Quentin 18, Mar, 2018

Tout d’abord il faut répondre aux demandes particulières du client s’il en a ! D’une manière générale, voici les sections du rapport :

Page de garde :

Nom et logo de l’équipe, nom du client
Un titre explicite sur le contenu (il pourrait y avoir plusieurs rapports de pentests pour le même client.
La date à laquelle le test a été effectué. (important pour connaître l’évolution de la sécurité dans le temps).
Le niveau de confidentialité (à définir avec le client)

Un résumé : (très court) pas de terme technique

Ce qui a été fait : “nous avons effectué un test de pénétration sur …”
Ce qui a été trouvé : “nous avons trouvé un problème de sécurité au niveau de …”
Ce qui va être fait ensuite : ”il est conseillé de régler le problème …, nous pourrions ensuite refaire un test.”
Conclusion, le SI est-il en danger ? (“oui” ou “non” mais pas “bof”) : “En conclusion, nous avons identifié des zones ou la sécurité n’est pas suffisante et induit une faille de sécurité. Nous devons donc déclarer le système non sécurisé.”

Partie 1 (non technique)

Recadrer la mission (cadre légal et juridique).
Faire un organigramme avec le nom du chef d’équipe, les noms et assignments des membres de l’équipe.
Faire un résumé des vulnérabilités sur une page de manière à ce que le lecteur du rapport sache rapidement ce qu’il faut revoir. (éventuellement des tableaux/graphiques). Il est possible de classer les failles par catégories.
Décrire les outils utilisés (dans le cas où quelqu’un voudrait refaire les tests).

Partie 2 (technique)

Détails sur les vulnérabilités trouvées (comment elles ont été décelées, comment elles peuvent être exploitées, ce que l’on peut obtenir en les exploitant).
Inclure des détails/conseils pour remédier à ces failles (les étapes pour y arriver, pas juste une phrase).

Partie 3 : Exploit, l’attaque monté, le choix des outils…

Exemple de rapport