Pentest, audit de sécurité, scan de vulnérabilité : quelles différences ?

Le choix entre pentest audit scan vulnérabilité est devenu stratégique pour les entreprises en 2026. Entre obligations réglementaires comme NIS2, DORA ou ReCyF, multiplication des cyberattaques et pression des assureurs, il ne suffit plus de “faire un test de sécurité” sans méthode. Faut-il lancer un pentest offensif, réaliser un audit de sécurité complet ou mettre en place un scan de vulnérabilité continu ? Chaque approche répond à un objectif précis. Dans ce guide, découvrez les différences, les cas d’usage, les coûts et la meilleure stratégie pour protéger efficacement votre organisation.

Différence pentest, audit et scan de vulnérabilité — l’essentiel en 50 mots
Le scan détecte automatiquement les CVE connues. L’audit analyse la posture de sécurité par rapport à un référentiel (ISO 27001, ReCyF). Le pentest simule une attaque par un expert certifié et exploite les failles. Les trois sont complémentaires : scan en continu, audit annuel, pentest avant mise en production critique.

En 3 phrases Scan de vulnérabilités :
Outil automatisé qui détecte les CVE connues. Rapide, continu, limité aux risques référencés.
Audit de sécurité : analyse structurée de la posture par rapport à un référentiel (ISO 27001, ReCyF, NIS2). Identifie les écarts de configuration, de gouvernance et de processus.
Pentest : simulation d’attaque réelle par un expert certifié. Exploite les vulnérabilités, démontre l’impact et documente les kill chains avec preuves.

💡 90 % des pentests vendus ne servent à rien.
Un test commandé sans baseline préalable, sans périmètre cartographié et sans budget de remédiation est un document qui finit dans un tiroir. Un pentest efficace est la conclusion d’un programme de sécurité — pas son point de départ.

💡 Un scan seul est une illusion de sécurité.
400 CVE classées CVSS sans contextualisation ne sont pas une analyse de risque. C’est une liste brute qui ne dit rien de ce qu’un attaquant réel pourrait faire dans votre contexte précis.

Ces trois approches coexistent dans la plupart des programmes de sécurité, mais leurs objectifs, leur profondeur et leur valeur ajoutée sont fondamentalement différents. Ce guide pose les différences précises, vous donne un cadre de décision par maturité cyber, et détaille l’effort attendu côté client — en intégrant les obligations 2026 issues du Référentiel Cyber France (ReCyF) publié par l’ANSSI le 17 mars 2026, de la directive NIS2 et du règlement DORA.

Sommaire

Tableau comparatif – 10 critères clés

Critère	Scan de vulnérabilités	Audit de sécurité	Pentest
Objectif	Détecter les CVE connues	Analyser l’écart au référentiel	Exploiter les failles, prouver l’impact
Approche	Automatisée	Semi-auto + manuelle	Manuelle (expert + outils)
Profondeur	Surface — CVE référencées	Structurelle — config + processus	Profonde — kill chain + logique métier
Faux positifs	30-50 %	Faibles (vérifiés)	Quasi nuls (exploités)
Durée typique	Quelques heures	2 à 5 jours	4 à 15 jours
Coût indicatif	500-3 000 € / trimestre	5 000-20 000 €	8 000-50 000 €
Livrable principal	Rapport CVE classées CVSS	Rapport + roadmap 30-60-90 j	Rapport + kill chains + preuves
Fréquence recommandée	Continue ou mensuelle	Annuelle	Annuelle / avant mise en prod
Ce qu’il ne remplace pas	Audit ni pentest	Pentest	Scan continu
Valeur principale	Surveillance, conformité	Gouvernance, roadmap	Preuve de risque réel

Tableau de décision – Quand déclencher quoi ?

La vraie question d’un DSI : pas « lequel est le meilleur » mais « lequel évite de gaspiller mon budget ? »

Si votre situation est…	Ne perdez pas d’argent avec…	Investissez dans…	Délai
0 visibilité sur vos actifs exposés	Pentest (trop cher sans baseline)	Scan ASM / EASM	48h
Bases correctes, pas de conformité	Pentest complet (trop tôt)	Audit de sécurité ciblé	2-3 sem.
Obligation NIS2 entité essentielle	Scan seul (insuffisant)	Audit ReCyF + pentest annuel	4-8 sem.
Obligation PCI DSS	Audit sans pentest (non conforme)	Pentest ext. + interne	4-6 sem.
Mise en prod app ou API critique	Audit complet (trop lent)	Pentest applicatif ciblé	1-2 sem.
SOC en place à tester	Pentest standard	Red Team multi-vecteurs	6-10 sem.
Migration cloud récente	Pentest sans cartographie	Audit cloud + CSPM	2-4 sem.
API bancaire ou fintech publique	Scan générique (rate les failles)	Pentest API boîte grise	1-3 sem.
Entité financière DORA (ICT critique)	Pentest classique	DORA TLPT (Threat-Led)	8-12 sem.

Quand choisir un scan de vulnérabilités ?

Le scan analyse automatiquement un périmètre défini en comparant les systèmes à une base de CVE connues. Il détecte, classe par CVSS, génère un rapport. Il n’exploite rien. Sa valeur est dans la continuité et la couverture large.

Cas d’usage

Surveillance continue des nouvelles CVE sur l’infrastructure exposée
Découverte de la surface d’attaque externe (Shadow IT, sous-domaines, API, cloud)
Baseline avant pentest — concentre l’effort sur les vraies failles profondes
Conformité ISO 27001 (A.8.8) et PCI DSS (exigence 11.3)

Ce que le scan ne peut PAS faire :
• Exploiter une faille ou valider son atteignabilité dans votre configuration précise
• Tester la logique métier, les APIs métier, les flux d’authentification propres
• Enchaîner plusieurs failles en kill chain multi-étapes
• Détecter les zero-days et les chaînes d’attaque CISA KEV
Astuce : utilisez le score EPSS (probabilité d’exploitation) pour prioriser, pas le CVSS brut. Croisez avec le CISA KEV (Known Exploited Vulnerabilities) pour les CVE activement exploitées.

Quand choisir un audit de sécurité ?

L’audit de sécurité est une analyse humaine et méthodique des configurations, des politiques, de l’IAM et des processus par rapport aux référentiels (ISO 27001:2022, ReCyF ANSSI, CIS, NIST CSF 2.0). Ce n’est pas un scan plus poussé — c’est une approche fondamentalement différente, posture évaluatrice plutôt qu’offensive.

Dimensions couvertes

Dimension	Points de contrôle types
Configuration et durcissement	Ports ouverts inutiles, comptes par défaut, services dépréciés
IAM et accès	MFA absent, rotation annuelle, comptes orphelins, sur-privilèges
Réseau et segmentation	Flux est-ouest non filtrés, règles firewall permissives, absence DMZ
Patch management	Délai CVE → correctif > 30 j (critique)
Logs et supervision	Absence SIEM, rétention < 12 mois, alertes non configurées, MTTD > 24h
Cloud et hybride	Buckets S3 publics, IAM trop larges, secrets dans le code, IMDSv2 non forcé
Active Directory	Comptes Kerberoastables, ACL dangereuses, GPO mal configurées, RBCD

Quand choisir un pentest ?

Le test d’intrusion simule une attaque réelle dans un cadre contractuellement défini. Un pentester certifié cherche à compromettre les systèmes, élever ses privilèges, documenter les kill chains et mesurer l’impact concret sur l’activité.

Types de pentest

Type	Connaissance	Cas d’usage
Boîte noire	Aucune info	Résistance face à un attaquant externe sans accès
Boîte grise	Identifiants utilisateur	Élévation de privilèges, mouvement latéral — meilleur compromis
Boîte blanche	Accès complet	Analyse exhaustive, conformité PCI DSS, audit de code
Pentest AD	Identifiants domaine	Kerberoasting, AS-REP, RBCD, Pass-the-Hash
Pentest API	Comptes de test	OWASP API Top 10 — BOLA, broken auth, data exposure
Pentest cloud	IAM accès limité	Misconfig AWS/Azure/GCP, IMDSv2, secrets, S3 public
Pentest OT/SCADA	Carte réseau OT	Norme IEC 62443, isolation IT/OT, protocoles Modbus/DNP3
Red Team	Multi-vecteurs	Test SOC, MTTD/MTTR, simulation MITRE ATT&CK
DORA TLPT	Cadre régulé	Threat-Led Penetration Testing imposé entités financières

Le « Pentest par IA » : une illusion — ce que dit l’ANSSI

💡 Un pentest automatisé par IA n’est pas un pentest.
C’est un scan avancé avec un nom plus commercial. Sans expert humain certifié, ce n’est pas un test d’intrusion au sens technique et réglementaire. Exigez le nom du pentester et ses certifications dans tout devis.

Les offres de « pentest continu par IA » ont une valeur réelle en surveillance continue. Mais elles ne peuvent pas simuler un attaquant humain qui comprend votre contexte, enchaîne des vulnérabilités disparates ou s’adapte en temps réel.

Position de l’ANSSI :
L’ANSSI recommande des tests de sécurité menés par des experts qualifiés avec une méthodologie définie. Les tests automatisés contribuent à la surveillance continue mais ne se substituent pas aux tests d’intrusion par des professionnels certifiés. Pour les pentests sensibles, la qualification PASSI délivrée par l’ANSSI est la référence du marché français. Source : ssi.gouv.fr/nis2.

Signaux d’alerte dans un devis

Prix inférieur à 3 000 € pour un périmètre d’infrastructure complet
Rapport livré en moins de 24h
Absence de nom de pentester et de certifications dans le devis (OSCP, CEH, CRTP, OSEP, qualification PASSI)
Termes : « pentest automatisé », « AI-powered pentest », « scan premium »
Rapport sans section post-exploitation ni kill chains documentées
Aucune référence MITRE ATT&CK dans la méthodologie annoncée

Effort client, durée et livrables attendus

Mission	Durée	Effort client	Livrables	Retest ?
Scan vulnérabilités	0,5-1 j	Faible	Rapport CVE + synthèse	Abonnement
Audit de sécurité	2-5 j	Moyen	Rapport + roadmap 30-60-90 j	Sur demande
Pentest externe	4-10 j	Faible	Rapport + kill chains + preuves	Inclus
Pentest interne	5-12 j	Moyen	Rapport + scénarios escalade	Inclus
Pentest API	3-7 j	Moyen	Rapport OWASP API + exploitation	Inclus
Pentest AD	4-8 j	Moyen	Rapport AD + chemins d’attaque	Inclus
Pentest cloud	5-10 j	Moyen	Rapport CSPM + IAM + misconfig	Inclus
Red Team	10-20 j	Élevé (Blue Team en veille)	Rapport Red vs Blue + MITRE ATT&CK	N/A
DORA TLPT	8-12 sem.	Très élevé (autorisation BCE/ACPR)	Rapport TLPT + remédiation	Inclus

Erreurs de choix fréquentes

Erreur 1 — Confondre scan et audit
Un scan = liste de CVE. Un audit = analyse organisationnelle. Deux approches différentes.

Erreur 2 — Pentest sans hygiène de base
Corriger les évidences d’abord (scan + quick wins) avant d’investir 15 000 € dans un pentest.

Erreur 3 — Scan annuel = conformité NIS2
NIS2 exige une gestion structurée des risques. Un audit formalisé conforme au ReCyF est le minimum.

Erreur 4 — Acheter un « pentest automatisé »
Voir section 6. Exigez le nom du pentester et ses certifications dans tout devis.

Erreur 5 — Pas de budget remédiation
Réservez 30 % du coût de la prestation pour les correctifs. SLA : critique ≤7j, élevé ≤30j, moyen ≤90j.

Erreur 6 — Pentest DORA sans cadre TLPT
Pour les entités financières ICT critiques, le pentest doit suivre le cadre TLPT. Un pentest classique ne suffit pas.

Ce que dit la réglementation 2026 (ANSSI, NIS2, ReCyF, DORA)

Référentiel	Scan ?	Audit ?	Pentest ?	Fréquence
NIS2 — entités essentielles	Recommandé	Oui (ReCyF)	Recommandé (ANSSI)	Annuelle
NIS2 — entités importantes	Recommandé	Oui (ReCyF)	Selon profil	Annuelle
ReCyF (ANSSI mars 2026)	Recommandé	Oui — référentiel	Recommandé	Annuelle
ISO 27001:2022	Oui (A.8.8)	Oui	Recommandé	Annuelle
PCI DSS v4.0	Oui (trim.)	Oui	OBLIGATOIRE (req. 11.4)	Annuelle + modif.
LPM / OIV	Selon ANSSI	Oui — imposé	Selon ANSSI	ANSSI
DORA (finance, ICT critique)	Oui	Oui	TLPT entités majeures	Annuelle

Sources :
ANSSI / cyber.gouv.fr · CERT-FR · PCI SSC · NIST SP 800-115 · OWASP Testing Guide v4.2 · MITRE ATT&CK · EBA DORA

ReCyF — le référentiel ANSSI 2026 que tout RSSI doit connaître

Qu’est-ce que le ReCyF (Référentiel Cyber France) ?
Le Référentiel Cyber France (ReCyF) est le référentiel publié par l’ANSSI le 17 mars 2026 qui liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Il correspond au référentiel cybersécurité mentionné à l’article 14 du projet de loi Résilience. Diffusé en document de travail, il est non-obligatoire par défaut mais opposable en cas de contrôle ANSSI pour les entités qui choisissent de l’appliquer.

Source officielle : cyber.gouv.fr/la-directive-nis-2. L’ANSSI met également à disposition un outil de comparaison de référentiels qui facilite la compréhension du ReCyF par rapport à ISO 27001, NIST CSF 2.0 et autres normes existantes.

Pourquoi le ReCyF change la donne pour 2026

Pour les entités assujetties NIS2 (essentielles + importantes), appliquer le ReCyF permet de s’en prévaloir en cas de contrôle ANSSI.
Le ReCyF couvre techniques, organisationnels et processus — il guide la structure de votre audit annuel.
Un audit ReCyF formalisé est désormais le minimum attendu pour démontrer une démarche structurée NIS2.
Combiner ReCyF (gouvernance) + scan continu (surface d’attaque) + pentest annuel (preuve de risque réel) est la trajectoire recommandée 2026 pour les entités essentielles.

Ce que i-lead Sentinel propose autour du ReCyF

Audit ReCyF complet (3-5 jours) : cartographie des écarts vs référentiel ANSSI 2026, roadmap 30-60-90 j.
Bilan ReCyF + plan de mise en conformité (1 jour) : pour les entités déjà avancées qui veulent valider leur posture.
Combinaison ReCyF + audit ISO 27001 : pour les entités déjà certifiées ISO qui veulent s’aligner sur le cadre français.

DORA TLPT — le pentest réglementaire des entités financières

Qu’est-ce que le TLPT (Threat-Led Penetration Testing) ?
Le TLPT (Threat-Led Penetration Testing) est un test d’intrusion piloté par scénarios de menace, imposé par le règlement européen DORA (Digital Operational Resilience Act) aux entités financières les plus critiques. Inspiré du framework TIBER-EU de la BCE, il dure 8 à 12 semaines et nécessite une autorisation des autorités compétentes (ACPR en France).

Qui est concerné ?

Établissements de crédit majeurs
Entreprises d’investissement de classe 1
Infrastructures de marché (CCP, dépositaires centraux, plateformes de négociation)
Compagnies d’assurance dépassant les seuils DORA
Prestataires de services de paiement critiques

Différences entre pentest classique et TLPT

Critère	Pentest classique	TLPT (DORA)
Cadre réglementaire	Volontaire ou contractuel	Imposé par DORA
Scénarios	Génériques	Pilotés par threat intelligence réelle
Durée	4-15 jours	8-12 semaines
Périmètre	Défini par le client	Fonctions critiques ICT (Critical Important Functions)
Autorisation	Aucune	Autorisation préalable ACPR/BCE
Méthodologie	OWASP, PTES	TIBER-EU adaptée DORA
Pentester	OSCP, CEH suffisants	Qualifié TIBER + threat intelligence
Reporting	Standard	Rapport TLPT + remédiation tracée + supervision

Pour une entité financière soumise à DORA, faire un pentest classique au lieu d’un TLPT est une erreur de conformité : le test ne sera pas reconnu par l’autorité de tutelle et devra être refait. Anticipez le cadre TLPT dès la planification, idéalement 6 mois avant la date cible.

PASSI – qualification ANSSI obligatoire pour les pentests sensibles

Qu’est-ce que la qualification PASSI ?
La qualification PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) est délivrée par l’ANSSI aux prestataires conformes à un cahier des charges strict en termes de méthodologie, de personnel et de gouvernance. Elle est exigée pour les audits sensibles (OIV, services essentiels NIS2, marchés publics cyber).

Quand un PASSI est-il obligatoire ?

Audits de SI d’OIV (Opérateurs d’Importance Vitale) imposés par l’ANSSI dans le cadre LPM
Marchés publics cyber qui mentionnent explicitement la qualification PASSI
Audits demandés par certaines autorités sectorielles (ARCEP, ACPR, AMF)
Recommandation forte pour les entités essentielles NIS2

Les 5 portées PASSI

Portée	Description
Audit d’architecture	Analyse de la conception et de la configuration
Audit de configuration	Analyse des configurations système, réseau, applicatif
Audit de code source	Revue de code statique et dynamique
Tests d’intrusion	Pentest qualifié ANSSI
Audit organisationnel et physique	Politique sécurité, gouvernance, accès physiques

i-lead Sentinel est en cours de qualification PASSI ANSSI sur les portées Audit de configuration et Tests d’intrusion. Pour les missions exigeant un PASSI déjà qualifié, nous travaillons en partenariat avec des cabinets PASSI référencés.

Résultats clients – métriques chiffrées

Ces métriques sont issues de missions réalisées par i-lead Sentinel. Elles sont anonymisées et mesurées à J+90 post-remédiation.

✅ Résultats clients i-lead Sentinel — références anonymisées
🏥 Audit NIS2 — Hôpital 800 lits Conformité NIS2 atteinte en 6 semaines vs 6 mois estimés. Audit ReCyF intégré. Roadmap 30-60-90 j déployée.
🔐 Pentest API — Fintech paiement en ligne 0 faille critique restante après remédiation. 7 vulnérabilités critiques OWASP API Top 10 identifiées (BOLA, broken auth, mass assignment) puis corrigées et retest validé.
🎯 Red Team — Groupe industriel CAC 40 MTTD (Mean Time To Detect) ramené à 4h contre 24h avant la mission. SOC opérationnel en 3 semaines. Simulation MITRE ATT&CK couvrant 12 techniques critiques.

Missions anonymisées · Résultats mesurés à J+90 post-remédiation · Secteurs : Santé HDS · Fintech PCI DSS · Industrie CAC 40

Cas réel – ce que chaque approche a révélé

ETI industrielle — 500 collaborateurs, migration cloud partielle, entité importante NIS2, 0 test depuis 3 ans.

Phase 1 — Scan (J+5)
127 CVE dont 12 critiques. Windows Server 2012 R2 EOL, 3 RDP exposés sans VPN. Quick wins transmis. Ce que le scan n’a PAS vu : politique AD, posture cloud AWS, segmentation réseau, MTTD du SOC.

Phase 2 — Audit ReCyF (J+30)
Révélations : AD (8 car. min + rotation annuelle = configuration faible), pas de segmentation prod/dev, bucket S3 exposé, logs 72h (vs 12 mois recommandés ReCyF), aucune PSSI formalisée. Ce que l’audit n’a PAS prouvé : l’exploitabilité réelle — rôle du pentest.

Phase 3 — Pentest (J+60)
Démonstrations : RCE via CVE-2020-0796 (SMBGhost), escalade AD via AS-REP Roasting, IDOR sur bucket S3. Impact CODIR : accès complet aux données de prod en 4h depuis l’extérieur, sans détection. Budget 3 phases : 24 000 €. À comparer au coût moyen d’une violation : 4,47 M€ Europe (IBM Cost of a Data Breach 2025) ou 4,88 M$ moyenne mondiale (IBM 2024).

Pourquoi I-leadconsulting ?

Ce que beaucoup font	Ce que fait I-leadconsulting
Scan automatisé renommé « pentest »	✔ Pentests manuels par experts certifiés OSCP/CEH (équipe Oussama Sahnoun, Black Hat MEA 2025)
Rapport CVSS brut 400 lignes	✔ Synthèse managériale 4 pages + roadmap impact métier
Pas de cartographie avant test	✔ Audit de cadrage systématique avant tout pentest
Sans plan de remédiation	✔ Plan 30-60-90 j + atelier de restitution inclus
Spécialisation unique	✔ Couverture : AD · API · cloud · OT/SCADA · TLPT DORA
Retest non inclus	✔ Retest correctifs + hotline remédiation 30 jours
Pas de cadre normatif	✔ Audit ReCyF, ISO 27001, PCI DSS, DORA, qualification PASSI en cours

FAQ – Réponses directes

Quelle différence entre pentest et audit de sécurité ?

L’audit identifie les écarts au référentiel (ISO 27001, ReCyF). Le pentest exploite les failles et démontre l’impact réel.

Un scan de vulnérabilité remplace-t-il un pentest ?

Non. Le scan détecte des CVE connues. Le pentest exploite des failles réelles et teste la logique métier.

Le « pentest automatisé par IA » est-il un vrai pentest ?

Non. C’est un scan avancé. Sans expert humain certifié, ce n’est pas un test d’intrusion.

Qu’est-ce que le ReCyF ANSSI 2026 ?

Le Référentiel Cyber France publié par l’ANSSI le 17 mars 2026 — référentiel de mesures NIS2 opposable

Quand faire un pentest ?

Avant une mise en production critique, annuellement pour NIS2/PCI DSS, ou pour prouver sa résistance.

NIS2 oblige-t-il à faire un pentest ?

NIS2 exige des tests réguliers. Pour les entités essentielles, l’ANSSI recommande des tests d’intrusion.

Combien coûte un pentest pour une PME ?

Entre 8 000 € (test applicatif ciblé) et 50 000 € (périmètre complet). Budget typique PME : 10 000-20 000 €.

Qu’est-ce que le DORA TLPT ?

Le Threat-Led Penetration Testing imposé par le règlement DORA aux entités financières ICT critiques.

Faut-il faire un audit avant un pentest ?

Oui dans la majorité des cas. L’audit cartographie l’exposition et optimise le périmètre du pentest.

Pentest boîte noire ou boîte blanche ?

Boîte grise (identifiants fournis) est souvent le meilleur compromis.

À quelle fréquence effectuer des tests ?

Scan mensuel · Audit annuel · Pentest annuel ou avant chaque mise en production critique.

Comment prioriser les résultats ?

: Par impact métier réel. Utilisez EPSS et CISA KEV, pas CVSS brut. SLA : critique ≤7j, élevé ≤30j, moyen ≤90j.

Comment identifier un mauvais prestataire pentest ?

Prix < 3 000 € pour un périmètre complet, rapport en 24h, pas de pentester nommé = signaux d’alarme.

En résumé

Le scan surveille. L’audit structure. Le pentest prouve.

Ces trois approches ne se substituent pas l’une à l’autre. La maturité cyber consiste à les articuler dans le bon ordre selon votre contexte, vos contraintes réglementaires (NIS2, ReCyF, DORA, PCI DSS) et votre budget.

Par Mohamed Ali Ksouri — Directeur Associé, i-lead Consulting ESN généraliste française regroupant une cinquantaine de consultants à Lyon et en Île-de-France. Practice cybersécurité dédiée I-leadconsulting
Sources : ANSSI · CERT-FR · NIST SP 800-115 · OWASP Testing Guide v4.2 · PCI DSS v4.0 · MITRE ATT&CK · IBM Cost of a Data Breach 2025

Autres sources

CERTFR-2026-ACT-016 : comment appliquer les recommandations ANSSI sur les agents IA autonomes (OpenClaw, Claude Cowork)

RSSI externalisé pour ETI et PME : guide complet (coûts, délais, NIS2)

Ransomware 2026 : comment une ETI française se protège concrètement

Qui sommes nous ?

Découvrez nos domaines d’expertise

Tous

Nos domaines d’expertises

Comprendre nos implications