Pourquoi les normes ne se suffisent pas à elles-mêmes

Une norme de sécurité définit ce que vous devez faire. Elle liste des mesures à mettre en place, des processus à documenter, des risques à identifier. C'est nécessaire, mais insuffisant.

La question qu'une norme ne peut pas répondre à votre place : est-ce que ça marche vraiment ? Un pare-feu mal configuré reste un pare-feu. Une politique de mots de passe qui n'est pas appliquée reste une politique. Une architecture réseau segmentée sur papier peut être contournée en quelques minutes par un attaquant qui connaît son métier.

Le rôle du pentest

Le test d'intrusion est le contrôle qualité de votre sécurité. Il ne remplace pas la norme, il la complète en apportant la preuve que les mesures que vous avez mises en place fonctionnent face à une menace réelle.

6
normes majeures qui font référence aux tests d'intrusion
100%
des certifications auditées exigent des preuves techniques
+40%
de vulnérabilités non détectées par les scans automatisés seuls
les normes en détail

Norme par norme : le rôle du pentest

ISO 27001
Gestion de la sécurité de l'information
Norme internationale · applicable à toute organisation

ISO 27001 est la norme de référence mondiale pour la gestion de la sécurité de l'information. Elle impose la mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) couvrant l'identification des risques, le choix de mesures de contrôle et leur amélioration continue.

L'Annexe A de la norme (contrôle A.12.6 et A.18.2) fait explicitement référence aux revues techniques et tests de sécurité. Les organismes certificateurs s'attendent à trouver dans votre dossier des preuves de tests réguliers, et un rapport de pentest est la preuve la plus solide que vous pouvez produire.

Apport du pentest : démontre l'efficacité réelle de vos contrôles de sécurité, alimente le processus d'amélioration continue du SMSI, et constitue une preuve documentée pour l'auditeur de certification.
DORA
Résilience numérique du secteur financier européen
Règlement UE · banques, assurances, fintech · applicable depuis jan. 2025

DORA (Digital Operational Resilience Act) est le règlement européen qui impose aux institutions financières de démontrer leur capacité à résister aux perturbations et attaques numériques. Il s'applique aux banques, compagnies d'assurance, fintechs, gestionnaires d'actifs et leurs prestataires IT critiques.

DORA est l'une des rares réglementations à rendre les tests d'intrusion obligatoires. Elle introduit le concept de TLPT (Threat-Led Penetration Testing), des tests de pénétration guidés par la menace réelle, plus proches d'une Red Team que d'un pentest classique, pour les entités financières d'importance significative.

Apport du pentest : exigé explicitement par DORA sous forme de TLPT pour les entités importantes. Pour les autres, un pentest annuel constitue la base du programme de tests de résilience opérationnelle numérique requis par le règlement.
NIS2
Harmonisation de la cybersécurité dans l'UE
Directive UE · secteurs critiques · transposition en cours en France

NIS2 durcit les exigences de cybersécurité pour les entités essentielles et importantes dans 18 secteurs. Elle impose la gestion des risques, la sécurité de la chaîne d'approvisionnement, et la notification des incidents, le tout sous peine de sanctions pouvant atteindre 10 millions d'euros.

NIS2 n'impose pas le pentest par son nom, mais exige que les organisations puissent démontrer l'efficacité de leurs mesures techniques. En pratique, un rapport de pentest est l'un des documents les plus attendus lors d'un contrôle de l'ANSSI pour prouver que vous avez testé, et pas seulement documenté, votre sécurité.

Apport du pentest : preuve de diligence technique opposable, identification des vulnérabilités avant un incident à notifier, validation de la sécurité de la chaîne d'approvisionnement.
HDS
Protection des données de santé en France
Certification française · hébergeurs de données de santé

La certification HDS (Hébergeur de Données de Santé) encadre strictement le stockage des informations médicales en France. Elle est obligatoire pour tout prestataire hébergeant des données de santé à caractère personnel, et s'appuie sur les exigences ISO 27001 enrichies de contrôles spécifiques au secteur de la santé.

Les données de santé étant parmi les plus sensibles et les plus ciblées par les cybercriminels, HDS impose des vérifications techniques régulières de la robustesse des systèmes. Les auditeurs de certification HDS sont particulièrement attentifs aux preuves de tests de sécurité sur les interfaces d'accès aux données, les systèmes de gestion d'identité et les flux d'interconnexion.

Apport du pentest : test des contrôles d'accès aux données médicales, validation des mécanismes d'authentification, vérification de l'isolation des environnements. Requis dans le périmètre de l'audit de certification HDS.
DCI
Protection des contenus cinématographiques
Standard international · salles de cinéma, distributeurs, postproduction

La conformité DCI (Digital Cinema Initiatives) impose des exigences de sécurité très strictes pour la certification des serveurs et projecteurs numériques utilisés dans la distribution et la projection de films. Elle vise à protéger les contenus contre la copie illicite et la manipulation.

Les systèmes DCI opèrent dans des environnements réseau isolés avec des exigences fortes sur l'intégrité des équipements, le chiffrement des flux et la gestion des clés cryptographiques. Un test d'intrusion dans ce contexte évalue la robustesse des mécanismes de cloisonnement réseau et la résistance des interfaces d'administration aux tentatives d'accès non autorisé.

Apport du pentest : validation du cloisonnement réseau, test de l'exposition des interfaces d'administration, vérification de la résistance aux tentatives d'exfiltration de clés cryptographiques.
EASA Part-IS
Sécurité de l'information dans l'aviation civile
Règlement EU 2023/203 · acteurs de l'aviation civile européenne

Le règlement EASA Part-IS impose aux acteurs de l'aviation civile européenne, compagnies aériennes, aéroports, prestataires de navigation aérienne, organismes de maintenance, la mise en place d'un SMSI intégré aux systèmes de sûreté aéronautique.

L'aviation civile présente des enjeux de sécurité extrêmes : une compromission des systèmes de navigation ou de gestion du trafic aérien peut avoir des conséquences physiques directes. Part-IS exige que les organisations évaluent régulièrement leur exposition aux cybermenaces dans un contexte où les systèmes IT et opérationnels (OT) sont de plus en plus interconnectés.

Apport du pentest : évaluation de la frontière IT/OT, test des systèmes exposés aux réseaux externes, identification des vecteurs de compromission susceptibles d'affecter la continuité des opérations aériennes.
vue d'ensemble

Tableau récapitulatif

Un aperçu rapide de la place du pentest dans chaque norme :

Norme Secteur Pentest requis
ISO 27001 Tous secteurs Fortement recommandé (Annexe A)
DORA Finance, assurance, fintech Obligatoire (TLPT pour entités importantes)
NIS2 Secteurs critiques élargis Attendu comme preuve de diligence
HDS Santé, hébergeurs de données médicales Requis dans le périmètre d'audit
DCI Cinéma numérique Tests techniques sur périmètre spécifique
EASA Part-IS Aviation civile Évaluation des cybermenaces requise
notre approche

Comment HackHeart s'intègre dans votre démarche de certification

Nous intervenons en amont ou en parallèle de votre processus de certification. Notre rôle n'est pas de produire de la documentation, c'est de tester réellement vos systèmes et de vous fournir un rapport qui documente chaque vulnérabilité identifiée, son exploitabilité, et les mesures correctives recommandées.

Ce rapport constitue une preuve technique indépendante que vous pouvez présenter à votre auditeur de certification. Il alimente aussi directement votre processus de gestion des risques, que vous soyez en démarche ISO 27001, en conformité DORA ou en préparation d'un audit HDS.

Notre valeur ajoutée

Nous ne vous vendons pas un scan automatisé rebadgé en pentest. Chaque mission est menée manuellement par un pentester certifié (CPTS, CRTA), avec une restitution orale incluse et un rapport adapté au niveau de lecture de votre équipe, exécutif et technique.

À savoir

Un pentest réalisé dans le cadre d'une certification doit généralement être mené par un prestataire indépendant de l'organisation auditée. HackHeart intervient en tant que tiers externe et peut fournir les justificatifs d'indépendance requis par votre organisme de certification.

Vous préparez une certification ?

On vous aide à anticiper les exigences techniques. Échange gratuit de 30 minutes.

Prendre contact Demander un devis
S
Seb De Coninck
Pentester · HackHeart · CPTS, CRTA
← Retour au blog