6 avril 2026 Astuces Equipe Patrowl

Pentest automatisé vs pentest manuel : pourquoi les RSSI passent au continu

Sécurité offensive · Gestion de la surface d'attaque · Patrowl Research · 2026 · 11 min de lecture

Un pentest annuel vous dit où vous en étiez il y a six mois. Les attaquants, eux, n'attendent pas le rapport.

En 2025, plus de 48 000 CVE ont été publiées. 68 % des compromissions documentées par Verizon exploitent des failles connues et non corrigées au moment de la brèche. Pas des zero-days. Pas des attaques sophistiquées. Des vulnérabilités référencées, pour lesquelles un correctif existait, sur des actifs que personne n'avait testés depuis plusieurs mois.

Le problème n'est pas le pentest. C'est sa fréquence et la taille limitée de son périmètre.

Ce guide compare le pentest manuel, le pentest automatisé et l'approche hybride sur huit critères opérationnels, et explique pourquoi les RSSI les plus matures ont arrêté de choisir entre les deux.

Le problème structurel du pentest ponctuel

Sur les organisations intégrées sur Patrowl, le premier scan détecte en moyenne 30 à 40 % d'actifs exposés absents de l'inventaire IT déclaré, et dans des cas extrêmes jusqu'à 60 % : sous-domaines oubliés, environnements de pré-production non décommissionnés, instances cloud non référencées, APIs historiques jamais désactivées. Ces actifs n'ont jamais été inclus dans le périmètre d'un pentest.

Nous faisions traditionnellement des tests d'intrusion, mais leur principal inconvénient est d'être obsolètes dès le lendemain de la remise du rapport. Le pentest en continu est une solution innovante parfaitement en adéquation avec l'extrême évolutivité de l'informatique d'entreprise d'aujourd'hui.

RSSI, MGEN (4 millions d'adhérents)

Un pentest produit une photo figée d'un environnement qui change en permanence.

La question à laquelle répond un pentest traditionnel : "Quelle est notre posture de sécurité à un instant donné ?"

La question que posent les RSSI aujourd'hui est : "Suis-je vulnérable et si oui, où ça ?"

Le pentest annuel n'est pas un programme de sécurité. C'est un exercice de conformité.

Ce que fait réellement chaque approche

Le pentest manuel est un audit conduit par des experts humains sur un périmètre défini, dans une fenêtre de temps délimitée (typiquement 5 à 15 jours). L'objectif : identifier les failles qui nécessitent un raisonnement contextuel, une compréhension de la logique métier et un chaînage d'attaques créatif. Les pentesteurs doivent également être rappelés pour effectuer les re-tests après correction. Livrable : un rapport PDF statique.

Le pentest automatisé est l'exécution continue de tests de sécurité via des outils orchestrés (combinant outils internes spécifiques, IA et évolutions quotidiennes) capables d'identifier les vulnérabilités courantes, détecter les mauvaises configurations et valider l'exploitabilité à grande échelle. Livrable : un flux continu de vulnérabilités priorisées et re-testées automatiquement.

L'approche hybride combine les deux. La surveillance automatisée couvre en permanence l'intégralité de la surface exposée. Les experts humains interviennent de façon ciblée sur les actifs critiques, les nouvelles fonctionnalités et les scénarios d'attaque complexes. Ce n'est pas un compromis : c'est l'élimination des angles morts des deux approches.

Ce que les experts humains font et que l'automatisation ne fait pas

Les failles de logique métier, les contournements d'autorisation, les chaînes multi-étapes qui nécessitent de comprendre comment un système est réellement utilisé : les outils automatisés passent à côté de tout cela.

Étape 1 : IDOR sur l'API profil utilisateur      CVSS 5,3 (moyen)
Étape 2 : Token interne exposé dans la réponse   CVSS 4,9 (moyen)
Étape 3 : Le token donne accès au panneau admin  CVSS 6,8 (moyen)
Étape 4 : Le panneau admin expose un RCE         CVSS 8,1 (élevé)

Scénario combiné : compromission complète du serveur
Impact réel : CRITIQUE

Ces quatre vulnérabilités sont évaluées individuellement sur une application e-commerce fictive. Prises isolément, chacune est classée modérée.

Enchaînées par un expert, elles aboutissent à une compromission complète du serveur. Ce raisonnement est l'apanage des experts humains.

Les outils automatisés ne couvrent pas non plus l'ingénierie sociale, le phishing ciblé ou les exercices red team.

Ce que l'automatisation fait mieux qu'un pentesteur seul

La majeure partie du travail d'un pentesteur ne consiste pas à réaliser des actions de haute voltige mais plutôt à énumérer des actifs et leurs technologies, à faire de la prise d'empreinte (fingerprinting) ou encore à effectuer la corrélation des versions identifiées avec les vulnérabilités connues (CVE) potentielles.

Ces tâches répétitives sont rébarbatives, et l'automatisation est meilleure, plus rapide, sans interruption.

Comparaison sur 8 critères

Pentest manuel
Pentest automatisé
Approche hybride
Fréquence
1 à 2 fois par an
Continu, temps réel
Continu + ponctuel ciblé
Couverture
Périmètre déclaré uniquement
Complète, Shadow IT inclus
Complète + profonde sur les actifs critiques
Profondeur
Élevée : logique métier, chaînage
Moyenne : patterns connus
Élevée là où ça compte, automatisée partout ailleurs
Réactivité CVE
Au prochain engagement
En quelques heures
En quelques heures, validée par expert si critique
Coût marginal
Élevé (TJM × jours)
Rentable à l'échelle
Optimisé : large automatisation, manuel ciblé
Faux positifs
Très faibles : validation humaine
Faibles : validation automatisée
Très faibles : double validation
Pipelines CI/CD
Difficile
Intégration native
Intégration native + revue humaine sur releases critiques
Vulns logiques
Oui : experts humains
Non : patterns prédéfinis
Oui : experts sur les actifs prioritaires

Le constat est simple : l'approche hybride ne sacrifie aucun critère. Elle prend la continuité et la couverture de l'automatisation, et la profondeur et le raisonnement du manuel, en concentrant l'effort humain là où il a le plus d'impact.

Un pentest manuel sur un périmètre applicatif moyen coûte entre 5 000 et 20 000 euros selon le prestataire. L'approche hybride réoriente ce budget : automatisation continue sur toute la surface, intervention humaine ciblée sur les actifs critiques et les moments clés. Moins de jours facturés sur ce qui peut être automatisé, plus de profondeur sur ce qui ne peut pas l'être.

Le CTEM : le framework qui repose la question

Le Continuous Threat Exposure Management (CTEM) est un programme en cinq phases :

  • Cadrage : définir le périmètre et les priorités métier

  • Découverte : cartographier l'ensemble de la surface d'attaque exposée

  • Priorisation : classer les expositions par risque réel contextualisé

  • Validation : confirmer l'exploitabilité dans l'environnement cible

  • Mobilisation : coordonner la remédiation entre les équipes

Il permet aux organisations de valider en permanence leur exposition réelle, plutôt que de se fier à une photo prise une fois par an. Le cabinet Gartner prédit que d'ici 2026, les organisations appliquant le CTEM réduiront leurs brèches de deux tiers par rapport à celles qui font encore du test ponctuel.

La plupart des organisations sautent la Phase 4 (Validation) ou la font à moitié. Détecter une vulnérabilité n'est pas la même chose que confirmer qu'elle est exploitable dans votre environnement. Dans une approche hybride, l'automatisation valide en continu. Les experts humains valident les scénarios complexes que les outils ne savent pas rejouer.

Prioriser au-delà des scores CVSS et EPSS

Le score CVSS mesure la sévérité théorique d'une vulnérabilité, dans un contexte générique, pas le risque réel contextualisé à votre environnement.

Un score CVSS de 9,8/10 sur un service de monitoring interne non exposé à internet peut paraître urgent à corriger — c'est en réalité une priorité basse (P3). Un score CVSS de 6,1/10 sur votre API d'authentification publique, présente dans le catalogue CISA KEV, traitant 500 000 connexions par jour, est une priorité critique (P0).

Le score EPSS est censé corriger le manque de contextualisation du score CVSS et son évolution dans le temps, mais lui-même ne bénéficie pas de mises à jour suffisamment fréquentes.

Quatre critères déterminent réellement l'urgence :

  1. La vulnérabilité est-elle exploitable dans l'environnement cible ?

  2. L'actif est-il accessible depuis internet ?

  3. Cette vulnérabilité est-elle exploitée dans la nature ?

  4. Quel est l'impact métier réel si l'actif est compromis ?

C'est précisément là que l'approche hybride prend de l'avance : l'automatisation classe en temps réel, les experts humains tranchent sur les cas ambigus et valident les scénarios à fort impact.

Les 3 erreurs de priorisation qui coûtent le plus cher

Erreur 1 : Trier par CVSS. Une vulnérabilité ayant un score CVSS de 9,8/10 sur un service interne non exposé est moins urgente qu'une vulnérabilité dont le score CVSS est de 6,5/10 sur une API publique traitant l'authentification clients.

À retenir : croiser le score CVSS avec l'exposition internet, le statut d'exploitation dans la nature et l'impact métier, puis prioriser.

Erreur 2 : Traiter chaque résultat de scan comme confirmé. Un scanner typique produit des centaines, voire des milliers de résultats sur un SI de taille moyenne. Sans preuve d'exploitabilité, les tickets P0 inondent la file de remédiation et érodent la confiance entre les équipes sécurité et la DSI. Pas de PoC, pas de P0.

Au lieu de consacrer le temps précieux de notre équipe à des tests de pénétration ad hoc, nous recevons désormais en continu des résultats de vulnérabilité vérifiés et de haute qualité sur lesquels nos ingénieurs peuvent immédiatement agir.

Xplor Technologies

Erreur 3 : Fermer les tickets sur déclaration. Plus de 80 % des RSSI ont découvert qu'un correctif qu'ils croyaient déployé n'avait pas été déployé sur l'intégralité des actifs ou corrigeait de façon incomplète la vulnérabilité. Un re-test automatisé à la fermeture de chaque ticket est le seul moyen de le savoir.

Guide de décision : qui a besoin de quoi

Petite structure, moins de 50 actifs exposés. Commencez par l'EASM et le pentest automatisé. C'est déjà une posture hybride solide.

Équipe sécurité constituée. Automatisation continue sur toute la surface, pentests manuels ciblés avant les certifications et les lancements critiques.

Audit réglementaire (NIS2, ISO 27001, HDS). Le pentest manuel est incontournable : l'automatisation prépare le périmètre et réduit les vulnérabilités à traiter le jour J. La combinaison des deux accélère et réduit le coût de la certification.

Utilisez le pentest automatisé pour : la surveillance continue de votre surface exposée, la corrélation CVE en temps réel, le re-test automatique après chaque déploiement, l'intégration CI/CD, la production continue de preuves pour NIS2 et DORA.

Utilisez le pentest manuel pour : les vulnérabilités que les outils manquent (logique métier, chaînes d'attaque complexes), les lancements produit majeurs, les audits formels, les exercices red team.

Combinez les deux pour : tout le reste.

Ce que Patrowl fait concrètement

En mars 2025, lors de la publication de CVE-2025-53770 (vulnérabilité critique SharePoint), Patrowl déclenche automatiquement un test de détection sur l'ensemble des actifs exposés de Brest Métropole. Notification à 15h57, alerte transmise à la Blue Team à 16h36. 39 minutes entre la publication et l'alerte opérationnelle, sans triage manuel.

Demander un pentest

L'implémentation de votre test relatif à la vulnérabilité SharePoint s'est avérée pleinement opérationnelle : notre Blue Team a été immédiatement alertée. Nous vous remercions pour la qualité de votre surveillance active et la fiabilité de votre accompagnement.

Brest Métropole

Patrowl est une plateforme SaaS de cybersécurité, référencée dans le Gartner Market Guide 2026 pour le Preemptive Exposure Management. Elle combine surveillance automatisée continue et intégration avec vos équipes de test pour une approche hybride opérationnelle dès le premier scan.

FAQ

Le pentest manuel est conduit par des experts humains pour identifier les failles nécessitant un raisonnement contextuel : vulnérabilités de logique métier, scénarios complexes que les outils automatisés ne peuvent pas chaîner. Le pentest automatisé exécute en continu la découverte et la validation de l'exploitabilité à grande échelle. L'automatisation couvre l'étendue, les experts humains apportent la profondeur.
68 % des compromissions exploitent des vulnérabilités connues et non corrigées (Verizon DBIR 2024). Plus de 48 000 CVE ont été publiées en 2025. Entre deux pentests annuels, les organisations déploient de nouveaux actifs, modifient leurs configurations et accumulent des versions vulnérables que personne ne teste jusqu'au prochain audit.
Le PTaaS combine un test continu automatisé avec l'accès à des experts humains. Contrairement aux prestations de pentest ponctuelles, le PTaaS délivre un flux continu de vulnérabilités, un re-test automatisé et une intégration DevSecOps — la mise en œuvre opérationnelle du programme CTEM de Gartner. Voir le PTaaS →
Oui. Le pentest continu génère les preuves continues que l'article 21 de NIS2 et la gestion des risques ICT de DORA exigent — pas une photo, un historique. Les résultats sont documentés, suivis jusqu'à la remédiation et re-testés automatiquement, offrant aux auditeurs une piste de conformité vérifiable. Voir la conformité NIS2 →

Sources

Nos dernières actualités

Voir plus d'actualités