Le standard PTES (Penetration Testing Execution Standard) est le cadre de référence utilisé par les professionnels du test d'intrusion pour structurer, normaliser et documenter leurs missions de sécurité offensive. Adopté dans le monde entier, il transforme un pentest improvisé en exercice rigoureux, reproductible et réellement exploitable par l'entreprise auditée.
Qu'est-ce que le Standard PTES ?
Le PTES est un référentiel méthodologique open source, développé par une communauté de professionnels de la sécurité informatique. Son objectif : définir ce qu'est un vrai test d'intrusion, de bout en bout, en établissant un socle de principes fondamentaux applicables à toute mission d'audit offensif.
Concrètement, le standard PTES structure une mission de pentest en 7 phases successives et interdépendantes, allant du cadrage contractuel jusqu'à la remise du rapport de sécurité. Chaque phase précise les techniques attendues, les objectifs à atteindre et les livrables associés.
Il ne s'agit pas d'une certification ni d'un label : c'est un guide d'exécution opérationnel, librement accessible sur le site officiel ptes.org, que les pentesters utilisent comme fil conducteur de leurs missions.
Pourquoi le PTES s'est-il imposé ?
Sans référentiel commun, deux auditeurs peuvent tester le même périmètre avec des approches radicalement différentes, produire des résultats incomparables et laisser des zones entières de risque non évaluées. Le standard PTES résout ce problème en apportant trois garanties essentielles :
La reproductibilité : deux équipes qui suivent PTES sur le même périmètre produisent des analyses structurellement comparables, ce qui facilite le suivi dans le temps, la comparaison entre prestataires et les obligations de conformité.
La complétude : chaque aspect d'une intrusion réelle est couvert, du renseignement initial à la persistance post-exploitation. Aucune phase critique n'est optionnelle.
La communicabilité : les résultats sont plus faciles à présenter à des interlocuteurs externes — RSSI, direction générale, assureurs cyber, régulateurs NIS2 — grâce à une terminologie et une structure partagées.
Les 7 phases du Standard PTES
1. Les engagements pris avec le client (Pré-engagement)
Avant toute action technique, le PTES impose une phase de cadrage contractuel et organisationnel. C'est ici que se définissent le périmètre exact (adresses IP, domaines, applications, environnements cloud inclus ou exclus), les règles d'engagement (fenêtres horaires autorisées, actions interdites, gestion des incidents), les objectifs métier du test et les modalités de communication en cas d'impact inattendu.
Cette phase protège à la fois le prestataire et l'entreprise cliente. Un pentest réalisé sans autorisation écrite précise est une infraction pénale en France, quelle que soit l'intention déclarée. La qualité du pré-engagement conditionne directement la pertinence de tout ce qui suit : un périmètre mal défini conduit inévitablement à des résultats partiels ou hors-sujet.
Les documents produits à cette étape incluent typiquement une lettre d'autorisation signée, un document de règles d'engagement et un tableau des actifs dans le scope.
2. La collecte de renseignements (Reconnaissance – OSINT)
La phase de reconnaissance consiste à cartographier la cible à partir de sources ouvertes (OSINT) et de techniques passives, sans contact direct avec les systèmes audités. L'objectif est de dresser un portrait aussi précis que possible de la surface d'attaque avant d'interagir avec elle.
Les techniques mobilisées sont variées : analyse des enregistrements DNS et des zones de transfert, recherches WHOIS, exploration des certificats TLS via des outils comme crt.sh, collecte de métadonnées dans les documents publics, Google Dork pour identifier des ressources exposées involontairement, interrogation de moteurs spécialisés comme Shodan ou Censys pour détecter des services exposés, et analyse des réseaux sociaux professionnels pour cartographier les employés, leurs rôles et les technologies qu'ils mentionnent.
Un pentesteur expérimenté peut à ce stade identifier des sous-domaines oubliés, des versions logicielles obsolètes encore en production, des identifiants leakés sur GitHub ou Pastebin, ou des buckets S3 mal configurés — sans avoir touché un seul système cible. Ces découvertes orientent l'ensemble de la stratégie d'attaque.
Le PTES distingue la reconnaissance passive (aucun contact avec la cible) de la reconnaissance active (interactions directes mais discrètes, comme les scans légers). Les deux sont documentées séparément.
3. La modélisation des menaces
Étape souvent absente des approches non structurées, la modélisation des menaces est pourtant l'une des plus stratégiques du standard PTES. Elle consiste à analyser les renseignements collectés pour construire des scénarios d'attaque réalistes et priorisés.
La question centrale est : qui pourrait attaquer ce système, avec quelles motivations et quels moyens ? Le PTES classe les profils d'adversaires potentiels selon leur niveau de sophistication et leur objectif, cybercriminel opportuniste, groupe APT ciblé, concurrent malveillant, employé mécontent, script kiddie. Cette classification oriente directement les vecteurs d'attaque à simuler en priorité.
Une startup e-commerce exposée à des fraudes de masse n'a pas les mêmes priorités de test qu'un opérateur d'importance vitale soumis à des attaques étatiques. La modélisation des menaces permet de calibrer le test sur les risques réels de l'organisation, plutôt que d'appliquer une liste générique de vérifications.
4. L'analyse des vulnérabilités
Une fois la surface d'attaque cartographiée et les scénarios définis, l'analyse des vulnérabilités consiste à identifier les failles concrètement exploitables dans le périmètre audité. Le PTES combine ici approches automatisées et analyse manuelle.
Les outils de scan (Nessus, OpenVAS, Nuclei, Nmap avec scripts NSE, Burp Suite pour le web) permettent de détecter rapidement les CVE connues, les mauvaises configurations et les services exposés. L'analyse manuelle couvre ce que les scanners ne voient pas : les failles logiques dans les applications, les erreurs d'architecture, les permissions excessives, les défauts de segmentation réseau.
Le PTES insiste sur un point souvent négligé : une vulnérabilité n'a de sens qu'en contexte. Un CVE critique sur un serveur totalement isolé peut être moins prioritaire qu'une faille de sévérité moyenne sur un composant exposé à Internet et connecté au cœur du système d'information. L'analyse doit produire une hiérarchisation des failles selon leur exploitabilité réelle et leur impact potentiel, pas seulement leur score CVSS brut.
5. L'exploitation
La phase d'exploitation consiste à valider concrètement les vulnérabilités identifiées en tentant de les exploiter comme le ferait un attaquant réel. C'est la phase la plus visible d'un pentest, mais elle ne représente qu'une partie de la mission.
Le PTES précise que l'exploitation ne doit pas être lancée à l'aveugle : elle suit directement les scénarios définis lors de la modélisation des menaces. Les techniques employées peuvent inclure l'injection de code (SQL, XXE, template injection), le contournement d'authentification, l'utilisation de frameworks d'exploitation comme Metasploit, les attaques sur les mécanismes de session, l'exploitation de services réseau vulnérables, ou encore les techniques de phishing ciblé dans le cadre de missions incluant l'ingénierie sociale.
Chaque exploitation réussie est immédiatement documentée avec ses preuves — captures d'écran horodatées, extraits de logs, démonstrations d'accès — pour figurer dans le rapport final. Si une tentative d'exploitation risque d'impacter la disponibilité d'un système (crash, corruption de données), le PTES recommande d'en informer le client avant de procéder.
6. La post-exploitation
La post-exploitation est sans doute la phase la plus révélatrice d'un pentest complet, et celle que les approches moins rigoureuses omettent le plus souvent. Elle commence une fois qu'un système a été compromis et répond à une question critique : que peut faire un attaquant depuis ce point d'entrée ?
Le PTES structure la post-exploitation autour de quatre axes principaux. Le mouvement latéral évalue si l'attaquant peut atteindre d'autres machines depuis le premier système compromis, en exploitant des relations de confiance, des credentials réutilisés ou des partages réseau. L'escalade de privilèges teste si des droits administrateurs, système ou domaine peuvent être obtenus à partir d'un accès initial limité. La persistance vérifie s'il est possible de maintenir un accès discret dans le temps, après un redémarrage ou un changement de mot de passe. Enfin, l'exfiltration de données détermine quelles informations sensibles sont accessibles et par quels canaux elles pourraient être extraites.
C'est cette phase qui révèle les impacts business les plus sévères : accès à la comptabilité, vol de propriété intellectuelle, compromission de l'Active Directory, capacité à paralyser l'infrastructure. Ces scénarios concrets sont ensuite traduits en risques financiers et opérationnels dans le rapport.
7. Le rapport et les recommandations
Le rapport est le livrable final du pentest et, dans une certaine mesure, sa raison d'être. Un audit techniquement brillant mais mal restitué n'apporte aucune valeur durable à l'organisation.
Selon le standard PTES, le rapport doit obligatoirement comporter deux niveaux de lecture distincts. Le résumé exécutif est destiné aux décideurs non techniques : il présente les conclusions majeures, le niveau de risque global et les deux ou trois actions prioritaires à engager, sans jargon technique. La section technique détaillée est destinée aux équipes IT et sécurité : elle documente chaque vulnérabilité avec sa description précise, sa criticité selon le score CVSS, les preuves d'exploitation, les conditions de reproductibilité et les recommandations de remédiation concrètes et priorisées.
Un bon rapport PTES inclut également une section sur les scénarios d'attaque end-to-end : comment plusieurs vulnérabilités de faible ou moyenne sévérité peuvent se combiner pour aboutir à une compromission totale. C'est souvent cette narration d'attaque qui convainc les dirigeants d'investir dans des correctifs qu'ils auraient autrement différés.
Toutes nos missions sont spécifiques
Parce que vos enjeux le sont !
Le pentest est avant tout une philosophie qui, couplé avec nos compétences techniques multiples peut s’adapter aux diffférentes cibles.
Indépendance totale
Expertise
Professionnalisme
Les outils de tests en continu; un prolongement naturel du PTES
Une évolution importante du marché complète aujourd'hui les tests ponctuels fondés sur le PTES : les plateformes de Breach and Attack Simulation (BAS) et d'Automated Penetration Testing. Ces outils analysent en continu les ressources du système d'information pour identifier les chemins d'attaque vers les actifs critiques, sans les exploiter activement.
Contrairement à un pentest qui produit une photographie de la sécurité à un instant T, ces solutions fournissent une vision dynamique et continue des vecteurs d'attaque. Elles permettent notamment de vérifier que les correctifs appliqués suite à un pentest PTES ont bien clos les chemins d'attaque identifiés — et d'en détecter de nouveaux introduits par des changements d'infrastructure.
Ces deux approches sont complémentaires : le standard PTES apporte la profondeur et la validation humaine qu'aucun outil automatisé ne peut remplacer ; les plateformes de test continu assurent la surveillance permanente entre deux audits.
Comment évaluer la rigueur d'un prestataire de pentest ?
S'assurer qu'un prestataire applique réellement le standard PTES, et ne se contente pas d'un scan automatisé rebaptisé pentest, nécessite de poser les bonnes questions lors du cadrage de la mission.
Demandez systématiquement : quelle méthodologie structurez-vous vos tests ? (la réponse doit citer PTES, OWASP ou un équivalent reconnu). Comment définissez-vous le périmètre et les règles d'engagement avant la mission ? Réalisez-vous de la post-exploitation pour évaluer la profondeur d'une compromission ? Votre rapport inclut-il un résumé exécutif distinct de la partie technique, avec des preuves d'exploitation et des recommandations priorisées ? Pouvez-vous présenter un exemple de rapport anonymisé ?
Un prestataire sérieux répondra à chacune de ces questions avec précision et sera en mesure de vous détailler sa démarche phase par phase.
Le standard PTES représente bien plus qu'une liste de bonnes pratiques : c'est le cadre qui transforme un test d'intrusion en exercice réellement utile pour l'organisation. En structurant chaque phase de la mission, du cadrage contractuel jusqu'à la remise du rapport, il garantit des résultats complets, reproductibles et directement exploitables pour améliorer la posture de sécurité.
Dans un contexte où les systèmes d'information évoluent en permanence et où les cyberattaques gagnent en sophistication, s'appuyer sur le standard PTES n'est pas une option : c'est la condition d'un pentest qui vaut réellement l'investissement consenti.
Vous souhaitez en savoir plus sur notre approche méthodologique ou discuter d'un projet de test d'intrusion ?
Nous contacter
Ce que nous ne faisons pas
(Liste non exhaustive)
Piratage de boite mail
Piratage comptes réseaux sociaux
Espionnage
Exfiltration de sms
Récupération de Cryptomonnaies
Prise en main à distance de véhicules
Suivi GPS de véhicule
Envoyez nous un ping
Le standard PTES (Penetration Testing Execution Standard) est un cadre méthodologique open source qui structure les missions de test d'intrusion en 7 phases successives : pré-engagement, collecte de renseignements, modélisation des menaces, analyse des vulnérabilités, exploitation, post-exploitation et rapport. Il est utilisé par les pentesters professionnels pour garantir des audits complets, reproductibles et exploitables.
Le standard PTES comporte 7 phases : le pré-engagement (cadrage contractuel), la collecte de renseignements (OSINT et reconnaissance), la modélisation des menaces, l'analyse des vulnérabilités, l'exploitation, la post-exploitation et la rédaction du rapport final avec recommandations.
.
Un scan de vulnérabilités est un processus automatisé qui détecte les failles connues sur un périmètre donné, sans les exploiter ni évaluer leur impact réel. Le standard PTES va bien au-delà : il encadre une mission humaine complète qui simule le comportement d'un attaquant réel, valide l'exploitabilité des failles, évalue leur impact métier et produit des recommandations priorisées.
Le standard PTES est un cadre généraliste applicable à tout type de pentest (réseau, application, IoT, ingénierie sociale). L'OWASP Testing Guide se concentre exclusivement sur la sécurité des applications web avec un catalogue de tests très détaillé. L'OSSTMM adopte une approche quantitative orientée mesure de la surface d'attaque. Ces référentiels sont souvent utilisés conjointement : PTES pour la structure globale, OWASP pour les tests applicatifs.
Standard PTES, la méthodologie de référence en pentest. Définition, 7 phases détaillées et conseils pour choisir votre prestataire.
