Les méthodes d’un rapport de Pentest

Tout d’abord il faut répondre aux demandes particulières du client s’il en a ! D’une manière générale, voici les sections du rapport :

 

Page de garde :

  • Nom et logo de l’équipe, nom du client
  • Un titre explicite sur le contenu (il pourrait y avoir plusieurs rapports de pentests pour le même client.
  • La date à laquelle le test a été effectué. (important pour connaître l’évolution de la sécurité dans le temps).
  • Le niveau de confidentialité (à définir avec le client)

 

Un résumé : (très court) pas de terme technique

  • Ce qui a été fait : “nous avons effectué un test de pénétration sur …”
  • Ce qui a été trouvé : “nous avons trouvé un problème de sécurité au niveau de …”
  • Ce qui va être fait ensuite : ”il est conseillé de régler le problème …, nous pourrions ensuite refaire un test.”
  • Conclusion, le SI est-il en danger ? (“oui” ou “non” mais pas “bof”) : “En conclusion, nous avons identifié des zones ou la sécurité n’est pas suffisante et induit une faille de sécurité. Nous devons donc déclarer le système non sécurisé.”

 

Partie 1 (non technique)

  • Recadrer la mission (cadre légal et juridique).
  • Faire un organigramme avec le nom du chef d’équipe, les noms et assignments des membres de l’équipe.
  • Faire un résumé des vulnérabilités sur une page de manière à ce que le lecteur du rapport sache rapidement ce qu’il faut revoir. (éventuellement des tableaux/graphiques). Il est possible de classer les failles par catégories.
  • Décrire les outils utilisés (dans le cas où quelqu’un voudrait refaire les tests).

 

Partie 2 (technique)

  • Détails sur les vulnérabilités trouvées (comment elles ont été décelées, comment elles peuvent être exploitées, ce que l’on peut obtenir en les exploitant).
  • Inclure des détails/conseils pour remédier à ces failles (les étapes pour y arriver, pas juste une phrase).

 

Partie 3 : Exploit, l’attaque monté, le choix des outils…

 

 

Exemple de rapport

 

https://www.offensive-security.com/reports/sample-penetration-testing-report.pdf