Pentest : Test d'intrusion professionnel pour DORA, NIS2 et ISO 27001
Un pentest révèle ce qu'un attaquant trouverait dans votre application — avant qu'il ne le trouve. Matproof Sentinel exécute des tests d'intrusion pilotés par IA en heures plutôt qu'en semaines, livre une preuve d'exploitation pour chaque finding et mappe les résultats sur DORA Art. 24, NIS2 Art. 21, ISO 27001 A.8.29 et les exigences ANSSI. Commencez par un scan gratuit de 3 minutes ou un pentest unique à partir de 149 €.
Pourquoi un pentest n'est plus optionnel en 2026
Depuis le 17 janvier 2025, le règlement DORA exige des entités financières un test technique régulier de leurs systèmes TIC — l'article 24 mentionne explicitement « tests de pénétration, y compris des tests fondés sur les menaces ». La directive NIS2, transposée en droit français en octobre 2024, impose à son article 21 « des évaluations de sécurité régulières et ad hoc ». Un manquement n'est plus seulement un risque d'amende — sous NIS2, la direction est personnellement responsable, avec des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. L'ANSSI, dans son rapport annuel 2024, a constaté une augmentation de 40 % des incidents touchant les PME françaises, et plus de 8 000 nouvelles CVE ont été publiées au T1 2025. Sans rapport de pentest récent, vous risquez non seulement des findings d'audit, mais aussi des contrats B2B perdus — presque chaque appel d'offres enterprise contient désormais une clause exigeant un « rapport de pentest récent (< 12 mois) ».
- DORA Art. 24 (en vigueur depuis le 17/01/2025) impose un test d'intrusion documenté et régulier pour tous les systèmes TIC des entités financières — y compris des tests TLPT (Threat-Led Penetration Testing) selon TIBER-EU.
- NIS2 Art. 21 exige des « mesures techniques, opérationnelles et organisationnelles appropriées » — l'ANSSI ne considère plus un simple scanner de vulnérabilités comme suffisant.
- Le règlement ACPR sur le risque opérationnel exige depuis 2023 un pentest annuel pour les établissements financiers de catégorie A et B.
- ISO 27001:2022 Annexe A 8.29 (Security Testing in Development and Acceptance) et A.8.8 (Vulnerability Management) requièrent des tests documentés avant chaque release majeure.
- Un rapport de pentest obsolète (> 12 mois) est une cause directe de disqualification dans 78 % des appels d'offres B2B enterprise (Gartner Procurement 2024).
- Les assureurs cyber (AXA, Generali, Hiscox) exigent depuis 2024 une preuve de pentest pour les polices avec couverture > 5 M€.
- Le coût moyen d'une fuite de données pour une PME française était de 4,2 M€ en 2024 (IBM Cost of a Data Breach Report) — un pentest est rentabilisé dès qu'il prévient un seul finding critique.
Ce que nous testons dans un pentest
- OWASP Top 10 (2021) — couverture complète : A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A07 Authentication Failures
- OWASP API Security Top 10 (2023) — API1 BOLA, API2 Broken Authentication, API4 Resource Consumption, API5 BFLA
- Authentification et gestion de session — faiblesses JWT, flags de cookies (Secure/HttpOnly/SameSite), session-fixation, réinitialisation de mot de passe défaillante
- Logique d'autorisation — IDOR (Insecure Direct Object Reference), escalade horizontale et verticale, isolation multi-tenants
- Validation des entrées — injection SQL (classique + NoSQL), XSS (Reflected/Stored/DOM), SSRF, XXE, injection de commandes
- Configuration — TLS/SSL (RFC 8446), en-têtes de sécurité (HSTS, CSP, Referrer-Policy), CORS, chemins admin exposés, endpoints de debug
- Logique métier — race conditions sur les paiements, abus de coupons/promotions, contournement de quotas, validation de workflow défaillante
- Dépendances (Software Composition Analysis) — CVE connues dans npm/PyPI/Maven, frameworks obsolètes (ex. CVE-2024-43481 Next.js, CVE-2024-43990 Django)
- Configuration DNS — SPF, DKIM, DMARC, enregistrements CAA (pertinent NIS2 pour prévention de spoofing email)
- Infrastructure cloud (plan Growth) — mauvaises configurations IAM, permissions S3 buckets, stockages cloud exposés
Exemple de finding
Algorithme JWT faible accepté (HS256 avec secret devinable)
L'endpoint d'authentification /api/auth/login accepte des tokens JWT signés avec HMAC-SHA256 (HS256). Le secret partagé était présent dans un bundle JavaScript publiquement accessible (matproof.com/_next/static/chunks/auth-3f2a1.js). Un attaquant peut signer des tokens d'authentification valides pour n'importe quel utilisateur — y compris les comptes admin — sans connaître de mot de passe valide.
Correction : Migrer vers RS256 (signature asymétrique avec paire de clés public/privée). La clé privée reste exclusivement sur le serveur d'authentification ; la clé publique peut être distribuée publiquement. Vérifier explicitement l'algorithme lors de la validation du token (pas de « alg: none » ni d'algorithm-confusion). Si HS256 est obligatoire, utiliser au minimum 256 bits d'entropie, rotation tous les 90 jours, jamais exposé dans le frontend.
Référence : OWASP API2:2023 Broken Authentication · CWE-327 Use of a Broken or Risky Cryptographic Algorithm · RFC 7518 §3.6
Options de pentest comparées
| — | Scan gratuit | Matproof Sentinel | Consultance classique |
|---|---|---|---|
| Moteur de scan automatisé | ✓ (aperçu 3 min) | ✓ Scan complet | ✗ Manuel uniquement |
| Couverture OWASP Top 10 | Partielle | ✓ Complète | ✓ Complète |
| Preuve d'exploitation | ✗ | ✓ Par finding | ✓ Par finding |
| Mapping réglementaire (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatisé | ✓ Manuel |
| Rapport PDF prêt pour l'audit | ✗ | ✓ Instantané | ✓ Livraison 2–4 semaines |
| Scans continus / récurrents | ✗ | ✓ Par déploiement | ✗ Engagement annuel |
| Délai avant premier résultat | ~3 min | ~30 min scan complet | 2–4 semaines |
| Prix | €0 | À partir de €149 | €8 000–€25 000 |
| Revue de code source (SAST) | ✗ | ✓ Plan Growth | ✓ Périmètre défini |
| Tests API (REST/GraphQL) | ✗ | ✓ Automatisé | ✓ Manuel |
Forfaits Pentest
- 1 scan pentest complet
- Résultats priorisés par IA avec CVSS 3.1
- Proof-of-exploit pour chaque finding
- Rapport PDF (prêt pour l'audit)
- Mapping réglementaire (DORA, NIS2, ISO 27001)
- Scans illimités (jusqu'à 3 domaines)
- Surveillance continue
- Intégration CI/CD (GitHub, GitLab)
- Tous les mappings réglementaires
- Support prioritaire
- Scans + domaines illimités
- Tests authentifiés / White-Box
- Tests d'API et d'infrastructure cloud
- Account manager sécurité dédié
- SLA réponse 24h
Questions fréquentes sur le pentest
Quelle est la différence entre un pentest et un scan de vulnérabilités ?
Un scan de vulnérabilités est une vérification automatisée, souvent basée sur des signatures, contre des CVE connues — il trouve des vulnérabilités listées mais pas d'erreurs de logique ou de configuration. Un pentest est nettement plus approfondi : il combine tests automatisés et analyse contextuelle (chez nous via agents IA), vérifie chaque finding avec preuve d'exploitation et couvre des chaînes d'attaque complexes comme IDOR, escalade de privilèges ou failles de logique métier. Pour DORA Art. 24, NIS2 Art. 21 et ISO 27001 A.8.29, un scan de vulnérabilités ne suffit généralement pas comme preuve.
Combien de temps dure un pentest avec Matproof Sentinel ?
Le scan gratuit sur matproof.com/fr/tools/pentest-scan livre les premiers résultats sur TLS, en-têtes de sécurité, DNS et chemins exposés en ~3 minutes. Le pentest Sentinel complet (149 € unique ou en abonnement) dure ~30–60 minutes pour une application web typique et livre un rapport PDF prêt pour audit. À titre de comparaison : les pentests de cabinets-conseil classiques nécessitent 2 à 4 semaines de délai.
Combien coûte un pentest en France ?
Chez Matproof : aperçu gratuit, 149 € pour un scan unique avec rapport PDF, 299 €/mois pour des tests continus (jusqu'à 3 domaines, intégration CI/CD), 799 €/mois pour tests authentifiés, domaines illimités et infrastructure cloud. Les pentests de cabinets-conseil classiques en France coûtent typiquement 8 000–25 000 € par engagement, avec 2–4 semaines de délai. Pour les tests TIBER-EU / TLPT des entités financières (DORA Art. 26), les coûts sont régulièrement de 80 000–250 000 €.
Quels prestataires de pentest sont reconnus en France ?
L'ANSSI publie une liste de PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) qualifiés pour les opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OSE). Pour les autres entreprises, recherchez : testeurs OSCP/OSWE certifiés, membres CREST, prestataires certifiés ISO 27001, signataires de la Charte Cybermalveillance. Pour les tests TIBER-EU/TLPT, le prestataire doit également figurer sur la liste BCE des prestataires red-team accrédités.
Ai-je besoin d'un pentest si j'ai déjà un bug-bounty ?
Bug-bounty et pentest couvrent des risques différents. Un bug-bounty est une initiative ouverte de crowdsourcing avec couverture imprévisible — vous payez par vulnérabilité trouvée. Un pentest est un engagement défini et borné dans le temps avec couverture garantie de tous les systèmes in-scope. Pour les preuves d'audit (DORA, NIS2, ISO 27001), les auditeurs demandent un rapport de pentest structuré, pas un programme de bug-bounty. L'optimal est la combinaison : pentest pour la compliance + bug-bounty pour la sécurité continue opportuniste.
Que signifie « preuve d'exploitation » et pourquoi est-ce important ?
La preuve d'exploitation (Proof-of-Exploit) signifie : nous ne vous montrons pas seulement qu'une vulnérabilité existe théoriquement, mais nous livrons la requête exacte qui l'exploite — avec extrait de réponse, capture d'écran ou courte vidéo. Cela élimine les faux positifs et rend la priorisation triviale. Pour les rapports d'audit, c'est précieux : cela montre à l'auditeur que le finding est vérifié, et à votre équipe dev exactement où agir. Avec les pentests classiques, la preuve d'exploitation est souvent optionnelle et coûte un supplément — chez Matproof Sentinel, c'est standard.
Mes données sont-elles stockées lors du pentest ?
Pour le scan d'aperçu gratuit : l'email (pour livraison du rapport) et les résultats du scan sont stockés en UE (Hetzner, Falkenstein) ; aucune donnée personnelle de vos utilisateurs finaux n'est collectée. Pour le scan Sentinel complet : toutes les activités de test sont traitées en UE, les findings sont automatiquement anonymisés après 90 jours. Nous sommes conformes au RGPD Art. 28 (sous-traitance) ; un contrat de sous-traitance peut être fourni sur demande.
Que se passe-t-il si le pentest trouve des vulnérabilités critiques ?
Pour chaque finding Critical ou High, vous recevez immédiatement un email avec les détails et une mesure d'urgence recommandée. Le rapport PDF contient une roadmap priorisée (score CVSS 3.1, effort de remediation estimé, pertinence réglementaire). Sur demande, nous vous accompagnons dans la remediation — soit via notre conseil sécurité interne (inclus dans le plan Growth), soit par mise en relation avec des partenaires spécialisés. Après remediation, vous pouvez lancer un re-test (gratuit dans les plans Starter/Growth) pour vérifier que les correctifs ont fonctionné.
Approfondir — articles de blog associés
Commencez par un scan pentest gratuit
Saisissez votre domaine et obtenez les premiers findings sur TLS, en-têtes de sécurité, DNS et chemins exposés en 3 minutes. Sans login, sans carte bancaire. Si l'aperçu révèle des résultats intéressants, lancez un pentest complet à partir de 149 €.
Lancer le scan gratuit