---
title: "Pre-engagement — Scope & Règles d'engagement"
domain: security
subdomain: pentest
phase: 00-pre-engagement
type: playbook
tags: [pre-engagement, pentest, scope, rules-of-engagement, legal]
difficulty: beginner
status: stable
updated: "Sun May 10 2026 00:00:00 GMT+0000 (Coordinated Universal Time)"
---
## Objectifs

Établir un cadre juridique et opérationnel clair **avant** toute interaction avec la cible.

<Danger>Aucune action technique sans autorisation écrite signée. Un pentest non-autorisé est une infraction pénale (art. 323-1 CP).</Danger>

## Questions de cadrage

| Catégorie | Questions à poser |
|---|---|
| **Périmètre IP** | Quels ranges IP/CIDR sont autorisés ? |
| **Domaines** | Quels domaines/sous-domaines sont inclus ? |
| **Exclusions** | Systèmes critiques à exclure ? |
| **Horaires** | Tests 24/7 ou horaires bureau uniquement ? |
| **Méthodes** | Boîte noire/grise/blanche ? Ingénierie sociale ? |
| **Impact** | Exploitation autorisée ou observation seulement ? |
| **Contact** | Responsable technique joignable en cas d'incident ? |

## Règles d'engagement

```bash vars=CLIENT,AUDITOR,DATE
# RÈGLES D'ENGAGEMENT — {{CLIENT}}
# Auditeur : {{AUDITOR}} | Date : {{DATE}}

# AUTORISÉ
# - Scan de ports et services sur périmètre défini
# - Exploitation des vulnérabilités identifiées
# - Élévation de privilèges et mouvement latéral
# - Capture de credentials (hachages)

# INTERDIT
# - DoS / DDoS sur systèmes de production
# - Destruction de données
# - Exfiltration réelle de données personnelles (RGPD)
# - Extension hors périmètre sans accord écrit

# SIGNALEMENT IMMÉDIAT
# - Découverte d'intrusion tierce en cours
# - Système critique rendu indisponible accidentellement
```

## Périmètre — Template

```bash vars=TARGET,CLIENT
# Périmètre autorisé — {{CLIENT}}

# IP/CIDR inclus :
TARGET="{{TARGET}}"

# Vérification pre-scan — TOUJOURS valider avant nmap
echo "Périmètre cible : $TARGET"
echo "Vérifier exclusions avant lancement"

# Domaines inclus : [à compléter]
# Exclusions : [à compléter]
# Horaires : [à compléter]
```

<Checklist
  title="Checklist pre-engagement"
  storageKey="pentest-pre-engagement"
  items={[
    { id: "autorisation", label: "Lettre d'autorisation signée reçue", critical: true },
    { id: "scope", label: "Périmètre IP/domaines validé et documenté", critical: true },
    { id: "exclusions", label: "Exclusions explicitement listées", critical: true },
    { id: "horaires", label: "Plages horaires autorisées définies" },
    { id: "contact", label: "Contact d'urgence client identifié et joignable", critical: true },
    { id: "roe", label: "Règles d'engagement formalisées et signées" },
    { id: "nda", label: "NDA / accord de confidentialité signé" },
    { id: "livrables", label: "Format et délai des livrables validés" },
    { id: "assurance", label: "Assurance RC Pro vérifiée" },
    { id: "outils", label: "Outils et wordlists à jour" },
  ]}
/>

## Pièges fréquents

- **Périmètre flou** : exiger des CIDR exacts, pas "notre réseau interne"
- **Pas de contact d'urgence** : indispensable si un système tombe pendant les tests
- **Extension de scope** : refuser toute demande verbale, exiger un avenant écrit
- **Cloud** : AWS, Azure, GCP ont leur propre politique de pentest — vérifier avant tout test