Préparez le support de présentation
30 minutes de tram pour rejoindre le lieu de restitution chez le commanditaire, pile-poil le temps de réaliser le support de présentation ! Je plaisante… Il faut un peu plus de temps que ça pour rédiger cette présentation. Mais qui sait, quand vous en serez à votre 100e ?
D’accord mais au fait, qu’est-ce qu’on met dans des diapositives de restitution ? Les vulnérabilités ? Les recommandations ? Quoi d’autre ?
Ces deux éléments, mais pas que et loin s’en faut !
Le support de restitution, comme tout autre livrable, doit être autoporteur : tous les éléments nécessaires à la compréhension doivent être dans la présentation. Notre parole ne vient qu’appuyer et présenter ces éléments, rajouter un peu de contenu ou expliciter certains points.
Étape 1 : rappelez le contexte
Donc avant de parler avec passion de nos merveilleuses trouvailles, il est pertinent de rappeler le contexte. Cela permet de remettre tout le monde au même niveau.
Étape 2 : résumez les points positifs et axes d’amélioration
Certaines personnes seront particulièrement occupées et de passage rapide dans la réunion. À ces personnes, il faut résumer les aspects positifs et les points à travailler sur l’application, tôt dans la présentation.
Étape 3 : montrez les vulnérabilités par ordre de criticité
C’est le moment où vous présentez :
Les vulnérabilités trouvées.
Les scénarios de risque ou d’exploitation.
Et les recommandations associées.
Comme tout être humain, il a une capacité d’attention limitée. Autant utiliser le moment où il est complètement concentré pour lui faire passer les messages importants, et laisser le moment où il est susceptible de décrocher pour les choses moins critiques.
D’ailleurs, il n’est pas forcément nécessaire de mettre dans la présentation de restitution les vulnérabilités les moins importantes si vous avez beaucoup de choses à présenter.
À vous de jouer !
Consigne
Dans l’application example.com , nous avons trouvé une belle vulnérabilité CSRF sur la fonctionnalité permettant aux médecins de délivrer des ordonnances.
Si un attaquant connaît le nom du médicament, la prescription et les informations patient, il peut faire prescrire à son insu des médicaments à un médecin ! Il peut par exemple se prescrire des médicaments restreints comme de la morphine ou des stupéfiants. Et comme les ordonnances sont communiquées par mail à leur bénéficiaire, l'attaquant peut récupérer l'ordonnance dans sa boite de réception. Pas top comme scénario… Saurez-vous le schématiser pour expliquer cette vulnérabilité un peu spéciale en réunion de restitution ?
Solution
Présentez votre travail
Votre support est prêt ? Que le spectacle commence : vous êtes parti pour 1 h de présentation (attention, ça passe très vite).
Que les vulnérabilités coulent à flot ou qu'aucune faille n'ait été identifiée, chaque restitution présente son lot de défis qu’il va falloir surmonter.
La réunion de restitution ne doit en aucun cas être une chasse aux sorcières pour savoir qui a fait telle ou telle erreur.
Parfois, les commanditaires auront des idées précises de ce qu’ils attendent de la restitution : débloquer du budget, décommissionner une application, embarquer les métiers dans une démarche de sécurité, par exemple. Si ces objectifs sont compatibles avec votre posture, rien ne vous empêche d’orienter un peu votre discours ou certaines recommandations pour aller dans le sens du commanditaire.
Pour cela, rappelez ces objectifs dès le début de la réunion. Ensuite, déroulez la présentation comme vous l’avez construite et planifiée.
Ne passez pas trop rapidement sur la partie synthèse, ni sur les bons points : ça intéresse aussi les équipes de savoir sur quels sujets ils ont fait du bon travail !
Prenez le temps de :
présenter les sujets compliqués (ou les sujets qui soulèvent des débats) ;
écouter les objections s’il y en a. Répondez-y sans chercher à avoir raison quoi qu’il en coûte et imposer votre vision, mais essayez plutôt de trouver une solution commune.
Si un des membres de la réunion conteste une des vulnérabilités, vous avez deux possibilités :
Soit vous en avez la preuve technique et vous la ressortez pour en discuter.
Soit vous ne l’avez pas (ou encore celle-ci est insuffisante). Dans ce cas, proposez au commanditaire de refaire le test de cette vulnérabilité. Mieux vaut vérifier vos dires plutôt que persister si vous ne pouvez pas prouver ce que vous avancez.
Avant d’aller plus loin, j’aimerais vous laisser découvrir les astuces et conseils de nos deux experts pour qu’une réunion de restitution se déroule dans les meilleures conditions :
Récoltez le feedback de votre auditoire
Et voilà, nous arrivons à la fin de cette mission. Tout s’est bien passé de votre point de vue, mais qu’en est-il du point de vue du commanditaire ?
Demandez-lui !
Comment a-t-il vécu la mission de son côté ?
Est-ce que tout était clair lors de la restitution ?
Est-ce qu’il pense avoir tous les éléments pour mener le plan d’action ?
L’objectif n’est pas de recevoir des fleurs, mais simplement de s'assurer que le client est satisfait de notre travail.
Ensuite, proposez-lui de refaire un point dans 3 mois, pour voir comment le plan d’action a avancé et maintenir la relation avec lui.
Ce cours est terminé, félicitations ! J'espère vous avoir appris toutes les notions de base pour que vous vous sentiez prêt à réaliser votre premier test d’intrusion web.
Allez plus loin
Vous êtes au début de votre voyage dans le monde des tests d’intrusion : je vous encourage à monter en compétence en faisant de la veille et en expérimentant.
Vous pouvez aussi installer ces applications en tant que machine virtuelle sur votre ordinateur, en les téléchargeant depuis le site VulnHub . Vous pourrez ainsi vous entraîner sans accès à Internet.
Je vous encourage également à consulter la Web Security Academy de Portswigger qui est une excellente base de connaissance concernant les vulnérabilités web. Allez y faire un tour si vous souhaitez creuser un type de vulnérabilité en particulier. (Le site est en anglais).
Enfin, la plateforme d'entrainement Root Me vous mettra à rude épreuve via ses challenges. Les catégories Web - Client et Web - Serveur sont dédiées au Web. Vous pourrez aussi naviguer dans les autres catégories selon vos envies. D'autre plateformes de challenges existent : overthewire (en anglais), newbiecontest (en français) ou encore HackTheBox (en anglais).
En résumé
Je vous recommande fortement de vous appuyer sur un support pour réaliser la restitution de votre travail.
Ce support doit être autoporteur, c’est-à-dire contenir toutes les informations importantes concernant les résultats du test d’intrusion que vous venez de mener.
Le support doit contenir au minimum les éléments suivants :
un rappel du contexte ;
une synthèse managériale avec les points saillants positifs et négatifs ;
les vulnérabilités et les scénarios d’exploitation ou de risque, ainsi que les recommandations associées.
Si vous avez un nombre très élevé de vulnérabilités, vous pouvez vous permettre de ne montrer et expliquer que les plus importantes en réunion de restitution. Les autres seront dans le rapport détaillé dans tous les cas.
En réunion, soyez dans la construction mutuelle avec le commanditaire et ses équipes. Votre rôle n’est pas de distribuer des mauvais points ou chercher un fautif.
En fin de réunion, récoltez le sentiment à chaud du commanditaire et de ses équipes vis-à-vis de la mission. Cela vous permet de vous assurer que vous n’êtes passé à côté d’aucun élément. Proposez au commanditaire un rendez-vous quelques semaines ou mois plus tard, pour voir comment a avancé le plan d’action.
Le cours est presque terminé, je vous laisse avec nos deux experts pour le mot de la fin :
Il vous reste un dernier quiz à valider et vous pourrez être fier du chemin parcouru !
