La certification PECB Certified Lead Pen Test Professional s’adresse aux ingénieurs sécurité offensive qui veulent formaliser leur compétence par un titre méthodologique solide. Ce tutoriel propose un plan de préparation en six semaines, qui combine la technique pure (savoir attaquer) et la rigueur méthodologique (savoir cadrer, documenter, restituer une mission). C’est cette combinaison qui distingue la LPTP des certifications purement techniques comme OSCP et qui en fait un complément naturel à un parcours pentester senior.
Pour le panorama complet PECB et le positionnement de la LPTP face à OSCP et à la PECB Lead Ethical Hacker, voir le panorama des certifications PECB 2026.
Prérequis avant de démarrer
L’examen LPTP est un examen ouvert (livre ouvert) de 3 heures, en QCM scénarisé ou en essais selon le centre, avec 70 % requis et un retake gratuit dans les 12 mois. Le piège est de le confondre avec OSCP, qui est purement technique et qui dure 23h45 en compromission live (voir Buffer overflow Windows pour l’OSCP et Escalade de privilèges Linux pour l’OSCP pour les techniques attendues). La LPTP teste la capacité à mener une mission de pentest de bout en bout, depuis le cadrage contractuel jusqu’à la restitution exécutive, avec une exigence technique réelle mais plus modeste que celle d’OSCP.
Le profil idéal a déjà mené ou participé à au moins un audit technique d’intrusion en entreprise. Cette exposition opérationnelle est précieuse parce qu’elle apporte la sensibilité métier que le manuel ne peut pas transmettre : que demander en pré-mission, quelles autorisations obtenir, comment éviter les faux positifs, comment formuler un constat exploitable par les équipes correctives.
Le matériel à se procurer comprend le manuel candidat PECB Lead Pen Test Professional (plus de 450 pages), des références méthodologiques externes (OSSTMM 3, PTES, OWASP Web Security Testing Guide, NIST SP 800-115, MITRE ATT&CK), et un home-lab d’entraînement (typiquement HackTheBox abonnement VIP+ ou TryHackMe Premium pendant la préparation, plus une machine personnelle Kali Linux ou Parrot OS).
Vue d’ensemble du plan en six semaines
- Semaine 1 — Cadre légal, contractualisation, méthodologies de référence
- Semaine 2 — Reconnaissance et énumération
- Semaine 3 — Exploitation côté infrastructure et système
- Semaine 4 — Exploitation côté applicatif web et mobile
- Semaine 5 — Post-exploitation, élévation de privilèges, mouvement latéral
- Semaine 6 — Reporting, restitution exécutive, examens blancs
Étape 1 — Semaine 1 : cadre légal et méthodologies
La première semaine sert à fixer le cadre éthique, légal et contractuel. Un pentester sans cadre légal est un attaquant. La distinction se joue sur quatre éléments documentaires : l’autorisation écrite du commanditaire (lettre d’engagement, get-out-of-jail-free letter), le périmètre explicite (IP, URL, domaines, fenêtres horaires), les règles d’engagement (techniques autorisées, données à ne pas exfiltrer, plages d’horaire, escalade en cas d’incident), et le contrat de confidentialité (NDA) couvrant la mission.
Le cadre légal varie selon les juridictions. En France, le code pénal articles 323-1 à 323-7 incrimine l’accès et le maintien frauduleux dans un système informatique, l’entrave au fonctionnement, et l’extraction frauduleuse de données. L’autorisation du propriétaire du système est l’élément qui transforme un acte autrement criminel en mission légitime. Au Sénégal, en Côte d’Ivoire et dans les autres juridictions francophones d’Afrique, des lois équivalentes existent et reposent sur le même principe : pas d’autorisation, pas de pentest.
Les méthodologies de référence à connaître sont quatre. OSSTMM 3 (Open Source Security Testing Methodology Manual) publié par l’ISECOM est centré sur la mesure objective de la sécurité opérationnelle. PTES (Penetration Testing Execution Standard) structure la mission en sept phases. OWASP WSTG (Web Security Testing Guide) est la référence pour les tests applicatifs web. NIST SP 800-115 est le guide gouvernemental américain de référence. Le manuel PECB s’appuie principalement sur PTES et OSSTMM ; l’examen testera votre capacité à choisir une méthode adaptée au scénario donné.
Livrable de la semaine : rédiger un modèle de lettre d’engagement de mission de pentest, un modèle de règles d’engagement, et un comparatif synthétique des quatre méthodologies en une page.
Étape 2 — Semaine 2 : reconnaissance et énumération
La phase de reconnaissance précède toute action offensive. Elle se décompose en reconnaissance passive (collecte d’information sans toucher à la cible : DNS, WHOIS, Google dorks, Shodan, GitHub, ressources LinkedIn) et reconnaissance active (interaction directe avec la cible : scan de ports, énumération de services, identification de versions). La distinction est cruciale dans le cadre d’une mission black-box où la cible ne doit pas être alertée trop tôt.
L’outillage classique en 2026 comprend : nmap pour le scan réseau (avec scripts NSE pour l’identification de services), masscan pour les scans à très grande échelle, amass et subfinder pour l’énumération de sous-domaines, httpx et nuclei pour l’identification web rapide, theHarvester pour la collecte OSINT, Shodan et Censys pour la vue Internet, Burp Suite ou OWASP ZAP pour l’interception HTTP. Vous devez connaître ces outils, savoir choisir le bon pour chaque tâche, et savoir lire leur sortie.
L’examen ne testera pas vos compétences shell pures (ce n’est pas OSCP) mais testera votre capacité à choisir la bonne séquence d’outils pour un scénario donné. Une question typique : « lors d’une mission boîte noire externe sur une organisation de 200 employés, vous disposez seulement du nom de domaine principal. Décrivez la séquence des cinq premières heures de reconnaissance ». La bonne réponse mobilise OSINT passif puis énumération DNS puis identification surface web exposée, sans saturer la cible avec un scan agressif dès le départ.
# Séquence type reconnaissance passive d'un domaine
amass enum -d cible.tld -passive
subfinder -d cible.tld -silent
echo cible.tld | httpx -title -tech-detect
theHarvester -d cible.tld -b all
# Puis bascule active après validation contractuelle
nmap -sV -sC -p- --top-ports 1000 cible.tldLivrable de la semaine : produire un guide de reconnaissance d’une page avec la séquence d’outils et les checkpoints contractuels (à quel moment basculer passif → actif, à quel moment alerter le commanditaire).
Étape 3 — Semaine 3 : exploitation infrastructure et système
La semaine 3 couvre les techniques offensives côté infrastructure : exploitation de services réseau (SMB, RDP, SSH, FTP), exploitation de vulnérabilités systèmes (CVE récentes critiques 2024-2026 sur Linux, Windows, hyperviseurs), exploitation de mauvaises configurations (Active Directory, Kerberos, services de réseau), exploitation de protocoles industriels (Modbus, S7) pour les missions ICS/OT.
La connaissance de Metasploit Framework, de l’outillage Impacket (psexec.py, secretsdump.py, smbexec.py), des techniques Kerberos (Kerberoasting, AS-REP roasting, golden ticket, silver ticket) et de l’outillage AD comme BloodHound est attendue. À l’examen, vous serez interrogé non pas sur les commandes exactes mais sur le choix de la technique adaptée à un scénario donné.
Le piège classique consiste à utiliser un exploit qui crash le service cible en environnement de production. Le manuel PECB insiste sur la responsabilité du pentester face à la disponibilité du système audité — l’exploitation doit être maîtrisée, les techniques destructives doivent être explicitement validées par le commanditaire, et toute interruption de service doit être documentée et communiquée immédiatement. Cette nuance est testée par scénarios.
Livrable de la semaine : monter un home-lab simple (deux machines Windows et une machine Linux dans VirtualBox ou VMware) et compromettre une chaîne d’attaque AD type : énumération via BloodHound → identification d’un chemin d’attaque → Kerberoasting → cracking → mouvement latéral. Ce type d’exercice est ce que HackTheBox et TryHackMe entraînent.
Étape 4 — Semaine 4 : exploitation web et mobile
La semaine 4 couvre l’exploitation applicative. La référence est OWASP, avec deux ressources essentielles : l’OWASP Top 10:2021 (révisée tous les trois à quatre ans, la prochaine itération est attendue), qui liste les dix catégories de risque les plus courantes (Broken Access Control, Cryptographic Failures, Injection, Insecure Design, Security Misconfiguration, Vulnerable and Outdated Components, Identification and Authentication Failures, Software and Data Integrity Failures, Security Logging and Monitoring Failures, Server-Side Request Forgery), et le WSTG qui détaille les procédures de test.
Les techniques à maîtriser en pratique sont : les injections (SQL, NoSQL, OS command, LDAP, XSS, SSTI), les contournements d’authentification, l’analyse de la logique métier (broken access control, IDOR), la manipulation des sessions et tokens (JWT, OAuth), la SSRF et son escalade vers RCE, et les chaînes d’exploitation classiques (XSS → CSRF → privilege escalation).
Côté mobile, l’OWASP Mobile Top 10 et le Mobile Application Security Testing Guide (MASTG) sont les références. Les sujets typiques sont l’analyse statique d’APK Android, le contournement de root-detection, l’interception HTTPS via certificate pinning bypass (Frida est l’outil de référence), l’analyse des stockages locaux, l’extraction de secrets en mémoire.
L’examen LPTP ne demandera pas que vous écriviez un payload XSS sophistiqué — il vous demandera dans quel cas l’utiliser, quelle catégorie OWASP elle adresse, et comment formuler le constat dans le rapport. C’est la posture méthodologique qui prime, pas la virtuosité technique pure.
Livrable de la semaine : faire trois exercices sur OWASP Juice Shop ou WebGoat (gratuits, en local) et rédiger pour chacun un mini-rapport de constat (deux lignes : description technique, exploitation, impact métier, recommandation).
Étape 5 — Semaine 5 : post-exploitation et mouvement latéral
La post-exploitation est ce qui se passe après l’obtention de la première compromission. Trois objectifs majeurs : l’élévation de privilèges (passer d’un compte utilisateur à un compte administrateur), le mouvement latéral (passer d’un système à un autre dans le réseau interne), la persistance (maintenir l’accès dans le temps, généralement non utilisée en pentest légitime court mais demandée en red team).
L’outillage spécifique à connaître inclut : LinPEAS et WinPEAS pour l’audit local Linux et Windows, BloodHound et SharpHound pour la cartographie AD, Mimikatz et ses alternatives (Rubeus, SafetyKatz) pour l’extraction de credentials Windows, CrackMapExec pour le mouvement latéral SMB/RDP/WinRM, Responder pour le poisoning LLMNR/NBT-NS.
La modélisation MITRE ATT&CK est désormais un standard de référence pour décrire les techniques offensives. La connaître permet de mapper chaque action de la mission à une technique référencée (T1078 Valid Accounts, T1110 Brute Force, T1003 OS Credential Dumping, etc.) — ce mapping est attendu dans les rapports de pentest modernes et l’examen testera la capacité à l’utiliser.
Livrable de la semaine : compléter le home-lab de la semaine 3 avec une post-exploitation complète (élévation locale, dump SAM ou LSASS, pivot vers une deuxième machine, démonstration d’un objectif métier comme l’accès à un partage de fichiers sensible) et documenter les techniques utilisées avec leur identifiant MITRE ATT&CK.
Étape 6 — Semaine 6 : reporting et examens blancs
Le rapport est le livrable principal d’une mission de pentest. C’est ce que le commanditaire paiera, ce qui sera utilisé par les équipes correctives, ce qui sera présenté en comité de direction. Sa qualité fait la valeur perçue de la mission, davantage que la sophistication des exploits utilisés.
La structure d’un rapport professionnel comprend : un résumé exécutif (deux à trois pages maximum, destiné au comité de direction, sans jargon technique, avec une grille de criticité globale et trois à cinq recommandations stratégiques), une partie méthodologie (cadrage, méthode appliquée, périmètre exact, limitations), un détail des constats (un constat par vulnérabilité, avec description, preuve, criticité CVSS, recommandation, mapping MITRE), et des annexes techniques (logs, captures, scripts).
La criticité CVSS (v3.1 ou v4.0 selon la maturité de l’organisation) est attendue mais ne dispense pas du jugement métier. Une vulnérabilité avec un score CVSS de 9.8 sur un système de test isolé sans données sensibles peut être moins prioritaire qu’une vulnérabilité 6.5 sur un système exposant la base clients. Cette nuance contextuelle est attendue par l’examen et par les commanditaires sérieux.
La seconde moitié de la semaine est consacrée aux examens blancs. Le format scenario-based comporte généralement douze scénarios sur 3 heures, livre ouvert, 70 % requis. Les scénarios mélangent cadrage contractuel, choix méthodologique, technique spécifique et reporting — il ne faut pas survestir le temps sur une seule dimension.
Erreurs fréquentes en préparation
| Erreur | Cause | Solution |
|---|---|---|
| Préparer LPTP comme OSCP | Confusion entre les deux titres | Investir aussi le cadrage et le reporting, pas que la technique |
| Négliger le cadre légal | Focus offensif | Semaine 1 dédiée, modèles de lettres d’engagement |
| Surinvestir Metasploit | Habitude pratique | Élargir à BloodHound, Burp, Impacket, manuel |
| Rapports trop techniques | Profil ingénieur | Toujours produire un résumé exécutif compréhensible par un dirigeant |
| Criticité CVSS sans contexte | Application mécanique | Ajouter le jugement métier (criticité d’usage, exposition réelle) |
Après l’examen et parcours en pentest
La LPTP s’inscrit utilement dans un parcours en pentest. Combinée avec OSCP (technique pure), elle démontre la capacité à mener une mission complète. Pour le détail des phases d’examen OSCP, consulter Énumération réseau pour l’OSCP et Exploitation web pour l’OSCP : SQLi, LFI et RCE. Combinée avec une certification offensive Web (Burp Suite Certified Practitioner, OffSec OSWE), elle élargit le portefeuille applicatif. Combinée avec la PECB Lead Ethical Hacker, elle complète le volet hands-on hybride avec un titre PECB cohérent.
Le marché francophone valorise ce profil hybride méthodologie + technique, parce que les commanditaires (notamment les grands comptes et les opérateurs régulés) demandent à la fois la qualité d’exécution et la qualité de restitution. Un pentester qui sait livrer un rapport présentable en comité de direction se distingue immédiatement d’un pentester purement technique.
Ressources et références officielles
- PECB — fiche officielle Lead Pen Test Professional
- ISECOM — OSSTMM 3
- PTES — Penetration Testing Execution Standard
- OWASP — Web Security Testing Guide (WSTG)
- OWASP — Mobile Application Security (MASTG)
- NIST — SP 800-115
- MITRE ATT&CK
- ITSkillsCenter — Panorama des certifications PECB 2026
- ITSkillsCenter — Préparer PECB Lead Ethical Hacker
Articles connexes
- Préparer ISO/IEC 27001 Lead Auditor PECB : méthodologie daudit
- Préparer PECB Lead Ethical Hacker : home-lab et examen pratique
- Préparer ISO/IEC 42001 Lead Implementer PECB : gouvernance IA
- Préparer ISO 22301 Lead Implementer PECB : BIA, PCA et PRA
Prérequis pratique : avant d’aller plus loin, guide d’installation Burp Suite 2026.