En pentest, on pense souvent aux classiques : tests externes, internes, applicatifs, mobiles, etc. Mais on oublie trop souvent un maillon pourtant critique de la chaîne de sécurité : le physique. Une entreprise peut déployer les meilleures solutions logicielles du marché comme les antivirus, pare-feux, SIEM et audits de code, mais si un attaquant peut entrer dans les locaux, brancher un appareil sur le réseau ou accéder à une salle serveur, tous ces efforts deviennent inutiles.
Qu'est-ce que le pentest physique ?
Le pentest physique (ou test d’intrusion physique) vise justement à évaluer ce type de failles. Celles qui permettent de contourner les protections numériques en accédant directement aux infrastructures, aux équipements critiques ou au réseau interne par des moyens concrets et tangibles.
L’objectif est clair : se mettre dans la peau d’un intrus et démontrer, sur le terrain, ce qu’il est réellement possible de faire une fois à l’intérieur. Trop souvent négligé, ce type de test s’inscrit pourtant au cœur d’une stratégie de défense en profondeur.
Quelles sont les étapes d'un pentest physique ?
Définition du périmètre physique
Avant toute opération, il est crucial de définir avec précision le cadre de la mission. Le pentest physique débute toujours par une phase de cadrage rigoureuse, qui permet de fixer les règles du jeu, les limites à respecter, et les objectifs à atteindre. Cela inclut notamment :
- Les zones concernées : bâtiments, étages, locaux techniques, salles serveurs, entrepôts, etc.
- Les horaires autorisés : jours ouvrés, horaires de bureau, nuit, week-end…
- Les scénarios à tester : accès non autorisé, branchement d’un implant réseau, exfiltration de données physiques ou numériques, installation d’un dispositif de surveillance, etc.
- Les objectifs ou « flags » à atteindre : par exemple,accéder à un bureau spécifique, introduire un équipement dans le réseau interne, ou collecter un document sensible.
Ce cadrage permet également d’établir la liste des actions strictement interdites, afin de garantir la sécurité des personnes et des biens. Sont généralement exclus :
- Toute forme de violence ou menace envers les salariés ou les agents de sécurité
- Toute dégradation de matériel, d’infrastructure ou d’équipement
- L’effraction destructrice (bris de serrure, découpe de porte, etc.)
- Dans certains cas, même le crochetage de serrures ou l’ouverture de portes non verrouillées peut être limité, selon la politique du client
Ce cadre contractuel sert de référence tout au long de la mission et permet de s’assurer que l’exercice, bien que réaliste, reste éthique, contrôlé et proportionné.
Scénarios d’attaque à simuler
Les scénarios doivent rester réalistes et s’aligner avec le modèle de menace propre à votre entreprise. Cela peut aller d’une intrusion classique via une entrée non surveillée, à l’utilisation d’un prétexte pour obtenir un badge temporaire, ou encore une opération complète visant à s’installer sur le réseau interne via un accès physique.
Encadrement légal cyber
- La signature d’un contrat explicite, incluant une clause de non-poursuite couvrant les actions définies dans le périmètre du test
- La désignation d’un référent interne, disponible 24h/24 et 7j/7, que nous pourrons contacter immédiatement en cas d’interpellation ou de situation imprévue
- La mise en place d’un protocole d’arrêt d’urgence, activable à tout moment si une action devient risquée ou si une alerte est déclenchée.
Phases de Reconnaissance
Reconnaissance physique
La phase de reconnaissance débute généralement par des observations discrètes. Cela peut inclure :
- Heures de passage des employés
- Portes utilisées (principales, secours, livraison)
- Présence de sécurité, caméras, capteurs
- Habitudes : pauses café, fumeurs, horaires creux
L’objectif de cette approche est de repérer les points faibles, les routines, et les opportunités d’infiltration.
OSINT
En parallèle, la recherche d’informations en ligne (OSINT) peut s’avérer redoutablement efficace. Photos de bureaux publiées sur LinkedIn, badges visibles lors d’événements, plans d’implantation trouvés via Google Images ou GitHub, ou encore documents RH listant des prestataires : chaque donnée peut aider à construire un scénario crédible.
Détection des contre-mesures
Cette phase inclut également l’analyse des dispositifs de traçabilité en place :
- Contrôle d’accès par badge ou biométrie
- Locaux techniques (baies réseaux, armoires électriques, salles serveurs isolées)
- Sites industriels ou logistiques : hangars, usines, entrepôts peu surveillés
- Installations critiques externalisées : hébergeurs, datacenters, locaux de prestataires
- Toitures et sous-sols techniques : parfois accessibles sans surveillance
- Logs d’accès (badgeuse, caméras)
- Gardiens ou accueil
- PC de vidéosurveillance, systèmes d’alarme
Ces éléments influencent fortement les méthodologies et techniques à employer pour rester discret ou au contraire, pour tester les réactions face à une anomalie.
Ce cadre vous garantit une prestation maîtrisée, conforme à la réglementation, et parfaitement alignée avec vos exigences internes de sécurité.
Vecteurs d’Intrusion
Social Engineering ciblé
L’ingénierie sociale reste une des armes principales dans le pentest physique. Un bon prétexte, une tenue crédible et un bon timing peuvent suffire à obtenir un accès. Les humains sont souvent le point faible :
- Tailgating : se faufiler derrière un employé
- Pretexting : se faire passer pour un technicien, livreur, prestataire
- Costuming : port de badge générique, gilet haute visibilité, casque
Techniques de bypass
Lorsque la persuasion ne suffit pas, les techniques d’intrusion physique prennent le relais :
- Lockpicking : crochetage de serrures standards ou armoires réseaux
- RFID cloning : avec Proxmark3 ou Flipper Zero
- Dumpster diving : récupération de badges jetés, mots de passe notés
- Contournement physique : accès via un faux plafond, gaines, fenêtres ouvertes
- Clés pass-universelles : souvent partagées entre prestataires (ex : bâtiment public)
Exploitation Interne
Accès réseau
Une fois à l’intérieur, le pentesteur cherche rapidement à capitaliser sur l’accès physique. Repérer une prise RJ45 active dans un couloir ou une salle de réunion peut suffire pour se connecter au réseau. Si les VLAN ne sont pas bien segmentés, ou si aucune mesure de contrôle d’accès réseau (NAC) n’est en place, il est souvent possible d’obtenir une IP, puis d’initier des scans ou des attaques sur le SI.
Accès matériel
Il n’est pas rare en entreprise de trouver des postes de travail déverrouillés, des mots de passe écrits sur des post-its, ou des armoires réseau non verrouillées. Dans certains cas, un simple accès physique à une salle technique permet de brancher un implant (comme un Raspberry Pi configuré pour reverse shell), de voler des données sensibles via USB, ou même d’extraire un disque dur entier en quelques minutes.
Sécurité des Infrastructures : l’autre front oublié
Sites sensibles mais négligés
Les infrastructures suivantes peuvent représenter des cibles de choix pour un attaquant :
- Locaux techniques (baies réseaux, armoires électriques, salles serveurs isolées)
- Sites industriels ou logistiques : hangars, usines, entrepôts peu surveillés
- Installations critiques externalisées : hébergeurs, datacenters, locaux de prestataires
- Toitures et sous-sols techniques : parfois accessibles sans surveillance
Ces lieux sont souvent physiquement séparés du siège social et bénéficient d’un niveau de sécurité inférieur : badge standard sans traçabilité, absence de vidéosurveillance, portes non renforcées, ou encore accès indirect via des prestataires.
Techniques spécifiques à ces environnements
Le pentesteur peut tirer parti de la configuration de ces sites pour y accéder plus discrètement. Quelques exemples :
- Accès par les toits ou les gaines techniques, souvent non protégés, mais connectés à des points névralgiques (câblage réseau, ventilation connectée au SI, etc.)
- Exploitation des fournisseurs ou techniciens réguliers (nettoyage, maintenance) pour obtenir un accès ou une information
- Connexion directe à des équipements isolés : switch de secours dans une salle oubliée, bornes de recharge réseau, armoires relais
Impacts possibles d’une compromission
Une fois un accès obtenu sur vos infrastructures, les scénarios d’exploitation sont multiples :
- Coupure de services par sabotage ou reconfiguration matérielle
- Injection sur le réseau interne via des équipements oubliés
- Espionnage passif (ex : sniffer le trafic d’un routeur exposé)
- Installation d’équipements malveillants sans détection (ex : switch interceptant le trafic)
Dans certains cas, un accès sur une armoire relais peut suffire pour compromettre l’intégralité d’un bâtiment.
Collecte de Preuves
Chaque action menée par les pentesters durant le test doit être documentée rigoureusement. Cela inclut des photographies, vidéos, captures réseau, enregistrements d’horaires et même des journaux d’activité. L’objectif est de vous fournir une preuve incontestable de ce qui a été fait, comment, et pourquoi. Une photo d’un badge cloné, d’un poste déverrouillé, ou d’un rack réseau ouvert constitue une démonstration bien plus percutante qu’un simple rapport écrit.
Rédaction du Rapport Technique
Chronologie détaillée de l’attaque
Le rapport doit relater de façon précise la chronologie du test : point d’entrée, méthode d’intrusion, obstacles rencontrés, escalade de privilèges physiques ou logiques, et niveau d’accès atteint. Cette narration vous permet de comprendre comment la faille s’est construite étape par étape.
Vulnérabilités et recommandations
Chaque vulnérabilité doit être identifiée, classée par niveau de criticité, et illustrée par une preuve concrète. Il peut s’agir d’un manque de vigilance des équipes, d’un badge mal géré, de la non sensibilisation des employés, d’un rack non verrouillé ou d’un réseau informatique interne mal segmenté. Le rapport doit également contenir des recommandations précises et applicables : formation du personnel, renforcement des accès, installation de contrôle réseau, ou cloisonnement logique.
Sécurité physique, maillon essentiel de la cybersécurité
Cette approche physique est souvent le chaînon manquant dans la stratégie de sécurité des entreprises. Il démontre que le plus grand firewall du monde ne protège pas une prise RJ45 dans un couloir, ni un badge jeté à la poubelle. Il doit être considéré comme un audit à part entière, avec ses propres contraintes, mais aussi son impact redoutablement concret.
Pour en savoir plus
Pourquoi solliciter une prestation de Pentesting physique ?
Solliciter une prestation de pentesting physique permet d’évaluer concrètement le niveau de sécurité réel de votre organisation face à une intrusion sur site. Là où les outils de cybersécurité traditionnels n’ont aucune visibilité, ce type de test met en lumière des vulnérabilités humaines, structurelles ou organisationnelles souvent sous-estimées. C’est une démarche proactive, qui permet d’anticiper des scénarios d’attaque crédibles et d’obtenir des recommandations concrètes pour renforcer la protection des accès, des locaux sensibles et des équipements critiques.
Quels sont les différents types de pentest ?
Si le pentest physique est essentiel pour tester la résistance de votre organisation face aux intrusions concrètes, il ne représente qu’un aspect de la sécurité globale. Il existe d’autres types de tests d’intrusion tout aussi indispensables pour évaluer la robustesse des systèmes d’information, comme le pentest applicatif (web, mobile), le pentest réseau (interne et externe), ou encore le test des API. Chacun de ces tests cible des surfaces d’attaque différentes et complémentaires, permettant d’obtenir une vision complète des vulnérabilités potentielles.
