Diensten Werkwijze Over ons Blog
Pentesting

Wat is een penetratietest? En waarom heeft uw bedrijf er een nodig?

Wat is een penetratietest?

Een penetratietest — ook wel pentest genoemd — is een gecontroleerde aanval op uw IT-systemen, uitgevoerd door een ethisch hacker. Het doel? Ontdekken welke kwetsbaarheden een echte aanvaller zou kunnen misbruiken, voordat die aanvaller dat doet.

Anders dan een vulnerability scan (een geautomatiseerde tool die bekende kwetsbaarheden checkt) gaat een pentest veel verder. Een pentester denkt en handelt als een aanvaller. Hij combineert kwetsbaarheden, test business logic, en probeert daadwerkelijk toegang te krijgen tot gevoelige data of systemen.

Hoe werkt een penetratietest?

Een pentest verloopt doorgaans in vier fasen:

1. Vooronderzoek (Reconnaissance)

De pentester brengt uw externe aanvalsoppervlak in kaart. Welke systemen zijn bereikbaar via het internet? Welke informatie is publiekelijk beschikbaar over uw organisatie? Dit geeft een eerste beeld van waar de risico’s liggen.

Bij EHGI voeren wij dit vooronderzoek al uit voordat u klant bent — zodat het eerste gesprek meteen over concrete inzichten gaat.

2. Scoping

In een scopingmeeting bepalen wij samen welke systemen getest worden, welke methoden gebruikt mogen worden, en wat de tijdlijn is. Dit voorkomt verrassingen en zorgt dat de test aansluit bij uw risicoprofiel.

3. De test zelf

De pentester voert de aanvalssimulatie uit. Afhankelijk van het type test kan dit het interne netwerk betreffen (Active Directory), webapplicaties, cloud-omgevingen (Microsoft 365), of de menselijke factor (phishing).

Bij kritieke bevindingen nemen wij direct contact op — u hoeft niet te wachten op het eindrapport.

4. Rapportage

U ontvangt een helder rapport met:

  • Executive summary — voor het management, zonder jargon
  • Technische bevindingen — voor uw IT-team, met reproductiestappen
  • Risicobeoordelingen — van kritiek tot informatief
  • Concrete aanbevelingen — wat u moet doen om de risico’s te verkleinen

Wij bespreken de resultaten altijd persoonlijk in een presentatie.

Waarom heeft uw bedrijf een pentest nodig?

Cyberdreigingen nemen toe

Nederlandse bedrijven worden steeds vaker doelwit van cyberaanvallen. Ransomware, phishing, datalekken — het overkomt niet alleen grote multinationals. Juist middelgrote organisaties (100-3.000 medewerkers) zijn een aantrekkelijk doelwit: groot genoeg om waardevolle data te hebben, maar vaak zonder het securitybudget van een enterprise.

Compliance eist het

Steeds meer wet- en regelgeving vereist dat organisaties hun beveiliging aantoonbaar testen:

  • NIS2 — Verplicht voor essentiële en belangrijke entiteiten
  • ISO 27001 — Penetratietesten als onderdeel van risicobeheer
  • AVG/GDPR — Aantoonbare beveiligingsmaatregelen vereist

Een scan is niet genoeg

Geautomatiseerde scans vinden bekende kwetsbaarheden. Maar ze missen:

  • Logische fouten in applicaties
  • Misconfiguraties in Active Directory
  • Combinaties van kleinere zwaktes die samen kritiek zijn
  • Social engineering aanvallen

Een pentest vindt wat een scanner mist.

Wat kost een pentest?

De kosten van een pentest variëren op basis van:

  • Scope — Hoeveel systemen, applicaties, of gebruikers
  • Complexiteit — Een eenvoudige webapplicatie vs. een volledig Active Directory netwerk
  • Duur — Meestal 3-10 werkdagen
  • Type — Netwerkpentest, webapplicatie, phishing, of cloud

Voor middelgrote organisaties liggen de kosten doorgaans tussen de €5.000 en €25.000 per engagement.

Hoe kiest u een pentest-bedrijf?

Let op de volgende punten:

  1. Ervaring — Hoeveel pentests heeft het bedrijf uitgevoerd? In welke sectoren?
  2. Transparantie — Krijgt u een vooronderzoek of scopingmeeting vooraf?
  3. Rapportage — Is het rapport bruikbaar voor zowel management als IT?
  4. Communicatie — Wordt u direct geïnformeerd bij kritieke bevindingen?
  5. Referenties — Kan het bedrijf klanten en testimonials tonen?

Conclusie

Een penetratietest is geen luxe — het is een noodzakelijk onderdeel van uw beveiligingsstrategie. Het laat zien waar u kwetsbaar bent, voordat een echte aanvaller dat ontdekt.

Wilt u weten hoe kwetsbaar uw organisatie is? Plan een vrijblijvend gesprek. Wij brengen alvast uw externe aanvalsoppervlak in kaart — zodat u direct ziet waar u staat.

Wilt u weten hoe kwetsbaar uw organisatie is?

Plan een vrijblijvend gesprek. Wij brengen alvast uw externe aanvalsoppervlak in kaart.

Plan een gesprek
Terug naar alle artikelen