Pour le technicien qui intervient.
Les findings d'un pentest annuel doivent etre traites avec un plan d'actions chiffre. Les findings critiques sous 30 jours, haute severite sous 90 jours, moyenne severite avant le prochain pentest. Sans plan d'actions et de retest, le pentest ne sert a rien. Le rapport de remediation doit etre traçable et auditable.
Le 'rules of engagement' definit le perimetre exact (IP, applications, methodes autorisees, fenêtres temporelles, contacts d'urgence). Sans document signe, un pentest peut endommager des systèmes hors scope ou etre limité par excessive prudence. ISO 27001 A.18.2.3 exigé cette formalisation.
Une restitution orale du prestataire est l'occasion pour les equipes techniques de comprendre les techniques utilisees et de poser des questions concretes. Cette session est l'un des éléments les plus formateurs du pentest. Prevoir 1 a 2h avec les developpeurs, sysadmins et architectes du perimetre teste.
Pour le responsable / gestionnaire.
Les findings d'un pentest annuel doivent etre traites avec un plan d'actions chiffre. Les findings critiques sous 30 jours, haute severite sous 90 jours, moyenne severite avant le prochain pentest. Sans plan d'actions et de retest, le pentest ne sert a rien. Le rapport de remediation doit etre traçable et auditable.
Le label PASSI (Prestataire d'Audit de la Securite des Systemes d'Information) decerne par l'ANSSI atteste de la competence et de la deontologie du prestataire. Pour les OIV, OSE et entites soumises a NIS2, un pentest realise par un prestataire qualifie PASSI est attendu. Vérifier la qualification sur le site de l'ANSSI avant signature.
Le 'rules of engagement' definit le perimetre exact (IP, applications, methodes autorisees, fenêtres temporelles, contacts d'urgence). Sans document signe, un pentest peut endommager des systèmes hors scope ou etre limité par excessive prudence. ISO 27001 A.18.2.3 exigé cette formalisation.
Une vulnerabilite declaree 'corrigee' par l'equipe interne n'est verifiee que par un retest cible. Negocier dans le contrat initial un retest des findings critiques 60 a 90 jours apres remediation, idealement inclus dans la prestation. Le retest est aussi une bonne occasion d'auditer la qualite de la remediation.
Le rapport de pentest contient des informations qui aideraient un attaquant. Le stocker dans un emplacement protège (coffre numerique chiffre, acces restreint), ne pas l'attacher en clair dans un email. Conserver au minimum 5 ans pour la traçabilite reglementaire. Communiquer aux equipes uniquement les extraits necessaires.
Une restitution orale du prestataire est l'occasion pour les equipes techniques de comprendre les techniques utilisees et de poser des questions concretes. Cette session est l'un des éléments les plus formateurs du pentest. Prevoir 1 a 2h avec les developpeurs, sysadmins et architectes du perimetre teste.
Pour l'auditeur et le contrôle de conformité.
Le label PASSI (Prestataire d'Audit de la Securite des Systemes d'Information) decerne par l'ANSSI atteste de la competence et de la deontologie du prestataire. Pour les OIV, OSE et entites soumises a NIS2, un pentest realise par un prestataire qualifie PASSI est attendu. Vérifier la qualification sur le site de l'ANSSI avant signature.
Le rapport de pentest contient des informations qui aideraient un attaquant. Le stocker dans un emplacement protège (coffre numerique chiffre, acces restreint), ne pas l'attacher en clair dans un email. Conserver au minimum 5 ans pour la traçabilite reglementaire. Communiquer aux equipes uniquement les extraits necessaires.