Avant de se lancer dans un test de pénétration, plusieurs crucial prerequisiteséléments doivent être établis pour garantir un engagement réussi, légal et professionnel. Ces éléments fondamentaux protègent à la fois le testeur de pénétration et le client tout en maximisant la valeur de l’évaluation. Ces éléments peuvent être, sans s’y limiter :

  • Autorisation légale et documentation
  • Définition et limites du champ d’application
  • Collecte d’informations
  • Canaux de communication et procédures d’urgence
  • Préparation de l’environnement de test
  • Considérations relatives à la sauvegarde et à la récupération
  • Documentation et rapports
  • Responsabilité professionnelle et assurance
  • Confidentialité et traitement des données

Autorisation légale et documentation

La pierre angulaire de toute mission de test de pénétration est une autorisation légale appropriée. Cela commence par un accord écrit formel, souvent appelé Statement of WorkSoW) ou Master Services AgreementMSA). Un MSA est souvent utilisé lorsqu’il existe une relation continue entre le client et le prestataire de services de test de pénétration. Il décrit les conditions générales de la relation commerciale

Méthodologies de test de pénétration de base

Penetration Testing Execution Standard

La méthodologie la plus largement reconnue dans le domaine des tests de pénétration est la Penetration Testing Execution Standard . La PTES fournit un cadre qui divise le processus de test de pénétration en sept phases distinctes : interactions avant engagement, collecte de renseignements, modélisation des menaces, analyse des vulnérabilités, exploitation, post-exploitation et reporting.

http://www.pentest-standard.org/index.php/Main_Page

Le Technical Guide to Information Security Testing and Assessment

représente une approche plus formelle. Bien qu'il ne s'agisse pas strictement d'une méthodologie de test de pénétration, il fournit des conseils précieux sur la planification, l'exécution et les activités post-test de l'évaluation de la sécurité. Ce cadre est particulièrement pertinent lorsque l'on travaille avec des agences ou des organisations gouvernementales qui suivent les directives du NIST.

https://www.nist.gov/privacy-framework/nist-sp-800-115

Open Web Application Security Project

L’OWASP WSTG se concentre sur les tests de sécurité applicative web, avec des cas de test détaillés pour chaque vecteur d’attaque connu.

https://owasp.org/www-project-web-security-testing-guide/stable/

Le cadre MITRE ATT&CK

https://attack.mitre.org/