Avatar

y0no

Infosec & Nerd stuff

Home

Blog

Talks

Built with Hugo ❤️ Eths.

Le pentest est-il mort ?

Publié le 01-02-2026

Comme chaque année, le mois de janvier est pour moi l’occasion de me poser et de faire le bilan de l’année écoulée. Que ce soit sur l’aspect personnel ou professionnel, c’est toujours enrichissant et ça permet de se projeter un peu mieux dans l’année qui démarre.

Et s’il y a bien un sujet sur lequel j’ai passé du temps le mois dernier, c’est celui du pentest. Car une chose est sûre, c’est que 2025 a été l’avènement des LLM. On a beaucoup parlé de métiers remplacés ou transformés par l’IA tel que les graphistes, scénaristes ou développeurs. Mais qu’en est-il de mon métier ? Est-ce qu’un robot nommé Claude va me remplacer, me booster, ou me faire perdre mon temps ? En bref, le métier de pentester est-il mort ?

Une histoire compliquée

this is so complicated gif

Faire des tests d’intrusion ça n’a pas toujours été naturel dans le milieu professionnel. Vu comme une activité pas très sérieuse réalisée par des ultra-techs louches, le pentest a bénéficié d’une image assez sulfureuse pouvant faire peur à certaines structures.

Et si elles faisaient entrer le loup dans la bergerie ?

Heureusement, le métier s’est professionnalisé, et a défini des cadres stricts. Plus question d’effectuer un audit sans mandat et sans cadre légal. C’est devenu au fil des années la manière la plus réaliste de challenger son système d’information face à la menace de plus en plus pressante. Devenu complémentaire des audits, le pentest valide (ou non) en conditions réelles la robustesse d’un système d’information.

Pourtant, malgré cette professionnalisation, on a toujours cherché à le remplacer ou à l’automatiser…

À la recherche de la rejouabilité

Le problème du test d’intrusion, c’est qu’il est ponctuel et dépendant du ou des consultants qui ont effectué le test. Du coup, c’est très bien pour faire un état des lieux et dresser une roadmap, mais est-ce viable pour la sécurité au quotidien ? Peut-on demander à un humain de tester plusieurs fois par an un périmètre ? Clairement non, ou alors vous avez beaucoup de moyens :)

Du coup, naturellement, on a essayé de créer des automates de consultants, des scripts, des machines. Pas encore d’IA à ce moment-là, juste des scripts avec un peu d’intelligence permettant de trouver des vulnérabilités simples.

Des outils d’automatisation professionnels sont apparus tels que Nessus, Qualys ou NeXpose, indiquant enfin en temps quasi-réel l’état de sécurité d’un périmètre. Les entreprises s’en sont emparées pour obtenir une vision plus régulière de leur posture. Bien qu’incomplète, elle rattrape des vulnérabilités évidentes et n’attend pas le passage d’un consultant.

Est-ce que ça a tué le pentest ? Non, les consultants s’en sont saisis aussi pour compléter leur travail et se concentrer sur des vulnérabilités plus avancées non gérées par les scanners de vulnérabilité. Ils ont eu ainsi plus de temps pour creuser des pistes complexes plutôt que de vérifier à la main si toutes les imprimantes avaient des identifiants par défaut…

À la recherche du temps réel

Puis vers 2010, un nouveau challenger est arrivé : le Bug Bounty. Avec un nouveau type de promesse, avoir l’expertise d’un humain sur le temps long. Contrairement au pentest qui est ponctuel, ici, on peut éprouver la sécurité d’un périmètre sur toute l’année et surtout bénéficier de l’expertise de plusieurs spécialistes. Le principe est simple, on expose un périmètre, on définit des règles du jeu, et on paye les chercheurs en fonction de ce qu’ils trouvent. C’est absolument fantastique si vous avez les équipes pour corriger rapidement et si le périmètre à tester peut être exposé facilement.

Cette solution apporte tout un tas d’avantages :

  • Test en continu par des humains
  • Dépenses en fonction des éléments identifiés
  • Expertises spécifiques

Néanmoins cela n’a pas non plus tué le pentest, c’est venu compléter une offre existante en répondant à des besoins bien particuliers.

Par exemple, le pentest a gardé tout son intérêt pour les tests internes ou périmètres sensibles, ou bien en permettant à des structures intéressées par le bug bounty de monter en maturité avant de sauter dans le grand bain.

Cela a aussi eu pour intérêt de mettre en avant les VDP (vulnerability disclosure program) et l’usage du security.txt.

À la recherche de l’exhaustivité

Enfin, nous voici en 2026, à l’ère des LLM et du presque AGI. En 2024 et 2025, des outils boostés à l’IA (aux LLM soyons clair) sont apparus et ont annoncé des résultats séduisants… Et de ce que j’en ai vu c’est vrai ! Les solutions commerciales comme Pentera et Horizon3.ai promettent des résultats dignes d’un véritable test d’intrusion interne géré uniquement par une IA au travers d’une VM ou d’un conteneur sur votre système d’information.

En tout cas c’est la promesse. À l’instar du scanner de vulnérabilité d’il y a quelques années, le pentest par IA (que je préfère appeler scan de vulnérabilité IA) va apporter beaucoup à la sécurisation des entreprises qui en ont les moyens. Les scanners classiques vont très certainement être remplacés au fil des années par ces systèmes plus intelligents, capables d’itérer et de réfléchir.

Contrairement à un pentester humain, ces outils sont bien plus performants en termes d’exhaustivité. Ils ne connaissent pas la fatigue, les distractions ou les variations de motivation. Ils sont capables de travailler non-stop H24 et sept jours sur sept, ils peuvent donc s’avérer utiles au quotidien. Bien qu’encore très chères par rapport à un outil de scan classique, je ne doute pas que ces solutions vont devenir abordables.

Mais vont-elles enterrer le pentest ? Je pense qu’il y a encore un peu de chemin, et voici pourquoi.

Les limites techniques

Ces technologies ont encore des limites importantes. Notamment concernant les hallucinations dont elles peuvent faire preuve, et les impacts que cela peut avoir. Si une IA est capable d’effacer un disque dur sans permission, on imagine bien les risques qu’elles peuvent faire courir à un système d’information de production.

De même, l’arrivée d’IA autonomes engendre un problème de gouvernance, notamment sur la définition des responsabilités en cas d’incidents. La question juridique est un élément encore peu traité avec cette technologie, et doit être un point d’attention particulier pour les entreprises.

La question de la confidentialité

Un point rarement abordé par les éditeurs de ces solutions : la confidentialité des données. Lors d’un test d’intrusion, on manipule des informations extrêmement sensibles : hashs NTLM, configurations réseau, credentials, dumps de bases de données, secrets métier… Envoyer tout ça à un LLM hébergé dans le cloud pose des problèmes concrets de conformité.

Entre le RGPD, PCI-DSS pour les données bancaires, ou simplement les clauses de confidentialité signées avec le client, utiliser un outil qui “appelle maison” n’est pas anodin. C’est d’ailleurs un argument fort pour le développement de modèles locaux ou on-premise, même si leurs performances restent en deçà des modèles cloud pour le moment.

Applicatif vs Infrastructure

Il faut aussi noter que ces outils n’ont pas le même niveau de maturité selon le type de test. Les solutions actuelles comme Pentera ou Horizon3 sont principalement orientées infrastructure et Active Directory : énumération, mouvement latéral, élévation de privilèges classiques.

Le pentest applicatif (web, API, mobile) avec ses logiques métier complexes reste plus difficile à automatiser. Comprendre qu’une fonctionnalité de transfert d’argent peut être abusée en manipulant l’ordre des requêtes, ou qu’un workflow de validation peut être contourné en modifiant un paramètre obscur, demande une compréhension du contexte que les LLM peinent encore à avoir.

Le monde physique

Welcome to the real world gif

Enfin, un test d’intrusion a pour objectif de tester la sécurité du système d’information, pas que du système informatique. Et pour le moment, les modèles par LLM peuvent difficilement :

  • Voir un mot de passe sur un post-it dans des bureaux
  • Crocheter une serrure
  • Avoir une discussion autour d’un café
  • Tester un système d’accès par badge
  • Valider la sécurité d’un réseau sans-fil

La technologie avance tout de même très rapidement, et on voit des campagnes de phishing 100% IA arriver depuis quelques mois et même du vishing avec une copie de la voix d’un proche. Nul doute qu’elle va continuer à combler certains de ces manques avec les années qui arrivent.

Et donc l’avenir du pentest ?

Welcome to the future gif

Si une IA est plus exhaustive qu’un consultant, est-elle tout autant créative ? C’est ce dernier point qui me fait dire que je ne serai sûrement pas remplacé cette année. La créativité d’un pentester se manifeste dans sa capacité à chaîner des vulnérabilités faibles pour obtenir un impact critique, à exploiter une logique métier spécifique que personne n’avait anticipée, ou à trouver un 0-day dans un protocole propriétaire. Ce sont des domaines où l’intuition humaine, nourrie par l’expérience et la compréhension du contexte, reste supérieure à un modèle statistique, aussi sophistiqué soit-il.

Il y a donc encore un intérêt d’avoir un humain dans la boucle. Mais pour combien de temps, et sous quelle forme ?

Le facteur humain irremplaçable

Au-delà de la technique, un pentest c’est aussi une relation humaine. Les réunions de cadrage pour comprendre les enjeux du client, la pédagogie lors de la restitution pour expliquer les risques à des non-techniciens, l’adaptation au contexte politique interne de l’entreprise… Ces aspects ne sont pas automatisables et font partie intégrante de la valeur ajoutée d’un consultant.

Un rapport technique généré par une IA, aussi précis soit-il, n’aura jamais le même impact qu’un pentester qui explique en réunion pourquoi cette vulnérabilité critique concerne directement le projet phare du COMEX.

L’outillage du pentester augmenté

Par contre, pour la première fois, j’ai l’impression que les consultants et les ESN vont devoir adapter leur outillage en profondeur pour pouvoir suivre le rythme. Que ce soit sur le matériel ou les logiciels, l’écosystème mute à une vitesse folle.

On voit déjà fleurir des “compagnons” permettant aux pentesters d’être accompagnés et de déléguer certaines tâches à un agent. Claude, notamment par l’intermédiaire de ses skills et sous-agents, permet d’entrevoir les bribes d’un pentester augmenté, accompagné d’une armée de conseillers. Des solutions spécialisées comme strix ou ghostcrew proposent aussi d’automatiser des tâches de manière avancée, et tout ça en open-source.

La création d’exploits n’a jamais été aussi simple avec le vibe-coding, et va sûrement largement améliorer les trouvailles des auditeurs. La rédaction de rapports risque de muter également avec des outils comme milou.sh et vulnotes qui ont l’air prometteurs pour simplifier la vie des consultants tout en augmentant la qualité des rendus. Car soyons clair, tous les pentesters ne sont pas des Baudelaire en herbe, si la rédaction peut être au niveau de leur technicité ce n’est que mieux.

L’évolution du modèle économique

Cette mutation pose aussi des questions économiques. Que ce soit le scanner de vulnérabilités, le bug bounty ou le pentest par IA, chacun propose un modèle sur le long terme, avec des tests plus réguliers. Face à cette pression du “continu”, comment les ESN vont-elles justifier leurs TJM si une partie significative du travail est automatisée ?

On va probablement voir émerger des modèles hybrides : un forfait pour la partie automatisée (scans IA, énumération, tests de base) complété par de l’expertise humaine pour l’analyse, le chaînage et les tests nécessitant du contexte métier. Les pentesters vont devoir s’adapter à cette nouvelle donne pour ne pas devenir obsolètes.

La question des juniors

Mon vrai point d’inquiétude concerne les pentesters juniors. Ils vont malheureusement arriver sur un marché du travail compliqué, où les tâches simples seront automatisées et où les entreprises risquent de privilégier des séniors accompagnés d’IA plutôt qu’un débutant plus coûteux.

Mais au-delà de l’emploi, c’est la formation elle-même qui est questionnée. Comment apprend-on le métier si les tâches d’apprentissage sont automatisées ? Les CTF deviennent-ils obsolètes si on peut les résoudre avec un agent ? Comment développer l’intuition nécessaire aux tests complexes si on n’a jamais fait les tests simples à la main ?

C’est un vrai défi pour la profession : il faudra repenser les parcours de formation pour que les juniors développent les compétences qui ne sont pas automatisables, tout en leur permettant de pratiquer suffisamment pour acquérir l’expérience nécessaire.

TLDR

Blender don't like this post

Le pentest a toujours été chahuté, que ce soit dès son origine ou avec l’apparition des scanners de vulnérabilités et du bug bounty. Néanmoins, il a toujours muté pour rester pertinent et efficace.

L’arrivée des LLM va permettre une avancée hors du commun dans le domaine de la cybersécurité et augmenter les équipes de pentest comme peu de technologies l’ont permis. Le pentest a un avenir, et il sera certainement hybride. Avec des modèles locaux, spécialisés voire de type SLM, les équipes vont probablement se doter d’agents pour augmenter leur performance. Néanmoins, cela va nécessiter un changement en profondeur de l’outillage et des habitudes des consultants.

Il est de notre rôle de trouver une solution pour les laissés-pour-compte que risquent d’être les pentesters juniors, qui à l’instar des développeurs vont arriver sur un marché tendu et peu accueillant pour leur apprentissage.

Pour ma part, les prochains mois vont être dédiés à cette migration et à la création d’un outillage pouvant être embarqué avec les consultants. J’essayerai de documenter ici ce qui me paraît pertinent comme outillage et méthodologie, mais aussi la recherche d’un modèle local ou facilement hébergeable pour les données sensibles manipulées lors d’un test d’intrusion.

Commentaires

Vous pouvez utiliser votre compte Fediverse (c'est-à-dire Mastodon, parmi beaucoup d'autres) pour répondre à ce post.