Certains se désignent “pentester”, d’autres comme “ethical hacker” ou “hackeur éthique”, et parfois ils se désignent simplement comme “consultant sécurité”. Qu’en est-il de ces termes associées à la fonction de ceux qui pratiquent le test d’intrusion ?
L’influence de l’anglais
La plupart des “pentesters” parlent ou lisent l’anglais. Il s’agit presque d’une condition nécessaire pour réaliser une veille correcte et pouvoir se tenir au courant des nouvelles techniques et vulnérabilités.
De ce fait, beaucoup ont aussi transformé leur titre. De “Hackeur éthique” qui pourrait faire lever un sourcil interrogatif, on passe à “ethical hacker”, déjà plus répandu.
Outre le “globish” (global english) qui s’impose dans les entreprises, l’anglicisation des termes peut aussi correspondre à un besoin de simplification et standardisation. Par exemple, comment pourrait-on traduire le mot “pentester” en français ? Testeur d’intrusion ? Testeur de pénétration ? De toute évidence, il n’y a pas d’équivalent court et pratique pour désigner une personne dont le métier est de réaliser des tests d’intrusion, ce qui peut en partie expliquer la variété des termes apposées sur les cartes de visite ou dans les signatures des emails.
Pentester ou Ethical Hacker ?
Y a t-il une différence entre un “pentester” et un “hackeur éthique” ? Certains prétendent que oui. La différence résiderait dans le degré de liberté : un pentester serait plus contraint dans la définition du périmètre de ses prestations que le hackeur éthique.
Il est vrai que le mot “pentester” est souvent associé au contexte des entreprises, alors que le “Ethical hacker” est plus utilisé dans le contexte de “bug bounty”, c’est-à-dire la chasse aux vulnérabilités réalisée en freelance via les plateformes appropriées.
Dans le contexte professionnel et en France, personne ne fera cependant la différence. La fonction “Ethical hacker” est sûrement plus compréhensible par des non-initiés. A contrario, les sociétés de service proposent rarement des prestations de “hacking éthique” : elles utilisent davantage la formulation “tests d’intrusion”. Il est logique d’avoir des “pentesters” pour réaliser des prestations de “pentest”.
Pentester ou Consultant sécurité ?
Ici, la différence est beaucoup plus notable. Le test d’intrusion est un sous-ensemble du consulting en cyber-sécurité. C’est une spécialisation. Il y a des consultants sécurité tout à fait compétents incapables de faire des tests d’intrusion. La différence est un peu comme celle entre un médecin généraliste et un chirurgien : le niveau de technicité requis n’est évidemment pas le même, sans que cela puisse permettre de préjuger de la compétence de chacun dans leur domaine.
Le consultant sécurité peut réaliser des audits, des accompagnements RSSI (Responsable Sécurité en Système d’Information), des missions en maîtrise d’ouvrage ou en maîtrise d’oeuvre. Un “pentester”, lui, fait des missions de test d’intrusion.
Pentester ou Auditeur ?
Le test d’intrusion est presque l’antithèse d’une démarche d’audit. Un audit consiste à passer en revue un périmètre afin d’y voir l’intégralité des éléments à corriger ou à améliorer. Il fonctionne souvent à base de checklists, via une méthode parfaitement maîtrisée et systématique. Il vise à produire un résultat exhaustif de toutes les faiblesses du périmètre audité.
Le test d’intrusion n’a pas du tout cette logique, puisqu’il cherche à savoir si un objectif défini peut être atteint, sans prétendre recenser l’intégralité des vulnérabilitiés.
Ce sont donc deux fonctions différentes.
Test d’intrusion ou test de pénétration ?
Même si “test de pénétration” peut faire sourire lorsqu’on a l’esprit taquin, l’expression est encore répandue, et même plus répandue encore que l’expression “test d’intrusion”.
Il est là aussi possible que ce soit lié à la traduction littérale de l’anglais “penetration test”, ou encore pour faire le lien entre “pen testers” et “test de pénétration”, alors qu’il n’existe pas d’équivalent de fonction avec “test d’intrusion”.
Les deux expressions sont donc possibles et interchangeables.
