Sommaire
Dans le domaine de la cybersécurité, deux approches reviennent systématiquement lorsqu’il s’agit d’évaluer la sécurité d’un système d’information : le scan de vulnérabilités et le test d’intrusion (ou pentest). Bien que ces deux méthodes visent à identifier des failles de sécurité, elles diffèrent radicalement dans leur approche, leur profondeur d’analyse et les résultats qu’elles produisent.
Pourtant, de nombreuses entreprises les confondent encore, pensant qu’un simple scan automatisé suffit à garantir leur sécurité. Cette confusion peut avoir des conséquences graves. Voyons en détail ce qui distingue ces deux approches et comment les combiner efficacement.
Qu’est-ce qu’un scan de vulnérabilités ?
Un scan de vulnérabilités est un processus automatisé qui utilise des outils spécialisés pour analyser un système, un réseau ou une application à la recherche de failles de sécurité connues. Les outils les plus courants incluent :
- Nessus (Tenable) — le leader du marché, avec une base de plus de 200 000 plugins
- Qualys — solution cloud largement utilisée dans les grandes entreprises
- OpenVAS — alternative open source performante
- Nuclei — outil moderne basé sur des templates communautaires
Le scanner compare les versions des logiciels détectés avec une base de données de vulnérabilités connues (CVE), vérifie les configurations par défaut, teste les mots de passe triviaux et identifie les services exposés inutilement.
Avantages du scan automatisé
- Rapidité : un scan complet peut s’exécuter en quelques heures
- Couverture large : des centaines ou milliers d’hôtes analysés en une seule passe
- Reproductibilité : les résultats sont cohérents d’un scan à l’autre
- Coût réduit : après l’investissement initial dans l’outil, chaque scan coûte peu
- Fréquence : peut être planifié de manière hebdomadaire ou même quotidienne
Limites du scan automatisé
- Faux positifs : les scanners génèrent régulièrement des alertes non pertinentes
- Pas de contexte métier : l’outil ne comprend pas la logique applicative
- Vulnérabilités connues uniquement : impossible de détecter des failles zero-day ou des erreurs de logique
- Pas d’exploitation : le scanner identifie une faille potentielle mais ne prouve pas qu’elle est exploitable
- Surface limitée : les failles complexes nécessitant un enchaînement d’actions échappent au scanner
Qu’est-ce qu’un test d’intrusion ?
Un test d’intrusion est une évaluation manuelle de la sécurité, réalisée par un expert en cybersécurité (pentester) qui simule les techniques d’un attaquant réel. Le pentester ne se contente pas de lister des vulnérabilités : il les exploite pour démontrer leur impact concret sur l’entreprise.
Le test d’intrusion suit généralement une méthodologie structurée :
- Reconnaissance — collecte d’informations sur la cible (OSINT, DNS, technologies utilisées)
- Énumération — identification précise des services, versions, points d’entrée
- Exploitation — tentative d’exploitation des vulnérabilités identifiées
- Post-exploitation — évaluation de l’impact (élévation de privilèges, mouvement latéral, exfiltration)
- Rapport — documentation détaillée des trouvailles avec preuves et recommandations
Types de tests d’intrusion
- Boîte noire (black box) : le pentester n’a aucune information préalable, comme un attaquant externe
- Boîte grise (grey box) : le pentester dispose de certaines informations (comptes utilisateurs, documentation partielle)
- Boîte blanche (white box) : accès complet au code source, à l’architecture et aux comptes privilégiés
Ce que le pentest apporte de plus
Le pentester apporte une intelligence humaine que l’outil automatisé ne peut pas reproduire. Il comprend le contexte métier, identifie des scénarios d’attaque réalistes et enchaîne les vulnérabilités pour démontrer un impact maximal.
Par exemple, un scanner pourrait identifier qu’un formulaire de contact ne filtre pas correctement les entrées. Le pentester, lui, exploitera cette faille XSS pour voler le cookie de session d’un administrateur, accéder au back-office, et démontrer qu’un attaquant pourrait modifier le contenu du site ou accéder à la base de données clients.
Des failles que seul un pentest peut révéler
Voici des exemples concrets de vulnérabilités régulièrement découvertes lors de tests d’intrusion et qui échappent systématiquement aux scanners automatisés :
Failles de logique métier
Lors d’un audit d’une application e-commerce, nous avons découvert qu’en modifiant un paramètre dans la requête HTTP de validation de commande, il était possible de modifier le prix d’un article avant la finalisation du paiement. Le scanner n’avait rien détecté car la requête était techniquement valide — c’est la logique applicative qui était défaillante.
Enchaînement de vulnérabilités
Sur un réseau d’entreprise, un scan Nessus avait identifié quelques vulnérabilités de sévérité moyenne. Lors du pentest, nous avons enchaîné trois de ces vulnérabilités « moyennes » pour obtenir un accès administrateur du domaine Active Directory en moins de deux heures. Individuellement, chaque faille semblait peu critique. Combinées, elles offraient un accès total au système d’information.
IDOR (Insecure Direct Object Reference)
Une application bancaire permettait à un utilisateur authentifié de consulter les relevés d’autres clients en modifiant simplement l’identifiant dans l’URL. Ce type de faille est invisible pour un scanner car il nécessite de comprendre le modèle d’autorisation de l’application.
Contournement d’authentification
Un mécanisme de réinitialisation de mot de passe générait des tokens prévisibles basés sur l’horodatage. En analysant le pattern, il était possible de réinitialiser le mot de passe de n’importe quel utilisateur. Aucun outil automatisé n’aurait pu identifier cette faiblesse cryptographique contextuelle.
Quand utiliser chaque approche ?
Le scan de vulnérabilités est idéal pour :
- La surveillance continue du parc informatique
- L’identification rapide des correctifs manquants
- La conformité réglementaire (PCI-DSS, ISO 27001)
- Le suivi de l’évolution du niveau de sécurité dans le temps
- Les vérifications post-déploiement
Le test d’intrusion est indispensable pour :
- L’évaluation approfondie d’une application critique
- La validation de la sécurité avant une mise en production
- La démonstration concrète des risques à la direction
- L’identification de failles complexes et contextuelles
- La conformité à certaines réglementations (NIS 2, DORA)
Combiner les deux pour une sécurité optimale
La meilleure stratégie consiste à combiner les deux approches de manière complémentaire :
- Scans réguliers (mensuels ou trimestriels) pour maintenir une visibilité continue sur les vulnérabilités connues et les correctifs manquants
- Tests d’intrusion annuels (ou après chaque changement majeur) pour évaluer en profondeur la résistance face à un attaquant déterminé
- Retests ciblés après correction des vulnérabilités identifiées lors du pentest
Cette approche en couches permet de couvrir à la fois la largeur (scan automatisé sur tout le périmètre) et la profondeur (pentest sur les actifs critiques).
Ce qu’il faut retenir
| Critère | Scan de vulnérabilités | Test d’intrusion |
|---|---|---|
| Approche | Automatisée | Manuelle |
| Durée | Quelques heures | Plusieurs jours |
| Profondeur | Superficielle | Approfondie |
| Faux positifs | Nombreux | Très peu |
| Logique métier | Non testée | Testée |
| Exploitation | Non | Oui |
| Fréquence | Régulière | Annuelle |
| Coût | Faible par scan | Plus élevé |
Un scan de vulnérabilités vous dit ce qui pourrait être vulnérable. Un test d’intrusion vous montre ce qu’un attaquant peut réellement faire. Les deux sont essentiels, mais ils ne remplissent pas le même rôle. Ne commettez pas l’erreur de croire qu’un scan automatisé peut remplacer l’expertise d’un pentester professionnel.
Chez Expert Intrusion, nous proposons les deux services et accompagnons nos clients dans la définition de la stratégie la plus adaptée à leur contexte, leur budget et leurs obligations réglementaires. N’hésitez pas à nous contacter pour en discuter.
