Pentest : Guide Stratégique pour DSI et RSSI en 2026

1. Le paysage cyber français : pourquoi le pentest ne peut plus attendre

Les chiffres publiés début 2026 ne laissent pas de place à l'optimisme. Le baromètre CESIN 2026 (11e édition, 397 répondants) indique que 40 % des entreprises françaises ont subi au moins une cyberattaque significative en 2025. Ce taux monte à 50 % pour les organisations de plus de 5 000 salariés. Parmi les victimes, 81 % font état d'un impact réel sur l'activité : vol de données dans 52 % des cas, déni de service dans 28 %, effacement de données dans 13 %, ce dernier chiffre ayant doublé par rapport à 2024, signe d'attaques de plus en plus destructrices.

Le panorama ANSSI 2024 vient confirmer la tendance : 4 386 événements de sécurité traités sur l'année, soit une hausse de 15 % par rapport à 2023, dont 144 compromissions par rançongiciel. Fait particulièrement préoccupant : les TPE-PME concentrent désormais 77 % des cyberattaques traitées par l'agence. La CNIL a enregistré 5 629 notifications de violations de données en 2024, en hausse de 20 %, avec un doublement des violations touchant plus d'un million de personnes.

1.1 Des incidents français qui illustrent le coût de l'inaction

L'année 2024-2025 a produit des incidents emblématiques qui auraient pu, pour la plupart, être évités ou limités par un programme de tests d'intrusion rigoureux.

La fuite de France Travail (mars 2024) a exposé les données de 43 millions de personnes via une usurpation d'identité de conseillers Cap Emploi. Un test d'intrusion sur les mécanismes d'authentification aurait permis d'identifier cette faiblesse en amont. L'organisme a ensuite subi trois nouvelles fuites en 2025 (340 000 demandeurs en juillet, revendication de Stormous en octobre, 1,6 million de jeunes via les Missions Locales en décembre), confirmant qu'une remédiation insuffisante après un premier incident crée un effet de répétition.

Le secteur hospitalier a été particulièrement éprouvé : hôpital d'Armentières (février 2024, urgences fermées), hôpital de Cannes (avril 2024, dizaines de Go exfiltrés), et surtout la compromission de Cegedim Santé/MLM révélée en février 2026, avec 11 à 15 millions de dossiers patients potentiellement touchés. Free a écopé d'une sanction de 42 millions d'euros de la CNIL en octobre 2024. Eurofiber France (novembre 2025) a exposé les données de 3 600 organisations dont SNCF, Orange et Airbus via une attaque passant par un sous-traitant.

Ce qui frappe dans ces incidents, c'est le type de vecteurs utilisés. L'ANSSI l'a documenté sans ambiguïté : les neuf vulnérabilités les plus exploitées en 2024 touchaient des équipements de bordure (pare-feux, VPN) et ont généré plus de la moitié des opérations de cyberdéfense de l'agence. Ce sont précisément les failles qu'un test d'intrusion sur l'infrastructure périmetrique identifie en priorité.

1.2 Le marché mondial du pentest : un signal de la demande

Le marché mondial du pentest est estimé entre 2 et 2,7 milliards de dollars en 2025, avec une croissance annuelle de 12 à 18 % portée par trois facteurs convergents : la pression réglementaire (NIS2, DORA, PCI DSS 4.0), la sophistication croissante des attaques, et l'adoption du modèle PTaaS (Pentest as a Service) qui transforme un achat projet ponctuel en abonnement continu. Le segment PTaaS seul représentait 118 millions de dollars en 2024 et croît de 20,5 % par an. Plus de 70 % des organisations ont adopté une forme de pentest continu ou récurrent.

2. NIS2, DORA, PASSI : le cadre réglementaire qui rend le pentest incontournable

Le pentest n'a pas attendu la réglementation pour être une bonne pratique. Mais la réglementation a considérablement durci le contexte pour les organisations qui continuent de l'ignorer.

2.1 NIS2 et la Loi Résilience : 15 000 entités françaises sous obligation

La directive NIS2 (UE 2022/2555) modifie en profondeur les obligations de cybersécurité pour les organisations françaises. Son article 21(2)(f) impose des politiques et procédures pour évaluer l'efficacité des mesures de cybersécurité, une formulation que l'ensemble des autorités compétentes interprète comme incluant les tests d'intrusion. L'article 32 prévoit explicitement que les autorités peuvent imposer des audits de sécurité obligatoires aux entités essentielles.

La transposition française s'effectue via la Loi Résilience (Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité). Adoptée par le Sénat en mars 2025, elle a été examinée en commission à l'Assemblée nationale en septembre 2025. Sa promulgation finale est attendue au premier trimestre 2026, avec les décrets techniques de l'ANSSI au deuxième trimestre. La France a manqué la date limite européenne du 17 octobre 2024 et a reçu un avis motivé de la Commission européenne en mai 2025.

L'impact sur le tissu économique est considérable : 15 000 à 18 000 entités seront concernées en France contre environ 500 sous NIS1, réparties sur 18 secteurs. Les entités essentielles (plus de 250 salariés, plus de 50 millions d'euros de chiffre d'affaires) s'exposent à des amendes allant jusqu'à 10 millions d'euros ou 2 % du CA mondial. Les entités importantes (plus de 50 salariés, plus de 10 millions d'euros de CA) à 7 millions d'euros ou 1,4 %. Environ 1 500 collectivités territoriales dépassant 30 000 habitants sont également visées. Selon le CESIN 2026, 59 % des entreprises se considèrent déjà concernées par NIS2.

2.2 DORA : le test d'intrusion obligatoire dans la finance depuis janvier 2025

Pour les entités financières, le règlement DORA (UE 2022/2554) est d'application directe depuis le 17 janvier 2025, sans nécessiter de transposition nationale. Son article 24 impose un programme annuel de tests de résilience numérique. Son article 26 va plus loin : les entités systémiquement significatives doivent réaliser des tests d'intrusion fondés sur la menace (TLPT) au minimum tous les trois ans, sur systèmes de production réels.

Les normes techniques réglementaires du TLPT (RTS, Règlement délégué UE 2025/1190) sont entrées en vigueur le 8 juillet 2025. Elles imposent un minimum de trois scénarios couvrant confidentialité, intégrité et disponibilité, et rendent le Purple Teaming obligatoire pour les TLPT, alors qu'il était seulement recommandé sous TIBER-EU. En France, le guide TIBER-FR a été publié en mars 2025 par la Banque de France, avec le TCT-FR (Banque de France, ACPR, AMF) comme équipe de coordination nationale.

2.3 ISO 27001, PCI DSS 4.0, HDS et PASSI

L'ISO 27001:2022 n'utilise pas le mot « pentest » dans son texte, mais ses contrôles A.8.8 (gestion des vulnérabilités techniques) et A.8.29 (tests de sécurité en développement et acceptation) en font une attente quasi-systématique des auditeurs de certification. En pratique, un rapport de pentest datant de moins de 12 mois est demandé dans la très grande majorité des audits de certification ISO 27001.

Le PCI DSS 4.0, pleinement applicable depuis le 31 mars 2025, est le standard le plus prescriptif hors secteur financier : son exigence 11.4 impose des tests d'intrusion internes et externes au minimum annuellement et après tout changement significatif, avec remédiation et retest obligatoires.

En France, la qualification PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) délivrée par l'ANSSI constitue le label de référence pour les acheteurs publics et privés. Elle couvre cinq activités : audit d'architecture, audit de configuration, audit de code source, tests d'intrusion et audit organisationnel et physique. Environ 78 prestataires sont qualifiés PASSI en France. La qualification PASSI LPM est obligatoire pour auditer les quelque 250 Opérateurs d'Importance Vitale (OIV) du pays.

Enfin, la certification HDS (Hébergeur de Données de Santé), dont le nouveau référentiel v2 sera obligatoire d'ici mai 2026, s'appuie sur l'ISO 27001 et ses exigences implicites de pentest. Le RGPD (article 32(1)(d)) impose quant à lui un processus de test et d'évaluation régulière des mesures de sécurité, et la CNIL considère le test d'intrusion comme la meilleure démonstration pratique de conformité.

3. Méthodologies et référentiels : PTES, MITRE ATT&CK, OWASP Top 10 2025

Un prestataire sérieux ne se contente pas d'exécuter des outils de scan. Il s'appuie sur des référentiels reconnus qui structurent l'approche, garantissent la reproductibilité et permettent de comparer les résultats dans le temps. En 2026, trois référentiels forment le socle incontournable de tout audit de sécurité informatique professionnel.

3.1 PTES : la structure d'exécution d'un test d'intrusion

Le PTES (Penetration Testing Execution Standard) organise un pentest en sept phases séquentielles. La phase d'interactions pré-engagement définit le périmètre, les règles d'engagement et les autorisations légales. Vient ensuite la collecte de renseignements (OSINT, reconnaissance passive et active), puis la modélisation des menaces pour identifier les vecteurs d'attaque prioritaires en fonction du profil de la cible. L'analyse de vulnérabilités, l'exploitation proprement dite et la post-exploitation (mouvement latéral, persistance, escalade de privilèges) précèdent le reporting. Cette structuration garantit que le rapport final reflète un vrai parcours d'attaque et pas seulement une liste de CVE détectés automatiquement.

3.2 MITRE ATT&CK v18.1 : le langage commun des attaquants et des défenseurs

Le framework MITRE ATT&CK, dans sa version 18.1 (octobre 2025), a connu sa mise à jour la plus significative avec le remplacement des détections statiques par des Detection Strategies et Analytics comportementales. La matrice Enterprise compte aujourd'hui 14 tactiques, 211 techniques et 468 sous-techniques.

Pour un DSI, l'intérêt de MITRE ATT&CK est double. Côté pentest, il permet aux pentesters de mapper précisément les techniques utilisées lors du test, ce qui rend le rapport exploitable par les équipes SOC pour améliorer leurs règles de détection. Côté remédiation, il facilite la priorisation : si une technique identifiée est massivement utilisée par des groupes APT actifs dans votre secteur, elle monte en priorité de correction.

3.3 OWASP Top 10 2025 : les nouvelles entrées à surveiller

L'OWASP Top 10 2025 (8e édition, publiée en novembre 2025) introduit deux nouvelles catégories majeures. A03 - Software Supply Chain Failures élève la défaillance de la chaîne d'approvisionnement logicielle au troisième rang, incluant désormais les systèmes de build, de distribution et les pipelines CI/CD, pas seulement les dépendances vulnérables. A10 - Mishandling of Exceptional Conditions formalise la mauvaise gestion des erreurs et exceptions comme vecteur d'attaque exploitable. Le Broken Access Control reste en première position pour la quatrième année consécutive.

L'OWASP ASVS 5.0.0 (mai 2025) complète le Top 10 avec environ 350 exigences testables réparties sur 17 chapitres et 3 niveaux de vérification, formant ainsi la base de référence pour les audits applicatifs approfondis.

3.4 Black box, grey box, white box : choisir l'approche adaptée

Le choix du mode de test conditionne directement la profondeur et le coût de l'engagement.

Le test en boîte noire simule un attaquant externe sans connaissance préalable du système. Il teste les défenses périmétriques et la résistance à la reconnaissance externe, mais présente un coût élevé pour une couverture partielle, car le pentester passe une part significative du temps en reconnaissance.

Le test en boîte grise, avec des informations partielles (identifiants utilisateur, documentation d'architecture), offre le meilleur équilibre entre réalisme et efficacité. C'est l'approche recommandée par défaut en 2026 pour la majorité des contextes applicatifs et réseau.

Le test en boîte blanche, avec accès complet au code source, à l'architecture et aux credentials d'administration, est le plus exhaustif mais le plus coûteux. Il est justifié pour les systèmes critiques où l'assurance maximale est requise (core banking, plateforme de paiement, système de contrôle industriel).

La tendance 2026 est aux approches hybrides qui combinent les trois niveaux sur un même engagement, en commençant par une phase externe boîte noire puis en approfondissant avec des accès progressivement élargis.

3.5 TIBER-EU et TIBER-FR : le cadre de référence pour les tests avancés

Le framework TIBER-EU (Threat Intelligence-Based Ethical Red-Teaming), mis à jour en février 2025 pour s'aligner sur DORA, est le cadre de référence européen pour les tests d'intrusion avancés destinés aux infrastructures financières critiques. Il se distingue du pentest classique sur trois points : les tests sont menés sur des systèmes de production réels, ils s'appuient sur du renseignement de menace personnalisé fourni par un prestataire Threat Intelligence spécialisé, et ils couvrent l'organisation dans sa globalité (personnes, processus et technologies). Le guide TIBER-FR, publié en mars 2025 par la Banque de France, fournit la déclinaison nationale de ce cadre avec le TCT-FR (Banque de France, ACPR, AMF) comme équipe de coordination.

4. Quatre tendances qui redéfinissent le marché du pentest en 2026

4.1 L'IA transforme l'attaque et la défense simultanément

L'intelligence artificielle s'est imposée comme le facteur de transformation le plus structurant du pentest en 2025-2026, et pas seulement du côté des défenseurs. Côté offensif, le framework ARTEMIS (décembre 2025) a démontré qu'un agent IA multi-agents pouvait surpasser 9 pentesters humains sur 10 sur un réseau d'entreprise de 8 000 hôtes, avec un taux de soumissions valides de 82 % et un coût de 18 dollars de l'heure contre 60 dollars pour un pentester humain. Des outils comme PentAGI, Zen-AI-Pentest et PentestGPT intègrent des modèles de langage pour guider la reconnaissance, l'exploitation et la génération de rapports automatisés.

L'humain conserve cependant un avantage décisif sur les failles de logique métier, l'exploitation créative et le jugement contextuel. Le modèle dominant en 2026 est hybride : scanning automatisé continu par IA combiné à des tests manuels approfondis périodiques. C'est la combinaison qui maximise la couverture sans faire exploser les budgets.

Côté attaquant, l'IA génère des deepfakes convaincants (9 % des vecteurs d'attaque selon le CESIN 2026), des malwares adaptatifs et des campagnes de phishing hyper-personnalisées. Le Shadow IA (usage non approuvé d'outils d'IA par des collaborateurs) ajoute en moyenne 670 000 dollars au coût d'une violation selon IBM, en créant des expositions de données non maîtrisées que les pentests classiques ne couvrent pas toujours.

4.2 Le PTaaS remplace progressivement le test annuel ponctuel

Le modèle Pentest as a Service (PTaaS), estimé à 118 millions de dollars en 2024 et en croissance de 20,5 % par an, transforme la relation entre les organisations et leurs prestataires de tests d'intrusion. Contrairement au pentest ponctuel qui produit un rapport PDF statique remis quelques semaines après la prestation, le PTaaS offre un portail de résultats en temps réel, l'intégration dans les pipelines CI/CD, le retest illimité sur les vulnérabilités remédiées et un démarrage sous 24 heures. Des plateformes comme NetSPI, Cobalt, BreachLock et Rapid7 dominent ce segment.

Le consensus de l'industrie est sans ambiguïté : le pentest annuel unique ne suffit plus. Le Verizon DBIR 2025 documente que les vulnérabilités critiques des équipements de bordure sont exploitées avec un délai médian de 0 jour après publication. Les organisations passant à un rythme trimestriel ou continu constatent une réduction de 42 % des vulnérabilités non résolues en six mois.

4.3 Les attaques supply chain imposent d'élargir le périmètre

Les attaques contre la chaîne d'approvisionnement logicielle ont quasi doublé en 2025 : 297 attaques revendiquées, soit +93 % par rapport à 2024 (Cyble). Le DBIR 2025 confirme que 30 % des violations impliquent un tiers (doublement par rapport à l'année précédente). L'OWASP 2025 a élevé les « Software Supply Chain Failures » au rang A03 de son Top 10.

En France, l'attaque contre Eurofiber (novembre 2025) a exposé les données de 3 600 organisations. La compromission de ManoMano (janvier 2026) est passée par un sous-traitant. Le pentest doit désormais couvrir les intégrations tierces (OAuth, API, connecteurs SaaS), les pipelines CI/CD et les dépendances logicielles, pas seulement le périmètre applicatif et réseau de l'organisation elle-même.

4.4 Red Team et Purple Team : mesurer la détection, pas seulement les vulnérabilités

Le Red Team se distingue du pentest classique sur plusieurs dimensions : le périmètre couvre l'organisation entière plutôt que des systèmes ciblés, la durée s'étend de plusieurs semaines à plusieurs mois, les défenseurs ne savent pas qu'une attaque est en cours, et l'objectif est de tester la capacité de détection et de réponse plutôt que de produire une liste exhaustive de vulnérabilités.

Le Purple Team, rendu obligatoire par DORA pour les TLPT, crée une boucle d'apprentissage en temps réel entre les équipes attaquantes et défensives. L'équipe offensive partage ses techniques en direct avec les défenseurs, qui améliorent leurs règles de détection de manière itérative pendant l'exercice lui-même. Le modèle de maturité recommandé pour une organisation progresse naturellement : pentest régulier en priorité, puis red team annuel ou bisannuel, puis purple teaming continu sur les vecteurs d'attaque à plus fort impact.

5. Budget, durée et choix du prestataire : guide pratique

C'est souvent la partie la plus délicate à aborder : combien ça coûte, combien de temps ça prend, et comment distinguer un prestataire sérieux d'un vendeur de scans automatisés requalifiés en test d'intrusion.

5.1 Les fourchettes de prix en France en 2026

Le tarif journalier d'un pentester confirmé en France se situe entre 800 et 1 800 euros HT par jour. Les fourchettes par type d'engagement sont les suivantes :

5.2 Fréquence et durée recommandées

La durée varie de 2 à 6 jours pour une application web simple, 8 à 15 jours pour une application métier complexe, et plusieurs semaines pour un exercice Red Team. Le délai de lancement après cadrage est typiquement de 5 à 10 jours ouvrés chez un prestataire qualifié disponible.

En matière de fréquence, le minimum réglementaire (PCI DSS, ISO 27001) est annuel. La bonne pratique est semestrielle. L'optimum combine un pentest continu via PTaaS avec un test manuel approfondi annuel et des tests systématiques après tout changement majeur d'infrastructure, mise en production significative, incident de sécurité ou opération de fusion-acquisition. Les vulnérabilités critiques doivent être remédiées dans un délai de 0 à 7 jours, les élevées dans un délai de 1 à 3 mois. Un retest est recommandé dans les 90 jours pour confirmer l'efficacité des corrections.

5.3 Dix critères pour choisir son prestataire

Le choix d'un prestataire de tests d'intrusion ne se réduit pas au prix. Voici les dix critères structurants pour un acheteur français en 2026.

6. Structurer son programme de pentest : de la feuille de route au rapport exploitable

Un pentest isolé, même excellent, a une durée de vie limitée. Sa valeur diminue à mesure que le SI évolue, que de nouvelles vulnérabilités sont publiées et que les équipes changent. Un programme de pentest structuré, en revanche, crée une capacité durable de mesure et d'amélioration continue.

6.1 Ce que doit contenir un rapport professionnel

La qualité du rapport est souvent le principal différenciateur entre une prestation de valeur et un exercice de conformité sans lendemain. Un rapport de test d'intrusion professionnel comprend les éléments suivants.

Un résumé exécutif de 1 à 2 pages en langage non technique, avec une notation globale du risque, destiné à la direction générale et au COMEX. Ce résumé doit permettre à un non-technicien de comprendre en quoi l'organisation est exposée et quelles sont les trois premières actions à engager.

Une section périmètre et méthodologie décrivant l'approche utilisée (boîte noire, grise ou blanche), les outils employés, la période d'intervention et les règles d'engagement signées avant le test.

Un tableau de synthèse des vulnérabilités classées par criticité selon le score CVSS v3.1, avec pour chacune : description, système affecté, score CVSS, preuve de concept avec captures d'écran, étapes de reproduction, impact métier et recommandation de remédiation avec exemples de code ou de configuration.

Enfin, un plan de remédiation priorisé sur trois horizons (court terme pour les critiques, moyen terme pour les élevées, long terme pour les mesures structurelles), suivi d'une réunion de restitution en deux temps : une session managériale et une session technique avec les équipes d'exploitation.

6.2 Les trois actions immédiates pour les décideurs

Au-delà du guide méthodologique, trois décisions concrètes s'imposent pour tout DSI ou RSSI souhaitant structurer son programme de pentest en 2026.

La première est de cartographier ses obligations réglementaires : NIS2 (décrets ANSSI attendus au T2 2026), DORA (tests annuels obligatoires depuis janvier 2025, TLPT tous les 3 ans pour les entités systémiques), PCI DSS 4.0, HDS v2 (obligatoire d'ici mai 2026) et les normes sectorielles applicables. Cette cartographie détermine le niveau d'exigence minimal, la fréquence obligatoire et le type de prestataire requis (PASSI obligatoire dans certains cas).

La deuxième est de définir la fréquence adaptée au profil de risque : le modèle hybride pentest continu (PTaaS) plus test approfondi annuel plus tests événementiels offre la meilleure couverture. Le test annuel seul est insuffisant pour les organisations exposées à des adversaires actifs ou opérant des systèmes critiques.

La troisième est de s'assurer que les résultats se traduisent en remédiation effective. Un rapport de pentest qui reste dans un tiroir n'a jamais protégé personne. Cela implique d'intégrer les résultats dans le processus de gestion des vulnérabilités existant, de planifier le retest dans les 90 jours et de valoriser le programme auprès de la direction via des métriques concrètes (taux de remédiation dans les délais, réduction du nombre de critiques d'une année sur l'autre, couverture du périmètre testé).