Un pentest interne (ou test d'intrusion interne) est une mission de sécurité offensive qui simule le comportement d'un attaquant déjà positionné à l'intérieur du réseau d'une entreprise — typiquement un collaborateur malveillant, un prestataire compromis, ou un attaquant ayant franchi le périmètre externe via phishing, VPN compromis ou exploit exposé. L'objectif : identifier les chaînes de latéralisation, d'escalade de privilèges et de compromission des ressources critiques (Active Directory, serveurs métier, données sensibles) qui seraient exploitables par cet attaquant. Il se distingue du pentest externe (attaquant sans accès, ciblant la surface Internet) et de la mission red team (simulation d'attaquant réel furtif sur 4-12 semaines avec objectif ciblé). La durée typique en France en 2025 est de 8 à 15 jours d'audit, pour un budget de 15 000 € à 50 000 € HT selon prestataire (PASSI ou non-PASSI) et périmètre (source : grilles publiques Synacktiv, Wavestone, Almond, Orange Cyberdefense, Advens, Sopra Steria Security 2024). Cet article détaille la définition précise, les scénarios de départ, la méthodologie de référence (PTES, NIST SP 800-115, OSSTMM, cadre PASSI), le déroulé opérationnel d'une mission, les outils standard, les livrables, les coûts et le cadre légal France.
1. Définition et objectifs
Le pentest interne répond à une question de sécurité précise : « si un attaquant obtient un pied sur notre réseau interne aujourd'hui, que peut-il compromettre en 5 à 10 jours de travail ? ». Cette question est différente de celle posée par un pentest externe (« quelle est notre exposition Internet ? »). Elle reflète la réalité des chaînes d'attaque modernes documentées par le rapport annuel ANSSI, Mandiant M-Trends 2024 et Verizon DBIR 2024 : 90 % des incidents majeurs 2023-2024 incluent une phase de latéralisation interne après compromission initiale via phishing ou exploit public.
1.1 Périmètre type
| Élément ciblé | Exemples concrets |
|---|---|
| Active Directory | Domaines, forêts, trust relationships, OUs, GPOs, ACLs |
| Infrastructure Windows | DCs, serveurs de fichiers, serveurs de messagerie, jumpboxes |
| Infrastructure Linux | Serveurs applicatifs, bases de données, jumphosts SSH |
| Applications internes | Intranet, GED, ERP, outils RH / finance, CI/CD interne |
| Réseaux segmentés | Zones DMZ, VLAN serveurs, VLAN IoT, OT / SCADA (si périmètre) |
| Secrets et données | Partages SMB, git interne, SharePoint, OneDrive, coffres-forts |
1.2 Objectifs mesurables d'une mission
- Identifier toutes les chaînes d'escalade de privilèges depuis le scénario de départ jusqu'à Domain Admin ou Enterprise Admin.
- Lister les vulnérabilités AD exploitables (Kerberoasting, AS-REP Roasting, délégation non contrainte, ACL abusables, DCSync).
- Mesurer le rayon de latéralisation horizontal (combien de postes accessibles sans escalader) et vertical.
- Documenter les misconfigurations (GPO, services exposés, partages SMB, comptes sans MFA, password policies faibles).
- Valider la détectabilité par les outils en place (SIEM, EDR, alerting) — certaines actions laissent des traces visibles, d'autres non.
- Fournir un plan de remédiation priorisé par impact business et complexité technique.
2. Pentest interne vs externe vs red team
Les trois missions sont complémentaires mais répondent à des modèles de menace distincts. Voir aussi la fiche métier pentester et la comparaison red team vs blue team.
| Critère | Pentest externe | Pentest interne | Red team |
|---|---|---|---|
| Position de départ | Internet, pas d'accès | À l'intérieur du réseau | Externe, objectif ciblé |
| Durée typique | 5-10 jours | 8-15 jours | 4-12 semaines |
| Visibilité Blue Team | Partielle | Limitée (pas de furtivité) | Invisible (objectif furtivité) |
| Objectif | Couverture surface publique | Couverture latéralisation | Atteindre un asset défini |
| Livrable | Rapport exhaustif vulnérabilités | Rapport exhaustif + chaînes AD | Récit chaîne + détection |
| Coût France 2025 (HT) | 10-25 k€ | 15-50 k€ | 80-250 k€ |
| Fréquence recommandée | 1-2 /an | 1 /an sur périmètre critique | 1 /2-3 ans (mature) |
| Cadre réglementaire | LPM, NIS 2, PCI-DSS | NIS 2, DORA, ISO 27001 | Maturité élevée requise |
3. Méthodologies de référence
Quatre référentiels structurent les missions pentest interne en France 2024-2025, avec des recouvrements partiels :
3.1 PTES (Penetration Testing Execution Standard)
Référentiel communautaire le plus utilisé en pratique. Décompose la mission en 7 phases : Pre-engagement Interactions, Intelligence Gathering, Threat Modeling, Vulnerability Analysis, Exploitation, Post Exploitation, Reporting. Adapté à tous les contextes, pas spécifique à un régulateur.
3.2 OSSTMM (Open Source Security Testing Methodology Manual, v3)
Méthodologie ISECOM plus formelle, orientée mesurabilité et reproductibilité. Utilise un modèle de score Risk Assessment Value. Moins utilisée en pratique que PTES mais reconnue dans les contextes audit-lourds.
3.3 NIST SP 800-115
Guide NIST « Technical Guide to Information Security Testing and Assessment ». Référentiel public américain, cité dans les exigences FedRAMP et souvent mentionné dans les contrats grands comptes. Plus généraliste, couvre review, testing, examination.
3.4 Référentiel PASSI (ANSSI)
Référentiel français d'exigences qualifiant les prestataires d'audit SSI. Impose méthodologie documentée, assurance qualité, traçabilité. Obligatoire pour les audits réglementaires OIV (LPM 2013), OSE (NIS 2 depuis octobre 2024), et certains contextes souverains. Environ 60-80 prestataires qualifiés PASSI en France au 2024 (source : catalogue ANSSI public).
Méthodologies pentest interne France — usage réel
──────────────────────────────────────────────────
Dans les contrats privés (non régulés)
─► PTES adapté + éléments ANSSI PASSI pour la forme
─► Référentiel interne de l'ESN cyber
Dans les contrats OIV, OSE (NIS 2), SecNumCloud
─► PASSI obligatoire
─► Méthodologie documentée auditée par ANSSI
Dans les contrats grand compte international
─► NIST SP 800-115 souvent cité contractuellement
─► OSSTMM en complément sur demande
Dans les contrats PCI-DSS (paiement)
─► PCI DSS v4.0 requirement 11.4 (penetration testing)
─► QSA ou ASV selon contexte4. Typologie des scénarios de départ
Le choix du scénario se fait au cadrage avant la mission, selon la menace que le client veut couvrir en priorité. Quatre scénarios dominants.
4.1 Assume Breach poste utilisateur standard (60-70 % des missions)
L'auditeur reçoit un compte Active Directory non privilégié sur un poste Windows managé (joint au domaine, politiques GPO standard appliquées, antivirus et EDR en place). Simule un collaborateur compromis via phishing.
Livrables attendus : chaînes d'escalade AD, vulnérabilités applicatives internes accessibles depuis le poste, exfiltration possible via canaux non supervisés.
4.2 Accès réseau non-authentifié (plug RJ45)
L'auditeur se connecte physiquement sur un port réseau d'un site (ou via VPN distant), sans compte AD, sans poste managé. Simule un attaquant ayant franchi le périmètre (physiquement via ingénierie sociale, ou via compromission de VPN).
Livrables attendus : possibilités de capture de hashes (Responder LLMNR/NBT-NS poisoning, mitm6 IPv6), découverte de credentials sur services exposés, attaque broadcast.
4.3 Compte prestataire à privilèges limités
L'auditeur reçoit un compte simulant un prestataire informatique externe (admin local sur certaines machines, accès à des partages spécifiques). Simule un prestataire malveillant, scénario classique dans les environnements réglementés.
4.4 Compte admin local sur poste isolé
L'auditeur reçoit les droits admin local sur un poste (hors admin domaine). Simule un attaquant ayant exploité une vulnérabilité locale pour obtenir admin local. Utile pour tester la propagation latérale et la contention des droits.
5. Déroulé type d'une mission
Chronologie opérationnelle d'un pentest interne 10 jours sur périmètre AD 1 000 postes :
| Phase | Durée | Activités clés |
|---|---|---|
| Pre-engagement | 1-2 sem avant | Cadrage scope, scénario, contrat, Règles d'Engagement (RoE) |
| Kick-off | 0,5 j | Remise accès, prise en main poste, point équipe projet |
| Reconnaissance interne | 1-2 j | Énumération réseau, LDAP, SMB, services, BloodHound collection |
| Analyse et planification | 1 j | Cartographie des chemins d'attaque, priorisation cibles |
| Exploitation et latéralisation | 4-6 j | Kerberoasting, ACL abuse, Pass-the-Hash, relais NTLM, WinRM, PSExec |
| Post-exploitation | 1-2 j | Preuves de compromission, accès aux données cibles, screenshots |
| Rédaction rapport | 2-3 j | Rapport détaillé + résumé exécutif, recommandations priorisées |
| Restitution | 0,5-1 j | Présentation orale client (équipe technique + direction) |
5.1 Exemple de chaîne d'attaque AD typique
Chaîne classique observée dans 40-60 % des pentests internes français 2024-2025 sur environnements AD peu durcis :
Chaîne d'attaque AD — exemple type mission interne
───────────────────────────────────────────────────
1. Compte utilisateur standard fourni (scénario Assume Breach)
2. Énumération LDAP + SMB
─► CrackMapExec smb 10.0.0.0/24
─► BloodHound avec SharpHound / bloodhound.py
─► Identification : 3 utilisateurs avec SPN Kerberoasting possible
3. Kerberoasting
─► Rubeus kerberoast ou GetUserSPNs.py
─► 2 TGS hashes récupérés
─► Hashcat mode 13100 + wordlist rockyou + rules
─► 1 mdp cracké : compte de service avec Password="Compagnie2023!"
4. Énumération accès compte de service
─► Accès WriteOwner sur une OU "Serveurs critiques"
─► Chemin BloodHound identifié vers groupe "Backup Operators"
5. Abus ACL + DCSync
─► Rights exploitation avec PowerView Add-DomainObjectAcl
─► Écriture SPN sur compte cible
─► Kerberoasting à nouveau sur le compte modifié
─► DCSync avec Mimikatz lsadump::dcsync
6. Compromission Domain Admin → lecture Ntds.dit
─► Pass-the-Hash sur DC avec hashes extraits
─► Golden Ticket forgé pour persistance démontrable
Durée réelle observée : 2-4 jours de mission5.2 Sur-couche détection / SIEM
Un pentest interne moderne inclut un volet évaluation de la détection : pour chaque action bruyante (BloodHound collection, Kerberoasting, DCSync), l'auditeur vérifie avec le client si une alerte SIEM a été levée. Les actions non détectées sont listées dans le rapport comme gaps de détection à combler.
6. Outils standard d'un pentester interne
Stack outillage 2024-2025 pour mission AD :
| Catégorie | Outils de référence |
|---|---|
| Énumération réseau / SMB | nmap, CrackMapExec (CME), netexec, enum4linux-ng, smbclient |
| Énumération AD | BloodHound (+ SharpHound, bloodhound.py), PowerView, ADRecon, LDAPDomainDump |
| Exploitation Kerberos | Rubeus, Impacket (GetUserSPNs, GetNPUsers, ticketer), kerbrute |
| Relai & capture | Responder, ntlmrelayx (Impacket), mitm6, Inveigh |
| Post-exploitation Windows | Mimikatz, Rubeus, SharpChrome, SharpHound, LaZagne |
| Pivot / tunneling | SSH -R/-L, chisel, ligolo-ng, proxychains, sshuttle |
| Exploitation AD avancée | Certipy (ADCS), PetitPotam, Coercer, PrinterBug, ShadowCred |
| Cassage mot de passe | hashcat, john, CeWL (génération wordlist) |
| C2 (si scénario le justifie) | Havoc, Sliver, Cobalt Strike (licences pro), Mythic |
| Reporting | CherryTree, Obsidian, Joplin + templates markdown |
7. Livrables et rapport
7.1 Structure du rapport
Un rapport de pentest interne professionnel s'étale sur 40-80 pages pour une mission 10 jours :
- Résumé exécutif (2-3 pages) : public direction, KPI risque global, top 3 findings, coût de non-remédiation en langage métier.
- Contexte de la mission : périmètre, scénario, durée, équipe, limitations.
- Méthodologie : référentiel suivi (PTES adapté, PASSI, etc.), approche de notation (CVSS 3.1, propriétaire).
- Synthèse des findings : tableau récapitulatif avec sévérité, titre, impact, effort de remédiation.
- Détail des vulnérabilités : un sous-chapitre par finding avec description, reproduction step-by-step, preuves (captures), recommandations priorisées.
- Cartographie chemins d'attaque : diagramme BloodHound exporté + narratif des chaînes exploitées.
- Synthèse détection : actions détectées vs non détectées par le SIEM/EDR client.
- Annexes : logs, scripts custom utilisés, wordlists spécifiques, références CVE et MITRE ATT&CK.
7.2 Système de notation
Le plus courant en France 2024-2025 : CVSS 3.1 pour chaque finding individuel, complété par un score composite propriétaire par chaîne d'attaque (le client veut savoir si la chaîne AD globale est exploitable en 2 jours ou en 10, indépendamment des scores CVSS individuels).
8. Coût et durée : grille France 2025
Grille indicative pour périmètre Active Directory moyen, sources : grilles publiques Synacktiv 2024, Advens, Wavestone Cyber, Almond, Sopra Steria Security, Orange Cyberdefense, Devoteam Cyber Trust, CEIS Thales.
| Périmètre | Jours audit | Prestataire non-PASSI | Prestataire PASSI qualifié |
|---|---|---|---|
| Mono-domaine < 500 postes | 5-8 j | 10 000 - 20 000 € HT | 18 000 - 32 000 € HT |
| Mono-domaine 500-2 000 postes | 8-12 j | 15 000 - 35 000 € HT | 25 000 - 50 000 € HT |
| Multi-domaines 2 000-5 000 postes | 12-18 j | 25 000 - 50 000 € HT | 40 000 - 75 000 € HT |
| Multi-domaines + trusts externes | 15-25 j | 35 000 - 70 000 € HT | 55 000 - 110 000 € HT |
| Contexte OIV / défense / SecNumCloud | 20-40 j | Non éligible | 80 000 - 200 000 € HT |
Les écarts PASSI vs non-PASSI (~30-50 % de prime PASSI) reflètent le surcoût d'assurance qualité ANSSI + l'effet rareté du marché PASSI (~60-80 prestataires qualifiés en France fin 2024). Pour les détails TJM auditeur freelance, voir TJM pentester freelance.
9. Cadre légal et contractuel
9.1 Autorisation écrite obligatoire
Un pentest interne sans autorisation écrite explicite du propriétaire du SI tombe sous l'article 323-1 et suivants du Code pénal (intrusion dans système de traitement automatisé de données, 3 à 10 ans selon gravité). La Règle d'Engagement (RoE) formalise l'autorisation, avec au minimum : scope exact, plages horaires, techniques autorisées / interdites, contact H24, clause responsabilité.
9.2 Contextes réglementaires fréquents
- LPM 2013 (OIV) : audit PASSI obligatoire.
- NIS 2 (OSE étendus, octobre 2024) : audit PASSI fortement recommandé, obligatoire pour certaines catégories.
- DORA (finance, janvier 2025) : tests d'intrusion TLPT (Threat-Led Penetration Testing) encadrés pour entités financières significatives.
- PCI-DSS v4.0 (paiement) : requirement 11.4, pentest annuel minimum + après changement significatif.
- ISO 27001:2022 : contrôle A.8.8, tests techniques réguliers.
- SecNumCloud 3.2 : audit PASSI inclus dans exigences.
9.3 Données sensibles manipulées pendant la mission
Un pentest interne peut accéder à des données personnelles (RGPD) ou sensibles (secret professionnel, médical, bancaire). Le contrat inclut systématiquement :
- Clause confidentialité forte (typiquement 5-10 ans).
- Chiffrement des livrables (rapports, logs, captures) en transit et au repos.
- Destruction certifiée des données collectées en fin de mission.
- Sous-traitance interdite sans accord écrit préalable.
- Notification immédiate au DPO client si données personnelles massives accédées.
Points clés à retenir
- Définition : le pentest interne simule un attaquant déjà positionné sur le réseau (collaborateur malveillant, prestataire compromis, attaquant post-phishing). Différent de l'externe (Internet) et de la red team (furtive, objectif ciblé).
- Durée / coût France 2025 : 8-15 jours d'audit, 15 000-50 000 € HT non-PASSI, 25 000-80 000 € HT PASSI selon périmètre.
- Scénario dominant : Assume Breach poste utilisateur standard (60-70 % des missions).
- Méthodologies : PTES en pratique, PASSI obligatoire sur OIV/OSE, NIST SP 800-115 sur contrats internationaux.
- Outils stack AD 2025 : BloodHound, CrackMapExec/netexec, Rubeus, Impacket, Certipy, ntlmrelayx, Mimikatz, hashcat.
- Livrable : rapport 40-80 pages avec résumé exécutif + détail findings + cartographie chaînes + synthèse détection. Notation CVSS 3.1 + score composite par chaîne.
- Cadre légal : autorisation écrite obligatoire (RoE), contextes réglementaires LPM, NIS 2, DORA, PCI-DSS v4.0, ISO 27001, SecNumCloud.
Pour la progression technique complète du pentester, voir Roadmap pentest. Pour la spécialisation offensive web, Roadmap pentest web. Pour entrer dans le métier, Les étapes pour devenir pentester.
