Quand j’ai lancé mon premier scan Nmap sur une machine virtuelle il y a quelques années, j’ai ressenti ce mélange d’excitation et d’appréhension que connaissent tous les apprentis pentesters. Le test d’intrusion, ou pentest, fascine autant qu’il intimide les étudiants en BTS SIO. Pourtant, avec la bonne méthodologie et les bons outils, cette discipline devient accessible à quiconque souhaite comprendre la sécurité informatique par la pratique. Je vous guide pas à pas dans cet univers où chaque vulnérabilité découverte vous rend plus compétent pour protéger les systèmes d’information.

Comprendre le pentest : définition et enjeux

Le pentest, contraction de penetration testing, consiste à simuler une attaque informatique contre un système, un réseau ou une application web afin d’en identifier les failles de sécurité. Contrairement à un audit de sécurité classique qui se limite souvent à une analyse théorique, le pentest va plus loin : il exploite réellement les vulnérabilités pour démontrer leur impact concret.

En tant que formatrice, je constate que mes étudiants confondent souvent le pentest avec le hacking malveillant. La différence fondamentale réside dans l’autorisation et la finalité. Un pentester agit dans un cadre légal strict, avec l’accord écrit du propriétaire du système, et son objectif est d’améliorer la sécurité, jamais de nuire. C’est ce qu’on appelle le hacking éthique.

Les enjeux du pentest n’ont jamais été aussi importants. Selon le rapport de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), les cyberattaques contre les entreprises françaises ont augmenté de manière significative ces dernières années. Les organisations doivent désormais prouver la robustesse de leurs défenses, et le pentest reste le moyen le plus fiable pour y parvenir.

On distingue généralement trois types de pentest selon le niveau d’information fourni au testeur :

• Black box : le pentester ne dispose d’aucune information préalable sur la cible, simulant une attaque externe réaliste
• White box : le pentester a accès à toute la documentation technique, au code source et aux schémas réseau
• Grey box : approche intermédiaire avec des informations partielles, comme des identifiants utilisateur standard

Pour les étudiants en développement full-stack, comprendre le pentest permet de coder des applications plus sûres dès la conception. C’est un atout considérable sur le marché de l’emploi.

Cadre légal et éthique du pentest en France

Avant de lancer le moindre outil, il faut impérativement connaître le cadre juridique. En France, le Code pénal (articles 323-1 à 323-8) sanctionne sévèrement l’accès frauduleux à un système informatique. Les peines peuvent atteindre 5 ans d’emprisonnement et 150 000 euros d’amende. Ce cadre s’applique même si vous n’avez causé aucun dommage.

Pour pratiquer le pentest en toute légalité, vous devez disposer d’une autorisation écrite explicite du propriétaire du système ciblé. Ce document, souvent appelé lettre de mission ou règles d’engagement, doit préciser :

• Le périmètre exact des tests (adresses IP, noms de domaine, applications concernées)
• Les techniques autorisées et celles qui sont interdites
• La période pendant laquelle les tests peuvent être réalisés
• Les contacts d’urgence en cas de problème
• Les conditions de confidentialité des résultats

La réglementation RGPD ajoute une couche supplémentaire de responsabilité. Si vous accédez à des données personnelles pendant un pentest, vous êtes tenu de les traiter conformément au règlement européen. Concrètement, cela signifie qu’il ne faut jamais extraire, copier ou conserver des données personnelles découvertes pendant un test, sauf nécessité absolue pour le rapport.

En tant que débutant, la solution la plus sûre consiste à s’entraîner exclusivement sur des environnements dédiés : machines virtuelles personnelles, plateformes d’entraînement légales, ou CTF (Capture The Flag). Je recommande cette approche à tous mes étudiants avant d’envisager un pentest réel.

La méthodologie en 5 phases d’un test d’intrusion

Tout pentest professionnel suit une méthodologie structurée. Les deux référentiels les plus utilisés sont le PTES (Penetration Testing Execution Standard) et l’OWASP Testing Guide pour les applications web. Voici les cinq phases que je recommande de suivre systématiquement.

Phase 1 : Reconnaissance (OSINT)

La reconnaissance consiste à collecter un maximum d’informations sur la cible sans interagir directement avec ses systèmes. On parle de reconnaissance passive. Vous recherchez des noms de domaine, des adresses e-mail, des technologies utilisées, des organigrammes ou encore des documents publiés accidentellement.

Les sources exploitées incluent les moteurs de recherche (Google Dorks), les réseaux sociaux professionnels, les registres WHOIS, les enregistrements DNS et les bases de données publiques de certificats SSL. Cette phase est souvent sous-estimée par les débutants, mais elle conditionne tout le reste du test. Un bon pentester passe parfois 30 à 40 % de son temps sur cette phase.

Phase 2 : Scanning et énumération

Le scanning passe à la reconnaissance active : vous interagissez directement avec les systèmes de la cible pour identifier les ports ouverts, les services actifs et leurs versions. L’énumération pousse plus loin en cherchant des utilisateurs, des partages réseau, des répertoires web ou des configurations exposées.

C’est ici que des outils comme Nmap et Nikto entrent en jeu. L’objectif est de dresser une cartographie complète de la surface d’attaque. Chaque service identifié devient un vecteur potentiel à analyser.

Phase 3 : Exploitation

L’exploitation est la phase où vous tentez réellement de pénétrer les systèmes en utilisant les vulnérabilités identifiées. Cela peut impliquer l’exploitation de failles logicielles connues (CVE), l’injection SQL, le contournement d’authentification ou l’utilisation de mots de passe faibles.

Je recommande de toujours commencer par les vulnérabilités les plus simples. Un mot de passe par défaut sur une interface d’administration offre le même accès qu’un exploit sophistiqué, avec beaucoup moins de risques de perturber le système.

Phase 4 : Post-exploitation

Une fois l’accès obtenu, la post-exploitation consiste à évaluer l’impact réel de la compromission. Jusqu’où pouvez-vous aller ? Quelles données sont accessibles ? Pouvez-vous pivoter vers d’autres systèmes du réseau ? Cette phase démontre au client la gravité concrète des failles découvertes.

Phase 5 : Rapport et remédiation

Le rapport est le livrable final du pentest. Il doit être clair, structuré et actionnable. Chaque vulnérabilité est documentée avec sa description, sa criticité (souvent selon le score CVSS), la preuve d’exploitation et les recommandations de correction. Un bon rapport s’adresse à la fois aux équipes techniques et à la direction.

Les outils essentiels du pentester débutant

L’écosystème des outils de pentest est vaste, mais un débutant n’a pas besoin de tout maîtriser. Voici les incontournables que j’enseigne en priorité à mes étudiants, classés par phase de la méthodologie.

Nmap : le couteau suisse du scanning

Nmap est probablement l’outil que vous utiliserez le plus souvent. Il permet de scanner les ports d’une machine, d’identifier les services qui tournent et même de détecter le système d’exploitation. Voici une commande de base que j’utilise régulièrement :

nmap -sV -sC -oN scan_results.txt 192.168.1.100

L’option -sV détecte les versions des services, -sC lance les scripts de détection par défaut, et -oN enregistre les résultats dans un fichier. C’est un bon point de départ pour cartographier une cible de manière complète.

Burp Suite : l’incontournable du web

Pour tester les applications web, Burp Suite est devenu un standard de l’industrie. Sa version Community (gratuite) suffit largement pour débuter. L’outil fonctionne comme un proxy d’interception : il se place entre votre navigateur et le serveur web pour capturer, analyser et modifier les requêtes HTTP à la volée. Vous pouvez ainsi tester des injections, des contournements d’authentification ou des failles de logique métier.

Metasploit Framework : l’arsenal d’exploitation

Metasploit est le framework d’exploitation le plus connu. Il contient des milliers de modules d’exploitation pour des vulnérabilités connues, des payloads, des encodeurs et des outils de post-exploitation. Pour un débutant, je conseille de commencer par la console msfconsole et de s’entraîner sur des machines vulnérables comme Metasploitable 2.

L’apprentissage de ces outils s’inscrit dans une démarche plus large de compétences en infrastructure et cloud computing, car les environnements à tester sont de plus en plus distribués.

Créer son environnement d’entraînement

S’entraîner au pentest nécessite un environnement sécurisé et légal. La bonne nouvelle, c’est que vous pouvez construire un laboratoire complet sur votre propre machine gratuitement.

Kali Linux : la distribution de référence

Kali Linux est une distribution basée sur Debian qui embarque plus de 600 outils de sécurité préinstallés et préconfigurés. C’est l’environnement de travail standard des pentesters professionnels. Je recommande de l’installer dans une machine virtuelle avec VirtualBox ou VMware plutôt qu’en dual-boot, ce qui évite tout risque pour votre système principal.

Une alternative plus légère existe avec Parrot Security OS, qui consomme moins de ressources et convient mieux aux machines modestes. Les deux distributions sont régulièrement mises à jour et disposent d’une communauté active.

Machines vulnérables pour s’exercer

Pour pratiquer sans risque juridique, utilisez des machines intentionnellement vulnérables :

• DVWA (Damn Vulnerable Web Application) : idéale pour apprendre les failles web OWASP Top 10
• Metasploitable 2 et 3 : machines virtuelles truffées de vulnérabilités réseau et système
• VulnHub : plateforme proposant des dizaines de machines virtuelles téléchargeables classées par difficulté
• WebGoat : application d’entraînement OWASP pour les failles web

Plateformes en ligne

Si vous préférez éviter l’installation locale, plusieurs plateformes proposent des environnements prêts à l’emploi :

• TryHackMe : parcours guidés avec des salles thématiques, parfait pour les débutants absolus. Le tier gratuit donne accès à de nombreuses salles
• Hack The Box : machines à compromettre classées par difficulté, avec une communauté très active
• PortSwigger Web Security Academy : laboratoires gratuits focalisés sur les vulnérabilités web, créés par l’éditeur de Burp Suite
• Root Me : plateforme francophone avec des centaines de challenges variés

Ces plateformes sont également utiles pour les étudiants qui préparent leur poursuite d’études après le BTS SIO, car elles permettent de constituer un portfolio de compétences en cybersécurité.

Formations et certifications pour se lancer

Le pentest est un domaine où les compétences pratiques comptent autant, sinon plus, que les diplômes. Néanmoins, certaines certifications sont devenues des références reconnues par les employeurs et valident un niveau de compétence objectif.

Pour un étudiant en BTS SIO, je recommande de commencer par l’eJPT qui valide les fondamentaux sans nécessiter des années d’expérience. Son examen entièrement pratique (pas de QCM) reflète bien la réalité du métier. La formation associée couvre le réseau, le scanning, l’exploitation et le reporting.

En parallèle, les ressources gratuites ne manquent pas. La chaîne YouTube de John Hammond, les write-ups de la communauté Hack The Box et la documentation officielle des outils constituent une base d’apprentissage solide. Le guide d’hygiène informatique de l’ANSSI est également une lecture indispensable pour comprendre les bonnes pratiques défensives que vous chercherez à contourner.

Le télétravail en informatique a rendu le métier de pentester encore plus accessible géographiquement : beaucoup de missions se réalisent désormais à distance, ce qui élargit considérablement les opportunités.

Réaliser son premier pentest : conseils pratiques

Vous avez installé votre lab, vous maîtrisez les bases des outils principaux ; il est temps de réaliser votre premier pentest complet. Voici la démarche que je recommande à mes étudiants pour une approche structurée et efficace.

Choisir sa première cible d’entraînement

Commencez par une machine facile et bien documentée. Sur TryHackMe, la salle « Blue » (exploitation d’EternalBlue sur Windows) est un classique accessible. Sur VulnHub, « Kioptrix Level 1 » offre un parcours d’apprentissage complet. L’essentiel est de choisir une cible dont des write-ups existent pour pouvoir vous débloquer si nécessaire.

Documenter chaque étape

Prenez l’habitude de noter chaque commande lancée et chaque résultat obtenu. Utilisez un outil de prise de notes comme CherryTree, Obsidian ou simplement un fichier Markdown structuré. Cette documentation vous servira à rédiger votre rapport et à reproduire vos tests. Les pentesters professionnels passent un temps considérable sur la documentation.

Adopter une approche méthodique

L’erreur classique du débutant est de se précipiter sur Metasploit dès le premier port ouvert. Résistez à cette tentation. Suivez la méthodologie phase par phase :

1. Lancez un scan complet avec Nmap et analysez chaque service identifié
2. Recherchez les vulnérabilités connues pour chaque version de service (searchsploit, CVE databases)
3. Testez d’abord les vecteurs les plus simples : mots de passe par défaut, configurations exposées, fichiers sensibles accessibles
4. Passez aux exploits uniquement si les approches simples échouent
5. Documentez et rédigez un mini-rapport même pour un exercice

Cette rigueur méthodologique est ce qui différencie un professionnel d’un amateur. Elle se retrouve d’ailleurs dans d’autres domaines techniques comme l’architecture Kubernetes, où la méthodologie prime sur l’outil.

Éviter les pièges courants

Plusieurs erreurs reviennent régulièrement chez les débutants que j’accompagne :

• Scanner trop agressivement : un scan avec tous les scripts Nmap peut faire planter des services fragiles. Commencez par un scan léger
• Ignorer les résultats de reconnaissance : une simple recherche Google sur un numéro de version peut révéler un exploit public
• Négliger l’énumération web : les répertoires cachés, fichiers de configuration exposés et pages d’administration non protégées sont des vecteurs fréquents
• Oublier les bases : avant d’essayer un buffer overflow, vérifiez si « admin/admin » fonctionne

Pour mieux comprendre les risques que vous testez, je vous invite à consulter notre article sur le phishing et les arnaques en ligne, car l’ingénierie sociale reste le vecteur d’attaque numéro un.

Évolutions et carrières dans le pentesting

Le pentest n’est pas seulement une compétence technique : c’est un véritable accélérateur de carrière dans la cybersécurité. Le marché français manque cruellement de profils qualifiés, et les pentesters juniors trouvent généralement un emploi rapidement.

En début de carrière, un pentester junior peut espérer un salaire brut annuel entre 35 000 et 42 000 euros en France. Avec 3 à 5 ans d’expérience et des certifications comme l’OSCP, ce salaire peut atteindre 55 000 à 70 000 euros. Les profils seniors et les indépendants dépassent régulièrement les 80 000 euros annuels. Ces rémunérations sont comparables à celles d’un administrateur système expérimenté.

Les évolutions possibles sont multiples :

• Red Team : simulations d’attaques avancées à long terme contre des organisations
• Bug Bounty : chasse aux vulnérabilités sur des programmes comme HackerOne ou Bugcrowd, avec des récompenses pouvant atteindre plusieurs dizaines de milliers d’euros
• Consultant en sécurité : accompagnement des entreprises dans leur stratégie de cybersécurité
• Responsable SOC : supervision d’un centre opérationnel de sécurité
• Formateur en cybersécurité : transmission des compétences en milieu académique ou professionnel

Le domaine évolue rapidement avec l’essor de l’intelligence artificielle et du cloud. Les pentesters doivent désormais maîtriser les spécificités des environnements Kubernetes, des architectures serverless et des APIs modernes. La spécialisation en pentest d’applications mobiles ou d’objets connectés (IoT) offre également des débouchés très porteurs.

Pour ceux qui souhaitent approfondir leur parcours académique, la licence CNAM en informatique propose des modules orientés sécurité qui complètent parfaitement une formation initiale en BTS SIO.

Lucie Moreau

Formatrice IT indépendante depuis 2016, ancienne étudiante BTS SIO SLAM. 6 ans d'expérience en entreprise.