Quels sont les livrables fournis suite à un test d'intrusion ?

Rédigé par alexia Aucun commentaire
Classé dans : Non classé Mots clés : aucun
Comme vous le savez déjà, un test d’intrusion est un audit permettant de vérifier l’absence ou la présence d’une faille de sécurité informatique. Afin d’éviter de se faire pirater, de plus en plus d’organisations (publiques ou privées) font appel à une entreprise de sécurité informatique. L’idée est de détecter les failles avant qu’une personne malveillante le fasse. Une fois l’audit terminé, le prestataire vous fournit généralement un rapport d’audit, une synthèse sous forme de PPT et un plan d’action associé. Nous allons détailler ici le contenu de ces documents. L’introduction Dans cette partie-là, vous trouverez généralement un descriptif du client audité, mais ainsi que son contexte. L'introduction présente également l’objet de l’audit et les objectifs à atteindre dans le cadre du test d’intrusion. Dans l’introduction vous trouverez également le périmètre de l’audit, c’est-à-dire les IP concernées par le test et les intervenants chez le client et chez le prestataire. Dans l’introduction se trouvent enfin la ou les méthodes employées dans le cadre de la mission. La synthèse managériale Cette partie explique brièvement, et de manière très simple, à la direction les risques auxquelles elle s’expose. L’objet de cette partie est de faire prendre conscience des risques éventuels sans que responsable ne doive lire l’ensemble du document. La synthèse technique Cette synthèse expose les points positifs identifiés, les axes de progrès et les mesures correctives associées. Généralement le pentester sélectionne 3 points pour chacune de ces parties. Puis, le rapport liste les risques en fonction de leur impact. Une liste est également établie en ce qui concerne les vulnérabilités et leur criticité (en précisant le périmètre concerné). Enfin, une synthèse des recommandations est mise à disposition en fonction de la priorité et la charge de travail. Le corps du rapport Cette partie détaille simplement les éléments de la synthèse technique. La réalisation d’un test d’intrusion peut avoir un coût financier pour certaines entreprises à budget restreint. Toutefois, c’est devenu une pratique très recommandée pour toute société qui a une activité en ligne. Le test d’intrusion pour les sites de commerce en ligne est devenu indispensable. Comme on a pu le voir, les livrables pour les tests d’intrusion sont très structurés. Bien évidemment nous pouvons retrouver quelques différences d’un prestataire à un autre, mais les grands axes restent les mêmes.

Les commentaires sont fermés.

Fil RSS des commentaires de cet article