Pentest, Red Team, Bug Bounty — trois termes qu’on entend souvent comme synonymes. Ils désignent pourtant des
approches radicalement différentes. Voici le breakdown complet.
Approche 1
Le Pentest (Test d’intrusion)
Le pentest, c’est la forme la plus
classique. Une entreprise mandate un professionnel pour tester la sécurité d’un périmètre défini à
l’avance — une application web, un réseau interne, une API.
- Durée : quelques jours à quelques semaines
- Périmètre : clair et limité dès le départ
- Objectif : trouver un maximum de vulnérabilités dans ce périmètre
- Résultat : rapport détaillé avec failles trouvées et
recommandations
Le pentesteur sait ce qu’il cherche, où il
cherche — et l’équipe IT est généralement au courant.
Approche 2
Le Red Team
Le Red Team va beaucoup plus loin.
L’objectif n’est pas de lister des vulnérabilités — c’est de simuler une attaque réelle d’un groupe
malveillant (APT, cybercriminel, initié…).
- Durée : plusieurs semaines à plusieurs mois
- Périmètre : large, parfois toute l’organisation
- Objectif : atteindre un objectif précis (ex : compromettre un contrôleur
de domaine)
- Résultat : évaluation de la capacité de détection et de réponse
La grande différence : la Blue Team ne sait
pas qu’une attaque est en cours. On teste les humains, les process ET la technique — ingénierie sociale, phishing
ciblé, techniques d’évasion inclus.
Approche 3
Le Bug Bounty
Le bug bounty, c’est un programme
permanent et ouvert où une entreprise invite des chercheurs indépendants à trouver des vulnérabilités
en échange d’une récompense financière.
- Durée : continu, sans date de fin
- Périmètre : défini par les règles du programme (in-scope /
out-of-scope)
- Objectif : trouver des bugs, être payé selon leur criticité
- Résultat : rapport soumis à l’entreprise, prime versée si validée
Plateformes connues : HackerOne, Bugcrowd, YesWeHack (française), Intigriti.
|
Pentest |
Red Team |
Bug Bounty |
| Mandaté par |
L’entreprise |
L’entreprise |
L’entreprise |
Réalisé
par |
Prestataire |
Équipe
spécialisée |
Communauté |
| Périmètre |
Limité |
Large |
Défini par règles |
| Durée |
Court |
Long |
Permanent |
Blue Team au
courant |
Souvent oui |
Non |
Non |
| Rémunération |
Forfait |
Forfait |
Prime par bug |
En
résumé
- Tu veux auditer une appli spécifique rapidement → Pentest
- Tu veux savoir si ton orga résisterait à une vraie attaque → Red
Team
- Tu veux que des chercheurs traquent tes bugs en continu → Bug
Bounty
Les trois sont complémentaires. Les grandes
entreprises matures font les trois.
Et toi, tu as déjà participé à un bug bounty ou réalisé un pentest ? Partage ton expérience en commentaire.