• 8 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 28/02/2019

Rédigez votre rapport de test d’intrusion

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

En tant que pentesteur, vous devez avoir des compétences très techniques, mais également savoir rédiger et mettre en forme le résultat de vos recherches. Le rapport de test d'intrusion est un élément essentiel pour le client (cible du pentest) car ce sera un guide pour la correction des vulnérabilités trouvées.

Cette partie ne doit pas être négligée, car même le meilleur des travaux est inutile s’il n'est pas restitué. Nous allons donc voir dans cette partie comment effectuer la restitution.

Le destinataire du rapport

Pour bien rédiger un document, il faut toujours avoir en tête le ou les destinataires. Ceux-ci peuvent être mentionnés dans les premières pages du document.

De plus, il faut que le contenu soit en adéquation avec le niveau technique et les compétences du destinataire. Dans le cas du rapport de test d'intrusion, il peut s'adresser aux personnes suivantes de l’entreprise :

  • Le DSI, directeur des systèmes d'information

  • Le responsable système et réseau

  • L'équipe d'informaticiens en charge de l'administration du système d’information

  • Les développeurs d'une application interne à l'entreprise

  • L'entreprise prestataire de service s'occupant de la maintenance du système informatique

  • Le gérant ou le chef d'entreprise pour les entreprises de plus petite taille

C'est ce que nous allons voir dans le chapitre suivant.

Présentation et structure

Chaque entreprise en cybersécurité présente son rapport d'une façon différente. Cela dit, il est souvent formaté de la manière suivante :

  • Format : Format PDF non modifiable, de quelques dizaines de pages.

  • Langue : En français ou anglais en général.

  • Confidentiel : Le rapport contenant des informations permettant de s'introduire dans l'entreprise, il est impératif de signaler que c’est comme un document confidentiel. Il est possible par exemple d’insérer un filigrane sur chaque page.

Il contient également toujours tous ces éléments dans l’ordre suivant :

  • Le sommaire : comme dans tout document assez long, il est conseillé d'avoir un sommaire pour une meilleure appréhension de la structure et faciliter sa lecture.

  • Le contexte et le périmètre : il est bon de rappeler la raison pour laquelle le test a été effectué, et le périmètre du test d'intrusion, par exemple les adresses IP qui ont été testées.

  • Les conditions du test : il est bien expliqué qu'il existe plusieurs types de tests d'intrusion (boîte noire, boîte grise, boîte blanche). Il est important de préciser lequel de ces tests a été effectué.

  • La méthodologie : il existe plein de méthodologie de test d'intrusion (OWASP, PCI, Penetration Testing Execution Standard, OSSTMM, etc…). Il peut être intéressant pour les lecteurs de savoir quelle méthodologie a été choisie. À défaut, il faut indiquer le processus de test qui a été suivi.

  • Les axes d’évaluation : souvent les 3 axes d'évaluation utilisés pour qualifier les vulnérabilités ne sont pas forcément intuitifs. Il est bon de les expliquer pour que le lecteur comprenne plus facilement.

  • Les résultats du test : La plupart du temps sous forme de tableau, il est présenté comme un listing des vulnérabilités trouvées, avec les différentes informations les qualifiantes.

  • Une synthèse : pour les lecteurs qui veulent juste avoir un aperçu de la sécurité sans lire l'intégralité du rapport, il est intéressant de mettre une partie de synthèse récapitulant le nombre de vulnérabilités trouvées en fonction :

    • de la sévérité

    • du niveau de priorité de correction

    • de la difficulté de correction

Il peut être intéressant de résumer le nombre de failles trouvées dans des petits tableaux de synthèse par sévérité, priorité, et difficulté de correction. Par exemple, noter qu’il existe 2 failles de sévérité intolérables, 5 modérées et 3 acceptables.

Pour rappel, l’exemple de test d'intrusion vu dans le chapitre précédent est ici.

Cette fois-ci, je vous invite à consulter surtout la mise en forme. Regardez bien : Page 31, 32 et 33, vous retrouverez le « rating » de chaque vulnérabilité écrit en rouge. C'est la sévérité de la vulnérabilité que le pentesteur a déterminée.

Voilà également un deuxième exempleDans ce rapport, regardez bien les choses suivantes : page 34 le pentesteur de détail l'échelle qui l'utilise pour classifier le niveau de risque ; page 35 et un résumé de toutes les vulnérabilités avec leur niveau de risque ; et enfin page 37 présenter sous une autre forme, un tableau récapitulatif des vulnérabilités avec les adresses IP et de leur criticité.

Voilà pour l’essentiel sur la rédaction du rapport de test d’intrusion. Voyons maintenant comment le présenter au client.

En résumé

  • Le rapport de test d'intrusion est un document technique qui doit également pouvoir être lu par des responsables sans compétences informatiques poussées.

  • Le rapport de test d'intrusion est un document confidentiel, car il contient des informations sensibles qui peuvent permettre à une personne malveillante de s'introduire dans le système informatique.

  • Il n’y a pas de structure unique de rapport d’intrusion, mais certains éléments sont indispensables.

Exemple de certificat de réussite
Exemple de certificat de réussite