Lire un rapport de pentest efficacement est une compétence critique pour tout RSSI, responsable conformité, équipe produit ou commanditaire cyber. Un rapport pentest standard contient 4 sections : synthèse exécutive (1-2 pages pour direction), résumé technique (2-3 pages de contexte), fiches vulnérabilités (5-40 pages, cœur du livrable), annexes. Longueur totale 30-80 pages selon scope. Comprendre le CVSS v3.1 est central : échelle 0-10 avec 4 niveaux (LOW 0.1-3.9, MEDIUM 4.0-6.9, HIGH 7.0-8.9, CRITICAL 9.0-10.0), calculé à partir de 8 métriques. Mais le score seul ne suffit pas : le contexte métier et la facilité d'exploitation comptent autant. Règle pragmatique de priorisation : CRITICAL sous 7 jours, HIGH sous 30 jours, MEDIUM sous 90 jours, LOW sous 6 mois. Les vulnérabilités chaînables (plusieurs MEDIUM qui combinées donnent un impact CRITICAL) doivent être reclassées. Le rapport alimente plusieurs contrôles de conformité : ISO 27001 (A.12.6.1), NIS 2 (article 21), DORA (article 25 TLPT). Cet article détaille la structure d'un rapport type, l'interprétation du CVSS, la lecture d'une fiche vulnérabilité, la priorisation, les questions à poser au pentester, les pièges fréquents et l'utilisation pour conformité.
1. Structure type d'un rapport pentest et lecture directionnelle
Un rapport pentest web professionnel suit une structure quasi-standardisée en France 2026, héritée de l'OWASP Web Security Testing Guide et des pratiques ESN pentest offensives (Synacktiv, Almond, Intrinsec).
Les 4 sections d'un rapport
| Section | Longueur | Public cible | Objectif |
|---|---|---|---|
| Synthèse exécutive | 1-2 pages | Direction générale, CISO, DG | Décision en 5 minutes |
| Résumé technique | 2-3 pages | RSSI, CTO, lead tech | Contexte et méthodologie |
| Fiches vulnérabilités | 5-40 pages | Équipe tech, dev, ops | Détails et remédiation |
| Annexes | 2-10 pages | Auditeur, conformité | Traçabilité et reproductibilité |
Stratégie de lecture par rôle
Direction générale / board : lecture limitée à la synthèse exécutive (1-2 pages). Focus sur : nombre de vulnérabilités par criticité, risques business identifiés, budget estimé de remédiation, délai recommandé. 10-15 minutes de lecture suffisent.
RSSI : lecture complète synthèse + résumé technique + scan des fiches vulnérabilités. Priorisation des remédiations à coordonner avec les équipes tech. 2-4 heures de lecture active.
Responsable produit / CTO : lecture ciblée sur les fiches vulnérabilités relatives à son périmètre. Focus sur reproduction, impact technique, recommandation. 3-6 heures selon nombre de vulnérabilités.
Équipe dev / ops : lecture fiche par fiche pour comprendre la vulnérabilité et implémenter le patch. Session collaborative avec pentester recommandée pour les vulnérabilités complexes.
Auditeur externe / conformité : lecture complète incluant annexes pour valider la traçabilité. Focus sur périmètre testé, méthodologie, conformité aux contrôles référentiels (ISO 27001, NIS 2, DORA).
La synthèse exécutive : contenu type
Une bonne synthèse exécutive de 1-2 pages contient :
- Nombre de vulnérabilités par criticité : ex. « 2 CRITICAL, 5 HIGH, 8 MEDIUM, 12 LOW ».
- Top 3 risques business : pas des vulnérabilités techniques, mais leur traduction en impact métier (« Risque de fuite de 50 M€ d'enregistrements clients via vulnérabilité A01 »).
- Score de maturité global : souvent sur une échelle (faible / moyen / élevé) avec comparaison à la baseline sectorielle.
- Recommandation principale : 1-3 phrases d'orientation stratégique.
- Délai recommandé : feuille de route macro sur 30-90-180 jours.
2. Comprendre le CVSS et le scoring des vulnérabilités
Le CVSS (Common Vulnerability Scoring System) v3.1 est le standard de facto pour scorer les vulnérabilités en cybersécurité. Version actuelle : CVSS 4.0 (publiée en novembre 2023, adoption progressive en France 2026), mais CVSS 3.1 reste dominant dans les rapports pentest.
Échelle de criticité CVSS 3.1
| Score | Niveau | Interprétation | Délai de remédiation typique |
|---|---|---|---|
| 0.1 à 3.9 | LOW | Risque faible, patch sous 6 mois | 6 mois |
| 4.0 à 6.9 | MEDIUM | Risque modéré, patch sous 90 jours | 90 jours |
| 7.0 à 8.9 | HIGH | Risque élevé, patch sous 30 jours | 30 jours |
| 9.0 à 10.0 | CRITICAL | Risque majeur, patch sous 7 jours | 7 jours (idéal 24-72h) |
Décomposition d'un vecteur CVSS
Un vecteur CVSS type : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
Chaque lettre code une métrique.
| Métrique | Code | Valeurs possibles | Interprétation |
|---|---|---|---|
| Attack Vector | AV | Network (N), Adjacent (A), Local (L), Physical (P) | Comment l'attaque est menée ? |
| Attack Complexity | AC | Low (L), High (H) | Complexité d'exécution ? |
| Privileges Required | PR | None (N), Low (L), High (H) | Privilèges préalables requis ? |
| User Interaction | UI | None (N), Required (R) | Besoin d'interaction utilisateur ? |
| Scope | S | Unchanged (U), Changed (C) | Impact dépasse-t-il le composant vulnérable ? |
| Confidentiality | C | None (N), Low (L), High (H) | Impact sur confidentialité ? |
| Integrity | I | None (N), Low (L), High (H) | Impact sur intégrité ? |
| Availability | A | None (N), Low (L), High (H) | Impact sur disponibilité ? |
Exemple concret : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L = Network, Low complexity, Low privs required, No user interaction, Scope Changed, Confidentialité High, Intégrité Low, Disponibilité Low. Score résultant : 8.6 HIGH.
3. Lire une fiche vulnérabilité en détail
Chaque vulnérabilité du rapport fait l'objet d'une fiche structurée d'1-3 pages. Savoir en extraire l'essentiel en 5-10 minutes par fiche est une compétence clé.
Structure type d'une fiche vulnérabilité
Exemple annoté d'une fiche type pour un lecteur qui apprend à lire un rapport pentest professionnel.
fiche_vulnerabilite_annotee:
id_finding: "P001-SSRF-IMPORT"
# Format ESN typique : P (pentest) + numero + type + contexte
# Permet tracabilite dans les outils de gestion (Jira, ServiceNow)
titre: "SSRF via endpoint d'import d'image"
# Titre descriptif court, comprehensible par dev non-cyber
criticite: "HIGH"
cvss_score: 8.6
cvss_vecteur: "CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L"
# CVSS decompose plus bas dans la fiche pour justifier le score
classification:
owasp_2021: "A10 - Server-Side Request Forgery (SSRF)"
cwe: "CWE-918"
# CWE (Common Weakness Enumeration) = taxonomie MITRE complementaire a OWASP
description: |
# Explication technique claire en 1-2 paragraphes
L'endpoint POST /api/v1/import-image accepte un parametre url
fourni par l'utilisateur authentifie pour recuperer une image distante.
Aucune validation n'est effectuee sur l'URL fournie.
endpoint_impacte: "POST /api/v1/import-image"
# Permet aux devs de localiser rapidement le code a corriger
scope_test:
type: "gray box"
# Type de mandat rappele (important pour reproduction)
compte_utilise: "compte utilisateur standard cree via inscription libre"
requete_exploit:
# Requete HTTP brute ou commande tres precise
methode: "POST"
url: "https://app.example.fr/api/v1/import-image"
headers:
Authorization: "Bearer <JWT>"
body: |
{
"url": "http://169.254.169.254/latest/meta-data/iam/security-credentials/prod-role"
}
reponse_obtenue: |
# Preuve que la vulnerabilite est reelle
HTTP 200 OK
Body : contenu du metadata service AWS (credentials IAM recuperes)
impact_technique: |
# Ce que l'attaquant peut faire techniquement
Recuperation credentials IAM temporaires du role EC2.
Acces potentiel aux ressources AWS (S3, DynamoDB) selon permissions.
impact_business: |
# Traduction en impact metier comprehensible par direction
Risque fuite 10M donnees clients S3.
Exposition reputation, sanctions RGPD possibles jusqu'a 4 % CA.
reproduction:
# Etapes step-by-step reproduisibles
- "S'authentifier avec compte utilisateur standard (inscription libre)"
- "Executer la requete POST ci-dessus"
- "Observer credentials AWS dans la reponse"
recommandation_remediation:
# Priorisee et actionnable pour les devs
priorite: "CRITICAL - sous 7 jours"
actions:
- "Valider format URL (HTTPS uniquement)"
- "Blocker IP privees et link-local (169.254.0.0/16, 10.0.0.0/8)"
- "DNS rebinding protection"
- "Isolation reseau du service d'import"
- "Forcer IMDSv2 sur instances EC2"
references:
- "OWASP SSRF Cheat Sheet"
- "PortSwigger SSRF Academy"
# Permet au dev d'approfondir par lui-meme
statut_retest: "Non remediee - retest prevu M+1"
# Important pour suivi cycle de vie de la vulnerabilitePoints d'attention lors de la lecture
- CVSS vecteur : ne pas accepter le score sans lire le vecteur. Un HIGH 7.1 avec AV:L (attaque locale) est bien moins urgent qu'un HIGH 7.1 avec AV:N (réseau).
- Reproduction : si les étapes sont floues ou incomplètes, demander clarification au pentester. Une vulnérabilité non reproductible par le dev ne sera pas corrigée.
- Impact business : toujours vérifier la traduction technique → business. Si elle est absente ou irréaliste, demander affinement.
- Recommandation priorisée : une recommandation « à corriger » sans délai et sans action précise est sans valeur opérationnelle.
Pour approfondir la méthodologie du pentester qui rédige ces fiches, voir Qu'est-ce qu'un pentest web ? Définition, méthode, outils.
4. Priorisation des remédiations en pratique
La simple lecture du CVSS ne suffit pas. Une priorisation efficace intègre 4 facteurs.
Matrice de priorisation à 4 facteurs
| Facteur | Poids | Critères d'évaluation |
|---|---|---|
| 1. Score CVSS | 30 % | Criticité technique standardisée |
| 2. Contexte métier | 30 % | Système critique (OIV, paiement, santé), sensibilité données |
| 3. Facilité d'exploitation | 25 % | Exploit public, prérequis, compétences attaquant |
| 4. Coût de remédiation | 15 % | Patch immédiat, refactoring, architecture |
Formule pragmatique : score_priorite = (CVSS × 3 + criticité_metier × 3 + facilité_exploit × 2,5 + inverse_cout_remediation × 1,5) / 10, sur échelle 0-10.
Délais de remédiation recommandés
Basés sur OWASP et pratiques sectorielles France 2026 :
| Niveau | Délai hors contexte critique | Délai sur système critique (OIV, finance) |
|---|---|---|
| CRITICAL (9.0-10.0) | 7 jours | 24-72 heures |
| HIGH (7.0-8.9) | 30 jours | 7-14 jours |
| MEDIUM (4.0-6.9) | 90 jours | 30 jours |
| LOW (0.1-3.9) | 6 mois | 90 jours |
Attention aux vulnérabilités chaînables
Un piège classique : traiter chaque vulnérabilité isolément. En pratique, plusieurs MEDIUM combinées peuvent produire un impact CRITICAL.
Exemple concret :
- Vulnérabilité A : XSS reflétée sur page publique (CVSS 5.4 MEDIUM).
- Vulnérabilité B : cookie de session sans flag
HttpOnly(CVSS 4.3 MEDIUM). - Vulnérabilité C : absence de CSP (Content Security Policy) adéquate (CVSS 3.7 LOW).
Individuellement, aucune ne déclenche d'urgence. Chaînées ensemble : attaquant publie lien malveillant → victime clique → XSS vole cookie session → session hijack complet. Impact réel : CRITICAL.
Le bon pentester identifie ces chaînes dans le rapport (section « chaînes d'attaque » ou mention dans les fiches). Sinon, le demander explicitement en restitution.
5. Questions clés à poser au pentester en restitution
Prévoir un atelier restitution de 1-2 heures avec le pentester et les équipes techniques après réception du rapport. Sept questions structurantes à poser.
Les 7 questions incontournables
-
« Quelles vulnérabilités sont chaînables pour produire un impact plus grand ? » Force le pentester à expliciter les scénarios d'attaque composés. Souvent plus pertinent que la lecture isolée des fiches.
-
« Quelle est la vulnérabilité à traiter en priorité absolue, et pourquoi ? » Le pentester a une vue d'ensemble que le lecteur n'a pas encore. Son top-1 révèle souvent un pattern structurel (ex. « tout le middleware auth est vulnérable », pas juste une fiche).
-
« Quelles opportunités d'amélioration (hors vulnérabilités classifiées) méritent attention ? » Les constats non-bloquants (« pas de rate limiting sur cet endpoint ») sont souvent mentionnés en annexe et ignorés. Certains valent HIGH en pratique.
-
« Quelles vulnérabilités potentielles sont hors scope mais suspectées ? » Le pentester a peut-être vu des indices de vulnérabilités sur des ressources non incluses. Utile pour cadrer le prochain pentest.
-
« Quel retest post-remédiation est prévu, et à quelle date ? » Sans retest formel, aucune garantie que les patches sont effectifs. Standard : retest 30-60 jours après remédiation CRITICAL/HIGH.
-
« Qui peut recevoir ce rapport en interne ? » Le rapport est confidentiel et sensible. Définir explicitement la liste de diffusion autorisée (RSSI, DSI, équipes produit concernées, auditeur externe post-certification).
-
« Quelles recommandations d'architecture au-delà des patches ponctuels ? » Certaines vulnérabilités sont symptomatiques d'un problème architectural (ex. « 12 IDOR » signale un framework d'authorization mal conçu). Le pentester peut proposer une refonte structurelle.
6. Pièges fréquents de lecture
Piège 1 : ne lire que la synthèse exécutive
La synthèse est conçue pour la direction. Elle ne remplace pas la lecture des fiches vulnérabilités pour les équipes tech. Beaucoup de RSSI débutants partagent seulement la synthèse avec les équipes, qui ne peuvent pas corriger sans les fiches détaillées.
Piège 2 : se focaliser uniquement sur les CRITICAL
Les HIGH sont souvent plus nombreuses et plus sournoises. Un rapport avec 0 CRITICAL mais 15 HIGH est plus dangereux qu'un rapport avec 2 CRITICAL et 3 HIGH.
Piège 3 : compter les vulnérabilités au lieu d'évaluer la posture
Rapport 1 : 2 CRITICAL + 8 HIGH + 20 MEDIUM = 30 findings. Rapport 2 : 0 CRITICAL + 2 HIGH + 3 MEDIUM = 5 findings. Le rapport 2 pourrait révéler une posture plus mature (moins de vulnérabilités résiduelles), ou un pentest moins approfondi. Toujours évaluer la qualité du scope et la profondeur des tests avant de comparer.
Piège 4 : ignorer le contexte de test
Un pentest black box sur un mois avec 10 HIGH découverts est différent d'un pentest white box sur 3 mois avec les mêmes 10 HIGH. Le white box suggère que les HIGH sont profondément ancrées (architecture) ; le black box les détectables en surface par n'importe quel attaquant externe.
Piège 5 : ne pas faire de retest formel
Un patch déployé « en urgence » sans retest pentest produit fréquemment des régressions. Les pentesters retestent typiquement les CRITICAL et HIGH 30-60 jours post-déploiement. Sans cette étape, pas de garantie de résolution effective.
Piège 6 : classer confidentiellement et perdre le rapport
Un rapport pentest classé « confidentiel » et verrouillé dans un dossier RSSI sans accès pour les équipes produit produit zéro remédiation. La confidentialité doit être graduée : synthèse exécutive accessible RSSI + CISO + DG ; fiches vulnérabilités accessibles équipes produit concernées ; annexes accessibles auditeurs externes.
Piège 7 : ignorer les remédiations car « trop coûteuses »
Certaines recommandations pentest impliquent refactoring ou refonte architecturale (coût 20-200 j.h. dev). La direction peut être tentée de classer la vulnérabilité en « risque accepté » pour éviter le coût. Cette acceptation doit être documentée explicitement dans le registre des risques, avec décision datée au niveau approprié (RSSI, CoDir selon criticité).
7. Utilisation du rapport pour la conformité
Le rapport pentest alimente plusieurs référentiels de conformité en France 2026.
ISO 27001:2022
Contrôle A.12.6.1 : Gestion des vulnérabilités techniques. Le rapport pentest annuel ou semestriel constitue une preuve d'identification proactive des vulnérabilités. Auditeur de certification ISO demande systématiquement le rapport du dernier pentest + plan de remédiation + retest.
Contrôle A.17.2.1 : Tests de continuité (dans une moindre mesure) : pentest touche aussi la disponibilité.
NIS 2 (directive UE 2022/2555, transposée en France oct. 2024)
Article 21 : Mesures de gestion des risques de cybersécurité. NIS 2 impose aux entités essentielles et importantes des mesures proportionnées, incluant implicitement les tests de sécurité périodiques. Pentest annuel recommandé pour les entités essentielles (OIV, énergie, santé, transport, télécom) et importantes.
Le rapport pentest annuel + plan de remédiation documenté constituent des preuves en cas de contrôle CNIL ou ANSSI post-incident.
DORA (règlement UE 2022/2554, applicable janv. 2025)
Article 25 : Programmes avancés de tests de résilience opérationnelle numérique (TLPT). Les entités financières significatives (banques, assurances, gestionnaires d'actifs avec certaines tailles) doivent réaliser un TLPT (Threat-Led Penetration Testing) tous les 3 ans minimum, avec scénarios d'attaque basés sur la threat intelligence actuelle.
Le TLPT est beaucoup plus ambitieux qu'un pentest standard : scope étendu, durée 3-6 mois, équipe red team simulant un acteur étatique ou cybercrime sophistiqué. Rapport DORA TLPT est remis à l'autorité de surveillance (ACPR en France).
RGPD et autres régulations
Le rapport pentest alimente également :
- RGPD article 32 (sécurité du traitement) : démontre la mise en œuvre de mesures techniques appropriées.
- PCI-DSS v4 (secteur paiement) : pentest annuel obligatoire pour les commerçants et prestataires traitant des données carte.
- HDS (Hébergement de Données de Santé) : audit de sécurité incluant pentest pour certification HDS.
Bonnes pratiques de traçabilité
- Archivage rapport : 3 ans minimum, 5 ans recommandé pour traçabilité en cas d'audit.
- Registre des remédiations : tableau de suivi de chaque vulnérabilité avec statut (identifiée, en cours, remédiée, retestée, risque accepté).
- Chaîne de responsabilité : ownership de chaque remédiation attribué explicitement (propriétaire + délai + budget).
- Rapports pre / post remédiation : archivage des deux versions pour démontrer la progression.
Pour la dimension GRC et conformité associée, voir Qu'est-ce qu'un ingénieur GRC ? Fiche métier. Pour la dimension auditeur qui évalue la conformité, voir Qu'est-ce qu'un auditeur cybersécurité ? Fiche métier.
Points clés à retenir
- Structure rapport pentest en 4 sections : synthèse exécutive (direction), résumé technique (RSSI), fiches vulnérabilités (tech), annexes (conformité).
- CVSS 3.1 = standard scoring sur 0-10 en 4 niveaux (LOW, MEDIUM, HIGH, CRITICAL). Score seul ne suffit pas — contexte métier compte autant.
- Priorisation 4 facteurs : CVSS (30 %), contexte métier (30 %), facilité exploit (25 %), coût remédiation (15 %).
- Délais remédiation pragmatiques : CRITICAL 7 jours, HIGH 30 jours, MEDIUM 90 jours, LOW 6 mois.
- Vulnérabilités chaînables : plusieurs MEDIUM peuvent produire un impact CRITICAL. À identifier en restitution.
- 7 questions clés à poser au pentester en restitution : chaînes, top priorité, opportunités, hors scope, retest, confidentialité, recommandations architecturales.
- Conformité : rapport alimente ISO 27001 (A.12.6.1), NIS 2 (article 21), DORA (article 25 TLPT pour finance significative).
- Archivage : 3-5 ans, avec registre de remédiations et chaîne de responsabilité documentée.
Pour la méthodologie pentest web côté pentester (vue complémentaire du lecteur), voir Qu'est-ce qu'un pentest web ? Définition, méthode, outils. Pour la fiche métier pentester détaillée, voir Qu'est-ce qu'un pentester ? Fiche métier complète. Pour comprendre la posture du commanditaire cyber qui lit le rapport, voir Qu'est-ce qu'un ingénieur GRC ? Fiche métier et Qu'est-ce qu'un auditeur cybersécurité ? Fiche métier. Pour le cadrage global des trajectoires pentester, voir Peut-on devenir pentester sans expérience ?. La formation OWASP Web Security de Zeroday couvre la rédaction et la lecture de rapports pentest web professionnels, incluant la méthodologie CVSS, la priorisation des remédiations et la restitution client.
