Le cadrage de votre intervention se fait généralement en deux temps :
Il faut comprendre le contexte et savoir de part et d’autre s’il est pertinent de vous confier le test d’intrusion. C’est l’objet de la réunion de qualification. Elle suit généralement les étapes suivantes :
Présentation de l’entreprise cliente et de votre entreprise.
Discussions autour du périmètre du test.
Discussions autour du planning et du budget.
Le test d’intrusion vous est confié, il faut le démarrer. La réunion de lancement a ainsi pour objectif de :
confirmer le périmètre et les prérequis du test.
signer un document de cadrage.
Faites une réunion pour qualifier des besoins
Étape 1 : présentez votre démarche
Après une présentation rapide lors d'un tour de table, il peut être pertinent de présenter le métier et le rôle du pentester, ce qu'il fait et ce qu'il ne fait pas, surtout si le client n'est pas un habitué de la démarche.
Plus l’exercice sera perçu comme une opportunité et non comme une punition, plus vous obtiendrez des informations utiles pour le test d’intrusion.
C’est à ce moment-là que vous parlez des différentes approches de pentest (par exemple boîte noire / grise / blanche).
Pensez également à préciser au client que vous ne faites pas de déni de service (DoS) intentionnel, mais émettez une réserve sur le fait que ça peut arriver car le risque zéro n’existe pas, même si vous prenez les précautions d’usage. Une petite anecdote sur le sujet :
Lors d’un test d’intrusion dans une petite entreprise, j’ai fait tomber le réseau pendant quelques minutes. Catastrophe, me direz-vous ! Oui et non. Oui car ça ne devrait pas arriver, non car j’aurais difficilement pu prévoir que ça allait arriver. J’ai à mon sens eu les bons réflexes avec le client : j’avais prévu que cette activité pouvait avoir un impact, donc je l’ai fait à un moment qui était peu impactant pour l’entreprise, en toute fin d’après-midi.
Passons maintenant à ce qui va vraiment être le plus important pour vous : savoir ce sur quoi vous allez travailler, ce que souhaite le commanditaire et pour quand ! C’est tout le sujet d’une réunion de qualification.
Étape 2 : définissez le périmètre du test
Le plus important, c’est de bien comprendre le périmètre. Posez donc toutes les questions au client, et reformulez pour être sûr de bien avoir compris ce que le client veut.
Voici des questions importantes à poser :
Pour définir l’approche à tenir :
Que fait l’application fonctionnellement ?
En quoi est-elle importante pour l’entreprise, quels sont les principaux risques identifiés par le client sur cette application ?
Pour quelles raisons des tests d’intrusion sont-ils souhaités (vérification avant mise en production, test régulier, vérification suite à correction de vulnérabilités précédemment identifiées, obligation réglementaire, etc.) ?
Quelle est l’approche souhaitée pour les tests d’intrusion (boîte noire, grise ou blanche) ?
Pour baliser les modalités techniques :
Quelle est son URL ou son IP ?
Est-ce qu’on regarde le serveur dans sa globalité ou juste l’application ?
Notamment, est-ce que les services autres que web sont dans le périmètre ?
Est-ce que les tests seront effectués en environnement de production ou en recette ?
Combien y a-t-il de profils applicatifs sur l’application ?
Quelles sont les technologies impliquées ? (Cette question est une question plutôt “boîte blanche”, mais toute information est bonne à prendre.)
Nous vous conseillons également de demander une démonstration de l’application si possible, c’est bien souvent très efficace pour évaluer la complexité de l’application.
À vous de jouer !
Scénario
Jessica Thomas, manager de la division Sécurité offensive de l'entreprise dans laquelle vous travaillez, a transmis à Thibaut le mail d'un client qui demande un test d'intrusion :
Objet : Prise de contact – Services en cybersécurité
De : Mikael Leroy <mikael.leroy@example.com>
À : Jessica Thomas <jessica.thomas@cybersecurite.com>
Bonjour,
Je m'appelle Mikael Leroy, CTO de example.com, application web de e-santé qui existe depuis plusieurs années. Notre application participe à répondre aux problématiques des hôpitaux en France (système peu informatisé globalement, avec des composantes pourtant essentielles comme l'orchestration du parcours patient ou la gestion des stocks, rarement automatisées). Notre mission est d’aider ces hôpitaux à devenir les plus efficients possible, et de fiabiliser différents processus.
Je vous contacte pour prendre connaissance de vos services, notamment en cybersécurité, car nous avons besoin de tester la sécurité de l'application web que nous déployons auprès de nos hôpitaux partenaires. Nous souhaitons vérifier l'adéquation du niveau de sécurité de l'application avec les enjeux qu’elle porte : la protection de la confidentialité des données des patients, notamment, est notre priorité. Pourriez-vous revenir vers moi pour que nous puissions discuter d’un accompagnement assez rapidement (nous sommes basés en région Aquitaine) ?
Merci.
Cordialement,
Mikael Leroy
CTO – example.com
Consigne
Jessica a demandé à Thibaut de préparer des questions pour la réunion de qualification et de prendre rendez-vous avec le prospect. Et vous allez l'aider dans cette tâche !
Information importante que Jessica précise : il faut proposer au client de faire la mission à distance car il est trop éloigné de vos bureaux et souhaite un démarrage rapide, ce qui impliquera de lister les prérequis dont vous allez avoir besoin.
Dans cet exercice, vous allez lister les différentes questions que Thibaut pourra poser en réunion pour qualifier le besoin et obtenir tous les prérequis.
Alors ? Quelles questions pouvez-vous lister au regard de ce que nous avons vu dans ce chapitre ?
Corrigé
Étape 3 : discutez du planning et du budget
Le planning est aussi important que la mission en elle-même : il fait partie de la qualité globale de la prestation.
Si vos plannings respectifs ne correspondent pas, essayez de trouver un terrain d’entente ou passez simplement votre chemin. Le client appréciera toujours plus l'honnêteté que des promesses non tenues, et pensera de nouveau à vous pour ses prochains besoins.
Enfin, vous pourrez aborder la question du budget. Dans la majorité des cas, le client vous dira qu’il n’a pas de budget en tête (ce qui peut être faux la plupart du temps).
Faites une réunion pour lancer la mission
La réunion de lancement intervient une fois que le commanditaire a accepté votre proposition.
Étape 1 : confirmez le cadre et les prérequis
Cette réunion permet de :
présenter la personne ou l’équipe qui va réaliser la mission ;
confirmer le périmètre ;
informer toutes les parties prenantes de l’existence du ou des tests ;
et vérifier plusieurs éléments logistiques pour éviter une mauvaise surprise, comme :
La langue de rédaction des livrables : certaines sociétés internationales comme les banques, notamment, travaillent avec des livrables en anglais.
Le format des livrables : certaines entreprises ont standardisé l’approche, et souhaitent que vous utilisiez leurs formats.
Les modalités de communication et notamment le chiffrement des documents : qui contacter en cas de problème ; via quel moyen (mail, SMS…) ; et comment bien protéger les documents (ZIP chiffré, Zed!, partage cloud…) ?
Les plages horaires dans lesquelles vous pouvez faire les tests, ou justement celles à éviter (coucou les applications de gestion de la paie en fin de mois !).
S’il faut envoyer un mail ou non avant chaque journée de test, et à qui (Security Operation Center et/ou les équipes métier).
Si vous pouvez utiliser votre ordinateur ou s'il faut demander au client de vous en fournir un (sur ce point, attention : ne pas avoir ses outils est à mon sens très pénalisant en termes de productivité).
Si on peut travailler à distance via un compte VPN SSL ?
Vérifier ces points en amont facilitera votre relation avec le client tout en respectant sa façon de travailler. Il m’est déjà arrivé, ainsi qu’à d'anciens collègues, de devoir traduire un livrable car nous avions oublié qu’il fallait le rédiger en anglais ! Un document de quelques pages ça va, mais un rapport de 70 pages… On retient la leçon.
Étape 2 : rédigez un document de cadrage
Seuls les tests d’intrusion qualifiés PASSI sont normés. Pour les autres, pas de règles mais tout de même des bonnes pratiques à respecter. Le document de cadrage en est une. (Le référentiel d’exigence PASSI nomme ce document une “convention de service”).
Le document de cadrage permet de synthétiser tout ce qui a pu être discuté (périmètre, modalités…). Il s'agit d'un document plutôt standard et rapide à remplir.
La réalité du terrain peut parfois nous inciter à commencer les tests avant que le document ne soit signé ; il peut arriver aussi que le document ne soit jamais produit. Étant donné que vous avez à priori un contrat avec votre client, ce n’est normalement pas dramatique.
Nous vous conseillons tout de même fortement de faire ce document et de rappeler au client qu'il est nécessaire pour démarrer les tests. En effet, il servira de base de discussion en cas de problème sur le périmètre ou les périodes de test.
En résumé
La réunion de qualification est un exercice qui a pour but de collecter les besoins du commanditaire pour formuler une proposition de prestation, soit sous la forme de devis ou proposition commerciale dans le cas d’une société externe, soit d’une lettre de mission en interne, par exemple.
À l’issue de cette réunion, vous devez connaître au minimum le périmètre des tests, l’approche (boîte noire / grise / blanche) et le planning.
La réunion de lancement arrive une fois la proposition validée, et permet de s’aligner avec toutes les parties prenantes sur ce qui a été décidé en réunion de lancement. C’est à ce moment-là que sont discutées toutes les modalités techniques et logistiques.
Tous ces points sont formalisés dans un document de cadrage. Ce document ne supplante pas un contrat entre vos deux entreprises, mais le complète.
Dans le prochain chapitre, nous allons continuer dans notre préparation des tests, avec la préparation de son environnement de travail, pour éviter de perdre du temps au début de l’audit.
