Assessment Standards

🎯 Pourquoi suivre des standards ?

Les vulnerability assessments et pentests doivent suivre des standards reconnus afin d’être valides légalement ou acceptés par des tiers (gouvernements, partenaires, régulateurs). Ils garantissent une évaluation rigoureuse, structurée, et conforme aux bonnes pratiques du secteur.

🛡️ Normes de Conformité (Compliance Standards)

Certaines réglementations sectorielles exigent que les organisations se conforment à des normes spécifiques :

Norme
Objectif principal
Obligations liées

PCI DSS

Sécuriser les données bancaires (cartes de paiement)

Scans internes & externes, réseau segmenté

HIPAA

Protéger les données médicales des patients

Analyse des risques obligatoire

FISMA

Sécuriser les systèmes d’information du gouvernement US

Politique de gestion des vulnérabilités

ISO 27001

Norme internationale de gestion de la sécurité informatique

Scans internes/externes réguliers requis

📌 La conformité réglementaire n’est pas une finalité, mais un socle : chaque entreprise doit adapter sa stratégie aux risques spécifiques de son environnement.

🧪 Normes de tests d’intrusion (Pentesting Standards)

Un pentest ne s’improvise pas. Il doit être contractualisé, délimité par un périmètre clair, et effectué avec précaution (aucune altération inutile, pas de suppression de données, preuve par capture d’écran plutôt que par exfiltration).

🔹 PTES (Penetration Testing Execution Standard)

Applicable à tout type de test d’intrusion, il décrit les phases clés :

  1. Pré-engagement

  2. Collecte d’informations

  3. Modélisation des menaces

  4. Analyse des vulnérabilités

  5. Exploitation

  6. Post-exploitation

  7. Rapport

🔹 OSSTMM (Open Source Security Testing Methodology Manual)

Manuel couvrant 5 canaux de test :

  • Sécurité humaine (ingénierie sociale)

  • Sécurité physique

  • Communications sans fil

  • Télécommunications

  • Réseaux de données

🔹 NIST (National Institute of Standards and Technology)

Framework américain structurant les pentests en 4 étapes :

  1. Planification

  2. Découverte

  3. Attaque

  4. Rapport

🔹 OWASP (Open Web Application Security Project)

Spécialisé en applications web et mobiles. Propose plusieurs guides reconnus :

  • WSTG : Web Security Testing Guide

  • MSTG : Mobile Security Testing Guide

  • FSTM : Firmware Security Testing Methodology

🧠 En résumé

  • La conformité (PCI, HIPAA, FISMA, ISO…) impose des exigences de sécurité adaptées au secteur.

  • Le pentest doit suivre un cadre (PTES, OSSTMM, NIST…) structuré, éthique et défini par contrat.

  • Le respect de ces standards garantit des évaluations professionnelles, reproductibles et exploitables.

  • L’objectif est d’améliorer en continu la posture de sécurité… pas juste de "cocher une case" ✅

PrécédentVulnerability AssessmentSuivantCommon Vulnerability Scoring System (CVSS)

Mis à jour