Définir le scope d’un pentest est une étape délicate. Quelle sera la cible du pentest ? Plus précisément, quels aspects fonctionnels et techniques faut-il tester en priorité ? De plus, quel degré de profondeur et quelle fréquence de pentest sont à recommander ?
L’objectif de ce livre blanc est de vous fournir différentes informations afin de définir une stratégie de pentest. Nous avons synthétisé les points clés issus de nos échanges avec environ 200 entreprises clientes de toutes tailles et de tous secteurs d’activité. Chaque élément doit être analysé en fonction de votre contexte métier. Vous serez ensuite en mesure de définir un périmètre pour vos futurs audits de sécurité.
Dans ce livre blanc, nous verrons :
- Que faut-il auditer ?
- Identifier la surface d’attaque
- Définir vos priorités
- Stratégie de pentest
- Tester les cibles non prioritaires
- Comment auditer les cibles ?
- Black box, grey box, white box : quelle approche ?
- Comment estimer la durée nécessaire pour un pentest ?
- Exhaustivité et certificats
- Récurrence
Faire des choix en amont vous permettra d’être plus efficace lors de vos échanges avec le partenaire qui sera en charge du pentest. L’échange reste cependant incontournable, car c’est en confrontant votre regard interne avec le regard externe d’un tiers spécialisé que vous parviendrez aux meilleurs choix afin de valider concrètement votre projet d’audit de sécurité.