Préparer une mission de pentest représente typiquement 20-30 % de l'effort total d'une mission professionnelle, soit 2-5 jours sur une mission de 10-15 jours ouvrés. La phase de préparation couvre six étapes distinctes : pré-engagement commercial (cadrage, scoping, pricing), validation juridique (NDA, ROE, assurance RC Pro, qualification PASSI si OIV ou NIS 2), collecte d'informations (accès, documentation, contacts), setup technique (VM pentester, outils, VPN, coffre-fort secrets), threat intelligence préalable (obligatoire pour red team et TIBER-EU/DORA TLPT, fortement recommandée pour pentest standard), plan d'exécution structuré (phases, jalons, livrables intermédiaires). Un kick-off professionnel de 60-120 minutes mobilise 3-6 parties prenantes côté client (white cell RSSI, DSI, propriétaire produit) pour valider scope, accès, contacts crise 24/7, fenêtres test, red zones, stop criteria. Les pentesters juniors sous-estiment systématiquement ce ratio (5-10 % au lieu de 20-30 %) et rencontrent ensuite des problèmes en mission (scope flou, accès manquants, outils non préparés). Les pentesters seniors consacrent 20-30 % car ils savent qu'une préparation rigoureuse économise 2-3 fois plus de temps en exécution plus rédaction. Trois règles factuelles observées par Zeroday Cyber Academy : validation des accès à J-3 minimum (jamais le matin du J1), kick-off structuré obligatoire avec compte-rendu écrit signé, setup technique testé bout en bout sur dry-run avant démarrage formel. Cet article détaille les 6 phases de préparation, la checklist complète, les documents juridiques obligatoires, le setup technique, le threat intel préalable, le kick-off structuré et notre bilan factuel.
1. Les six phases structurantes de la préparation
| Phase | Durée typique | Livrable clé | Signaux d'alerte si sautée |
|---|---|---|---|
| Pré-engagement commercial | 3-10 jours avant signature | Proposition plus scope draft | Mauvais cadrage, pricing incorrect |
| Validation juridique | 2-5 jours avant signature | NDA plus ROE plus contrat signés | Délit d'intrusion 323-1 Code pénal |
| Collecte d'informations | J-7 à J-3 | Accès verifiés, contacts, doc | Perte de temps J1 en ping-pong |
| Setup technique | J-3 à J-1 | VM dédiée, outils, coffre-fort | Plantages, outils manquants, stress |
| Threat intelligence | J-7 à J-1 (red team), J-1 (pentest std) | Brief menace sectorielle, CVE récentes | Mission générique sans ciblage |
| Plan d'exécution plus kick-off | J-1 à J0 | Planning, compte-rendu kick-off signé | Scope creep, frictions, dépassement |
Règle observée : une mission qui saute 2 phases sur 6 rencontre systématiquement des frictions significatives (retards, corrections, insatisfaction client). Une mission qui respecte les 6 phases tient son planning dans 80-90 % des cas.
2. Phase 1 — Pré-engagement commercial
Objectifs : cadrer la demande, chiffrer la mission, produire une proposition commerciale alignée aux attentes réelles du client.
Activités à mener
- Call de cadrage avec RSSI ou DSI client (60-90 minutes) pour comprendre le contexte, les objectifs, les contraintes.
- Reconnaissance passive préliminaire : OSINT du client sur Shodan, Censys, LinkedIn, sous-domaines publics. 2-3 heures pour estimer la surface d'attaque et calibrer la mission.
- Rédaction scope draft aligné aux besoins identifiés (voir Qu'est-ce qu'un scope de pentest).
- Chiffrage : nombre de jours-homme, profil des intervenants (junior/senior), taux journalier applicable, total HT.
- Proposition commerciale en 3-5 pages : contexte, objectifs, méthodologie, scope, livrables, planning, prix, conditions.
Pièges courants à éviter
- Surestimer le périmètre réellement audité (client paie pour X, attend Y) — cadrer précis.
- Sous-estimer le temps de rédaction rapport (typiquement 25-35 % du temps total) — ne pas promettre livraison sous 2 jours.
- Accepter des exclusions irréalistes (scope impossible à tester faute de temps) — argumenter avec le client.
- Négliger les zones grises contractuelles (re-test post-correction : inclus ou non ?).
3. Phase 2 — Validation juridique
Trois documents obligatoires signés avant tout démarrage
| Document | Contenu | Durée | Signataires |
|---|---|---|---|
| Contrat commercial | Prestation, prix, délais, livrables, pénalités, IP | Signature avant démarrage | Responsable juridique plus direction côté client et prestataire |
| NDA (Non-Disclosure Agreement) | Confidentialité pendant plus après mission | 3-5 ans standard, 5-7 ans whitebox ou red team | Personne morale plus représentant légal |
| Rules of Engagement (ROE) | Scope technique, techniques autorisées/interdites, fenêtres, contacts, stop criteria | Durée mission plus archivage 3+ ans | RSSI ou DSI client plus Lead Pentester |
Documents complémentaires recommandés
- Attestation d'assurance RC Pro du prestataire — couverture 1-5 M€ typique pour un cabinet pentest, 1-3 M€ pour un freelance.
- Preuve de qualification PASSI ANSSI si mission OIV ou NIS 2 entité essentielle.
- Attestation de casier judiciaire vierge pour missions sensibles (défense, OIV, banque systémique, secteur public).
- Clause de sous-traitance si équipe élargie avec freelances externes.
- Clause de conformité RGPD si traitement potentiel de données personnelles pendant mission.
Cadre pénal français à connaître
- Article 323-1 Code pénal : accès ou maintien frauduleux dans STAD, 3 ans d'emprisonnement plus 100 000 € d'amende. Sans ROE signée, un pentester tombe sous cet article.
- Article 323-2 : entrave au fonctionnement d'un STAD, 5 ans plus 150 000 €.
- Article 323-3 : introduction ou modification frauduleuse de données, 5 ans plus 150 000 €.
- Article 323-4 : aggravation en bande organisée, 10 ans plus 300 000 €.
La ROE signée constitue l'autorisation formelle légale — jamais d'exception, même sur « demande urgente orale d'un RSSI ».
4. Phase 3 — Collecte d'informations
Liste des informations à collecter avant J-3
- Scope technique final : IPs, domaines, applications, APIs avec exclusions explicites.
- Comptes de mission : credentials fournis testés par le pentester avant J1.
- Accès VPN ou connectique : coordonnées, procédure, test live.
- Documentation fournie : schémas architecture, API specs (OpenAPI/Swagger), threat models antérieurs.
- Contacts de crise 24/7 : nom, email, téléphone personnel, rôle, fenêtre de réponse attendue.
- Calendrier partagé : fenêtres de test, red zones, planning client (périodes de clôture, release critique).
- Canaux de communication : email (quotidien), Signal ou Matrix (sensible), Slack ou Teams (rapide).
Validation technique obligatoire à J-3 ou J-2
Tester bout en bout chaque accès fourni avant le kick-off. Un accès qui ne fonctionne pas le matin du J1 fait perdre une demi-journée minimum, parfois plus selon la latence du support client pour corriger.
5. Phase 4 — Setup technique
Huit éléments du setup à valider avant J-1
1. VM pentester dédiée
- Kali Linux, Parrot OS ou Debian custom avec outils pré-installés.
- Chiffrement disque LUKS2 (Linux) ou FileVault (macOS host).
- Jamais de VM partagée entre missions différentes — risque de fuite inter-client.
- Snapshot initial propre permettant un reset rapide post-mission.
2. Outils pré-installés et testés
| Catégorie | Outils standard 2026 |
|---|---|
| Reconnaissance | Nmap, Masscan, Amass, Subfinder, httpx, Shodan CLI, Censys CLI |
| Web | Burp Suite Professional (licence à jour), OWASP ZAP, ffuf, gobuster, sqlmap, wpscan, nuclei |
| Réseau et protocoles | Wireshark, tcpdump, Responder, Impacket suite |
| AD | BloodHound CE plus Rusthound plus SharpHound, Rubeus, CrackMapExec, NetExec, Certipy, Kerbrute |
| Exploitation | Metasploit Framework, Empire, Sliver (C2 légitime pour red team), PoshC2 |
| Post-exploitation | Mimikatz, LaZagne, SharpHound, PowerSploit, Seatbelt, WinPEAS, LinPEAS |
| Reverse | Ghidra, IDA Free, radare2, Cutter |
3. VPN ou connectique client
- Configuration testée J-3 minimum.
- Routing vérifié (accès scope oui, hors scope non).
- Latence mesurée pour calibrer timing tests.
4. Coffre-fort mots de passe dédié mission
- KeePassXC (offline, chiffré AES-256) ou Bitwarden organization avec compartiment dédié.
- Master password fort (25+ caractères).
- Partage sécurisé avec co-équipiers si mission en binôme.
5. Dossier mission structuré sur disque chiffré
Structure type :
mission-PT-2026-0042/
├── 00-scope-et-roe/
│ ├── roe-signee.pdf
│ ├── scope-technique.yml
│ └── contacts-crise.md
├── 10-threat-intel/
│ └── brief-prealable.md
├── 20-recon/
│ ├── nmap-initial.xml
│ ├── subdomains.txt
│ └── shodan-export.json
├── 30-exploitation/
│ ├── findings-draft.md
│ ├── poc/
│ └── screenshots/
├── 40-post-ex/
├── 50-rapport/
│ ├── rapport-technique.md
│ ├── executive-summary.md
│ └── annexes/
└── 99-archive/
6. Accès whitebox sécurisés (si whitebox)
- Clone local du code source sur disque LUKS2.
- Destruction programmée 15-30 jours post-mission avec attestation.
- Jamais de
git pushvers dépôt non-client.
7. Outils documentation
- Obsidian ou Notion pour notes hiérarchiques.
- PwnDoc ou Ghostwriter pour rapport structuré.
- Flameshot (Linux) ou Shottr (macOS) pour captures d'écran.
8. Sauvegardes chiffrées quotidiennes
- Rclone vers stockage chiffré (S3 avec SSE, BorgBackup, restic).
- Rétention 30 jours puis destruction.
6. Phase 5 — Threat intelligence préalable
Obligatoire pour red team et TIBER-EU/DORA TLPT, optionnel mais recommandé pour pentest standard.
Préparation red team ou TIBER-EU (1-2 semaines)
- Identifier un acteur de menace représentatif du secteur cible : APT29 pour finance, FIN6 pour retail, Sandworm pour énergie, Scattered Spider pour télécom/tech, Lazarus pour crypto.
- Mapping MITRE ATT&CK des TTPs de cet acteur : consulter MITRE ATT&CK Groups (G0016 APT29, G0046 FIN6, G0034 Sandworm, G1015 Scattered Spider).
- Sélectionner 15-30 techniques à émuler couvrant initial access, persistence, lateral movement, exfiltration.
- Consulter sources CTI : Mandiant Advantage, CrowdStrike Falcon Intelligence, Recorded Future, CERT-FR bulletins, rapports Unit 42 plus Orange Cyberdefense plus Sekoia.io plus Filigran.
Préparation pentest standard (1-2 heures)
- Recon passive client : Shodan, Censys, sous-domaines publics via Amass.
- Veille CVE sur les technologies identifiées (stack applicative, versions, composants). Consulter CVE Details, NVD, vulncheck.
- Check fuites credentials : HaveIBeenPwned domain check, IntelX pour fuites récentes.
- Lecture CERT-FR bulletins récents sur le secteur et les technos du client.
7. Phase 6 — Plan d'exécution et kick-off
Plan d'exécution structuré
Production d'un planning détaillé par jalons avec livrables intermédiaires, partagé avec le client avant kick-off.
Kick-off professionnel (60-120 minutes)
Mobilise 3-6 parties prenantes côté client et 1-2 côté prestataire. Checklist des 8 points à valider :
- Scope technique et exclusions finales — lecture ligne à ligne avec client.
- Validation live des accès : connexion testée pendant kick-off sur chaque credential.
- Contacts de crise 24/7 — nom, numéro personnel, fenêtre réponse attendue, procédure d'escalade.
- Fenêtres de test et red zones — synchronisation avec calendrier client (clôtures, releases).
- Procédure notification incident tiers (détection intrusion non pentest pendant mission) — STOP immédiat, notification 30 min.
- Stop criteria — liste explicite des conditions imposant arrêt mission.
- Planning pointage — quotidien 15 min ou bi-hebdomadaire 30 min.
- Canaux de communication — email, Signal ou Matrix (sensible), Slack ou Teams (quotidien).
Compte-rendu de kick-off signé sous 24h par Lead Pentester et White Cell RSSI. Archivé avec la ROE comme document contractuel.
8. Checklist complète de préparation
Checklist reproductible exploitable en portfolio GitHub pour démontrer la rigueur méthodologique (format YAML structuré) :
# pentest-preparation-checklist-v1.yml
# Checklist complete preparation mission pentest.
# Exploitable par pentester junior a senior - cocher chaque item avant J1.
phase_1_pre_engagement:
- item: "Call de cadrage client 60-90 min complete"
statut: "a_valider"
owner: "Lead pentester"
- item: "OSINT passive client (Shodan, Censys, sous-domaines)"
statut: "a_valider"
duree_prevue_heures: 3
- item: "Scope draft redige aligne aux objectifs"
statut: "a_valider"
- item: "Chiffrage jours-homme et pricing"
statut: "a_valider"
- item: "Proposition commerciale 3-5 pages envoyee"
statut: "a_valider"
phase_2_validation_juridique:
- item: "Contrat commercial signe"
statut: "a_valider"
echeance: "J-7 minimum"
- item: "NDA signe (3-5 ans standard, 5-7 ans whitebox)"
statut: "a_valider"
- item: "Rules of Engagement signee"
statut: "a_valider"
legal: "article 323-1 Code penal - sans ROE = delit intrusion"
- item: "Attestation RC Pro a jour (1-5 M EUR)"
statut: "a_valider"
- item: "Qualification PASSI verifiee (si OIV ou NIS 2 entite essentielle)"
statut: "n_a_si_hors_perimetre_passi"
- item: "Extrait casier judiciaire vierge si mission sensible"
statut: "a_valider"
phase_3_collecte_infos:
- item: "Credentials de mission recus et testes live"
statut: "a_valider"
echeance: "J-3 minimum"
- item: "Acces VPN ou connectique teste bout en bout"
statut: "a_valider"
- item: "Documentation architecture recue (schemas, API specs)"
statut: "a_valider"
- item: "3-5 contacts de crise 24/7 avec numeros perso"
statut: "a_valider"
- item: "Calendrier partage avec fenetres test et red zones"
statut: "a_valider"
- item: "Canaux communication definis (email plus Signal plus Slack)"
statut: "a_valider"
phase_4_setup_technique:
- item: "VM pentester dediee chiffree LUKS2 ou FileVault"
statut: "a_valider"
- item: "Snapshot initial propre cree"
statut: "a_valider"
- item: "Tous outils cles installes et testes (Burp licence, Nmap, BloodHound, etc.)"
statut: "a_valider"
- item: "Coffre-fort mots de passe dedie mission (KeePassXC ou Bitwarden)"
statut: "a_valider"
- item: "Dossier mission structure sur disque chiffre (00-scope, 10-ti, 20-recon...)"
statut: "a_valider"
- item: "Sauvegardes chiffrees quotidiennes configurees (rclone, BorgBackup)"
statut: "a_valider"
- item: "Outil rapport pret (PwnDoc, Ghostwriter, Obsidian)"
statut: "a_valider"
phase_5_threat_intelligence:
red_team_ou_tiber:
- item: "Acteur de menace represente identifie (APT29, FIN6, Sandworm, etc.)"
statut: "a_valider"
- item: "Mapping MITRE ATT&CK TTPs 15-30 techniques selectionnees"
statut: "a_valider"
- item: "Brief CTI redige 5-10 pages"
statut: "a_valider"
pentest_standard:
- item: "Recon passive Shodan plus Censys plus sous-domaines"
statut: "a_valider"
- item: "Veille CVE recentes sur stack client"
statut: "a_valider"
- item: "HaveIBeenPwned plus IntelX check fuites"
statut: "a_valider"
phase_6_plan_et_kickoff:
- item: "Planning detaille par jalons plus livrables intermediaires"
statut: "a_valider"
- item: "Kick-off 60-120 min planifie avec 3-6 parties prenantes client"
statut: "a_valider"
- item: "Agenda kick-off envoye J-2"
statut: "a_valider"
- item: "Compte-rendu kick-off redige et signe dans les 24h"
statut: "a_valider"
legal: "document contractuel complement de la ROE"
validation_finale_go_nogo:
- item: "Tous items phases 1-5 coches avant J0"
statut: "a_valider"
action_si_non: "STOP - reporter kick-off jusqu'a validation complete"
- item: "Accord ecrit Lead Pentester plus RSSI client pour demarrage J1"
statut: "a_valider"Cette checklist peut être forkée par chaque pentester junior et adaptée à son cabinet ou ses missions spécifiques.
9. Bilan Zeroday Cyber Academy
Notre avis assumé : la préparation est le levier de qualité principal d'une mission pentest professionnelle. Les missions qui tiennent leur planning, produisent un rapport structuré dans les délais et génèrent un feedback client positif ont presque toujours consacré 20-30 % de l'effort total à la préparation.
Trois règles factuelles observées 2022-2026
- Validation des accès à J-3 minimum, jamais le matin du J1 : un accès défaillant découvert le jour J fait perdre une demi-journée minimum, parfois plus.
- Kick-off structuré obligatoire avec compte-rendu écrit signé : skipper le kick-off produit typiquement 2-4 jours perdus en retours-corrections en cours de mission.
- Setup technique testé bout en bout sur dry-run avant démarrage formel : plantage d'outil, VM corrompue ou licence expirée au mauvais moment coûte plus cher que 2 heures de dry-run préalable.
Ce que nous ne cachons pas
- Les pentesters juniors qui skippent la préparation n'économisent rien — ils perdent en exécution 2-3x ce qu'ils ont gagné en préparation, avec un stress supplémentaire significatif.
- La préparation est souvent invisible aux yeux du client (qui voit l'exécution plus le rapport). Les prestataires matures facturent néanmoins cette phase dans le devis (sous forme de « cadrage », « kick-off », « mobilisation ») — ne pas la masquer.
- Le cadre légal français est strict : sans ROE signée, toute intrusion est un délit 323-1 (3 ans emprisonnement plus 100 000 € amende). Aucune exception, même urgence client.
- La qualification PASSI ANSSI exige une préparation méthodologique formalisée et documentée — non négociable pour missions OIV et NIS 2 entités essentielles.
- Les freelances indépendants doivent investir plus en préparation que les cabinets structurés qui bénéficient de templates et processus internes matures.
10. Pour aller plus loin
- Qu'est-ce qu'un scope de pentest : fondement de la ROE et du cadre contractuel.
- Qu'est-ce qu'un pentest whitebox : spécificités de préparation whitebox (confidentialité renforcée).
- Devenir pentester sans expérience : trajectoire complète.
- Les étapes pour devenir pentester : parcours structuré.
- Roadmap pentest : roadmap technique.
- TJM pentester freelance : chiffrage TJM et préparation commerciale freelance.
Points clés à retenir
- Préparation = 20-30 % de l'effort total d'une mission pentest professionnelle. Les juniors sous-estiment (5-10 %) et perdent plus en exécution.
- 6 phases structurantes : pré-engagement, validation juridique, collecte infos, setup technique, threat intel, plan d'exécution plus kick-off.
- 3 documents juridiques obligatoires : contrat commercial, NDA (3-7 ans), Rules of Engagement. ROE = autorisation formelle 323-1 Code pénal.
- Validation accès à J-3 minimum — jamais le matin du J1.
- Setup technique en 8 éléments : VM dédiée LUKS2, outils testés, VPN, coffre-fort, dossier chiffré, accès whitebox, outils doc, sauvegardes.
- Threat intel obligatoire pour red team et TIBER-EU/DORA TLPT. Optionnelle mais recommandée pour pentest standard (1-2h recon plus CVE veille plus fuites credentials).
- Kick-off 60-120 min avec 3-6 parties prenantes client plus compte-rendu signé 24h.
- Checklist structurée en 6 phases + validation finale GO/NOGO avant J1.
- Cadre pénal France : articles 323-1 à 323-7 Code pénal, jusqu'à 7 ans plus 300 000 € sans autorisation écrite.
- La préparation est le levier de qualité principal — 3-4 jours de prépa sur 15 produisent un rapport meilleur qu'un pentest de 20 jours avec 1 jour de prépa bâclée.
Le bootcamp DevSecOps Zeroday Cyber Academy inclut un module dédié à la préparation méthodologique des missions pentest : rédaction de ROE professionnelle, organisation d'un kick-off client, setup technique complet (VM chiffrée, outils, coffre-fort), threat intelligence préalable, checklist de préparation reproductible et coaching d'entretien cabinets PASSI (Synacktiv, Orange Cyberdefense Audit, Airbus CyberSecurity, Thales Red Team, Intrinsec, Digitemis).
