InspectWP Logo
Glossaire

Qu'est ce que le Penetration Testing ?

20 mai 2026

Le penetration testing (pentest, ethical hacking) est une attaque simulee autorisee contre un systeme, une application, une API ou un reseau. Le but est d identifier les faiblesses (vulnerabilites, mauvaises configurations, defauts de conception) avant que des attaquants malveillants les exploitent. Le pentester suit une methodologie qui combine scan, exploitation manuelle, post exploitation et rapport. La sortie est un rapport ecrit qui evalue chaque decouverte par severite (Critical, High, Medium, Low, Informational) avec etapes de reproduction, captures, impact metier et correction recommandee. Obligatoire dans PCI DSS 11.4, ISO 27001:2022 A.8.29, NIS2 article 21, HIPAA, SOC 2 et DORA article 26 depuis le 17 janvier 2025. Tarifs 2025 : 5 000 a 25 000 EUR PME, 30 000 a 150 000 EUR entreprise, PTaaS continu a partir de 800 a 2 000 EUR par mois.

Pentest vs scan de vulnerabilites

AspectScanPentest
AutomatisationTotaleSurtout manuelle
ProfondeurSurfaceChaines d exploitation
Faux positifsElevesFaibles
ExploitationAucuneReelle
DureeMinutes a heuresJours a semaines
CoutFaibleA partir de 5 000 EUR
FrequenceHebdomadaireAnnuelle

Types de pentest

  • Application web.
  • API (OWASP API Top 10 2023).
  • Mobile (Frida, Objection, MobSF).
  • Reseau et infrastructure.
  • Cloud (AWS, Azure, GCP).
  • Wireless.
  • Ingenierie sociale et phishing.
  • Red Team.
  • Purple Team.
  • IoT et embarque.

Modeles de connaissance

  • Black box.
  • Grey box.
  • White box.

Methodologie

  1. Cadrage et regles d engagement.
  2. Reconnaissance (Shodan, Censys, Wayback, Nmap, Amass).
  3. Threat modeling.
  4. Identification (Burp Suite Pro, Acunetix, Nuclei, Nessus).
  5. Exploitation (Metasploit, sqlmap, hashcat, BloodHound).
  6. Post exploitation.
  7. Rapport CVSS 3.1 ou 4.0.
  8. Correction et retest.

Standards

  • OWASP WSTG 4.2.
  • OWASP API Top 10 2023.
  • PTES.
  • NIST SP 800 115.
  • OSSTMM.
  • MITRE ATT&CK.
  • PCI DSS 11.4.
  • TIBER-EU (BCE).

Outils

  • Burp Suite (Community gratuit, Pro 449 USD/an).
  • OWASP ZAP.
  • Metasploit.
  • Nmap.
  • sqlmap.
  • Nuclei.
  • hashcat.
  • BloodHound.
  • Kali Linux, Parrot OS.
  • Cobalt Strike.
  • WPScan.

Certifications

  • OSCP, OSCE3.
  • CRTO / CRTL.
  • CREST CRT et CCT.
  • PNPT.
  • GPEN, GWAPT, GXPN.
  • CEH.

Pentest WordPress

  • CVE des plugins et themes (WPScan).
  • Endpoints REST sans auth.
  • XML-RPC.
  • Enumeration d auteurs.
  • Fichiers de sauvegarde dans le webroot.
  • Uploads vulnerables.
  • SQLi dans plugins/themes custom.
  • XSS stocke.
  • 2FA absente, nonces CSRF manquants.
  • Mots de passe faibles.

Preparation

  1. Definir le perimetre.
  2. Comptes de test par role.
  3. Environnement de staging isole.
  4. Prevenir SOC, IT, hebergeur, WAF.
  5. Documenter problemes connus.
  6. Canal de communication (Slack, Signal).
  7. Budget pour retest.

Bug Bounty

HackerOne, Bugcrowd, Intigriti, YesWeHack, Open Bug Bounty. Complement, pas remplacement.

Comment InspectWP s integre ?

InspectWP automatise la reconnaissance et l analyse de surface.

Article précédent

Qu'est ce qu'Interaction to Next Paint (INP) ?

Article suivant

Que sont AVIF et WebP comparés ?

Articles liés

Qu'est-ce que HTTP/2 et HTTP/3 ? Guide pratique pour les sites WordPress

Que sont les custom post types WordPress ?

Qu’est ce qu’un block theme WordPress (Full Site Editing) ?

Voir tous les articles

Vérifiez votre site WordPress dès maintenant

InspectWP analyse votre site WordPress pour détecter les problèmes de sécurité, de SEO, de conformité RGPD et de performance — gratuitement.

Analyser votre site gratuitement