Audit de Tests d’intrusion

Une définition ?

Prestataires d’audit de la sécurité des systèmes d’information – Référentiel d’exigences, https://www.ssi.gouv.fr/uploads/2014/11/RGS_v-2-0_C.pdf, paragraphe II.4

Le principe du test d’intrusion est de découvrir des vulnérabilités sur le système d’information audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un attaquant potentiel. Les vulnérabilités testées peuvent également avoir été identifiées au cours d’autres activités d’audit définies dans ce chapitre.

Cette activité d’audit peut être réalisée soit depuis l’extérieur du système d’information audité (notamment depuis Internet ou le réseau interconnecté d’un tiers), soit depuis l’intérieur.

Un test d’intrusion seul n’a pas vocation à être exhaustif. Il s’agit d’une activité qui doit être effectuée en complément d’autres activités d’audit afin d’en améliorer l’efficacité ou de démontrer la faisabilité de l’exploitation des failles et vulnérabilités découvertes à des fins de sensibilisation.

Les tests de vulnérabilité, notamment automatisés, ne représentent pas à eux seuls une activité d’audit au sens du référentiel.