Un client demande pourquoi il devrait payer pour un pentest alors qu'il fait déjà des scans de vulnérabilités. Que répondez-vous ?
Réponse courte
Un scan de vulnérabilités est un inventaire automatisé, en largeur, des faiblesses potentielles, souvent avec des faux positifs. Un test d'intrusion est mené par un humain : il valide les trouvailles, les enchaîne et démontre un impact métier réel par une exploitation effective.
C'est l'une des questions d'entretien et de vente les plus courantes, car les clients confondent réellement les deux. La réponse honnête respecte ce que les scanners font bien tout en expliquant ce que seul un testeur humain apporte.
Scan de vulnérabilités
Un scan de vulnérabilités utilise des outils automatisés (Nessus, OpenVAS, Qualys) pour sonder les systèmes et comparer ce qu'ils trouvent à une base de problèmes connus. Il est :
- Large et rapide — il peut évaluer des milliers d'hôtes en une nuit.
- Reproductible — idéal pour une couverture continue et planifiée.
- Superficiel — il signale des vulnérabilités potentielles à partir des bannières de version et des signatures, ce qui implique des faux positifs et des faux négatifs, et il n'exploite généralement rien et ne comprend pas le contexte métier.
Test d'intrusion
Un test d'intrusion est mené par un humain. Un testeur prend les trouvailles brutes (incluant souvent la sortie du scanner) et :
- Les valide — confirmant qu'une CVE signalée est réellement exploitable dans cet environnement, éliminant les faux positifs.
- Les enchaîne — une fuite d'information de faible gravité plus un identifiant par défaut plus un SSRF peuvent se combiner en une compromission totale qu'aucun scan isolé ne signale.
- Démontre l'impact — au lieu de « le port 445 pourrait être vulnérable », il montre « nous avons atteint le contrôleur de domaine et extrait les identifiants », ce dont les dirigeants et les auditeurs ont réellement besoin pour prioriser.
Le bon cadrage pour le client
Le scan répond à « qu'est-ce qui pourrait clocher ? » et devrait tourner en continu. Un pentest répond à « que peut réellement accomplir un attaquant, et à quel point est-ce grave ? ». Ils sont complémentaires, pas concurrents — un programme mature fait les deux.
Ce que recherchent les recruteurs
Que vous ne dénigriez pas les scanners, que vous sachiez articuler la validation, l'enchaînement et l'impact métier comme la valeur ajoutée humaine, et que vous orienteriez un client vers l'option la moins chère quand elle correspond réellement à son besoin.
Questions de suivi probables
- Comment gérez-vous les faux positifs d'un scanner pendant un engagement ?
- Quand un scan de vulnérabilités est-il réellement le bon livrable pour un client ?
- Que signifie « enchaîner » des trouvailles de faible gravité en un impact élevé ?