccupation légitime et un bon prestataire la prend au sérieux. Les règles d’engagement définissent à l’avance les limites des tests — certaines techniques destructives (comme les attaques de déni de service) sont généralement exclues des pentests standard. Le testeur communique en temps réel avec ton contact technique si quelque chose de sensible est découvert. Dans de rares cas, des vulnérabilités dans des services anciens peuvent provoquer un crash lors d’un test d’exploitation — c’est pourquoi les contacts d’urgence et les procédures de réponse sont établis avant de commencer.
Tu veux un test de pénétration adapté à ta PME québécoise ? Khalid réalise des tests de pénétration professionnels pour les PME — site web, application, réseau, ingénierie sociale. Rapport complet, présentation des résultats, et suivi de remédiation inclus. Contacte-le directement : page contact ou par téléphone au (581) 748-8348 pour un devis basé sur ton périmètre réel.
Voir aussi : Test de pénétration : c’est quoi, comment ça se passe — Guide complet cybersécurité pour PME au Québec — Loi 25 Québec : ce que chaque PME doit savoir