Que contient un rapport de test d'intrusion ?
Que contient factuellement un rapport d'intrusion une fois le test d'intrusion réalisé? Cet article définit ce que vous pouvez attendre du livrable de fin de mission.
Maria
Rédactrice BHUNTER
Vous venez de commander un test d'intrusion et vous vous demandez ce que vous allez recevoir.
Un rapport pentest professionnel est un outil de décision : il permet à vos développeurs de corriger les failles et à votre direction de comprendre le niveau de risque réel.
1. À quoi sert un rapport de test d'intrusion ?
Le rapport est le livrable principal de la prestation.
Il documente ce qu'un attaquant pourrait exploiter, avec preuves techniques, impact métier et corrections à appliquer.
Il remplit trois fonctions : décisionnelle (la direction évalue le risque et arbitre le budget), opérationnelle (les développeurs reproduisent et corrigent chaque vulnérabilité) et conformité (preuve documentée pour ISO 27001, SOC 2, PCI DSS, HDS).
Un bon rapport se suffit à lui-même : un développeur qui n'a pas participé au pentest doit pouvoir reproduire chaque vulnérabilité et appliquer la correction sans information supplémentaire.
2. Le résumé exécutif : la section destinée à la direction
Le résumé exécutif tient sur une à deux pages, en langage non technique.
Il contient le niveau de risque global (critique, élevé, modéré, faible), les trois à cinq vulnérabilités les plus impactantes décrites en termes métier, les recommandations stratégiques ainsi qu'une synthèse par niveau de sévérité.
Il doit permettre à un dirigeant de répondre en 30 secondes à la question : "Notre application est-elle sûre ?"
3. Périmètre et méthodologie : ce qui a été testé et comment
Cette section est indispensable pour interpréter les résultats : une vulnérabilité absente du rapport peut simplement se trouver hors du périmètre défini.
Elle précise le périmètre technique (URLs, IPs, APIs, exclusions), l'approche adoptée (blackbox, greybox ou whitebox) avec les niveaux de privilège des comptes fournis), le référentiel (OWASP Testing Guide v4.2, PTES, OSSTMM), les dates exactes du test et les contraintes rencontrées (WAF bloquant, environnement instable, données de test insuffisantes).
Un rapport sans section méthodologique claire est un signal d'alerte.
4. Constats positifs : les bonnes pratiques observées
Un rapport de test d'intrusion ne doit pas être exclusivement négatif.
Documenter les bonnes pratiques (CSP correctement implémenté, séparation effective des rôles, gestion propre des sessions, protection anti-brute force) valorise le travail des équipes et fournit un référentiel réplicable sur d'autres périmètres.
5. Le détail des vulnérabilités : le coeur du rapport
Chaque vulnérabilité fait l'objet d'une fiche structurée contenant cinq éléments.
Description : nature de la vulnérabilité, composant affecté, mécanisme d'exploitation, classification CWE associée (CWE-79 pour XSS, CWE-89 pour injection SQL, CWE-639 pour IDOR).
Sévérité et score CVSS : le standard CVSS (0.0 à 10.0) évalue chaque vulnérabilité selon le vecteur d'attaque (réseau, local, physique), la complexité d'exploitation, les privilèges requis, l'interaction utilisateur nécessaire et l'impact sur confidentialité, intégrité et disponibilité.
Preuve de concept (PoC) : c'est ce qui distingue un pentest manuel d'un scan automatisé. Le PoC inclut captures d'écran annotées, requêtes HTTP complètes avec réponses serveur, et le scénario d'exploitation reproductible étape par étape.
Impact métier : chaque vulnérabilité est traduite en conséquences concrètes, reliées aux conséquences réglementaires lorsque c'est pertinent.
Recommandations de remédiation : spécifiques et actionnables, avec références techniques (OWASP, documentation du framework utilisé) et mesures de défense en profondeur.
6. Comment exploiter le rapport selon votre profil
Direction (RSSI, CTO, DSI) : lisez le résumé exécutif et la matrice de priorisation. Utilisez les vulnérabilités critiques documentées comme levier pour débloquer du budget sécurité.
Développeurs : allez directement aux fiches de vulnérabilités, reproduisez chaque PoC en recette, appliquez les corrections par ordre de priorité, puis rejouez le scénario d'exploitation pour vérifier l'absence de régression.
Conformité : la section périmètre/méthodologie documente la couverture d'audit ; le résumé chiffré alimente vos rapports ISO 27001 / SOC 2. Archivez avec la date.
Dans tous les cas, organisez une réunion de restitution avec le prestataire pour clarifier les points techniques et valider le plan de remédiation.
7. Le retest : vérifier que les corrections fonctionnent
La démarche de test d'intrusion ne s'arrête pas au rapport.
Lors du retest, le pentester vérifie que les PoC originaux ne fonctionnent plus, teste les contournements possibles et contrôle les régressions.
Le livrable du retest indique pour chaque vulnérabilité si elle est corrigée, partiellement corrigée ou non corrigée, avec preuves.
Il est réalisé sous un à trois mois ; au-delà, l'application a suffisamment évolué pour justifier un nouveau test complet.
8. Conclusion
Un rapport de test d'intrusion est un outil de pilotage de la sécurité dont la valeur réside dans l'analyse manuelle, la reproductibilité des preuves et la pertinence des recommandations.
Avant de choisir un prestataire, il est vivement recommandé d'analyser un exemple de rapport anonymisé.
Chez BHUNTER, chaque rapport contient des preuves d'exploitation complètes, des recommandations adaptées à votre stack et une restitution détaillée avec vos équipes.
Nous testons vos applications comme un attaquant réel le ferait.