Décrivez-moi les phases d'un test d'intrusion, du lancement à la livraison.
Réponse courte
Un test d'intrusion passe par le pré-engagement (cadrage et règles d'engagement), la reconnaissance, le balayage et l'énumération, l'exploitation, la post-exploitation et le reporting. Chaque phase alimente la suivante, et le reporting est le moment où la valeur est réellement livrée au client.
Un test d'intrusion n'est pas « lancer un scanner et exploiter ce qui apparaît ». C'est un engagement structuré, avec des phases qui s'appuient chacune sur la précédente. Des cadres comme le PTES (Penetration Testing Execution Standard) et l'OSSTMM formalisent cela, et la plupart des recruteurs veulent entendre cette structure.
Les phases
- Pré-engagement / cadrage. Avant que le moindre paquet ne circule, vous convenez du périmètre, des règles d'engagement, du calendrier, des contacts d'urgence et de l'autorisation. C'est le fondement juridique et pratique — sans autorisation écrite, vous ne faites que commettre un délit.
- Reconnaissance. Recueillir des informations sur la cible, passivement (OSINT, DNS, transparence des certificats) puis activement (sonder les hôtes en ligne). L'objectif est de construire une carte de la surface d'attaque.
- Balayage et énumération. Identifier les hôtes en ligne, les ports ouverts, les services actifs et leurs versions. L'énumération va plus loin — noms d'utilisateur, partages, points de terminaison, piles logicielles — transformant une liste de services en une liste de faiblesses candidates.
- Exploitation. Tenter d'obtenir un accès en exploitant les vulnérabilités trouvées. C'est la phase que les gens imaginent, mais c'est souvent la plus courte.
- Post-exploitation. Une fois à l'intérieur, déterminer l'impact : escalader les privilèges, pivoter vers d'autres systèmes, accéder à des données sensibles et établir une persistance (si elle est dans le périmètre). Cela répond à la question qui intéresse réellement le client — « à quel point est-ce grave ? »
- Reporting. Documenter les trouvailles, les preuves, l'impact métier et les conseils de remédiation. C'est le livrable. Une brillante chaîne d'exploitation ne vaut rien si le rapport ne peut pas déclencher une correction.
Ce que recherchent les recruteurs
Ils veulent voir que vous traitez le reporting et le cadrage comme des phases à part entière, pas comme des accessoires, et que vous comprenez que la post-exploitation est l'endroit où vous démontrez le risque métier réel plutôt que simplement « j'ai obtenu un shell ».
Questions de suivi probables
- Pourquoi la post-exploitation est-elle une phase distincte de l'exploitation ?
- Que se passe-t-il pendant le pré-engagement qui vous protège, vous et le client ?
- En quoi la méthodologie diffère-t-elle entre un test en boîte noire et un test en boîte blanche ?