Le marché mondial du pentest a dépassé 1,98 milliard de dollars en 2025 et devrait atteindre 4,39 milliards d'ici 2031, selon MarketsAndMarkets. Dans le même temps, le volume de tests automatisés a été multiplié par 2,5 en un an. Résultat paradoxal : les tests manuels détectent encore près de 2 000 % de vulnérabilités en plus que les scanners automatiques seuls.
Ce chiffre résume à lui seul l'état réel du pentest assisté par IA en 2025. L'automatisation accélère massivement certaines phases - et rate complètement les autres. Savoir lesquelles, c'est la différence entre un audit utile et un rapport de 200 pages qui ne trouve rien d'exploitable.
Ce que l'IA automatise vraiment : la phase de reconnaissance
La phase de reconnaissance - cartographier la surface d'attaque d'un système - représente traditionnellement entre 30 et 40 % du temps total d'un pentest. C'est là que l'IA apporte le plus de valeur, sans discussion.
Un agent IA peut en quelques heures parcourir des milliers de sous-domaines, croiser des données de fuites sur le dark web, analyser les dépôts GitHub publics de l'entreprise cible, et identifier les technologies exposées via Shodan ou Censys. Ce travail prendrait plusieurs jours à une équipe humaine. Les outils spécialisés comme PentestGPT ou PentAGI permettent aujourd'hui de piloter cette phase via une interface en langage naturel, avec des agents capables d'enchaîner reconnaissance, scan de ports et corrélation automatique des résultats.
La génération de rapports est l'autre gain majeur. Un agent IA peut produire en quelques minutes un rapport structuré - vulnérabilités classées par criticité, impact métier estimé, recommandations - là où un pentest manuel mobilise un expert pendant une journée entière pour la rédaction seule.
Pour les équipes qui font du pentest régulier sur des applications web, l'automatisation IA de la reconnaissance et du reporting peut réduire le cycle total de 40 à 60 %. Ce n'est pas rien.
Le mur que l'IA ne franchit pas : la logique métier
Les 2 000 % d'écart entre tests manuels et automatiques ne viennent pas de la reconnaissance. Ils viennent de ce qui se passe après : l'exploitation réelle des vulnérabilités complexes.
Un scanner automatique - avec ou sans IA - détecte bien une injection SQL classique dans un formulaire de connexion. Il ne détecte pas qu'en combinant un paramètre faiblement filtré dans l'interface de facturation avec un comportement non documenté de l'API REST, on peut accéder à des données clients de n'importe quelle organisation. Ce type de chaîne d'exploitation implique de comprendre la logique de l'application, ses flux de données internes, ses règles métier. L'IA ne dispose pas de ce contexte.
C'est exactement ce que souligne le framework OWASP Gen AI Security Project dans sa liste des risques pour les applications agentiques : les vulnérabilités les plus critiques restent celles qui exigent un raisonnement sur l'intention et le contexte, pas sur des patterns syntaxiques.
Même constat pour les tests d'authentification complexes, les escalades de privilèges dans des environnements multi-tenant, ou les vulnérabilités liées à des flux OAuth mal configurés. L'IA peut signaler des anomalies dans les tokens JWT, mais interpréter si cette anomalie est exploitable dans votre contexte spécifique - avec vos rôles, vos règles d'accès, votre architecture - c'est encore un travail d'expert humain.
Comment construire un workflow d'audit IA concret
La réalité d'un pentest IA bien conçu en 2025, c'est un workflow hybride : l'IA gère la surface, l'humain gère la profondeur. Concrètement, ça ressemble à ça :
Phase 1 - Cartographie automatisée. Un agent IA (via n8n ou un workflow sur mesure) orchestre les outils de reconnaissance : scan de sous-domaines, analyse des en-têtes HTTP, détection des frameworks et versions exposés, croisement avec des bases de CVE publiques. L'output est un rapport structuré de la surface d'attaque, classé par risque apparent. Ce qui prenait 2-3 jours peut se faire en 4-6 heures.
Phase 2 - Scan de vulnérabilités assisté. L'agent IA lance des tests automatisés sur les vecteurs identifiés (injections, mauvaises configurations CORS, failles OWASP Top 10 les plus courantes) et trie les résultats : faux positifs écartés, vrais positifs enrichis avec leur contexte et leur score CVSS. Un agent IA d'analyse documentaire peut même croiser les résultats avec la documentation technique de l'application pour contextualiser les vulnérabilités détectées.
Phase 3 - Exploitation et validation manuelles. Le pentesteur humain reprend la main sur les vulnérabilités à fort impact. Il valide les exploits, construit les chaînes d'attaque complexes, teste la logique métier. C'est là que se concentre l'expertise rare et coûteuse - et c'est normal.
Phase 4 - Rapport automatisé. L'agent IA agrège les résultats des phases 1 à 3, génère le rapport final avec les éléments de preuve (screenshots, payloads, réponses HTTP) et les recommandations de remédiation. Le pentesteur valide et ajuste, mais ne repart plus d'une page blanche.
Pour les entreprises qui veulent construire un tel workflow sur mesure plutôt que de payer des licences mensuelles pour des outils spécialisés, un agent IA développé sur mesure peut s'intégrer directement dans le pipeline CI/CD existant et lancer des scans à chaque déploiement.
OWASP comme ossature : les 10 vecteurs à couvrir en priorité
Pour structurer un pentest automatisé, l'OWASP Top 10 reste le référentiel le plus utile. Les 10 catégories couvrent les vecteurs que l'IA sait tester de manière fiable, et ceux qui nécessitent une expertise humaine.
L'IA gère bien : injections (SQL, NoSQL, LDAP), mauvaises configurations de sécurité, composants vulnérables avec des CVE connues, expositions de données sensibles dans les réponses HTTP, failles SSRF basiques. Ce sont des patterns syntaxiques identifiables par des règles.
L'IA gère mal : contrôle d'accès défaillant en contexte métier, failles d'identification et d'authentification dans des flux complexes, problèmes de conception de sécurité (insuffisamment spécifique pour être détecté par des patterns). Ces catégories exigent de comprendre comment l'application est censée fonctionner, pas juste comment elle répond à des inputs malformés.
Le cadre NIST SP 800-115, qui définit les méthodologies de test de pénétration pour les organisations américaines, structure le pentest en quatre phases (planification, découverte, attaque, rapport) : l'IA peut automatiser massivement les deux premières, assister sur les deux dernières.
La question RGPD : où héberger vos outils de pentest IA
Un point souvent négligé : les outils de pentest IA traitent des données potentiellement sensibles. Les rapports d'audit contiennent des informations sur les vulnérabilités de vos systèmes, des captures de données exposées, parfois des données personnelles identifiées lors des tests.
Si vous utilisez un SaaS de pentest automatisé hébergé aux États-Unis, ces données transitent hors de l'UE. Selon le RGPD, cela nécessite des garanties contractuelles spécifiques (clauses types, BCR) et reste un risque juridique si des données personnelles de vos clients sont incluses dans les captures de test.
La solution que choisissent de plus en plus d'entreprises européennes : héberger leurs outils d'audit IA sur des infrastructures françaises ou européennes. Comme pour un assistant IA hébergé en France, le principe est le même - les données restent sous juridiction RGPD, les rapports d'audit ne quittent pas l'UE. C'est une architecture qui se conçoit dès le départ, pas une afterthought.
Ce que ça change pour les PME
Le marché du pentest a longtemps été réservé aux grandes entreprises : un audit complet coûte entre 5 000 et 50 000 euros selon la complexité, et dure de quelques jours à plusieurs semaines. Pour une PME avec 20 salariés, c'est hors budget et hors radar.
L'automatisation IA change la donne pour les audits de surface. Un scan automatisé de la surface d'attaque - sous-domaines, headers, technologies exposées, CVE connues - peut se faire pour quelques centaines d'euros et en quelques heures. Ce n'est pas un remplacement d'un pentest complet, mais c'est un premier niveau de visibilité que les PME n'avaient pas avant.
Selon Grand View Research, les PME représentent le segment à la croissance la plus rapide du marché du pentest (CAGR 15,4%), précisément parce que l'automatisation rend ces services économiquement accessibles pour la première fois.
La limite reste la même : pour les PME qui traitent des données sensibles (santé, juridique, financier), un audit de surface automatisé ne dispense pas d'un pentest approfondi sur les flux critiques. Il permet de prioriser où concentrer le budget humain.
Construire vs acheter : le calcul réel
Les outils de pentest IA spécialisés proposent des abonnements entre 500 et 5 000 euros par mois selon la surface couverte. Pour des audits ponctuels, le modèle à la demande est souvent plus économique.
Pour des équipes qui font du pentest en continu - intégré dans leur pipeline DevSecOps - construire un workflow d'audit IA sur mesure avec des agents n8n ou un framework custom peut devenir rentable au bout de 6 à 12 mois. La difficulté n'est pas technique, elle est dans l'intégration avec les processus existants : ticketing, alerting, cycle de remédiation. C'est là que une approche d'automatisation sur mesure fait la différence par rapport à un outil générique.
FAQ
Le pentest IA automatisé peut-il remplacer un audit manuel complet ?
Non. Les tests automatisés ont progressé de 2,5x en volume, mais les tests manuels détectent encore environ 20 fois plus de vulnérabilités. L'automatisation est un outil de couverture et de vitesse, pas de profondeur. Elle convient aux audits de surface réguliers, pas aux tests de pénétration sur des systèmes critiques.
Combien de temps faut-il pour mettre en place un workflow d'audit IA ?
Un pipeline de reconnaissance automatisée basique (scan de surface, corrélation CVE, rapport) se construit en 2 à 4 semaines avec les bons outils. L'intégration dans un pipeline CI/CD avec alerting et gestion des faux positifs demande plutôt 2 à 3 mois de travail.
Quels sont les risques juridiques d'un pentest IA sur des systèmes tiers ?
Les mêmes que pour un pentest manuel : sans autorisation écrite explicite du propriétaire du système, tout test de pénétration - automatisé ou non - est illégal en France sous l'article 323-1 du Code pénal. L'IA ne change pas le cadre juridique, elle accélère seulement l'exécution. Toujours obtenir un mandat écrit avant de lancer quoi que ce soit.
L'IA peut-elle tester la sécurité d'un agent IA (LLM) ?
Oui, c'est un domaine en croissance rapide. L'OWASP maintient un guide spécifique pour les tests de sécurité des applications LLM, couvrant l'injection de prompts, l'exfiltration de données via des prompts malveillants, et le détournement d'agents. C'est un pentest IA sur de l'IA - avec ses propres vecteurs d'attaque spécifiques.
