Zeroday Cyber Academy

Pentest

Méthodologie pentest web 2026 : OWASP WSTG en pratique

Méthodologie complète d'un pentest web en 2026 : cadrage, reconnaissance, OWASP WSTG, exploitation, reporting. Outils, livrables et bonnes pratiques.

Naim Aouaichia
14 min de lecture
  • Pentest web
  • Méthodologie
  • OWASP
  • WSTG
  • PTES
  • Burp Suite
  • Reconnaissance
  • Exploitation
  • Reporting
  • Red Team
  • Sécurité offensive
  • Application web
  • Audit
  • Cadrage mission
  • PASSI

Un pentest d'application web en 2026 suit une méthodologie structurée en six phases — cadrage, reconnaissance, mapping, exploitation selon OWASP WSTG, post-exploitation, reporting — étalées sur 3 à 40 jours-homme selon périmètre. La référence méthodologique dominante reste OWASP Web Security Testing Guide (WSTG) version 4.2, complétée par PTES (Penetration Testing Execution Standard) pour le cadrage pré-engagement et NIST SP 800-115 pour les contextes conformité US. En France, le référentiel PASSI de l'ANSSI impose ces méthodologies aux prestataires qualifiés. Cet article détaille chaque phase avec les livrables attendus, la stack d'outils 2026, les pièges courants et les cadres légaux français à maîtriser pour exécuter un pentest web professionnel.

Pourquoi suivre une méthodologie formelle en pentest web

Une méthodologie formelle répond à trois exigences opposées qui structurent tout pentest web professionnel.

  1. Couverture systématique : sans méthodologie, un pentester manque mécaniquement 30 à 50 % des vulnérabilités présentes. Les tests d'autorisation horizontale (WSTG-ATHZ-02) ou les failles de business logic sont typiquement les premiers oubliés quand on procède à l'instinct.
  2. Reproductibilité : un rapport professionnel doit pouvoir être rejoué par le client ou par un autre prestataire avec le même résultat. La traçabilité des tests effectués, échecs inclus, est un exigible PASSI.
  3. Défense juridique : l'exécution d'une méthodologie reconnue (WSTG, PTES) dans le périmètre contractuel constitue un élément de défense en cas de litige sur la qualité de la prestation ou sur un incident survenu pendant la mission.

Les trois méthodologies de référence en 2026 se complètent plutôt qu'elles ne s'opposent.

MéthodologiePortéeUsage principal
OWASP WSTG v4.2Tests techniques détaillés par familleCheck-list d'exécution, reporting
PTES (Penetration Testing Execution Standard)Cycle complet de pentestCadrage, pré-engagement, post-exploitation
NIST SP 800-115Référentiel US généralisteConformité US, gouvernance
OSSTMM 3Framework holistiqueContextes spécifiques télécom/industriel
Référentiel PASSI (ANSSI)Exigibles pour OIV/OSE FranceQualification prestataires France
OWASP ASVS v4Niveaux L1/L2/L3 de vérificationConformité applicative

Phase 1 — Cadrage et pré-engagement

Le cadrage est la phase la plus sous-estimée par les débutants, et celle qui fait le plus de dégâts quand elle est bâclée. Durée typique : 0,5 à 2 jours-homme.

Livrables de cadrage à produire et signer avant tout test

  • SOW (Statement of Work) décrivant le périmètre technique, les objectifs, les livrables attendus, la durée et le prix.
  • NDA (non-disclosure agreement) protégeant les informations client.
  • Rules of Engagement (RoE) précisant : adresses IP sources autorisées, plages horaires d'intervention, méthodes autorisées/interdites (DoS typiquement interdit), données sensibles à ne pas extraire, contacts d'urgence et procédure d'escalade.
  • Autorisation écrite explicite (letter of authorization) du propriétaire du système, écartant l'article 323-1 du Code pénal en droit français. Sans cette autorisation, le pentester est techniquement en infraction quel que soit le résultat.

Éléments à clarifier impérativement

  • Périmètre : URLs exactes, sous-domaines inclus/exclus, endpoints API, environnement (production vs préprod vs test).
  • Type d'accès : black box (aucun identifiant), grey box (comptes utilisateurs fournis), white box (code source + accès admin).
  • Exclusions techniques : typiquement DoS/DDoS, tests de sur-charge, attaques sur tiers (CDN, SaaS non possédés).
  • Actions non autorisées : exfiltration de PII massive, modifications irréversibles, persistence long terme.
  • Fenêtre temporelle : dates de début/fin, horaires (ouvrés, nuits, week-ends).
  • Contacts : lead technique côté client, contact escalade 24/7, RSSI ou équivalent pour validation.

Phase 2 — Reconnaissance (passive puis active)

Objectif : cartographier la surface d'attaque accessible avant tout contact actif avec la cible. Durée typique : 0,5 à 2 jours.

Reconnaissance passive

Aucune requête directe à l'application cible, uniquement des sources tierces. Intérêt principal : invisibilité totale pour la cible.

  • DNS passif : SecurityTrails, RiskIQ Passive DNS, VirusTotal, DNSDumpster.
  • Certificate Transparency : crt.sh, Censys, facilonline — permet de récupérer tous les sous-domaines ayant jamais eu un certificat émis.
  • Moteurs d'indexation offensive : Shodan, Censys, FOFA, ZoomEye, GreyNoise.
  • Google dorking et Wayback Machine : anciens contenus, endpoints oubliés.
  • Fuites GitHub/GitLab : trufflehog, gitleaks, github-dorks pour secrets exposés.
  • OSINT RH : LinkedIn pour identifier les technos en place (offres emploi « recherche Node.js + MongoDB »), les noms de collaborateurs techniques.

Reconnaissance active (après autorisation)

Premier contact avec la cible. Les requêtes sont tracées côté client.

# Pipeline reconnaissance active typique (scope autorisé)
TARGET="example.com"
OUTPUT="recon_${TARGET}_$(date +%Y%m%d)"
mkdir -p "$OUTPUT"
 
# Enumeration de sous-domaines multi-sources
subfinder -d "$TARGET" -silent > "$OUTPUT/subs_passive.txt"
amass enum -passive -d "$TARGET" >> "$OUTPUT/subs_passive.txt"
sort -u "$OUTPUT/subs_passive.txt" > "$OUTPUT/subs_all.txt"
 
# Resolution DNS et identification des hosts actifs
dnsx -l "$OUTPUT/subs_all.txt" -a -resp -silent > "$OUTPUT/resolved.txt"
 
# HTTP probing, extraction de titres et de techno
cat "$OUTPUT/subs_all.txt" | httpx \
    -title -status-code -tech-detect -silent \
    -o "$OUTPUT/http_alive.txt"
 
# Scan de ports ciblé sur les hosts vivants (rate-limit conservateur)
nmap -iL "$OUTPUT/resolved.txt" \
    -p 80,443,8080,8443,8000,8888,3000,5000 \
    -sV --version-intensity 5 \
    --max-rate 100 \
    -oA "$OUTPUT/nmap_http"
 
# TLS configuration audit
testssl.sh --parallel --jsonfile "$OUTPUT/testssl.json" \
    $(awk '{print $1}' "$OUTPUT/http_alive.txt")

Livrables de la phase 2 : inventaire complet des sous-domaines résolus, endpoints HTTP actifs, technologies identifiées (framework, CMS, serveur, TLS), cartographie initiale prête pour la phase mapping.

Phase 3 — Mapping et analyse de surface d'attaque

Objectif : identifier tous les points d'interaction (endpoints, paramètres, fonctionnalités, flux métier) avant d'entamer l'exploitation systématique. Durée typique : 0,5 à 2 jours.

  • Spidering automatique : Burp Suite Pro crawler + AJAX crawler, OWASP ZAP spider standard + AJAX.
  • Fuzzing de répertoires et fichiers : ffuf, feroxbuster, gobuster, dirsearch avec wordlists SecLists raft/raft-medium.
  • Content discovery avancé : kiterunner pour API endpoints basés sur Swagger/OpenAPI, katana pour crawling headless.
  • Parameter discovery : Arjun, x8, Burp Param Miner pour les paramètres cachés.
  • Identification des API : fichiers swagger.json, openapi.yaml, GraphQL /graphql + introspection, WSDL.
  • Technology fingerprinting : Wappalyzer, whatweb, webtech, Retire.js pour les dépendances JS vulnérables.
  • Wayback et JS files analysis : extraction d'endpoints depuis fichiers .js historiques via gau + LinkFinder.

Tableau des zones fonctionnelles à identifier

Zone fonctionnellePourquoi critiqueTests prioritaires
Authentification (login, reset password, MFA)A07, ATHNBrute force, user enumeration, reset token prédictible
Autorisation horizontale / verticaleA01, ATHZIDOR, privilege escalation, force browsing
Upload de fichiersA03, A05, INPVExtension bypass, content-type bypass, path traversal
API REST et GraphQLA01, A03, APITBOLA, mass assignment, introspection
Pages admin et back-officeA01, A05Default credentials, exposition non authentifiée
Paiement et workflow métierBUSLManipulation de prix, race conditions, state tampering
Modules de recherche et filtresA03, INPVSQLi, NoSQL injection, LDAP injection

Phase 4 — Exploitation selon OWASP WSTG

Cœur du pentest : couvrir systématiquement les 12 catégories OWASP WSTG. Durée typique : 50-70 % du temps total de mission.

Les 12 catégories OWASP WSTG v4.2

IDCatégorieExemples de tests
WSTG-INFOInformation GatheringFingerprinting, erreurs verbeuses, metadata
WSTG-CONFConfiguration and DeploymentHeaders sécurité, TLS, fichiers exposés, CORS
WSTG-IDNTIdentity ManagementUser enumeration, weak user policy, registration
WSTG-ATHNAuthenticationBypass, brute force, reset flow, remember-me
WSTG-ATHZAuthorizationIDOR, privilege escalation, directory traversal
WSTG-SESSSession ManagementCookie attributes, session fixation, CSRF
WSTG-INPVInput ValidationSQLi, XSS, SSRF, XXE, template injection
WSTG-ERRHError HandlingStack traces, codes d'erreur verbeux
WSTG-CRYPCryptographyWeak TLS, padding oracle, JWT none algorithm
WSTG-BUSLBusiness LogicWorkflow bypass, timing, race conditions
WSTG-CLNTClient-sideDOM XSS, postMessage, Web Storage
WSTG-APITAPI TestingBOLA, mass assignment, rate limiting

Stack d'outils 2026 par famille de test

FamilleOutils de référence
Proxy d'interceptionBurp Suite Pro, Caido (montée en puissance 2024-2025), OWASP ZAP
Injection SQLsqlmap, Ghauri, NoSQLMap pour NoSQL
Cross-Site ScriptingXSStrike, DalFox, knoxss
SSRF / XXEBurp Collaborator, Interactsh, Ngrok pour OOB
Fuzzing / scan vulnérabilitésNuclei, Wfuzz, ffuf, nikto (legacy)
JWTjwt.io, jwt_tool, jwt-cracker
Command injectioncommix, shellsweep
API / GraphQLPostman, Caido, graphql-cop, InQL
TLS/SSLtestssl.sh, sslyze, sslscan

Mapping WSTG → OWASP Top 10 2021 (pour reporting aligné double-référentiel)

WSTGOWASP Top 10 2021 correspondant
WSTG-ATHZA01 Broken Access Control
WSTG-CRYPA02 Cryptographic Failures
WSTG-INPVA03 Injection
WSTG-BUSL partiellementA04 Insecure Design
WSTG-CONF, WSTG-ERRHA05 Security Misconfiguration
WSTG-CLNT (Retire.js)A06 Vulnerable Components
WSTG-IDNT, WSTG-ATHNA07 Auth Failures
WSTG-BUSL (intégrité), WSTG-INPV (désérialisation)A08 Integrity Failures
WSTG-ERRH (log side)A09 Logging Failures
WSTG-INPV (SSRF)A10 SSRF

Phase 5 — Post-exploitation et chaînage

Objectif : transformer une vulnérabilité isolée en démonstration d'impact réel pour le client, sans compromettre la production. Durée typique : 10-15 % du temps total.

  • Chaîner les vulnérabilités : une XSS stockée + CSRF + faible politique de session conduit à un account takeover. Un SSRF + accès metadata AWS conduit à une compromission d'instance. Un IDOR + export CSV conduit à une fuite massive.
  • Démontrer l'impact business, pas juste technique : au lieu de « XSS réfléchie sur /search », écrire « vol de session administrateur via XSS réfléchie, démontré sur compte de test, permettant la prise de contrôle complète du panel admin avec accès à 12 500 comptes clients ».
  • Limiter le blast radius : si l'exploitation requiert un proof-of-concept destructif (modification de base, envoi d'email, transaction), valider avec le contact client avant et dans un périmètre de test défini.
  • Collecte d'artefacts : captures d'écran des requêtes HTTP (Burp export), réponses serveur, timestamps, IP source, preuve de la réussite.

Chaînage typique à documenter

Vulnérabilité 1Vulnérabilité 2Vulnérabilité 3Impact final
User enumerationReset token prédictiblePas de MFAAccount takeover généralisé
Upload SVG avec XSSCookie sans HttpOnlyCSRF sans tokenTakeover admin stockage persistent
SSRF filtrant IP publiqueContournement via DNS rebindingAccès IMDSv1 AWSCompromission instance EC2
IDOR sur /api/orders/:idPas de rate limitingExport CSVFuite massive de commandes

Phase 6 — Reporting et restitution

Objectif : livrer un rapport actionnable, reproductible et défendable. Durée typique : 15-20 % du temps total.

Structure d'un rapport pentest professionnel

  1. Résumé exécutif (1-2 pages) : périmètre, méthode, verdict global, top 5 vulnérabilités, recommandations stratégiques. Destinataire : direction, RSSI.
  2. Contexte et méthodologie : référentiels utilisés (WSTG v4.2, PTES, OWASP ASVS si pertinent), outils, limites, exclusions.
  3. Résultats détaillés par vulnérabilité : titre clair, sévérité CVSS, description, preuve technique (captures + HTTP requests), impact business, recommandation priorisée.
  4. Synthèse par famille OWASP Top 10 : tableau de répartition.
  5. Plan de remédiation priorisé : quick wins vs chantiers moyen terme.
  6. Annexes techniques : logs d'outils, timeline de la mission, liste exhaustive des endpoints testés.

Scoring des vulnérabilités

  • CVSS v3.1 reste dominant en 2026 dans les outils de reporting, utilisé pour le score principal.
  • CVSS v4.0 apparaît sur les vulnérabilités critiques quand la contextualisation environnementale est significative.
  • CWE (Common Weakness Enumeration) pour la taxonomie technique.
  • CAPEC optionnel pour les scénarios d'attaque complexes.

Outils de reporting 2026

OutilTypeCommentaire
PlexTracSaaS commercialRéférence marché, intégration CVSS/MITRE
WriteHATOpen-source (SpecterOps)Alternative solide, self-host
Dradis ProCommercialCollaboratif, legacy mais solide
SerpicoOpen-sourceTemplates Markdown, simple
FaradayOpen-sourceAgrégation outils + reporting
Markdown + PandocWorkflow customFlexibilité maximale, courbe d'entrée

Restitution orale

Une restitution de 1-2 heures au client est standard pour les missions > 10 jours. Présenter : contexte, top 5-10 findings avec démos live des plus critiques, recommandations classées par effort/impact, plan de remédiation, questions ouvertes.

Pièges courants et éthique

Oublier les tests d'autorisation horizontale. Les IDOR (Insecure Direct Object Reference) restent la cause n°1 des fuites de données en 2023-2025. Tester systématiquement chaque endpoint /api/<resource>/:id avec un compte différent.

Ne pas tester la business logic. Les vulnérabilités de logique métier (manipulation de prix, bypass de workflow, double soumission) représentent 15-20 % des vulnérabilités critiques et sont les plus valorisées par les clients matures.

Négliger les tests API. En 2026, la plupart des applications web modernes ont une API REST ou GraphQL qui porte 60-80 % de la logique. Un pentest centré uniquement sur le front UI manque l'essentiel. OWASP API Security Top 10 2023 doit être connu au même titre que l'OWASP Top 10 classique.

Livrer un rapport sans plan de remédiation priorisé. Un client non-technique ne sait pas traiter 30 vulnérabilités sans priorisation. Classer en quick wins (< 1 jour dev), moyen terme (1-5 jours dev), chantier (> 5 jours dev) et par impact métier.

Exploiter au-delà du périmètre autorisé. Un pentester qui pivote vers des machines non listées dans le scope ou qui exfiltre des données clients à titre de « démonstration » s'expose à des poursuites pénales. La règle d'or : en cas de doute, stopper et demander autorisation écrite explicite.

Points clés à retenir

  • 6 phases : cadrage, reconnaissance, mapping, exploitation WSTG, post-exploitation, reporting.
  • Durée standard : 3-5 j (simple vitrine) à 20-40 j (app critique avec ATHN/ATHZ profonds).
  • Référentiels 2026 : OWASP WSTG v4.2 + PTES + OWASP Top 10 2021 + OWASP ASVS v4. PASSI si OIV/OSE France.
  • Autorisation écrite préalable obligatoire en France (articles 323-1 à 323-3 Code pénal).
  • Stack outils de référence : Burp Suite Pro ou Caido en proxy, sqlmap / nuclei / ffuf en automation, Interactsh en OOB, PlexTrac/WriteHAT en reporting.
  • Le chaînage de vulnérabilités transforme une liste de findings en démonstration d'impact business.
  • Scoring double CVSS v3.1 (principal) + CWE en 2026, basculement progressif vers CVSS v4.0.
  • Rapport structuré : résumé exécutif en tête, plan de remédiation priorisé obligatoire.

Pour aller plus loin

Questions fréquentes

  • Quelle est la durée typique d'un pentest web en 2026 ?
    La durée standard d'un pentest d'application web dépend du périmètre et de la profondeur de test. Application vitrine ou marketing (10-30 endpoints) : 3-5 jours-homme. Application métier SaaS avec authentification et multi-rôles (50-150 endpoints) : 8-15 jours. Plateforme e-commerce complète avec API backend et panel admin : 15-25 jours. Application bancaire ou critique avec tests ATHN/ATHZ approfondis : 20-40 jours. La durée inclut cadrage (0,5-1 j), reconnaissance et mapping (1-2 j), exécution OWASP WSTG (50-70 % du total), post-exploitation et chaînage (10-15 %), rédaction du rapport (15-20 %). Un pentest urgent en 2 jours ne produit jamais qu'une couverture superficielle et ne doit pas être vendu comme un pentest complet.
  • Quelle différence entre OWASP Top 10 et OWASP WSTG ?
    OWASP Top 10 (dernière version 2021, mise à jour 2025 en consultation) est une liste synthétique des 10 familles de risques applicatifs les plus critiques, orientée sensibilisation management et développeurs. OWASP Web Security Testing Guide (WSTG), version 4.2 en vigueur en 2026, est une méthodologie opérationnelle détaillée avec 90+ cas de test identifiés (WSTG-INFO-01 à WSTG-APIT-01) pour vérifier concrètement chaque catégorie de vulnérabilité. Le Top 10 sert de grille de risque au client ; le WSTG sert de check-list d'exécution au pentester. Un rapport de pentest professionnel mappe chaque vulnérabilité trouvée simultanément au WSTG (identifiant du test effectué), au Top 10 (famille de risque) et au CWE (taxonomie des faiblesses). OWASP ASVS v4 complète en définissant des niveaux de rigueur L1, L2, L3 pour des pentests de conformité.
  • Black box, grey box ou white box : quelle approche choisir ?
    Le choix dépend du budget, du temps disponible et de l'objectif réel. Black box : aucun accès préalable (identifiants, code, architecture). Simule un attaquant externe, coverage limitée (30-40 % des vulnérabilités réelles détectées), durée identique pour moins de résultats. Adapté aux validations externes et aux premiers audits. Grey box : comptes utilisateurs fournis, documentation de haut niveau accessible. Coverage améliorée (60-75 %), c'est le standard marché pour un pentest applicatif de qualité en 2026. White box : accès total incluant code source, documentation d'architecture, accès admin. Coverage maximale (80-90 %), permet d'identifier les vulnérabilités business logic et design. Recommandation : grey box par défaut, avec whitebox sur les modules critiques. Le black box pur pour un test réaliste d'exposition externe ou un test de conformité spécifique.
  • Faut-il être certifié PASSI pour faire du pentest web en France ?
    Non en général, oui pour certaines obligations réglementaires. Le pentest en régie commerciale est libre en France, encadré par le droit commun (autorisation écrite du propriétaire du système pour écarter l'article 323-1 du Code pénal). La qualification PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) délivrée par l'ANSSI est obligatoire pour auditer les OIV (Opérateurs d'Importance Vitale) au titre de la LPM 2013, les OSE (Opérateurs de Services Essentiels) NIS 2, les services publics essentiels, et certains secteurs régulés. En 2026, environ 40-50 cabinets français sont qualifiés PASSI. La certification porte sur 5 portées : architecture, configuration, code source, tests d'intrusion, organisationnel. Pour un pentest d'entreprise standard, la PASSI est un signal qualité mais pas une obligation légale.
  • Pentest web vs bug bounty vs audit de code : quelle complémentarité ?
    Les trois approches sont complémentaires, pas substituables. Pentest web : mission cadrée, périmètre fixe, livrable structuré, coverage méthodique via OWASP WSTG. Idéal pour une photographie à un instant T, une conformité, une validation avant mise en production. Bug bounty : crowd-sourcing continu, paiement à la découverte, coverage imprévisible mais profonde sur les vulnérabilités que la communauté juge intéressantes (souvent business logic et bypass). Idéal pour les applications matures déjà auditées qui cherchent les vulnérabilités résiduelles. Audit de code (SAST + revue manuelle) : analyse statique du code source, détecte les vulnérabilités injection, cryptographiques, authentification en profondeur. Idéal en cycle de développement (DevSecOps CI/CD). Un programme cyber mature combine les trois : audit de code en continu, pentest 1-2 fois par an, bug bounty en permanence après maturité atteinte.
  • CVSS v3.1 ou CVSS v4.0 pour scorer les vulnérabilités en 2026 ?
    CVSS v4.0 est publiée depuis novembre 2023 (First.org) et devient progressivement standard en 2026, notamment chez les éditeurs qui publient des bulletins de sécurité et les organismes de conformité (NIST NVD bascule progressive, ENISA EU-VDB adoption 2025). CVSS v3.1 reste massivement utilisée en pentest d'entreprise en 2026 par inertie outillage (la plupart des plateformes de reporting pentest n'intègrent pas encore v4.0 nativement). Recommandation pragmatique pour un rapport pentest : scorer en v3.1 (base et temporal) comme score principal, mentionner v4.0 sur les vulnérabilités majeures quand la contextualisation change significativement. Les nouveautés v4.0 à connaître : intégration de la sévérité environnementale revue (MSI, MSA, Safety Impact), prise en compte explicite de l'automatisation d'exploitation, simplification des vecteurs temporels. Maîtriser v4.0 devient un différenciateur pour un pentester senior en 2026-2027.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également