Pratique

Méthodologie pentest

Un pentest n'est pas une chasse aléatoire aux failles. C'est une mission cadrée, autorisée, documentée et orientée risque. La valeur vient autant de la méthode que des vulnérabilités trouvées.

Cadrage

Définir avant le test :

  • périmètre
  • exclusions
  • horaires
  • contacts
  • niveau d'agressivité
  • règles de preuve
  • procédure d'urgence
  • données à éviter
  • format de restitution

Sans cadrage, le test peut devenir dangereux, incomplet ou difficile à exploiter.

Reconnaissance

Identifier :

  • actifs
  • technologies
  • comptes de test
  • chemins d'exposition
  • dépendances externes
  • hypothèses de risque
  • contraintes métier

La reconnaissance prépare les vérifications. Elle ne doit pas dépasser le périmètre autorisé.

Vérification

Valider les vulnérabilités sans dépasser le niveau d'impact autorisé.

Une preuve doit être :

  • suffisante
  • reproductible
  • proportionnée
  • documentée
  • compréhensible
  • non destructive

Analyse du risque

Une faille doit être reliée à un risque réel.

À évaluer :

  • impact technique
  • impact métier
  • probabilité
  • prérequis
  • exposition
  • facilité de correction
  • mesures compensatoires

Restitution

Le rapport doit prioriser :

  • criticité
  • vraisemblance
  • impact
  • preuve
  • cause racine
  • correction
  • vérification attendue

Une bonne recommandation doit être réaliste pour l'équipe qui devra corriger.

Qualité professionnelle

Un bon testeur sait s'arrêter, expliquer, documenter et proposer une correction réaliste. La valeur n'est pas seulement dans la faille trouvée, mais dans la réduction du risque.

Cadre autorisé

Un test d'intrusion sans autorisation explicite peut être illégal. Le périmètre et les règles doivent être clairs avant toute action.

Précédent
Construire un lab cyber propre
Suivant
Éthique et légal