Comment Lire un Rapport de Pentest — Guide Pratique

Structure d'un rapport de pentest

Un rapport de pentest professionnel comporte systématiquement : un résumé exécutif (pour les dirigeants), un résumé technique (pour le RSSI), les vulnérabilités détaillées avec preuves, et un plan de remédiation priorisé.

Le score CVSS v3.1

Le Common Vulnerability Scoring System (CVSS) quantifie la sévérité des vulnérabilités sur une échelle de 0 à 10 :

Critique (9.0-10.0) : exploitation immédiate possible, impact maximal. Corriger en urgence (24-48h). Élevé (7.0-8.9) : impact important, correctif sous 7 jours. Moyen (4.0-6.9) : impact modéré, correctif sous 30 jours. Faible (0.1-3.9) : impact limité, inclure dans la prochaine release.

Comment lire une vulnérabilité

Chaque finding comprend : titre et classification (CWE/OWASP), score CVSS avec vecteur détaillé, description technique, preuve de concept (PoC) reproductible, impact business, recommandation de remédiation, et références (CVE, OWASP).

La preuve de concept (PoC)

Le PoC est la démonstration que la vulnérabilité est réellement exploitable. Il peut prendre la forme d'une capture d'écran, d'une requête HTTP, d'un script d'exploitation ou d'une vidéo. Un bon PoC est reproductible par vos équipes.

Plan de remédiation

Priorisez par criticité CVSS et facilité de correction. Commencez par les vulnérabilités Critiques et Élevées exploitables depuis Internet. Planifiez un retest pour les vulnérabilités Critiques et Élevées après correction.

Le retest

Atlas RedConsult inclut un retest post-correction pour toutes les vulnérabilités Critiques et Élevées. Le retest valide que la correction est effective et qu'aucune régression n'a été introduite.