Pentest

Un pentest (ou penetration test, « test d'intrusion ») est un audit de sécurité offensif au cours duquel un expert (le pentester), avec autorisation écrite, simule des attaques contre une cible (application web, API, infrastructure, application mobile, environnement cloud) pour identifier les vulnérabilités exploitables avant qu'un véritable attaquant ne le fasse.

Les pentests se déclinent en black box (aucun accès initial), grey box (accès limité, par exemple un compte utilisateur) et white box (accès complet au code et à la documentation). Le livrable est un rapport priorisé avec preuves d'exploitation et recommandations de remédiation.

Le pentest est complémentaire des analyses statiques (SAST), dynamiques (DAST), des bug bounties et des audits de configuration.