{
    "uuid": "1e1dd0ec6bcba6fddbc7364c76ffdde0",
    "slug": "pentest-annuel",
    "lang": "fr",
    "audience": null,
    "count": 6,
    "conseils": [
        {
            "uuid": "2d5811bde3294b569a05a9b93f2485a1",
            "category": "regulatory",
            "audience": [
                "manager",
                "auditor"
            ],
            "severity": "mandatory",
            "title": "Privilégier un prestataire qualifie PASSI",
            "content": "Le label PASSI (Prestataire d'Audit de la Securite des Systemes d'Information) decerne par l'ANSSI atteste de la competence et de la deontologie du prestataire. Pour les OIV, OSE et entites soumises a NIS2, un pentest realise par un prestataire qualifie PASSI est attendu. Vérifier la qualification sur le site de l'ANSSI avant signature."
        },
        {
            "uuid": "34d9ca781ca14ef99cf7a30e624f9ca7",
            "category": "operational",
            "audience": [
                "manager",
                "technician"
            ],
            "severity": "mandatory",
            "title": "Definir un perimetre clair et signe avant le test",
            "content": "Le 'rules of engagement' definit le perimetre exact (IP, applications, methodes autorisees, fenêtres temporelles, contacts d'urgence). Sans document signe, un pentest peut endommager des systèmes hors scope ou etre limité par excessive prudence. ISO 27001 A.18.2.3 exigé cette formalisation."
        },
        {
            "uuid": "fa8d1c63098245439c31e6c8597c7ba1",
            "category": "operational",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "critical",
            "title": "Traiter les findings critiques sous 30 jours",
            "content": "Les findings d'un pentest annuel doivent etre traites avec un plan d'actions chiffre. Les findings critiques sous 30 jours, haute severite sous 90 jours, moyenne severite avant le prochain pentest. Sans plan d'actions et de retest, le pentest ne sert a rien. Le rapport de remediation doit etre traçable et auditable."
        },
        {
            "uuid": "8688745a2f7e4b61833210f67fa8e2e0",
            "category": "operational",
            "audience": [
                "manager"
            ],
            "severity": "recommended",
            "title": "Realiser un retest sur les findings critiques",
            "content": "Une vulnerabilite declaree 'corrigee' par l'equipe interne n'est verifiee que par un retest cible. Negocier dans le contrat initial un retest des findings critiques 60 a 90 jours apres remediation, idealement inclus dans la prestation. Le retest est aussi une bonne occasion d'auditer la qualite de la remediation."
        },
        {
            "uuid": "57d79c54230a432ebb6c374ecbb9ec13",
            "category": "regulatory",
            "audience": [
                "auditor",
                "manager"
            ],
            "severity": "recommended",
            "title": "Conserver le rapport et les preuves en confidentiel",
            "content": "Le rapport de pentest contient des informations qui aideraient un attaquant. Le stocker dans un emplacement protège (coffre numerique chiffre, acces restreint), ne pas l'attacher en clair dans un email. Conserver au minimum 5 ans pour la traçabilite reglementaire. Communiquer aux equipes uniquement les extraits necessaires."
        },
        {
            "uuid": "860070cca86d446f9cd5839890351d6f",
            "category": "training",
            "audience": [
                "technician",
                "manager"
            ],
            "severity": "recommended",
            "title": "Inviter les equipes a la restitution du pentest",
            "content": "Une restitution orale du prestataire est l'occasion pour les equipes techniques de comprendre les techniques utilisees et de poser des questions concretes. Cette session est l'un des éléments les plus formateurs du pentest. Prevoir 1 a 2h avec les developpeurs, sysadmins et architectes du perimetre teste."
        }
    ]
}