Cas d'usage cyber : pentest

Mission et objectifs

Une entreprise a reçu un signalement d'une faille de sécurité. Après avoir corrigé cette faille spécifique, le CTO souhaite vérifier l'existence d'autres failles et évaluer globalement son niveau de risque.

Les objectifs sont alors multiples :

1. Vérifier la correction de la faille identifié
2. Vérifier l'existence de failles similaires
3. Identifier la présence d'autres vulnérabilités
4. Fournir des recommendations techniques et organisationnelles

Mise en oeuvre

Définition des règles d'engagement

Cette étape est essentielle pour une pentest réalisé dans de bonnes conditions et de s'assurer que les cibles du pentest soient correctement identifiées tout en réduisant les risques pour les systèmes en production.
Elle permet de définir précisément :

• le périmètre à analyser (infrastructure, applicatif, ...) et celui à exclure
• le type et les limites des tests
• les périodes d'activité
• la communication durant le test

Réalisation du pentest

Le pentest est réalisé en suivant les règles d'engagement définies.

Rédaction d'un rapport

A partir des vulnérabilités identifiées, un rapport est construit pour couvrir deux cibles.

A destination des décideurs, il permet de rendre compte des différents types de vulnérabilités identifiés et de leur niveau de risque. Il donne une évaluation réaliste de l'état du périmètre identifié à un instant T et des recommendations priorisées.

A destination des équipes techniques, ce rapport catégorise les vulnérabilités et pour chacune d'entre-elle, fournit des recommendations techniques pour les corriger en autonomie.

Résultats

A la fin de la mission, un rapport préliminaire est fourni.
Il est éventuellement complété et enrichi par les échanges jusqu'à la livraison d'une version définitive.

Une fois le rapport définitif réceptionné, l'ensemble des éléments ayant servi pour le pentest sont archivés puis détruits dans les délais définis par les règles d'engagement.