Assessment Standards

🎯 Pourquoi suivre des standards ?

Les vulnerability assessments et pentests doivent suivre des standards reconnus afin d’être valides légalement ou acceptés par des tiers (gouvernements, partenaires, régulateurs). Ils garantissent une évaluation rigoureuse, structurée, et conforme aux bonnes pratiques du secteur.

🛡️ Normes de Conformité (Compliance Standards)

Certaines réglementations sectorielles exigent que les organisations se conforment à des normes spécifiques :

Norme

Objectif principal

Obligations liées

PCI DSS

Sécuriser les données bancaires (cartes de paiement)

Scans internes & externes, réseau segmenté

HIPAA

Protéger les données médicales des patients

Analyse des risques obligatoire

FISMA

Sécuriser les systèmes d’information du gouvernement US

Politique de gestion des vulnérabilités

ISO 27001

Norme internationale de gestion de la sécurité informatique

Scans internes/externes réguliers requis

📌 La conformité réglementaire n’est pas une finalité, mais un socle : chaque entreprise doit adapter sa stratégie aux risques spécifiques de son environnement.

🧪 Normes de tests d’intrusion (Pentesting Standards)

Un pentest ne s’improvise pas. Il doit être contractualisé, délimité par un périmètre clair, et effectué avec précaution (aucune altération inutile, pas de suppression de données, preuve par capture d’écran plutôt que par exfiltration).

🔹 PTES (Penetration Testing Execution Standard)

Applicable à tout type de test d’intrusion, il décrit les phases clés :

Pré-engagement
Collecte d’informations
Modélisation des menaces
Analyse des vulnérabilités
Exploitation
Post-exploitation
Rapport

🔹 OSSTMM (Open Source Security Testing Methodology Manual)

Manuel couvrant 5 canaux de test :

Sécurité humaine (ingénierie sociale)
Sécurité physique
Communications sans fil
Télécommunications
Réseaux de données

🔹 NIST (National Institute of Standards and Technology)

Framework américain structurant les pentests en 4 étapes :

Planification
Découverte
Attaque
Rapport

🔹 OWASP (Open Web Application Security Project)

Spécialisé en applications web et mobiles. Propose plusieurs guides reconnus :

WSTG : Web Security Testing Guide
MSTG : Mobile Security Testing Guide
FSTM : Firmware Security Testing Methodology

🧠 En résumé

La conformité (PCI, HIPAA, FISMA, ISO…) impose des exigences de sécurité adaptées au secteur.
Le pentest doit suivre un cadre (PTES, OSSTMM, NIST…) structuré, éthique et défini par contrat.
Le respect de ces standards garantit des évaluations professionnelles, reproductibles et exploitables.
L’objectif est d’améliorer en continu la posture de sécurité… pas juste de "cocher une case" ✅

PreviousVulnerability Assessment NextVulnerability Scoring and Reporting

Last updated 7 months ago

hashtag🎯 Pourquoi suivre des standards ?

hashtag🛡️ Normes de Conformité (Compliance Standards)

hashtag🧪 Normes de tests d’intrusion (Pentesting Standards)

hashtag🔹 PTES (Penetration Testing Execution Standard)arrow-up-right

hashtag🔹 OSSTMM (Open Source Security Testing Methodology Manual)arrow-up-right

hashtag🔹 NIST (National Institute of Standards and Technology)arrow-up-right

hashtag🔹 OWASP (Open Web Application Security Project)arrow-up-right

hashtag🧠 En résumé