Le pentest IA fait des vagues et rivalise avec la puissance des hackers humains de manières inattendues. Mais fréquemment, les entreprises recherchent le pentesting pour obtenir et soutenir leurs certifications de conformité.
Par le passé, les auditeurs ont rejeté les résultats des outils automatisés. Mais ce n'était pas parce qu'un humain devait s'asseoir et effectuer tous les tests, mais plutôt parce que ces anciens outils ne réalisaient rien qui s'approche de véritables pentests. Un pentest IA exécutant 250 agents orchestrés contre votre application correspond étroitement à la manière dont les pentesters humains effectuent leurs évaluations. Cela signifie explorer l'application, comprendre le fonctionnement des fonctionnalités, trouver des moyens de les contourner et valider que le problème est réellement exploitable avant de l'inclure dans le rapport.
Les véritables pentests IA sont aujourd'hui régulièrement acceptés par les auditeurs. Dans cet article, nous aborderons les idées fausses sur le pentest IA et sa relation avec la conformité, et expliquerons comment et quand vous pouvez utiliser le pentest IA pour répondre à vos exigences de conformité.
De quoi avez-vous réellement besoin pour un pentest de conformité ?
Lorsqu'un auditeur demande un test d'intrusion, il demande une documentation attestant que votre application a été testée contre un ensemble défini de vecteurs d'attaque et de méthodologies de test, que les résultats ont été validés et enregistrés, et que vous disposez d'un plan de remédiation pour tout élément critique. La question n'est pas de savoir si c'est un humain qui a passé deux semaines devant un terminal ou des agents IA qui y ont passé une journée. Il est également vrai que l'infrastructure évoluait beaucoup plus lentement par le passé, avec des releases trimestrielles, de sorte que l'idée d'effectuer des tests d'intrusion hebdomadaires était plutôt absurde. Ce n'est absolument plus le cas aujourd'hui.
Les référentiels les plus courants qui exigent ou recommandent des tests d'intrusion sont SOC 2, ISO 27001, HIPAA et PCI DSS. Pour la plupart d'entre eux, aucun n'exige explicitement que le test soit réalisé par un être humain. Ce qu'ils précisent, ce sont la couverture, la méthodologie et la documentation. La norme PCI DSS est moins claire : ses directives définissent les tests d'intrusion comme « essentiellement une démarche manuelle » et précisent que les outils automatisés ne suffisent pas à eux seuls à satisfaire à l'exigence (nous verrons pentest IA ce que cela implique pour pentest IA ).
Penchons-nous sur la norme SOC 2. Ce référentiel n'impose en réalité aucun test d'intrusion. Ce qu'il exige, c'est que vous démontriez l'efficacité de vos contrôles, notamment en matière d'accès logique (CC6.1), de gestion des changements (CC8.1) et d'atténuation des risques (CC7.1 à CC7.4). Les auditeurs ont retenu les tests d'intrusion comme le moyen le plus crédible de prouver l'efficacité de ces contrôles, car ils démontrent que quelqu'un a réellement tenté de les contourner. Un rapport de test d'intrusion qui met en correspondance les résultats avec ces critères, documente ce qui a été testé et présente les mesures correctives apportées à tout élément critique, est ce qui satisfait à cette exigence. En réalité, le référentiel ne dit rien sur qui ou quoi a mené le test.
La norme ISO 27001 suit un schéma similaire, en recommandant de recourir à des tests d'intrusion dans le cadre de l'évaluation continue des risques.
Historiquement, la loi HIPAA a toujours considéré les tests d'intrusion comme une bonne pratique plutôt que comme une exigence stricte, mais cela est en train de changer. En décembre 2024, le HHS a proposé des modifications à la règle de sécurité HIPAA qui rendraient obligatoires les tests d'intrusion annuels pour toutes les entités concernées et les partenaires commerciaux, ces tests devant être effectués par du personnel qualifié disposant des connaissances appropriées en matière de cybersécurité. Cette règle devrait être finalisée d'ici mi-2026. Si vous travaillez dans le secteur de la santé, renseignez-vous directement auprès de votre équipe chargée de la conformité pour connaître l'état d'avancement actuel.
Tous les référentiels exigent un rapport structuré comprenant un résumé, une section consacrée à la méthodologie, des résultats validés accompagnés de preuves et des étapes de reproduction, des niveaux de gravité, ainsi que des recommandations de correction. Le guide OWASP sur les tests de sécurité des applications web est la référence que la plupart des testeurs suivent en matière de couverture (et la liste est longue). Même une équipe humaine disposant d'un budget d'une semaine ne peut, de manière réaliste, tout traiter en profondeur. Elle doit trier et hiérarchiser les éléments les plus importants. La fréquence et l'étendue sont des contraintes qui ne limitent plus la portée de nos tests.
L'hypothèse selon laquelle le pentest de conformité signifie un pentest humain n'est pas inscrite dans la plupart des frameworks. Cela a été vrai par défaut car, jusqu'aux LLM, aucune technologie ne pouvait s'en approcher. Pour les équipes des secteurs fortement réglementés avec des exigences de conformité spécifiques, il est utile d'avoir cette conversation directement avec votre auditeur. Pour la plupart, cependant, le rapport ne soulèvera aucun drapeau. Le pentest IA couvre les exigences.
Où le pentest IA apporte déjà des résultats pour la conformité
Pistes d'audit
La piste d'audit d'un pentest IA est exhaustive et détaillée, souvent meilleure que de nombreux rapports de pentest humains. Chaque requête envoyée, chaque charge utile tentée, chaque action effectuée par chaque agent est enregistrée. Vous pouvez voir exactement ce qui a été testé, comment le test a été mené et ce qui a été trouvé. La plupart des rapports de pentest humains vous fournissent des résultats et une section méthodologique. Ils ne vous donnent pas une trace complète de chaque étape effectuée. Si votre auditeur demande : « Comment savons-nous qu'ils ont testé X ? », le rapport généré par un pentest IA peut effectivement montrer le journal pour cette chose exacte.
Couverture des tests
Le pentest IA couvre un terrain significatif. Pour ceux qui demandent : « Comment savons-nous qu'il a tout essayé ? », la préoccupation s'applique également aux pentesters humains. Un rapport de pentest manuel qui revient avec zéro résultat et aucune piste d'audit de ce qui a été testé est entièrement pris sur la foi. Une sorte de servitude au rituel du test d'intrusion annuel existe. Vous ne pouvez de toute façon pas prouver qu'un humain a tout essayé. Avec un pentest IA, vous pouvez énumérer une couverture de test détaillée via les journaux.
Les agents peuvent traiter l'intégralité du Top 10 OWASP en quelques heures. Ils testent les contrôles d'autorisation sur chaque point d'accès, et pas seulement sur un échantillon représentatif. Ils essaient chaque vecteur d'attaque sur chaque fonctionnalité, et pas seulement ceux qu'un testeur humain a eu le temps d'atteindre avant la fin de l'engagement.
Les IA améliorent de façon exponentielle leur capacité à raisonner et à comprendre le code. Elles découvrent de nouvelles vulnérabilités dépendantes du contexte que les humains ont manquées pendant des années. Les sceptiques supposent que les IA ne peuvent pas gérer les vulnérabilités de la logique métier. Ce n'est plus le cas. En pratique, les agents lisent la base de code, comprennent le comportement attendu et trouvent des moyens créatifs de le contourner. L'expression « Si tout ce que vous avez est un marteau, chaque problème ressemble à un clou » est pertinente ici. Même si un testeur humain est très doué pour trouver des vulnérabilités XSRF et gagne une prime de bug à six chiffres, la vérité est que le test par IA apporte une multitude d'approches à la tâche.
Lors du benchmark comparatif d'Aikido Security sur quatre applications web non triviales, les agents IA ont découvert deux fois plus de vulnérabilités de contrôle d’accès défaillant que les testeurs humains expérimentés. Ils ont également mis au jour une falsification de signature électronique dans une application de paiement que les testeurs manuels n'avaient pas du tout détectée. Les IA avaient certes un avantage considérable car elles avaient accès au code source. Une IA assimile une base de code complète presque instantanément, tandis que les testeurs humains travaillent généralement sans elle pour des raisons logistiques et de NDA. Mais les tests boîte blanche, boîte grise ou boîte noire sont clairement améliorés par le parallélisme qu'apporte le pentest agentique.
Le benchmark a également révélé que les testeurs humains étaient plus performants pour sonder les durcissements de configuration insuffisants et identifier les contrôles d'hygiène de conformité. Depuis lors, le pentest IA n'a cessé de s'améliorer. Le pentest IA d'Aikido, par exemple, détecte régulièrement des vulnérabilités IDOR complexes, qui impliquent de s'authentifier en tant qu'utilisateurs réels et de suivre de longs workflows de bout en bout.
Les intégrations tierces, en particulier les flux OAuth complexes et les implémentations SSO, sont plus difficiles à gérer de manière cohérente pour les agents. Le pentest IA d'Aikido a fourni les efforts nécessaires pour résoudre ces problèmes, mais ne tenez pas pour acquis que tous les produits de pentest IA peuvent le faire.
Rapports
Le format du rapport répond directement aux besoins des équipes chargées de la conformité. Les normes SOC 2 et ISO 27001 font l'objet d'un document PDF complet comprenant des preuves, des instructions détaillées pour la mise en conformité et les étapes à suivre pour refaire les tests une fois les mesures correctives mises en œuvre. Les exigences de la norme HIPAA sont également prises en compte.
Les délais d'exécution pentest IA de l'ordre de quelques heures (nettement inférieurs à une journée), ce qui est très utile lorsque vous devez respecter un calendrier de certification ou répondre à une demande d'audit portant sur des actifs non encore testés auparavant.
Que ne peut pas faire le pentest IA pour la conformité ?
Si les tests d'intrusion basés sur l'IA sont de plus en plus bien acceptés, cette technologie reste encore assez récente, et certains secteurs d'activité ainsi que leurs autorités de régulation sont encore en train de définir leur position sur la question.
La norme PCI DSS est plus contraignante que les normes SOC 2 ou ISO 27001 et exige explicitement la réalisation de tests d'intrusion au moins une fois par an, avec une couverture spécifique des environnements contenant les données des titulaires de cartes. Ses directives officielles relatives aux tests d'intrusion, mises à jour pour la dernière fois en 2017, décrivent ces tests comme « une démarche essentiellement manuelle » et précisent que l'utilisation d'outils automatisés ne suffit pas à elle seule à satisfaire à cette exigence. L'esprit de cette exigence a toujours reposé sur l'exploitation active, des preuves validées et l'analyse critique des résultats. Les testeurs de pénétration humains peuvent utiliser pentest IA un outil pour prendre en charge une grande partie du travail fastidieux du côté des applications. Cela dit, la norme PCI DSS exige également des tests au niveau de la couche réseau et de la segmentation, en plus des tests au niveau de la couche application, ce que les tests de pénétration par IA ne couvrent de toute façon pas.
En ce qui concerne certaines exigences des autorités de régulation des services financiers ou du secteur public, les entreprises devront se renseigner directement auprès de leur auditeur afin d'évaluer dans quelle mesure celui-ci est disposé à considérer que surveillance continue les tests ne constituent pas seulement l'équivalent de tests ponctuels, mais une preuve nettement plus solide de l'efficacité des contrôles de sécurité et de la rigueur des programmes.
Les exemples les plus clairs sont CREST au Royaume-Uni et FedRAMP aux États-Unis. Tous deux ont le même problème sous-jacent : ils exigent qu'un organisme humain accrédité garantisse l'évaluation, quelle que soit la manière dont les tests ont été effectués. La certification CREST est originaire du Royaume-Uni, mais est un programme d'accréditation international et une condition pour l'acquisition de pentesting dans de nombreuses industries réglementées au Royaume-Uni, et les outils de pentest IA ne la possèdent pas encore aujourd'hui. Aikido est en train de faire certifier son pentest IA par CREST, donc cela est susceptible de changer prochainement.
FedRAMP, qui s'applique aux fournisseurs de services cloud vendant aux agences fédérales américaines, exige que les évaluations soient menées par des organisations d'évaluation tierces accréditées (3PAO). Les RFC récents pour FedRAMP 20x, cependant, indiquent que le programme s'efforce de trouver des moyens de moderniser son approche pour la vérification des solutions SaaS afin de protéger les infrastructures critiques et les applications et services gouvernementaux.
Les tests de sécurité physique et l'ingénierie sociale sont totalement hors périmètre (les tests de phishing sont requis pour FedRAMP). Nous sommes encore loin d'avoir des pentesteurs IA qui se promènent en tournant les poignées de porte pour voir si elles sont verrouillées et en envoyant des e-mails de phishing (probablement pour le mieux).
Il est plus probable que nous voyions des cabinets accrédités tirer parti du pentest IA de manière ciblée comme outils, plutôt que comme des remplacements complets pour leur reconnaissance et leur pentesting. Aujourd'hui, les pentests IA peuvent être utilisés dans un modèle de partenariat où un cabinet accrédité examine et cosigne le travail et les artefacts de test. Cette approche mérite d'être explorée si vous opérez sur l'un ou l'autre de ces marchés.
Les auditeurs ne rejettent-ils pas les outils de pentest IA comme de simples scanners ?
L'objection la plus courante ne concerne même pas le pentest IA. Le problème, ce sont les scanners automatisés qui se font passer pour du pentest IA.
Pendant des années, des organisations moins scrupuleuses ont tenté de faire passer la sortie de scanners de vulnérabilités basiques pour un rapport de pentest. Des outils comme Nessus ou OpenVAS produisent de longues listes de problèmes signalés avec des niveaux de gravité qui semblent crédibles sur le papier, mais rien n'a été validé, exploité ou contextualisé. Ils confondent le concept d'une vulnérabilité possible avec un chemin d'attaque démontrable. Les auditeurs en ont vu suffisamment pour être sceptiques face à tout ce qui ressemble à un scan déguisé en pentest. Vous devez donc vous assurer que votre pentest IA est véritablement du pentest IA, plutôt qu'un scanner ou un DAST maquillé en IA.
Un véritable pentest IA exploite et confirme réellement les vulnérabilités sur une cible réelle avant de les présenter dans un rapport. Vous pouvez faire la différence dans le langage et les détails du rapport. Les découvertes validées sont accompagnées de preuves de preuve de concept et d'étapes de reproduction montrant comment l'exploit a été réellement exécuté, tandis que les découvertes de scanner non validées décrivent simplement un problème potentiel avec un niveau de gravité générique et n'incluent aucune preuve que quoi que ce soit ait été réellement tenté. Si un rapport revient avec des centaines de découvertes et qu'aucune d'entre elles ne montre de preuve d'exploitation, vous avez probablement affaire à un scanner, indépendamment de ce qui est écrit sur l'emballage.
Cela nous ramène à ce dont nous parlions à propos de la norme PCI DSS. La formulation de 2017, qui décrivait les tests d'intrusion comme « une activité essentiellement manuelle », avait été rédigée spécifiquement pour répondre au problème des organisations qui soumettaient les résultats de scanners comme s'il s'agissait de rapports de tests d'intrusion. Ces directives visaient à mettre un frein à cette pratique, sans anticiper un monde où des agents IA exploiteraient et valideraient activement les résultats de la même manière que le font les testeurs humains. Bien que les tests d'intrusion basés sur l'IA ne couvrent pas l'ensemble des exigences de la norme PCI DSS (comme les tests au niveau de la couche réseau et de la segmentation), les outils de test d'intrusion basés sur l'IA peuvent aider les organisations à réaliser des tests d'intrusion sur les applications plus efficacement, et il est possible que ces réglementations soient révisées à l'avenir pour tenir compte de cette nuance. Le secteur a tendance à évoluer plus rapidement que les cadres de conformité.
Conformité continue
Au-delà de la simple case à cocher de la conformité, le pentesting ponctuel ou instantané est un modèle défaillant pour tout ce qui déploie du code plus régulièrement qu'une fois par an.
Un pentest annuel vous indique à quoi ressemblait votre application le jour ou la semaine où le test a été exécuté. Mais votre équipe de développement a probablement poussé de nouvelles modifications dès le lendemain. Trois mois plus tard, le rapport de conformité est toujours valide sur le papier, mais votre surface d'attaque a considérablement changé. Les 85 % des CISO et des leaders de l'ingénierie interrogés dans notre enquête qui déclarent que les découvertes sont obsolètes au moins parfois n'ont pas tort concernant leur situation. Le décalage est palpable et à haut risque.
Le pentest continu transforme votre assertion ponctuelle en un enregistrement vivant. Au lieu de dire à un auditeur « nous avons effectué un pentest sur les actifs de production en mars », vous pouvez lui montrer un historique des tests de sécurité qui se trouve juste à côté de votre historique de déploiement. Et pas seulement en production, mais aussi dans les environnements inférieurs. Chaque modification impactant votre surface d'attaque a été testée, de sorte que les problèmes ont été détectés et corrigés avant qu'ils n'atteignent la production.
Les banques et les industries fortement réglementées sont actuellement contraintes de ralentir les cycles de publication, spécifiquement pour faire pentester les fonctionnalités avant leur déploiement. Le pentest IA continu change cela, car les tests s'exécutent en phase avec votre cadence de déploiement, vérifiant uniquement ce qui a changé, de sorte que les publications n'ont pas à attendre les revues de sécurité.
Découvrez à quoi ressemble un pentest IA de qualité audit
Les auditeurs vérifient qu'un test a eu lieu, qu'il a suivi une méthodologie de test définie, que les découvertes des tests ont été documentées avec des preuves, et que les problèmes critiques ont été traités. Un rapport de pentest IA satisfait toutes ces exigences. Les cadres qui définissent ce qui constitue un rapport de test et un artefact de conformité ne spécifient pas qui ou quoi a exécuté le test.
Si vous travaillez à la conformité SOC 2, ISO 27001, HITRUST, ou une certification similaire et que vous voulez voir à quoi ressemble le rapport avant de vous engager, vous pouvez demander un rapport d'exemple ou exécuter un scan de fonctionnalités sur votre application. La plupart des équipes constatent que le format du pentest IA ne surprend pas du tout leurs auditeurs.
Chez Aikido, nous avons constaté de très bons résultats avec nos clients utilisant le pentest IA pour la conformité. Bien que nous nous engagions à effectuer un pentest manuel si votre pentest IA est rejeté par un auditeur, jusqu'à présent, nous n'avons pas vu cela se produire. Contactez-nous dès aujourd'hui pour débloquer un pentesting rapide et conforme dès aujourd'hui.
FAQ
Le pentest IA est-il compatible avec la conformité SOC 2 ?
Oui, dans la plupart des cas. Le SOC 2 ne spécifie pas qui ou quoi effectue un pentest, seulement que le test a eu lieu, que les résultats ont été documentés avec des preuves et que les problèmes critiques ont été traités.
Les auditeurs accepteront-ils un rapport de pentest IA ?
La plupart l'accepteront, à condition que le rapport inclue des résultats validés avec des preuves de concept, une section méthodologique, des niveaux de gravité et des recommandations de remédiation. Le principal risque de rejet est de soumettre une sortie de scanner automatisé déguisée en pentest, et non un véritable pentest IA.
Quelle est la différence entre le pentest IA et l'analyse automatisée ?
Les scanners automatisés recherchent des correspondances avec des signatures de vulnérabilités connues et signalent des problèmes potentiels sans confirmer s'ils sont réellement exploitables. Un véritable pentest IA raisonne sur le fonctionnement de l'application, tente d'exploiter les résultats sur une cible réelle et ne révèle que les vulnérabilités réellement confirmées.
Le SOC 2 exige-t-il un pentester humain ?
Non. Le SOC 2 est basé sur les résultats, ce qui signifie qu'il définit ce que vos contrôles doivent démontrer en fonction de vos politiques de sécurité écrites, plutôt que la manière dont les tests doivent être effectués. Le cadre de référence correspond aux contrôles des Critères Communs comme CC4.1 et CC7.1, et un rapport de pentest IA bien documenté satisfait à ces exigences.
Le pentest IA peut-il remplacer le pentest manuel pour la conformité ?
Pour la plupart des programmes SOC 2, ISO 27001 et HIPAA, oui. Certains environnements réglementés, comme les industries britanniques exigeant la certification CREST ou les agences fédérales américaines exigeant l'autorisation FedRAMP, ont des exigences d'accréditation qui nécessitent actuellement qu'un humain cosigne le travail.
À quelle fréquence dois-je effectuer un pentest pour la conformité ?
La plupart des référentiels exigent au minimum des tests annuels, ainsi que des tests de vérification après toute modification importante apportée à votre application ou à votre infrastructure. Les tests d'intrusion basés sur l'IA peuvent couvrir ces exigences pour les normes SOC 2 et ISO 27001. La norme PCI DSS est un référentiel plus prescriptif, exigeant explicitement des tests internes et externes chaque année et après toute modification significative de l'environnement de données des titulaires de carte. pentest IA une grande partie de la couche applicative de cette exigence, mais doivent être réalisés par un testeur d'intrusion humain. Les tests de la couche réseau et de segmentation nécessitent une couverture distincte, généralement assurée par un testeur d'intrusion humain.
Quels cadres de référence exigent explicitement des tests d'intrusion ?
Le PCI DSS l'exige explicitement en vertu de la section 11.4, et FedRAMP l'exige dans le cadre de l'autorisation des fournisseurs de services cloud. Le SOC 2, l'ISO 27001 et HIPAA ne l'imposent pas directement, mais les auditeurs l'attendent systématiquement comme preuve que les contrôles de sécurité fonctionnent.
Que doit inclure un rapport de pentest pour la conformité ?
Au minimum : un résumé exécutif, une section méthodologie et périmètre, des résultats validés avec des preuves de faisabilité (proof-of-concept) et des étapes de reproduction, des niveaux de gravité et un plan de remédiation. Pour le SOC 2 spécifiquement, les résultats doivent correspondre aux Critères des Services de Confiance pertinents.
Le pentest IA est-il accepté pour l'ISO 27001 ?
Oui. L'ISO 27001 recommande le pentest dans le cadre de l'évaluation continue des risques, mais ne spécifie pas comment il doit être mené. Un rapport qui documente ce qui a été testé, comment et ce qui a été trouvé satisfait aux exigences de preuve du cadre de référence.
Quelles sont les limitations du pentest IA en matière de conformité ?
Les tests de sécurité physique et l'ingénierie sociale ne relèvent pas du champ d'application d'un test d'intrusion axé sur les applications, qu'il soit basé sur l'IA ou non. La norme PCI DSS exige au minimum qu'un testeur d'intrusion humain effectue des tests sur le réseau et la segmentation. Les secteurs soumis à des exigences d'accréditation spécifiques, telles que le CREST au Royaume-Uni ou les exigences 3PAO dans le cadre du programme FedRAMP, peuvent nécessiter des étapes supplémentaires avant qu'un test d'intrusion basé sur l'IA ne permette de satisfaire pleinement à leurs obligations de conformité.
