Scan de vulnérabilités ou test d’intrusion : quelle différence ?

On parle souvent indistinctement de « test de sécurité ». Pourtant, un scan de vulnérabilités et un test d’intrusion répondent à deux questions différentes, et ne se substituent pas l’un à l’autre.

Le scan de vulnérabilités

C’est un examen largement automatisé, qui recense les faiblesses connues d’un système — versions obsolètes, configurations faibles, correctifs manquants. Il est rapide, large et reproductible, ce qui permet de le mener régulièrement. Son revers : il signale des vulnérabilités potentielles sans établir ce qu’un attaquant pourrait réellement en faire, et produit parfois des faux positifs.

Le test d’intrusion

C’est une démarche ciblée, qui combine des outils et l’expertise humaine pour exploiter les faiblesses et démontrer un impact concret. Il s’inscrit dans un cadre formalisé — périmètre, règles d’engagement, autorisations — et va plus en profondeur, au prix d’un effort plus important et d’une fréquence moindre.

Lequel choisir

Les deux sont complémentaires. Le scan offre une surveillance continue et peu coûteuse de la surface exposée ; le test d’intrusion valide périodiquement la résistance réelle face à un attaquant. Le premier mesure l’étendue, le second la profondeur.

Le bon choix dépend de l’objectif : maintenir une hygiène continue, ou éprouver une défense avant une échéance.