Avis très perso :

Un editeur de texte tout bête avec une arborescence. Je dé-conseil de multiplier les docs, ça fait trop de sources dans lesquelles aller chercher pour la rédaction du rapport final.
Je travaillais avec une orga du style :

#00 Traces //Rep qui contient toute les trace brutes de tout ce que tu fais (logs burps, scanners, pcap, ...) -> a faire absolument pour des questions de preuve (genre si le périmètre se fait poncer pendant que tu fais ton pentest, tu dois prouver que tu n'y est pour rien via tes logs).
#10 Reco // 1 Doc qui contient les outputs de ta phase de reco
#20 Vulns // 1 Doc avec la liste des vulns découvertes + extract de traces (constats) pour chacune
#30 Exploits // Rep qui contient les scripts, exploit, ... utilisés pour exploiter les vulns + extrat de traces
#40 Livrables // Rep qui contient les livrables : rapport, pptx, ...

Genre 10 ans par là, mais j'ai pas bossé tout de suite dans la sécu. Et de toute façon, tout le monde te dira "ça dépend"

Merci !