Les méthodes d’un rapport de Pentest
Tout d’abord il faut répondre aux demandes particulières du client s’il en a ! D’une manière générale, voici les sections du rapport :
Page de garde :
- Nom et logo de l’équipe, nom du client
- Un titre explicite sur le contenu (il pourrait y avoir plusieurs rapports de pentests pour le même client.
- La date à laquelle le test a été effectué. (important pour connaître l’évolution de la sécurité dans le temps).
- Le niveau de confidentialité (à définir avec le client)
Un résumé : (très court) pas de terme technique
- Ce qui a été fait : “nous avons effectué un test de pénétration sur …”
- Ce qui a été trouvé : “nous avons trouvé un problème de sécurité au niveau de …”
- Ce qui va être fait ensuite : ”il est conseillé de régler le problème …, nous pourrions ensuite refaire un test.”
- Conclusion, le SI est-il en danger ? (“oui” ou “non” mais pas “bof”) : “En conclusion, nous avons identifié des zones ou la sécurité n’est pas suffisante et induit une faille de sécurité. Nous devons donc déclarer le système non sécurisé.”
Partie 1 (non technique)
- Recadrer la mission (cadre légal et juridique).
- Faire un organigramme avec le nom du chef d’équipe, les noms et assignments des membres de l’équipe.
- Faire un résumé des vulnérabilités sur une page de manière à ce que le lecteur du rapport sache rapidement ce qu’il faut revoir. (éventuellement des tableaux/graphiques). Il est possible de classer les failles par catégories.
- Décrire les outils utilisés (dans le cas où quelqu’un voudrait refaire les tests).
Partie 2 (technique)
- Détails sur les vulnérabilités trouvées (comment elles ont été décelées, comment elles peuvent être exploitées, ce que l’on peut obtenir en les exploitant).
- Inclure des détails/conseils pour remédier à ces failles (les étapes pour y arriver, pas juste une phrase).
Partie 3 : Exploit, l’attaque monté, le choix des outils…
Exemple de rapport
https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf