Rapport sur la cybersécurité : les organisations appelées à recourir plus souvent aux tests de pénétration
Rapport sur la cybersécurité : les organisations appelées à recourir plus souvent aux tests de pénétration
- Les organisations sont incitées à adopter des tests de pénétration réguliers et automatisés, les audits annuels laissant de longues fenêtres d’exposition et une visibilité limitée.
- Selon une nouvelle enquête Horizon3.ai, 70 % des organisations ne testent qu’une fois par an ou moins. Un expert préconise une approche fondée sur les risques avec une cadence hebdomadaire afin de réduire les délais de remédiation et d’offrir un niveau d’assurance continu.
Paris, le 7 novembre 2025 – Les tests de pénétration, autrement dit l’auto-évaluation de l’infrastructure informatique d’une entreprise pour mesurer sa cyber-résilience, doivent être réalisés plus fréquemment, recommande Nicolas Ippolito, Responsable Commercial de la France chez la société de cybersécurité Horizon3.ai. Il met en garde : « Des contrôles effectués une fois par an laissent des intervalles inacceptables, alors que les systèmes et les menaces évoluent chaque semaine. » Cet appel fait suite à l’Étude Cybersécurité 2025/26 de l’entreprise, qui révèle que si 62 % des organisations interrogées procèdent à des tests de pénétration, 70 % d’entre elles ne le font qu’une fois par an ou moins.
« On ne peut réellement mesurer la résilience d’un réseau face aux cyberattaques qu’en le mettant à l’épreuve. Seuls les tests de pénétration permettent de vérifier si une organisation est effectivement protégée contre les cybercriminels. Idéalement, les systèmes les plus critiques devraient être testés chaque semaine – de manière automatisée lorsque c’est possible – afin que les directions disposent d’un suivi continu plutôt que d’un simple état des lieux annuel. »
L’enquête, menée auprès de 150 organisations de divers secteurs, souligne l’urgence du sujet : 65 % des répondants déclarent avoir subi une violation ou une attaque informatique au cours des 12 derniers mois ; 20 % ont subi une seule attaque, 23 % en ont subi deux et 22 % trois ou plus.
Nicolas Ippolito ajoute : « De nombreuses organisations s’appuient sur une multitude d’outils de défense, pensant être entièrement protégées. Mais sans tests réels, impossible d’avoir cette certitude. La meilleure façon d’évaluer le risque consiste à s’attaquer à soi-même, de manière sécurisée, en utilisant les mêmes techniques et procédures que les attaquants. C’est précisément ce que fait la plateforme de Sécurité Offensive NodeZero de Horizon3.ai : elle permet d’identifier ce qui peut réellement être exploité, et pas seulement ce qui est vulnérable. »
Du ponctuel à l’automatisation des tests de pénétration sur tout son IT
Le spécialiste en cybersécurité appelle les organisations à passer de tests ponctuels à une cadence de pentesting proactive, automatisée et régulière. Cette approche permet de mieux se prémunir contre de réelles attaques, d’optimiser le retour sur investissements sur les dépenses en sécurité existantes et de fournir aux conseils d’administration des preuves claires d’une assurance renforcée pour la conformité et le reporting réglementaire.
Nicolas Ippolito ajoute : « Le jugement humain reste essentiel. L’automatisation ne remplace pas entièrement les spécialistes. » Il précise que, dans ce contexte, l’automatisation signifie pouvoir programmer et lancer des tests de pénétration automatiquement, en supprimant les tâches manuelles répétitives tout en montrant en continu ce que les attaquants pourraient réellement exploiter. « Le bon modèle, c’est algorithme contre algorithme, avec intervention humaine par exception. » Cet équilibre permet des tests incessants, à grande échelle, sans abaisser le niveau d’exigence.
La “DMZ” n’est plus sûre par défaut
La fréquence et la profondeur des tests de pénétration sont déterminantes pour une stratégie de cybersécurité robuste. Il ne s’agit pas seulement de tester le périmètre externe des réseaux, mais aussi la sécurité interne. Nicolas Ippolito explique : « Avec le télétravail, l’Internet des objets et l’accès mobile, davantage d’appareils se connectent aux réseaux d’entreprise depuis l’extérieur, ce qui accroît la surface d’attaque potentielle. Les stratégies modernes doivent partir du principe que des attaquants finiront par franchir la première ligne de défense et obtenir un accès initial à un segment du réseau, à partir duquel ils pourront lancer des attaques internes. »
« Même une zone démilitarisée (DMZ) ne doit pas être considérée comme fiable par défaut », poursuit Nicolas Ippolito. « L’utilisation abusive des identifiants et les problèmes liés à la configuration étant à l’origine de nombreuses intrusions, une DMZ doit être exploitée comme un segment non fiable — avec des contrôles d’accès stricts, une supervision continue et une séparation nette des systèmes centraux. »
Des preuves, pas des suppositions
Horizon3.ai présente le pentesting continu et automatisé comme un moyen de remplacer les suppositions par des preuves concrètes. Plutôt que de vérifier uniquement la présence d’outils ou de paramètres de configuration, ces tests automatisés reproduisent de manière sûre les techniques des attaquants afin de montrer ce qui est réellement exploitable — et non simplement vulnérable — tout en confirmant que les correctifs sont efficaces en production.
La plateforme NodeZero Offensive Security Platform de Horizon3.ai soutient cette approche en exécutant en toute sécurité des techniques similaires à celles utilisées par des attaquants, directement dans les environnements de production. Elle met en évidence les chemins d’attaque exploitables, valide les correctifs appliqués et suit les améliorations dans le temps. L’entreprise recommande aux organisations d’intégrer ce type de validation fréquente dans leurs routines opérationnelles, afin de mesurer les progrès en matière de sécurité sur une base hebdomadaire.
Nicolas Ippolito conclut : « Je recommande à chaque membre de conseil d’administration, dirigeant et responsable informatique, tous secteurs confondus, de soumettre son entreprise à cette évaluation essentielle face à l’évolution constante des menaces. »
À propos de l’étude Cybersecurity Survey 2025/26 (méthodologie)
L’enquête Cybersecurity Survey 2025/26 de Horizon3.ai a recueilli les réponses de 150 organisations issues de divers secteurs, via un questionnaire en ligne.
À propos d’Horizon3.ai et de NodeZero
Horizon3.ai propose la plateforme cloud NodeZero, qui permet aux organisations et aux autorités publiques de simuler des attaques de leur propre infrastructure informatique afin d’évaluer leur cyberrésilience au moyen de tests d’intrusion (« pentests »). Grâce à son modèle cloud, la plateforme rend possibles des pentests réguliers et abordables, y compris pour les entreprises de taille moyenne. Horizon3.ai assure une veille continue de la menace cyber afin que les vulnérabilités nouvellement découvertes soient rapidement intégrées au service. NodeZero ne se contente pas d’identifier les failles : la plateforme fournit également des recommandations de remédiation adaptées et priorisées. Cette approche aide les organisations à satisfaire des exigences réglementaires croissantes en matière de cyberrésilience dans les cadres de gouvernance, gestion des risques et conformité (GRC), plusieurs référentiels recommandant de conduire au moins une fois par semaine une auto-attaque interne.
Mention de marque : NodeZero est une marque d’Horizon3.ai.
Informations complémentaires : Horizon3.AI Europe GmbH, Prielmayerstrasse 3, 80335 Munich — Site : www.horizon3.ai
Agence RP : euromarcom public relations GmbH — Site : www.euromarcom.de — E-mail : team@euromarcom.com
- - - -