Je vais vous poser la question frontalement : est-ce que vous avez encore besoin de payer 15 000 à 50 000 euros un prestataire de pentest manuel, alors qu'une plateforme comme Pentera, Escape ou XBOW tourne en continu sur votre périmètre pour une fraction du prix ? La réponse honnête : ça dépend de ce que vous attendez du pentest. Et c'est là que ça devient intéressant.

Le marché du pentest automatisé a explosé

En 2026, les plateformes de pentest continu ont littéralement pris d'assaut le marché. Pentera teste les réseaux d'entreprise en simulant des attaques automatisées. Escape couvre les API et la logique métier. XBOW simule des adversaires avec de l'IA agentique. Hadrian tourne en continu sur vos surfaces exposées. La promesse est simple : ce qui se faisait une fois par an, avec un rapport livré deux semaines après, se fait maintenant en continu, dès qu'une modification de code est poussée en production.

D'expérience, ce n'est pas la même chose qu'un pentest humain mais c'est redoutablement efficace pour couvrir les vulnérabilités connues, les mauvaises configurations et les surfaces exposées. Les analystes estiment que d'ici 2027, 99% des évaluations de vulnérabilités seront conduites par des agents autonomes. Le pentest manuel deviendra un service de niche pour des problèmes très spécifiques. Ce n'est pas de la prospective : c'est déjà en cours.

Pendant ce temps, les attaquants s'équipent aussi

Le problème, c'est que les acteurs malveillants n'ont pas attendu. Selon le Global Threat Report 2026 de CrowdStrike, le temps moyen d'intrusion d'un groupe eCrime est passé à 29 minutes. Le cas le plus rapide observé : 27 secondes. En 2024, il fallait encore 285 minutes pour exfiltrer des données. En 2025, 72 minutes suffisaient. L'activité des adversaires assistés par IA a augmenté de 89% en un an.

Les attaquants utilisent l'IA pour cartographier les cibles en quelques minutes, identifier les vecteurs d'attaque, générer du phishing hyper-personnalisé et modifier dynamiquement leur code pour contourner les EDR. Le rapport de l'ANSSI sur les menaces liées à l'IA générative confirme la tendance : en 2025, l'IA a principalement été utilisée pour améliorer la vitesse et la qualité des attaques existantes pas encore pour en inventer de nouvelles, mais c'est une question de temps.

Ce que ça signifie concrètement : un scan automatisé de votre périmètre, aussi bon soit-il, ne pense pas comme un attaquant motivé avec un objectif précis. Il couvre les failles connues. Pas les failles logiques, les erreurs de design d'un processus métier, les combinaisons improbables que seul un humain créatif va chercher.

Ce qui meurt : le pentest boîte noire annuel

Soyons directs sur ce qui disparaît : le modèle traditionnel où une société de pentest débarque une semaine, scanne tout, livre un rapport de 200 pages avec des CVE classées par criticité, et revient dans 12 mois. Ce modèle est économiquement condamné. Les RSSI le savent. Les DSI qui négocient les budgets le savent aussi. Pourquoi payer 30 000€ un exercice annuel quand une plateforme à 2 000€/mois teste en continu, en temps réel, et alerte dès qu'une nouvelle surface est exposée ?

La réponse rationnelle pour une organisation mature : vous gardez la plateforme pour la couverture continue, et vous faites appel à un pentester humain pour les missions à haute valeur ajoutée. Red team ciblé sur un scénario réel. Test d'un nouveau système critique avant mise en production. Simulation d'un attaquant avec les TTP d'un groupe APT spécifique à votre secteur. Ce sont des missions que l'automatisation ne remplace pas mais elles représentent peut-être 10% du volume total du marché du pentest actuel.

Ce qui reste : le pentester qui pense comme un adversaire

Le pentester humain qui survivra à cette transformation, c'est celui qui pense comme un attaquant avec un objectif métier réel : accéder aux données RH, atteindre le système de paye, provoquer un arrêt de chaîne de production, exfiltrer la propriété intellectuelle. Pas celui qui cherche des CVE, les outils font ça mieux et plus vite que lui.

En pratique, ce sont des profils qui combinent plusieurs capacités que l'IA ne réplique pas facilement : la compréhension du contexte métier de l'entreprise cible, la créativité dans le chaining d'exploits, la capacité à identifier ce qu'un attaquant réel chercherait précisément dans cette organisation. Un profil qui travaille sur la logique applicative d'un ERP industriel n'est pas remplaçable par Pentera. Un profil qui scanne des IP et documente des CVSS, si.

Le modèle émergent : l'opération de pentest augmentée par l'IA

Ce que je vois se développer chez les prestataires les plus avancés, c'est un modèle hybride : une équipe réduite de pentesters seniors, augmentés par des outils d'IA et des plateformes automatisées, capables de couvrir un périmètre beaucoup plus large avec moins de ressources humaines. Une seule personne avec les bons outils fait aujourd'hui le travail de 3 profils intermédiaires d'il y a 5 ans.

C'est une réduction de coûts structurelle pour les prestataires. Et une pression réelle sur les juniors et les profils généralistes. Ce modèle favorise les pentesters seniors avec une vraie expertise verticale : OT industriel, Cloud souverain, applicatif bancaire, chaîne logistique et défavorise ceux qui ne se sont pas spécialisés. Je crois personnellement que dans 3 ans, le marché du pentest ressemblera à celui du droit : des cabinets généralistes qui disparaissent au profit de boutiques expertes sur des verticales précises.

Ce que ça change pour vous en tant que RSSI

Deux questions à vous poser dans les 12 prochains mois si vous n'avez pas encore revu votre stratégie de test :

1. Votre contrat de pentest annuel est-il encore justifié ?

Comparez honnêtement la valeur apportée par rapport à ce qu'une plateforme continue couvrirait. Dans la plupart des cas, la réponse est non, sauf pour des missions très ciblées. Un RSSI qui continue à dépenser 40 000€ par an en pentest annuel sans avoir de couverture continue a clairement un angle mort dans sa stratégie.

2. Votre prestataire de pentest utilise-t-il l'IA ?

Posez la question directement lors de votre prochain appel d'offres. Est-ce qu'il utilise des outils d'IA et des plateformes automatisées pour augmenter sa productivité ou continue-t-il à travailler comme en 2018 ? La réponse vous dira si vous payez pour l'expertise humaine réelle, ou pour des heures de scan que vous pourriez faire vous-même pour moins cher.

Le métier de pentester n'est pas mort. Mais le pentester qui se contente de faire ce qu'une machine fait mieux que lui, oui. Et selon moi, le vrai risque pour les organisations en 2026, c'est de confondre les deux et de croire que parce qu'elles ont un contrat de pentest, elles sont testées comme un adversaire réel les testerait.

Vous avez un projet de red team, d'évaluation de votre couverture de test ou de réflexion sur votre stratégie de pentest ? Prenez rendez-vous, échangeons sur ce qui a réellement du sens pour votre contexte et votre niveau de maturité.

Vous voyez un post LinkedIn sur le sujet , n’hésitez pas et partagez cet article en commentaire !

Partager