Test d'intrusion contrôlé pour identifier les vulnérabilités d'un système.
Un pentest (penetration testing, ou test d'intrusion en français) est un audit de sécurité offensif où un professionnel (pentester) tente, avec l'autorisation explicite du propriétaire, de pénétrer un système informatique pour en identifier les vulnérabilités exploitables. L'objectif est d'évaluer la posture de sécurité réelle, au-delà des simples scans automatisés.
Un pentest suit généralement plusieurs phases (méthodologie OWASP, PTES, OSSTMM) : (1) reconnaissance (passive et active), (2) scanning et énumération, (3) gain d'accès (exploitation), (4) maintien d'accès (persistence), (5) effacement des traces, (6) reporting détaillé. Les pentests peuvent être black box (aucune info), grey box (info partielle) ou white box (accès complet).
Les outils du pentester : Nmap (reconnaissance), Burp Suite / OWASP ZAP (web), Metasploit (exploitation), Mimikatz (Windows post-exploitation), BloodHound (Active Directory), Cobalt Strike (red team commercial). Les certifications de référence : OSCP (Offensive Security), CompTIA PenTest+, CEH, GPEN.
200+ certifications, 400 000+ questions, examens blancs chronométrés.
Voir le catalogue →