Pourquoi ce guide existe
Acheter des services de tests d\'intrusion pour la première fois, ou même la cinquième fois, peut être source de confusion. Le marché est plein de jargon, les prix varient énormément, et il est difficile de savoir si vous obtenez une évaluation approfondie ou un simple scan automatisé présenté dans un rapport professionnel. Ce guide est rédigé à l\'intention des responsables informatiques, des RSSI et des chefs d\'entreprise au Luxembourg qui doivent prendre des décisions éclairées en matière de tests d\'intrusion.
Nous aborderons ce qu\'est réellement un test d\'intrusion, les différents types disponibles, les facteurs qui influencent les coûts, comment cadrer correctement une mission et comment préparer votre organisation pour tirer le maximum de valeur de cet exercice.
Qu\'est-ce qu\'un test d\'intrusion ?
Un test d\'intrusion est une tentative contrôlée et autorisée d\'exploiter les vulnérabilités de vos systèmes, réseaux ou applications en simulant les techniques utilisées par de vrais attaquants. Contrairement à un scan de vulnérabilités, qui identifie automatiquement les faiblesses connues, un test d\'intrusion implique des testeurs humains qualifiés qui enchaînent les vulnérabilités, empruntent des voies d\'attaque créatives et tentent de démontrer un impact réel sur l\'activité.
Le résultat n\'est pas une liste de CVE. C\'est un récit qui montre comment un attaquant pourrait compromettre votre environnement, ce à quoi il pourrait accéder et quelles en seraient les conséquences pour l\'entreprise.
Distinction clé : Un scan de vulnérabilités vous dit ce qui pourrait être exploité. Un test d\'intrusion vous dit ce qui peut être exploité et ce qui se passe ensuite.
Types de tests d\'intrusion
Test d\'intrusion réseau externe
Teste votre infrastructure exposée sur Internet : serveurs web, passerelles de messagerie, points de terminaison VPN, services cloud, DNS. Le testeur travaille depuis Internet sans accès interne, en simulant un attaquant externe.
Durée typique : 3 à 5 jours
Quand l\'utiliser : Annuellement, ou après des modifications significatives de votre infrastructure exposée sur Internet.
Test d\'intrusion réseau interne
Simule un attaquant ayant obtenu un accès initial à votre réseau interne, peut-être via un poste de travail d\'employé compromis, une intrusion physique ou un dispositif non autorisé. Teste la sécurité d\'Active Directory, la segmentation du réseau, les chemins de déplacement latéral et l\'escalade de privilèges.
Durée typique : 5 à 10 jours
Quand l\'utiliser : Annuellement. Essentiel pour les organisations des secteurs réglementés (les entités supervisées par le CSSF sont souvent tenues de procéder à des tests internes).
Test d\'intrusion d\'application web
Se concentre sur une application web spécifique, en testant les vulnérabilités du Top 10 OWASP, les failles de logique métier, les problèmes d\'authentification et de gestion des sessions, ainsi que la sécurité des API. Va au-delà du scan automatisé pour tester des scénarios d\'attaque complexes en plusieurs étapes.
Durée typique : 5 à 10 jours par application (selon la complexité)
Quand l\'utiliser : Avant les mises en production majeures, annuellement pour les applications en production, et à chaque déploiement de modifications significatives.
Test d\'intrusion sans fil
Teste la sécurité de vos réseaux sans fil : configuration WPA2/WPA3, détection de points d\'accès non autorisés, isolation du réseau invité et pivotement du sans-fil vers le filaire.
Durée typique : 2 à 3 jours (nécessite une présence sur site)
Quand l\'utiliser : Annuellement, notamment si vous avez un Wi-Fi invité ou des politiques BYOD.
Évaluation d\'ingénierie sociale
Teste le facteur humain : simulations de phishing, vishing (ingénierie sociale par téléphone), ingénierie sociale physique (filature, usurpation d\'identité). Ce n\'est pas un test d\'intrusion traditionnel, mais il est souvent combiné avec les tests techniques pour une vision globale.
Durée typique : 5 à 10 jours
Quand l\'utiliser : Annuellement, notamment en préparation des mises à jour de la formation à la sensibilisation à la sécurité.
Test d\'intrusion cloud
Teste votre infrastructure cloud (AWS, Azure, GCP) pour détecter les mauvaises configurations, les permissions excessives, le stockage non sécurisé et les vecteurs d\'attaque spécifiques au cloud. Nécessite des testeurs ayant une expertise spécifique des plateformes cloud.
Durée typique : 5 à 8 jours
Quand l\'utiliser : Annuellement, ou après des modifications importantes de l\'architecture cloud.
Comprendre la méthodologie de test
Les testeurs d\'intrusion professionnels suivent une méthodologie structurée. Bien que les approches spécifiques varient, la plupart suivent un schéma basé sur des standards sectoriels tels que le PTES (Penetration Testing Execution Standard) ou le Guide de test OWASP :
- Reconnaissance : Collecte d\'informations sur la cible par des techniques passives (OSINT) et actives. Noms de domaine, plages IP, noms d\'employés, pile technologique, identifiants compromis.
- Scan et énumération : Identification des hôtes actifs, des ports ouverts, des services en cours d\'exécution et des points d\'entrée potentiels.
- Identification des vulnérabilités : Identification des faiblesses pouvant être exploitées. Combine le scan automatisé à l\'analyse manuelle.
- Exploitation : Tentative d\'exploitation des vulnérabilités identifiées pour obtenir un accès. C\'est là que le savoir-faire humain différencie un test d\'intrusion d\'un simple scan.
- Post-exploitation : Si l\'accès est obtenu, que peut accomplir le testeur ? Escalade de privilèges, déplacement latéral, accès aux données, persistance.
- Rapport : Documentation des résultats avec les preuves, les niveaux de risque et les recommandations de remédiation actionnables.
Quel est le coût d\'un test d\'intrusion au Luxembourg ?
Les tarifs au Luxembourg reflètent le coût local des professionnels qualifiés et l\'environnement réglementaire. Voici des fourchettes réalistes basées sur les tarifs actuels du marché :
| Type de test |
Durée |
Fourchette de prix (EUR) |
| Pentest réseau externe |
3-5 jours |
4 000 - 10 000 |
| Pentest réseau interne |
5-10 jours |
8 000 - 20 000 |
| Pentest application web |
5-10 jours |
7 000 - 18 000 |
| Pentest sans fil |
2-3 jours |
3 000 - 7 000 |
| Ingénierie sociale |
5-10 jours |
5 000 - 15 000 |
| Pentest cloud |
5-8 jours |
8 000 - 18 000 |
| Complet (externe + interne + application) |
15-25 jours |
18 000 - 45 000 |
Ce qui fait monter le coût : Périmètre large (nombreuses adresses IP, plusieurs applications), environnements complexes (cloud hybride, systèmes legacy), exigences de conformité (CSSF, PCI DSS), rapports en plusieurs langues, délais serrés, retests après remédiation.
Ce qui fait baisser le coût : Définition claire du périmètre, bonne documentation fournie aux testeurs, contrats de retainer annuels, combinaison de plusieurs types de tests en une seule mission.
Signaux d\'alarme tarifaires : Si quelqu\'un propose un « test d\'intrusion complet » pour 2 000 EUR, vous obtenez probablement un scan de vulnérabilités automatisé avec un rapport sur modèle. À l\'inverse, si le devis dépasse 50 000 EUR pour un environnement PME standard, assurez-vous que le périmètre le justifie.
Comment cadrer un test d\'intrusion
Un mauvais cadrage est la principale raison pour laquelle les tests d\'intrusion donnent des résultats décevants. Soit le périmètre est trop large (le testeur passe tout son temps sur des cibles peu importantes), soit trop étroit (des systèmes critiques sont exclus).
Lors de la définition du périmètre, préparez les informations suivantes :
- Objectifs : Qu\'est-ce que vous souhaitez apprendre ? « Un attaquant peut-il atteindre notre base de données clients ? » est un meilleur objectif que « tout tester ».
- Plages IP et domaines : Quels systèmes sont exactement dans le périmètre ? Fournissez une liste complète des adresses IP externes, des noms de domaine et des plages de réseau interne.
- Applications : Pour les tests d\'application web, listez chaque application, son URL, ses exigences d\'authentification et les rôles utilisateurs à tester.
- Exclusions : Certains systèmes sont-ils hors périmètre ? Des systèmes de production ne pouvant pas tolérer d\'interruption ? Des services hébergés par des tiers ?
- Fenêtre de test : Quand les tests peuvent-ils avoir lieu ? Heures ouvrables uniquement ? Week-ends ? Y a-t-il des périodes d\'interdiction ?
- Règles d\'engagement : Le testeur peut-il tenter un déni de service ? De l\'ingénierie sociale ? Un accès physique ? Qu\'est-ce qui nécessite une approbation préalable ?
- Contacts : Qui le testeur doit-il notifier s\'il découvre une vulnérabilité critique pendant les tests ? Qui est le contact d\'urgence en cas de problème ?
Comment se préparer : la liste de contrôle avant la mission
Une bonne préparation maximise la valeur de chaque journée de test. Voici ce qu\'il faut faire avant l\'arrivée des testeurs :
- Signez la lettre d\'autorisation. C\'est juridiquement indispensable. Elle autorise explicitement le cabinet de test à sonder vos systèmes. Sans elle, les tests pourraient constituer une infraction pénale en droit luxembourgeois (articles 509-1 à 509-7 du Code pénal).
- Informez vos hébergeurs et fournisseurs cloud. AWS, Azure et la plupart des hébergeurs exigent un préavis avant les tests d\'intrusion. Ne pas les prévenir peut entraîner le signalement ou la suspension de votre infrastructure.
- Informez votre SOC ou votre prestataire de sécurité managée. Si vous disposez d\'une équipe de surveillance de la sécurité (interne ou externe), informez-la que des tests auront lieu pendant la fenêtre spécifiée. Décidez si vous souhaitez qu\'elle détecte et réponde normalement (ce qui teste vos capacités de détection) ou qu\'elle ajoute les adresses IP des testeurs en liste blanche.
- Préparez des comptes de test. Pour les tests authentifiés (applications web, réseaux internes), créez des comptes de test dédiés à chaque niveau de privilège. Ne partagez pas vos propres identifiants.
- Documentez votre environnement. Fournissez des schémas de réseau, la documentation de l\'architecture des applications et une liste des technologies utilisées. Cela permet aux testeurs de consacrer leur temps à trouver des vulnérabilités plutôt qu\'à cartographier votre environnement.
- Établissez le canal de communication. Convenez de la façon dont l\'équipe de test communiquera pendant la mission. Un canal Slack ou Teams partagé fonctionne bien pour les mises à jour en temps réel.
- Définissez le protocole pour les découvertes critiques. Que doit faire le testeur s\'il découvre une vulnérabilité critique activement exploitable ? Convenez d\'un processus de notification immédiate.
Comment évaluer un prestataire de tests d\'intrusion
Tous les cabinets de tests d\'intrusion ne se valent pas. Voici ce qu\'il faut rechercher :
- Certifications : Les certifications OSCP, OSCE, OSWE, GPEN, GXPN, CREST attestent de compétences techniques pratiques. Méfiez-vous des cabinets qui ne détiennent que des certifications managériales (CISSP, CISM) sans accréditations de test technique.
- Transparence de la méthodologie : Un cabinet réputé expliquera clairement sa méthodologie et l\'adaptera à votre environnement. Demandez un exemple de rapport pour évaluer la profondeur et la qualité.
- Expérience au Luxembourg : La connaissance locale est importante. Comprendre les exigences du CSSF, les cadres juridiques luxembourgeois et le paysage local des menaces apporte une réelle valeur ajoutée.
- Assurance : L\'assurance responsabilité civile professionnelle est non négociable. Les tests comportent intrinsèquement des risques, et le cabinet doit être assuré contre les dommages accidentels.
- Politique de retest : Les bons cabinets incluent un retest des découvertes critiques et élevées dans le cadre de la mission, ou le proposent à tarif réduit.
- Communication pendant les tests : Les meilleurs testeurs fournissent des mises à jour quotidiennes et vous notifient immédiatement des découvertes critiques, et pas seulement à la fin de la mission.
Que faire avec le rapport
Un rapport de test d\'intrusion n\'a de valeur que si vous agissez dessus. Voici une approche structurée pour la remédiation :
- Examinez avec les testeurs. Planifiez une réunion de présentation des résultats. Posez des questions. Comprenez les chaînes d\'attaque, pas seulement les vulnérabilités individuelles.
- Priorisez selon le risque métier. Toutes les découvertes « critiques » ne présentent pas le même risque pour l\'activité. Une vulnérabilité critique sur un serveur de test isolé est moins urgente qu\'une vulnérabilité moyenne sur votre système de traitement des paiements.
- Établissez un plan de remédiation avec des délais. Découvertes critiques : 30 jours. Élevées : 60 jours. Moyennes : 90 jours. Faibles : prochaine fenêtre de maintenance planifiée.
- Effectuez un retest après la remédiation. Vérifiez que les correctifs sont efficaces. Ne supposez pas que l\'application d\'un correctif signifie que la vulnérabilité est résolue ; les erreurs de configuration et les corrections incomplètes sont fréquentes.
- Suivez les indicateurs dans le temps. Comparez les résultats des tests annuels. Les mêmes problèmes reviennent-ils ? Le nombre total de découvertes diminue-t-il ? Les découvertes passent-elles de problèmes basiques à des problèmes plus sophistiqués ? Cette trajectoire vous indique si votre programme de sécurité arrive à maturité.
Tests d\'intrusion et réglementation luxembourgeoise
Si vous êtes soumis à la supervision du CSSF, les tests d\'intrusion sont effectivement obligatoires. La Circulaire CSSF 20/750 sur la gestion des risques ICT exige des entités du secteur financier qu\'elles procèdent à des tests de sécurité, y compris des tests d\'intrusion. Dans le cadre de DORA (Digital Operational Resilience Act), les entités financières seront tenues de réaliser des tests d\'intrusion guidés par les menaces (TLPT) basés sur le cadre TIBER-EU pour certaines institutions d\'importance systémique.
Même en dehors du secteur financier, NIS2 exige des entités qu\'elles testent l\'efficacité de leurs mesures de gestion des risques en matière de cybersécurité, ce qui inclut implicitement des activités de test de sécurité comme les tests d\'intrusion.
Un test d\'intrusion n\'est pas une dépense. C\'est un investissement pour comprendre votre posture de sécurité réelle, et non celle que vous pensiez avoir.
