Méthodologie

Penetration Testing Execution Standard

PTES est une grammaire commune qui permet d'aligner commanditaires, équipes offensives et gouvernance sur une séquence claire : ce guide synthétise les livrables, décisions critiques et points de vigilance jusqu'à la boucle d'amélioration continue.

Vue d'ensemble

Objectifs

Orchestrer un test d'intrusion centré métier : scénarios alignés sur les risques, transparence des hypothèses, restitution exploitable.

Livrables attendus

Fiches de cadrage, journal d'engagement, preuves exploitables, matrices d'impact, plan d'action couplé aux normes internes.

Rôles

Commanditaire, pilote sécurité, équipe offensive, correspondant SOC/IT, référent conformité pour arbitrer surface & règles.

Principes structurants

Transparence

Chaque hypothèse (accès fournis, scope IP, identités) est versionnée; les décisions sont tracées dans le journal d'engagement.

Trajectoire risque

Les scénarios sont reliés aux risques majeurs (perte dispo, fraude, fuite). Les résultats alimentent directement la cartographie.

Réplicabilité

Commandes, scripts, données factices et preuves sont regroupés dans une archive contrôlée pour permettre la relecture.

Phasage PTES

1. Pré-engagement

Définir objectifs, périmètre, règles d'engagement et critères d'arrêt. Validation juridique et gestion de crise en place.

  • Inputs : matrice de risques, cartographie systèmes, dépendances métiers.
  • Livrables : feuille de mission signée, contact d'astreinte, protocole de sauvegarde.
2. Renseignement

Collecter données techniques et métier (OSINT, SOCINT, passifs). Identifier surfaces exposées et voies d'accès plausibles.

  • Focus : actifs externes, empreintes cloud, secrets divulgués, calendrier immuable (campagnes, clôtures financières).
3. Modélisation des menaces

Assembler les scénarios adverses prioritaires : quelles motivations, quelles capacités, quels chemins d'attaque plausibles.

  • Livrables : cartes d'attaque, critères de succès, indicateurs de détection attendus.
4. Analyse de vulnérabilités

Combiner scans, revue manuelle et tests différentiels pour qualifier surface et dette technique utile au scénario.

  • Éviter la simple checklist : prioriser les enchaînements exploitables et leurs prérequis.
5. Exploitation

Valider les hypothèses critiques en conditions contrôlées : accès initial, mouvement latéral, élévation de privilèges.

  • Tenir un journal horodaté (actions, commandes, hachage des preuves) et notifier tout incident grave identifié.
6. Post-exploit

Démontrer les impacts réalistes : accès aux données sensibles, capacité de persistance, pivot vers filiale ou fournisseur.

  • Limiter l'exfiltration à des échantillons contrôlés, documenter l'état initial pour faciliter la remédiation.
7. Reporting

Produire récit exécutif, matrice de risques et fiches techniques détaillées, avec recommandations priorisées.

  • Adapter le vocabulaire : synthèse dirigeante, fiche SOC/défense, backlog IT sécurisé.

Livrables clés par phase

Journal d'engagement

Horodatage des actions, sources, preuves stockées avec hachage pour assurer l'intégrité.

Matriciel risques ↔ vulnérabilités

Montre comment chaque trouvaille alimente un scénario d'impact métier donné.

Plan de remédiation

Catégorisation court/moyen terme, effort estimé, dépendances techniques, propriétaire identifié.

Annexes techniques

Commandes, extraits de preuves, description des environnements utilisés pour permettre la réplication.

Boucle d'amélioration continue

Le PTES n'est pas un exercice ponctuel : chaque engagement alimente la posture défensive, la cartographie des risques et la maturité des contrôles.