1. Pourquoi le rapport de pentest prend autant de temps
Le rapport est souvent la partie la plus chronophage d'un test d'intrusion. Pour un engagement de 3 jours, un pentester expérimenté passe en moyenne :
Pourquoi autant ? Plusieurs raisons structurelles :
- Les notes prises pendant le pentest sont fragmentées — commandes éparpillées dans des terminaux, screenshots non nommés, findings notés à la va-vite
- Chaque finding doit être reformulé pour un public non-technique (executive) et technique (équipe sécurité)
- Le scoring CVSS demande de renseigner 8 métriques par vulnérabilité
- La mise en forme — tableaux, captures d'écran annotées, code formaté — prend un temps considérable
- Les preuves (proof of concept) doivent être vérifiées, anonymisées et intégrées
2. Structure complète d'un rapport de pentest professionnel
Un rapport de pentest professionnel suit une structure standardisée. Voici les sections obligatoires et optionnelles :
1. Page de couverture
Nom du client, nom du projet, date, version du document, classificaiton (CONFIDENTIEL), contacts du prestataire et du client.
2. Table des matières
Navigation dans le document. Indispensable pour les rapports de plus de 10 pages.
3. Executive Summary (Résumé Exécutif)
2 à 4 pages. Destiné aux décideurs non-techniques : risque global, nombre de critiques, impact business, recommandations prioritaires. Zéro jargon technique.
4. Périmètre et méthodologie
IPs et domaines testés, dates de l'engagement, type de test (black/grey/white box), frameworks utilisés (OWASP, PTES, MITRE ATT&CK), outils employés.
5. Résumé des vulnérabilités
Tableau de synthèse : nombre de findings par sévérité (critique, élevée, moyenne, faible, informationnelle). Graphique camembert ou bar chart.
6. Findings détaillés
Une fiche par vulnérabilité : titre, sévérité, CVSS, description, preuve d'exploitation (PoC), impact, recommandation de remédiation. C'est la section la plus longue.
7. Plan de remédiation priorisé
Classement des vulnérabilités par priorité de correction : critique d'abord, quick wins vs refonte architecturale.
8. Annexes
Logs bruts, commandes complètes utilisées, captures d'écran supplémentaires, références CVE et OWASP, glossaire.
3. Rédiger l'Executive Summary
L'Executive Summary est la section la plus lue — et souvent la plus mal rédigée. Il est destiné au RSSI, au DSI ou au PDG, pas à l'équipe technique.
Ce qu'il doit contenir
- Le niveau de risque global — une appréciation synthétique (critique / élevé / moyen / acceptable)
- Les 3 à 5 points les plus critiques — en langage business, pas technique
- L'impact business potentiel — fuite de données clients, interruption de service, atteinte à la réputation
- Les recommandations prioritaires — ce qui doit être corrigé en urgence
- La posture générale de sécurité — comparaison avec les bonnes pratiques du secteur
Ce qu'il ne doit pas contenir
- Les commandes utilisées
- Les détails techniques des exploits
- Les CVE et scores CVSS bruts
- Les adresses IP et noms de systèmes
4. Documenter les findings avec CVSS
Chaque vulnérabilité trouvée doit être documentée avec le même niveau de détail. Voici le standard professionnel :
Fiche finding type
- Titre — Concis et descriptif : "Injection SQL sur le formulaire de connexion /login"
- Sévérité — Critique / Élevée / Moyenne / Faible / Informationnelle
- Score CVSS v3.1 — Score chiffré (0 à 10) avec vecteur complet
- CVE — Si applicable (pour les vulnérabilités connues)
- Description — Ce que c'est, comment ça fonctionne, pourquoi c'est dangereux
- Preuve d'exploitation (PoC) — Étapes de reproduction + capture d'écran
- Impact — Ce qu'un attaquant peut faire concrètement
- Recommandation — Comment corriger, avec références (OWASP, CWE, documentation éditeur)
Scoring CVSS — Grille de sévérité
| Sévérité | Score CVSS | Délai de remédiation recommandé | Exemple |
|---|---|---|---|
| Critique | 9.0 – 10.0 | 24 à 72h | RCE non authentifié, SQLi avec accès DBA |
| Élevé | 7.0 – 8.9 | 1 à 2 semaines | LFI avec lecture /etc/passwd, SSRF interne |
| Moyen | 4.0 – 6.9 | 1 mois | XSS stocké, IDOR, clickjacking |
| Faible | 0.1 – 3.9 | 3 mois | En-têtes sécurité manquants, version exposée |
| Informationnelle | 0.0 | Prochaine itération | Politique de mots de passe perfectible, banner grabbing |
5. Modèles selon la certification
Les certifications pentesting imposent chacune leur format de rapport. Voici les 4 templates principaux :
Spécificités OSCP
- Rapport en anglais obligatoire
- Chaque machine doit avoir : étapes d'exploitation, proof screenshot avec
whoami+hostname+ contenu du flag - La chaîne AD doit être documentée pas à pas
- Délai de soumission : 24h après la fin de l'examen
- Format accepté : PDF uniquement
Spécificités PNPT
- L'Executive Summary doit être compréhensible par un public non-technique
- Section Active Directory Compromise Summary obligatoire si AD testé
- Chaque finding doit avoir une recommandation de remédiation actionnable
- Un rapport de quality professionnelle est attendu — c'est évalué
6. Les erreurs fréquentes dans un rapport de pentest
Voici les erreurs les plus courantes observées dans les rapports de pentest — y compris ceux des professionnels expérimentés :
Erreurs de structure
- Executive Summary trop technique — Parler de "buffer overflow" dans la section destinée au PDG
- Pas de priorisation des remédations — Lister 20 findings sans dire par où commencer
- Findings sans impact business — "XSS stocké trouvé" sans expliquer ce qu'un attaquant peut faire concrètement
Erreurs de documentation
- Screenshots illisibles — Captures trop petites, pas annotées, sans contexte
- PoC non reproductible — Étapes d'exploitation incomplètes, commandes manquantes
- IPs et noms de machines inventés — Incohérence entre les findings et les annexes
- Pas de preuve de l'impact — Dire qu'on a obtenu root sans montrer le
idou le flag
Erreurs de forme
- Rapport non daté ou sans version — Impossible de savoir quelle version est la finale
- Données client exposées — Oublier d'anonymiser les données sensibles dans les screenshots
- Fautes d'orthographe — Un rapport professionnel doit être relu et corrigé
7. Réduire le temps de rédaction de 80%
La clé pour réduire drastiquement le temps de rédaction : documenter pendant le pentest, pas après. Voici comment :
Principe : documentation en temps réel
Au lieu de hacker, puis de documenter, la méthode la plus efficace est de documenter pendant l'exploitation :
- Chaque commande exécutée → notée immédiatement avec son output
- Chaque accès obtenu → screenshot pris sur le moment avec contexte
- Chaque vulnérabilité identifiée → sévérité et CVSS assignés en direct
- Chaque machine compromise → fiche complète remplie avant de passer à la suivante
Workflow recommandé
- Créer un espace de documentation avant de commencer (template du rapport vide)
- Remplir la section périmètre et méthodologie avant de lancer les outils
- Pour chaque finding : remplir la fiche au moment de la découverte
- Prendre les screenshots avec annotation immédiate (outil, target, résultat)
- En fin d'engagement : l'Executive Summary se rédige en 30 minutes car tout le reste est déjà écrit
Le workflow IA de Pentest Mindmap — du premier outil au rapport final
Pentest Mindmap est conçu pour assister le pentester à chaque phase, pas seulement à la rédaction finale :
- Phase 1 — Guidage : 11 600+ commandes organisées par phase. L'IA suggère quoi exécuter selon votre étape courante (recon, exploitation, post-exploitation…).
- Phase 2 — Documentation temps réel : Chaque commande, son output et les screenshots sont capturés immédiatement avec leur contexte.
- Phase 3 — Scoring IA : L'IA complète automatiquement le CVSS, la sévérité et la description pour chaque vulnérabilité trouvée.
- Phase 4 — Rapport automatique : Quand le pentest est terminé, le rapport l'est aussi. Export PDF avec le template choisi (OSCP, PNPT, CPTS, Standard).
Autres outils de documentation
- SysReptor — Plateforme open source de rédaction collaborative de rapports pentest
- Dradis — Outil de collaboration pour équipes pentest (payant)
- Ghostwriter — Gestion des engagements et rapports pour agences (open source)
- Obsidian / Notion — Prise de notes structurée mais sans génération de rapport
Pentest Mindmap documente vos findings en temps réel et génère le rapport PDF professionnel automatiquement — OSCP, PNPT, CPTS ou Standard. Le rapport est prêt quand vous avez fini de hacker.
8. Questions fréquentes
Combien de temps faut-il pour rédiger un rapport de pentest ?
Cela dépend de la complexité de l'engagement. En moyenne :
- Pentest applicatif (web/API) simple : 4 à 8 heures de rédaction
- Pentest réseau interne : 8 à 15 heures
- Pentest complet avec Active Directory : 15 à 25 heures
- Rapport OSCP (examen) : 4 à 6 heures (délai imposé de 24h)
Avec une documentation en temps réel, ces durées peuvent être réduites de 60 à 80%.
Quel outil utiliser pour rédiger un rapport de pentest ?
Le choix dépend de votre contexte. Pour un pentester solo ou étudiant : Pentest Mindmap (documentation temps réel + IA). Pour une équipe : Dradis ou SysReptor. Pour une agence gérant plusieurs clients : Ghostwriter. Microsoft Word reste le standard pour les rapports OSCP.
Le rapport OSCP doit-il être en anglais ?
Oui. OffSec exige que le rapport OSCP soit rédigé en anglais. Ils fournissent un template officiel (Word/LibreOffice). Le rapport doit être soumis en PDF dans les 24h suivant la fin de l'examen, via le portail OffSec.
Comment prouver une vulnérabilité dans le rapport ?
Chaque finding doit avoir une preuve de concept (PoC) reproductible : les commandes exactes utilisées, l'output obtenu, et un screenshot montrant l'exploitation réussie. Pour les privesc, le screenshot doit montrer whoami ou id avec le contexte (hostname, chemin).
Faut-il inclure les faux positifs dans le rapport ?
Non. Vérifiez chaque finding avant de l'inclure. Un faux positif dans un rapport professionnel nuit à la crédibilité. Si vous n'êtes pas sûr, marquez-le "À vérifier" et prenez le temps de confirmer avant livraison.
📚 Ressources associées
- Guide Débuter en Pentesting — De zéro à votre premier test d'intrusion : outils, méthodologie, certifications
- Cheatsheet OSCP — Commandes, techniques et conseils pour l'examen OSCP
- Cheatsheet Pentesting — 200+ commandes essentielles organisées par phase
- Glossaire Cybersécurité — CVSS, CVE, OWASP, RCE, LPE et 60+ termes définis
Fini de passer des nuits à écrire vos rapports
Documentez vos findings en temps réel pendant le pentest.
Pentest Mindmap génère le rapport PDF automatiquement — OSCP, PNPT, CPTS ou Standard.
11 600+ commandes · 4 templates de rapport · Génération IA