Name: CleanIssue
Price range: €€

Question 1

La CNIL exige-t-elle un pentest ?

Accepted Answer

Non. La CNIL exige des mesures de sécurité appropriées (Art. 32 RGPD) mais ne prescrit aucune méthode. Une revue externe documentée constitue une preuve de diligence acceptable. Le pentest n'est exigé que par certains référentiels sectoriels (DORA, PCI-DSS).

Question 2

Quelle est la différence entre pentest et test d'intrusion ?

Accepted Answer

Aucune. Ce sont deux termes pour la même chose. En France, on parle souvent de test d'intrusion, tandis que pentest est le terme anglophone. Les deux désignent une attaque simulée autorisée.

Question 3

Qu'est-ce qu'un red team exactement ?

Accepted Answer

Un red team est une variante avancée du pentest. Il cible l'organisation entière (pas seulement une application) en combinant attaques techniques, ingénierie sociale et parfois intrusion physique. Réservé aux entreprises matures avec une équipe sécurité en place.

Question 4

Peut-on faire une revue externe puis un pentest ?

Accepted Answer

Oui, et c'est la séquence la plus logique. La revue externe identifie les failles d'exposition à faible coût. Une fois corrigées, le pentest teste la résistance en profondeur. On évite ainsi de payer un pentest pour découvrir des failles évidentes.

Question 5

Mon assurance cyber demande un test d'intrusion. La revue externe suffit-elle ?

Accepted Answer

Cela dépend du contrat. Certaines assurances acceptent un audit de sécurité documenté, d'autres exigent explicitement un pentest. Vérifiez la formulation exacte de votre police. Si le terme test d'intrusion est imposé, une revue externe ne suffira pas formellement.

Critère	Audit passif	Test d'intrusion (pentest)
Méthode	Observation et analyse depuis l'extérieur, sans accès	Attaque simulée avec autorisations formelles
Synonymes courants	Audit de sécurité, audit applicatif, revue de sécurité	Pentest, penetration testing, test de pénétration
Autorisation requise	Aucune (lecture seule, surface publique)	Obligatoire (contrat, périmètre, règles d'engagement)
Durée typique	1 à 5 jours	2 à 6 semaines
Coût PME	1 900 à 4 200 €	5 000 à 25 000 €
Ce qui est testé	Surface d'exposition, APIs, authentification, données accessibles, configuration	Résistance aux attaques actives, exploitation de failles, escalade
Impact sur la production	Zéro	Risque de perturbation (maîtrisé)
Rapport	Preuves reproductibles, contexte RGPD, remédiation	Chemins d'attaque, exploitation documentée
Valeur réglementaire	Preuve de diligence RGPD (Art. 32)	Exigé par DORA, PCI-DSS (niveaux avancés), certaines assurances
Red team (variante avancée)	Sans objet	Version étendue : attaque multi-vecteur (phishing, technique, physique), cible l'organisation entière

Audit, pentest, test d'intrusion, red team :
qui fait quoi ?

Les approches comparées

Commencez par la revue externe si...

Passez au pentest si...

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Audit, pentest, test d'intrusion, red team :qui fait quoi ?

Les approches comparées

Commencez par la revue externe si...

Passez au pentest si...

FAQ

Besoin d'une revue externe de votre SaaS RH ?

Audit, pentest, test d'intrusion, red team :
qui fait quoi ?