Tests d'intrusion du système d'archivage électronique sur instao.fr

Périmètre

Tests d'intrusion externes ciblant le système d'archivage électronique SESAM.
Couverture des modules et environnements applicatifs exposés (adresses IP/public endpoints, modules web, interfaces HTTP(S), etc.).

Méthodologie et standards attendus

Respect des cadres OWASP, PTES, NIST SP 800-115 et OSSTMM.
Deux approches requises : boîte noire (aucune information préalable) et boîte grise (informations ou accès limités, ex. compte utilisateur restreint).

Phases des tests

Reconnaissance passive et active, cartographie des surfaces d'attaque.
Exploitation des vulnérabilités identifiées (tests d'exploitation contrôlés).
Post-exploitation et évaluation de l'impact (si applicable et autorisé).
Tests spécifiques via WAF et, selon la phase, tests directs sans passer par le WAF.

Livrables attendus

Rapport d'audit complet comprenant : méthodologie et périmètre détaillés (outils, techniques, environnements, IP, modules), synthèse managériale, liste des vulnérabilités classées par criticité, description technique et vecteurs d'exploitation, preuves (captures, journaux, requêtes), recommandations et actions correctives.
Annexes techniques (captures d'écran, journaux, requêtes HTTP, scripts de test, artefacts de preuve).
Rapport de vérification/retest après remédiation le cas échéant.

Contraintes opérationnelles et confidentialité

Exécution planifiée en coordination avec les contraintes opérationnelles du titulaire du système testé.
Signature d'un accord de confidentialité (NDA) et obligations strictes de protection des données et de non-divulgation.
Respect du cadre légal lors des phases d'exploitation et de post-exploitation.

Voir tous les détails

Cahier des charges, budget, contacts...

Tests d'intrusion du système d'archivage électronique