Pentest hors périmètre : la frontière qui vous expose au pénal

Scanner un réseau, exploiter une faille, exfiltrer une base de données pour en démontrer la vulnérabilité : techniquement, vous faites exactement ce que fait un attaquant. La seule chose qui sépare votre intervention d'un délit, c'est une autorisation. Et cette autorisation a des bords précis.

Le Code pénal réprime l'accès et le maintien frauduleux dans un système de traitement automatisé de données (article 323-1), l'entrave à son fonctionnement (article 323-2) et l'atteinte aux données (article 323-3). Le caractère « frauduleux » disparaît tant que vous restez dans le cadre consenti par le responsable du système. Dès que vous en sortez, il réapparaît. Un pentester sans mandat clair travaille en réalité à un centimètre de l'infraction.

Ce que peu de consultants mesurent, c'est que les peines encourues ne sont pas symboliques. L'accès ou le maintien frauduleux dans un système est puni de plusieurs années d'emprisonnement et d'une amende substantielle, montants aggravés lorsque le système traite des données personnelles ou relève d'un opérateur sensible. Le simple fait d'avoir voulu « bien faire » et d'avoir signalé la faille ne suspend pas la qualification pénale : l'élément intentionnel se déduit du caractère conscient de l'accès, pas de l'intention de nuire. Autrement dit, vous n'avez pas besoin d'avoir voulu commettre une infraction pour être poursuivi — il suffit d'avoir accédé, en connaissance de cause, à un système que vous n'étiez pas autorisé à toucher.

Le débordement est rarement intentionnel. Il naît de la complexité des systèmes d'information modernes :

• Une plage d'adresses IP autorisée qui inclut, à votre insu, une machine appartenant à un tiers hébergeur mutualisé.
• Un sous-domaine qui redirige vers une filiale non couverte par le contrat, ou vers un prestataire SaaS du client.
• Un rebond depuis le système cible vers un environnement de production alors que seul le pré-production était autorisé.
• Une API testée qui interroge en cascade le système d'un partenaire du client.

Dans chacun de ces cas, vous avez accédé à un système dont le propriétaire ne vous a jamais rien autorisé. Que ce dernier porte plainte, et c'est l'article 323-1 qui s'applique, indépendamment de vos bonnes intentions.

L'autorisation du client ne vaut que pour les systèmes que le client a le droit d'autoriser. Pas pour ceux de ses voisins de rack.

Avant la moindre commande lancée, un document doit exister et être signé par une personne habilitée à engager le client. Ce mandat d'audit n'est pas une formalité administrative : c'est la pièce qui transforme une intrusion en prestation légale. Il doit préciser noir sur blanc :

1. Le périmètre exact : plages d'IP, noms de domaine, applications, environnements (prod / pré-prod), avec ce qui est explicitement exclu.
2. La fenêtre temporelle autorisée pour les tests.
3. Les techniques exclues (déni de service, ingénierie sociale, exfiltration réelle de données personnelles).
4. Le sort des données consultées et la clause de confidentialité.
5. L'attestation que le client est bien propriétaire ou autorisé sur les systèmes listés.

Cette dernière ligne est capitale : si le client vous fait tester un actif qu'il croit à lui mais qui appartient à un tiers, c'est lui qui vous a induit en erreur. Encore faut-il pouvoir le prouver.

La qualité du signataire mérite une vigilance particulière. Un mandat signé par un interlocuteur technique qui n'a pas le pouvoir d'engager l'entreprise n'a pas la même valeur qu'une autorisation émanant de la direction ou du responsable légalement habilité. Pour un test sur un système hébergé chez un infogéreur ou un cloud provider, vérifiez aussi que les conditions du contrat d'hébergement autorisent les tests d'intrusion : certains hébergeurs exigent une déclaration préalable, voire interdisent purement et simplement le pentest sur leur infrastructure mutualisée. Lancer un scan sans cette autorisation revient à attaquer le système de l'hébergeur, pas seulement celui de votre client.

Les référentiels professionnels, comme le cadre PASSI de l'ANSSI pour les prestataires d'audit qualifiés, formalisent d'ailleurs ces exigences : autorisation formelle, périmètre documenté, gestion des informations sensibles, réversibilité. Même sans viser cette qualification, s'inspirer de ses règles constitue une démonstration de sérieux précieuse en cas de litige.

Le risque pénal n'est pas le seul. Un test d'intrusion, même parfaitement cadré, peut casser quelque chose : un scan agressif qui sature un service et provoque une indisponibilité, une exploitation qui corrompt une base, un fuzzing qui plante un automate industriel. Vous êtes alors exposé sur le terrain civil : le client, ou un tiers impacté, vous réclame réparation du préjudice.

C'est précisément la zone que couvre la RC Pro du consultant cybersécurité : les dommages matériels et immatériels causés accidentellement pendant la mission, dès lors qu'elle s'inscrit dans un contrat et une autorisation. Sans cette protection, une simple panne provoquée pendant un audit peut se transformer en facture à cinq chiffres.

Un pentester salarié d'une grande ESN agit sous le couvert de son employeur : c'est l'entreprise qui contractualise, qui porte l'assurance, qui assume le risque économique. L'indépendant, lui, est en première ligne sur les deux fronts. Sur le plan pénal, c'est lui qui a posé les mains sur le clavier ; sur le plan civil, c'est son patrimoine personnel qui répond du dommage si aucune assurance n'intervient.

Cette exposition est d'autant plus forte que le consultant indépendant enchaîne les clients, les périmètres et les environnements, souvent sous pression de délai. Le risque de débordement involontaire augmente mécaniquement avec le nombre de missions. Et lorsqu'un litige éclate, l'indépendant ne dispose ni d'un service juridique interne, ni des reins financiers pour absorber des mois de procédure. C'est exactement la raison pour laquelle la combinaison d'un mandat rigoureux et d'une RC Pro adaptée au pentest n'est pas un luxe, mais le socle de viabilité de l'activité.

Face à une accusation d'accès non autorisé ou à une réclamation pour incident, ce qui fait la différence, c'est la traçabilité. Adoptez systématiquement les réflexes suivants :

• Conserver le mandat signé et l'attestation de propriété des actifs.
• Journaliser vos actions (horodatage, IP source, commandes) pour démontrer que vous êtes resté dans le scope.
• Arrêter immédiatement et alerter le client dès qu'un test révèle un actif hors périmètre.
• Documenter votre méthodologie et les techniques explicitement écartées.

Ces éléments, couplés à une RC Pro qui finance votre défense, transforment une situation potentiellement catastrophique en dossier maîtrisé. Les frais d'avocat et d'expertise technique nécessaires pour démontrer que vous avez agi dans les clous peuvent à eux seuls dépasser plusieurs milliers d'euros, que la procédure aboutisse ou non.

Un consultant cybersécurité qui démarre une mission sans mandat d'audit formalisé prend un risque disproportionné par rapport à ce qu'il facture. À l'inverse, le duo mandat verrouillé + RC Pro couvre les deux faces du danger : le pénal (l'accès non autorisé involontaire) et le civil (l'incident causé pendant les tests).

Chez Insurio, la RC Pro spécialisée pentest démarre à 14,90 € par mois et inclut la défense pénale et la prise en charge des dommages accidentels. Le détail des garanties figure sur notre fiche assurance consultant cybersécurité.