CyberGlossary

Défense et opérations

Test d'intrusion

Aussi appelé: Pentest, Piratage éthique

Définition

Cyberattaque simulée et autorisée contre des systèmes, applications ou personnes pour identifier les faiblesses exploitables avant les véritables adversaires.

Le test d'intrusion (pentest) est une évaluation de sécurité orientée objectif où des testeurs qualifiés tentent de franchir les défenses de l'organisation en utilisant les mêmes outils et techniques que de véritables attaquants. Chaque mission définit un périmètre, des règles d'engagement et une autorisation écrite ; elle peut cibler des réseaux, des applications web et mobiles, des charges cloud, des APIs, des sites physiques ou le personnel par ingénierie sociale. Contrairement au scan automatisé, le pentest prouve l'exploitabilité en chaînant les vulnérabilités pour démontrer un impact métier, tel qu'une exfiltration de données ou la compromission du domaine. Les résultats alimentent la remédiation, valident l'efficacité des contrôles et soutiennent la conformité (PCI DSS, HIPAA, ISO 27001).

Exemples

  • Pentest externe obtenant un accès initial via un VPN exposé puis pivotant jusqu'à administrateur de domaine.
  • Pentest applicatif combinant un IDOR avec un XSS stocké pour compromettre des comptes administrateurs.

Termes liés