Parce que… c’est l’épisode 0x649!

Shameless plug

• 4 et 5 novembre 2025 - FAIRCON 2025
• 8 et 9 novembre 2025 - DEATHcon
• 17 au 20 novembre 2025 - European Cyber Week
• 25 et 26 février 2026 - SéQCure 2026

Description

Comprendre les différences et faire les bons choix

Dans cet épisode du podcast Polysécure, l’animateur reçoit Cyndie Feltz, Nicolas Milot et Dominique Derrier pour démystifier deux concepts souvent confondus dans le domaine de la cybersécurité : les balayages de vulnérabilités et les tests d’intrusion. Cette discussion s’avère particulièrement pertinente pour les petites et moyennes entreprises qui doivent naviguer dans un environnement où les exigences de sécurité se multiplient, que ce soit pour obtenir une cyberassurance, répondre à des normes réglementaires ou rassurer des clients.

La confusion sur le marché

Le podcast débute en soulignant un problème majeur : les entreprises se font souvent imposer des tests de sécurité sans nécessairement comprendre ce qu’elles achètent réellement. Cette pression peut provenir d’une cyberassurance, d’un cadre normatif ou d’un client exigeant. Lorsque ces tests ne sont pas budgétés, les entreprises cherchent naturellement à minimiser les coûts, mais le marché offre toutes les saveurs possibles, et les écarts de prix peuvent atteindre un facteur de dix entre différentes offres. Cette variation crée naturellement de la confusion et des inquiétudes chez les clients.

Deux outils complémentaires, mais distincts

Les experts s’entendent d’abord sur un point fondamental : ni le balayage de vulnérabilités ni le test d’intrusion ne sont intrinsèquement mauvais. Ce sont simplement deux outils différents qui répondent à des besoins distincts. Le problème survient lorsqu’un vendeur présente l’un comme l’autre, ou inversement, créant ainsi des attentes qui ne seront pas comblées.

Un balayage de vulnérabilités est essentiellement un processus automatique. Un outil informatique analyse une application web, un serveur interne ou une adresse IP pour identifier des failles potentielles. Sa mission consiste à générer le maximum de données possibles. L’entreprise paie littéralement pour obtenir une quantité importante d’informations, qu’elle devra ensuite filtrer et prioriser elle-même. Ces scans permettent de détecter des vulnérabilités connues, des CVE et des exploits déjà répertoriés.

Le test d’intrusion, quant à lui, implique une intervention humaine. Un expert en sécurité effectue manuellement des tests sur les actifs de l’entreprise en utilisant son expertise et son cerveau pour comprendre le contexte spécifique de l’organisation. Contrairement au scanner automatique, le testeur d’intrusion peut évaluer la logique métier, comprendre où appuyer pour faire mal et exploiter réellement les vulnérabilités découvertes.

L’analogie du gardiennage et du cambrioleur

Dominique propose une excellente analogie pour illustrer cette différence : un balayage de vulnérabilités ressemble à quelqu’un qui fait le tour d’un bâtiment pour vérifier si les portes sont verrouillées et noter où se trouvent les caméras. Un test d’intrusion, en revanche, correspond à une personne qui tente activement de pénétrer dans le bâtiment en crochetant les serrures, en contournant les systèmes d’alarme et en testant toutes les entrées possibles. Cette dernière approche requiert des compétences beaucoup plus pointues et justifie naturellement des coûts plus élevés, tout en offrant un bénéfice supérieur puisqu’elle vérifie l’efficacité réelle des mesures de sécurité.

Quand utiliser chaque approche

La première question à se poser n’est pas de savoir s’il faut un scan ou un test d’intrusion, mais plutôt : quel est le besoin réel ? S’agit-il d’une exigence normative qui impose spécifiquement un test d’intrusion ? L’entreprise souhaite-t-elle simplement valider la sécurité de son application ou de son infrastructure ?

Pour un produit SaaS exposé sur Internet, les balayages de vulnérabilités sont particulièrement appropriés et peuvent être effectués régulièrement, voire de manière automatisée. Ils permettent de détecter rapidement l’apparition de nouvelles vulnérabilités connues.

Pour les entreprises de taille moyenne avec plus de 150 à 200 employés disposant d’une infrastructure interne complexe, incluant par exemple un Active Directory, les scans servent à détecter les CVE et les exploits connus. Cependant, un scan de vulnérabilités ne tentera jamais de compromettre un Active Directory pour devenir administrateur de domaine, contrairement à ce que devrait faire un véritable test d’intrusion interne.

La question de la récurrence et de la valeur

Les balayages de vulnérabilités présentent l’avantage de pouvoir être effectués fréquemment, mensuellement ou même hebdomadairement. Les entreprises peuvent acheter leur propre licence et administrer ces scans en interne. Si elles font appel à une firme externe, la vraie valeur ajoutée ne réside pas dans le rapport brut, mais dans l’aide apportée pour filtrer et prioriser les résultats. Un fournisseur de services de sécurité managés (MSSP) devrait intégrer ces analyses automatiques dans son offre globale et les mettre en adéquation avec les autres outils de sécurité déjà en place.

Recommandations pour les PME

Les experts insistent sur plusieurs points essentiels. Premièrement, toutes les entreprises n’ont pas besoin d’un test d’intrusion. Une société de quinze à vingt personnes utilisant Google Workspace et WordPress bénéficierait davantage d’investir dans des révisions de configuration que dans un coûteux test d’intrusion, qui avoisine souvent les cinq chiffres.

Deuxièmement, il est crucial de maintenir une bonne gouvernance en s’assurant que l’entité qui gère la sécurité quotidienne ne soit pas celle qui effectue les tests d’intrusion. Cette séparation garantit l’objectivité de l’évaluation, tout comme on ne demanderait pas à son agence comptable de réaliser son propre audit financier.

Troisièmement, réduire l’empreinte numérique résout souvent davantage de problèmes qu’un simple test de sécurité. Limiter le nombre d’outils et de services utilisés, bien configurer ceux qui restent, et former adéquatement les équipes constituent des mesures préventives plus rentables qu’un test d’intrusion coûteux qui viendrait simplement confirmer des failles évidentes.

Enfin, les experts encouragent les entreprises à considérer leurs mesures de cybersécurité non pas uniquement comme une dépense, mais comme un investissement qui peut devenir un argument de vente. Former les équipes commerciales sur les pratiques de sécurité mises en place permet de transformer cette démarche en avantage concurrentiel, même en l’absence de certification formelle.

Conclusion

Ce podcast clarifie efficacement un sujet souvent source de confusion pour les PME. La distinction entre balayages de vulnérabilités et tests d’intrusion repose essentiellement sur l’automatisation versus l’intervention humaine, la quantité versus la qualité contextuelle, et la détection versus l’exploitation réelle. Le choix entre ces deux approches doit toujours découler d’une analyse rigoureuse des besoins spécifiques de l’entreprise, de son budget et de ses obligations réglementaires, tout en gardant à l’esprit que la meilleure sécurité commence par des pratiques de base solides et une empreinte numérique maîtrisée.

Collaborateurs

• Nicolas-Loïc Fortin
• Cyndie Feltz
• Nicholas Milot
• Dominique Derrier

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: balayage, redteam, vulnerabilite