Yasmine Douadi animant une table ronde avec Ludovic Vestieu, Yassir Kazar, Serge Misik, Garance Mathias et Romain Eliot sur l’avenir du pentest, la cybersécurité et la conformité aux régulations européennes.
Cybersécurité

L’avenir du pentest en Europe : sécurité continue, conformité NIS2 et DORA en 2026

Emilien Pau
Journaliste RISKINTEL MEDIA
Publié le
16 January 2026
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violet foncé pointant vers le haut sur un fond blanc.

Longtemps perçu comme un exercice technique ponctuel, le pentest connaît une profonde transformation. Face à des cybermenaces toujours plus sophistiquées et à des réglementations européennes renforcées (NIS2, DORA, Cyber Resilience Act), il ne se limite plus à un simple test d’intrusion. Aujourd’hui, il devient un outil stratégique, intégré à une sécurité continue, documenté, auditable et capable de piloter la résilience des organisations.

Longtemps considéré comme un exercice ponctuel, technique et limité dans le temps, le test d’intrusion ou pentest est aujourd’hui en pleine redéfinition. Face à des menaces toujours plus sophistiquées, à une cybercriminalité organisée autour de logiques économiques structurées, et à une pression réglementaire européenne croissante (NIS2, DORA, Cyber Resilience Act…), les organisations ne peuvent plus se contenter d’une approche défensive datée. Le pentest s’inscrit désormais dans une logique de démonstration de conformité, documentée et auditable.

À lire aussi : Panne Cloudflare : quand une erreur interne révèle la fragilité structurelle de l’Internet mondial

Pour décrypter cette évolution en profondeur, nous avons réuni cinq intervenants issus de l’écosystème cybersécurité : secteur public, entreprises privées, juristes et experts techniques. Ensemble, ils dressent un état des lieux sans concession de ce que sont devenus les tests d’intrusion en 2025, mais surtout, de ce qu’ils doivent être. Ont pris part à l’échange : Ludovic Vestieu, colonel et chef de la division connaissance, anticipation et gestion de crise au COMCYBER-MI, Yassir Kazar, CEO et co-fondateur de Yogosha, Serge Misik, CISO pour le territoire Paris Ouest La Défense, Garance Mathias, avocate à la cour, fondatrice de Mathias Avocats, et Romain Eliot, CISO chez BNP Paribas Personal Finance.

Loin de remettre en cause leur utilité, cette discussion met en lumière une exigence nouvelle : celle de penser le pentest non plus comme un audit technique isolé, mais comme un outil de pilotage stratégique, intégré à une sécurité continue, proactive et gouvernée.

La Table Ronde des Experts / Photo : David Marmier

Le marché noir du numérique : de la donnée à la vulnérabilité

Les pentests ne peuvent plus être pensés sans une compréhension fine de la réalité du risque. Et cette réalité, elle est d’abord économique.

La valeur des données

Comme le souligne Ludovic Vestieu, « Il existe un marché noir pour tout ». La donnée, présentée comme « l’or noir du XXIe siècle », circule à des prix parfois dérisoires, « 5 ou 10 euros », observe-t-il, ce qui peut sembler surprenant, mais rappelle une vérité essentielle : toutes les données n’ont pas la même valeur.

Le marché des vulnérabilités

Ce marché souterrain dépasse la simple revente de données personnelles. Il inclut les vulnérabilités elles-mêmes, qui font l’objet d’un trafic structuré, avec offre, demande, et système de mise à prix. Certaines failles, notamment celles permettant un accès administrateur à un système, peuvent se monnayer à prix élevé. Mais ce trafic est aussi entaché d’escroqueries internes, avec des données accessibles publiquement revendues comme exclusives, ou revendues plusieurs fois.

Au-delà de l’aspect purement technique, c’est donc une logique économique de marché parallèle qui se déploie, avec ses codes, ses arnaques, et ses motivations variées, du gain financier à l’atteinte à la réputation.

OSINT, veille, et usage détourné de l’information

Les équipes de veille

Face à cette structuration du risque, les organisations ont recours à des dispositifs de veille. « Il y a très souvent des équipes de veille », note Yassir Kazar. Ces cellules sont chargées de repérer les vulnérabilités émergentes, qu’elles soient issues de fuites ou d’environnements publics. Mais cette pratique, parfois mal encadrée, se heurte à des contraintes légales, notamment dès lors qu’elle implique des données issues de sources illégales ou non autorisées.

La distinction entre veille et OSINT

La distinction est cruciale entre une veille technique et un travail d’OSINT légitime, qui peut s’appuyer sur des informations librement accessibles : plans d’un bâtiment, code source publié par erreur, adresse e-mail associée à une fuite de mot de passe. L’important, rappelle Kazar, est de s’assurer que ces démarches soient encadrées par des professionnels compétents et formés aux limites légales.

À lire aussi : Vol d’identité numérique : comment l’IA et les deepfakes transforment la cybersécurité

Garance Mathias abonde dans ce sens en soulignant que l’on dépasse ici la seule problématique des données à caractère personnel. « Ce qui est intéressant, c’est qu’on va au-delà. » Il ne s’agit pas uniquement de noms ou d’identifiants : les plans industriels, les cahiers de laboratoire ou encore les documents stratégiques peuvent avoir une valeur critique en termes de cybersécurité, sans entrer dans le périmètre des données personnelles. Le risque est donc bien pluridimensionnel, touchant à la confidentialité, à l’intégrité mais aussi à la réputation des organisations.

Yasmine Douadi / Photo : David Marmier

La donnée comme levier d’attaque informationnelle

Si l’on parle volontiers de vol de données, Ludovic Vestieu rappelle que certaines attaques ne visent pas un gain financier immédiat. « La cible, ça peut aussi être la réputation de l’entreprise. » Dans ce cas, les informations exfiltrées sont diffusées gratuitement, dans une logique de sabotage informationnel ou de pression médiatique.

Le mobile n’est alors plus pécuniaire, mais stratégique : affaiblir une marque, perturber une fusion-acquisition, compromettre la confiance des clients ou investisseurs. Ce scénario, bien connu des cellules de crise, exige une réponse à la fois technique et communicationnelle.

Garance Mathias insiste d’ailleurs sur la dimension économique de certaines attaques, notamment dans les contextes de fusion ou de levée de fonds, où des fuites peuvent être utilisées pour influencer les négociations. Il s’agit d’espionnage industriel, parfois difficile à prouver mais aux effets très concrets.

Typologie des attaquants : du petit escroc à l’acteur étatique

Pour comprendre l’évolution du pentest, il faut aussi analyser les profils des attaquants. Yassir Kazar insiste sur la nécessité de différencier les menaces. Entre le délinquant opportuniste et l’agent d’un État étranger, les motivations, les moyens et les objectifs sont profondément différents.

« Forcément, ça ne va pas déclencher les mêmes réflexes », dit-il. Dans le premier cas, la réaction sera essentiellement technique et juridique. Dans le second, il faut envisager des réponses stratégiques, des coopérations interétatiques, voire des mesures relevant de la cyberdéfense.

Cette distinction est essentielle pour calibrer les processus de gestion de crise. Car les premières heures sont décisives. La préparation en amont devient alors la clef de voûte de la réponse : il ne s’agit pas d’avoir un “coup de génie” au moment de l’attaque, mais d’avoir répété les scénarios, testé les chaînes de décision, rodé les mécanismes de communication. La surprise et le stress ne disparaissent jamais complètement, mais leur impact peut être fortement réduit.


Les limites du pentest ponctuel : un modèle à réinventer

C’est dans ce contexte que la critique du pentest traditionnel prend tout son sens. L’approche “à l’ancienne”, fondée sur des tests isolés, commandés une fois par an, déconnectés des réalités métier ou des véritables scénarios de menace, ne répond plus aux exigences contemporaines.

Pour Serge Misik comme pour Romain Eliot, la sécurité ne peut plus être pensée comme un audit technique périodique. Il faut évoluer vers une dynamique continue, intégrée au cycle de vie des projets, pilotée en lien avec les risques identifiés, contextualisée par rapport aux enjeux métiers.

Vers un pentest permanent et stratégique

Le pentest devient un dispositif permanent d’amélioration, un instrument de pilotage, et non une simple photographie technique. Cela implique de revoir les processus, mais aussi de mieux impliquer les parties prenantes, au-delà des seules équipes de cybersécurité. La gouvernance, le juridique, la direction générale doivent être associés pour donner au test d’intrusion sa vraie place dans la stratégie de défense.

À lire aussi : Chat Control : quand la protection des mineurs menace la cybersécurité européenne

Cette évolution implique également une clarification des responsabilités contractuelles autour du pentest. Du choix du périmètre aux obligations de résultat, en passant par la gestion des données sensibles ou les engagements de confidentialité, les aspects juridiques doivent être intégrés dès la contractualisation du test. Cela permet de sécuriser l’intervention des prestataires, mais aussi d’éviter les zones grises en cas d’incident ou de faille non détectée.

Méthodes et standards modernisés

Cette évolution s’accompagne aussi d’une transformation des méthodes. Des approches hybrides comme le purple teaming, qui associe les compétences des équipes offensives (red team) et défensives (blue team), gagnent du terrain. D’autres modèles, comme le continuous security testing, permettent de monitorer en permanence la robustesse des systèmes, dans une logique de détection précoce et de réponse agile.

Par ailleurs, les méthodologies de test s’alignent de plus en plus sur des référentiels structurants comme des Testing Guides, le framework NIST, ou la matrice ATT&CK. Ces standards permettent non seulement de cadrer les tests de manière homogène, mais aussi de faciliter les comparaisons dans le temps et l’analyse des écarts de sécurité selon les typologies de menace.

Ludovic Vestieu / Photo : David Marmier

Anticipation, investigation et communication : les nouveaux piliers

Anticipation

La sécurité moderne s’appuie sur une capacité d’anticipation structurée. Cela suppose de disposer d’équipes capables de faire de la veille, de simuler des attaques complexes, d’imaginer les scénarios d’exposition les plus crédibles.

Investigation

Mais cette anticipation doit être couplée à une capacité d’investigation post-incident. Comme le souligne Romain Eliot, tout l’enjeu est de « savoir comment ça s’est passé et pourquoi ». Comprendre la chaîne d’intrusion, les erreurs de configuration, les privilèges mal maîtrisés : autant d’éléments nécessaires pour corriger durablement les failles.

Communication

Enfin, la communication devient un levier stratégique. Qu’il s’agisse d’alerter les clients, de répondre aux régulateurs ou de protéger la réputation de l’organisation, il faut être prêt. Là encore, la préparation est indispensable : répétition des messages, désignation des porte-parole, documentation des preuves, autant d’éléments à intégrer en amont.

Ces dimensions ne concernent pas seulement la technique : elles participent à la résilience globale de l’organisation, en renforçant sa capacité à absorber un choc, à s’adapter, et à rebondir. La cybersécurité devient ainsi un enjeu transverse, structurant pour la continuité d’activité.

Vers une sécurité continue, pilotée et contextuelle

Le pentest ne disparaît pas. Il se transforme. Ce n’est plus un exercice isolé, mais un élément d’un dispositif de sécurité globale, en interaction avec la gouvernance, la conformité, les enjeux métier et la réalité des menaces. Il s’inscrit dans une logique d’amélioration continue, où l’anticipation prime sur la réaction, et la rigueur méthodologique sur l’improvisation. Cela suppose aussi une montée en compétence des fonctions non techniques : juristes, directions métiers, RH ou communication doivent mieux comprendre les enjeux cyber pour intégrer le risque numérique dans leurs propres processus de décision.

À lire aussi : Cybersécurité, sûreté et souveraineté : comprendre le continuum de la menace dans un monde sans limites

Cette exigence de conformité ne se limite pas à la réalisation du test, mais s’étend à sa traçabilité et à son auditabilité. Dans un contexte de régulation accrue, les rapports doivent être structurés, conservés, et exploitables en cas de contrôle. Le périmètre testé, les méthodologies employées, les actions correctrices entreprises, ou encore les délais de remédiation doivent être documentés avec rigueur, dans une logique de preuve de diligence et de pilotage réglementaire.

Cette maturité nouvelle ne s’improvise pas. Elle se construit avec des outils adaptés, des expertises complémentaires, et une culture partagée de la sécurité. Loin d’un coup d’éclat annuel, le pentest devient une discipline quotidienne, contextuelle, et stratégique; à la hauteur des défis que posent les menaces modernes.

Emilien Pau
Journaliste RISKINTEL MEDIA
Restez connectés aux idées qui comptent
Recevez nos émissions en avant-première, accédez aux coulisses des débats, et rejoignez les professionnels qui façonnent l’écosystème Cyber, Tech et Défense.
S’inscrire à la newsletter
Flèche violette pointant vers le coin supérieur droit.
Logo Riskintel Media.Logo du Risk Summit avec un bouclier bleu et rouge à gauche du texte.
NOUS SUIVRE
Logo LinkedInIcône de l’application Instagram avec un motif d’appareil photo simple dans un carré aux coins arrondis.
Entrez en relation avec Riskintel
* Champs obligatoires
Merci ! Votre message a bien été envoyé !
Oups ! Une erreur est survenue, veuillez réessayer.
Mentions Légales
Site Riskintel 2025 - Réalisé par ICONOKOM