Régulièrement utilisés par les responsables de la sécurité des systèmes d’information pour mettre à l’épreuve et évaluer la résistance de leur environnement à un certain niveau d’attaque, les tests d’intrusion et le contrat qui les formalise ne doivent pas être considérés de façon anodine. Les règles juridiques à respecter.
Sans une compréhension exacte de leurs tenants et aboutissants, que ce soit au regard de l’interprétation de leurs résultats, des risques induits ou encore des obligations et responsabilités respectives du prestataire et de son client, les opérations de tests intrusifs ne doivent pas être autorisées ou engagées sans un encadrement et une préparation minutieuse. De ce point de vue, le contrat de test d’intrusion, qui prévoit également l’organisation et les modalités de la mission, est sans nul doute un des éléments déterminants dans le succès futur d’une prestation de tests intrusifs.
Cet article se trouve dans le dossier :
Comment réussir son audit de sécurité des systèmes d'information ?
A la Une
Conseil
Juridique
Panorama
Zoom sur
Trois questions à
Cryptographie
Manifestation
En pratique