---
title: "Checklist légale & administrative"
domain: security
subdomain: pentest
phase: 00-pre-engagement
type: checklist
tags: [pre-engagement, legal, checklist, RGPD, pentest]
difficulty: beginner
status: stable
updated: "Sun May 10 2026 00:00:00 GMT+0000 (Coordinated Universal Time)"
---
## Objectifs

S'assurer que **chaque point légal et administratif est validé** avant de toucher quoi que ce soit.

<Warning>Cette checklist est non-négociable. Un seul point manquant peut entraîner des poursuites pénales ou la nullité du contrat.</Warning>

## Documents à obtenir

```bash vars=CLIENT,AUDITOR,DATE
# Documents obligatoires avant démarrage — {{CLIENT}}
# Auditeur : {{AUDITOR}} | Date : {{DATE}}

# 1. Lettre d'autorisation signée (avec tampon société)
# 2. Bon de commande ou contrat de prestation signé
# 3. NDA / Accord de confidentialité signé des deux parties
# 4. Règles d'engagement (RoE) validées et paraphées
# 5. Définition du périmètre (liste IP/CIDR/domaines)
# 6. Coordonnées du contact technique d'urgence
```

## Points RGPD

```bash vars=CLIENT
# Vérifications RGPD avant pentest — {{CLIENT}}

# Le pentest peut exposer des données personnelles
# Obligations :
# - Ne pas exfiltrer de vraies données personnelles
# - Documenter tout accès à des données personnelles
# - Anonymiser/masquer dans les rapports
# - Informer si découverte de fuite de données (72h pour notifier CNIL)

# En cas de découverte de données personnelles :
# 1. Documenter (screenshot horodaté)
# 2. Ne pas copier/exfiltrer
# 3. Signaler immédiatement au client
# 4. Inclure dans le rapport (sans les données)
```

<Checklist
  title="Checklist légale complète"
  storageKey="pentest-legal-checklist"
  items={[
    { id: "autorisation", label: "Lettre d'autorisation écrite et signée reçue", critical: true },
    { id: "contrat", label: "Contrat/bon de commande signé", critical: true },
    { id: "nda", label: "NDA signé des deux parties" },
    { id: "roe", label: "Règles d'engagement formalisées et validées", critical: true },
    { id: "scope", label: "Périmètre écrit et validé par les deux parties", critical: true },
    { id: "contact", label: "Contact d'urgence disponible pendant les tests", critical: true },
    { id: "horaires", label: "Plages horaires autorisées définies et confirmées" },
    { id: "assurance", label: "Assurance RC Pro en cours de validité" },
    { id: "rgpd", label: "Procédure RGPD en cas de découverte de données personnelles" },
    { id: "cloud", label: "Autorisation hébergeur cloud si applicable (AWS/Azure/GCP)" },
    { id: "tiers", label: "Notification des tiers hébergeurs si nécessaire" },
    { id: "backup", label: "Confirmation que les backups sont opérationnels côté client" },
    { id: "stopword", label: "Mot de code d'arrêt d'urgence défini et communiqué", critical: true },
    { id: "rapport", label: "Format et destinataires du rapport validés" },
    { id: "nda-rapport", label: "Confidentialité du rapport définie (niveau de diffusion)" },
  ]}
/>

## Contacts à documenter

| Rôle | Nom | Téléphone | Email |
|---|---|---|---|
| Contact technique | [à remplir] | [à remplir] | [à remplir] |
| Responsable RSSI | [à remplir] | [à remplir] | [à remplir] |
| Direction | [à remplir] | [si escalade] | [à remplir] |
| Auditeur lead | [à remplir] | [à remplir] | [à remplir] |

## Pièges fréquents

- **Accord verbal** : ne compte pas juridiquement — toujours exiger l'écrit
- **Signature d'un non-habilité** : vérifier que le signataire a bien le pouvoir d'engager la société
- **Cloud non-notifié** : AWS/Azure/GCP peuvent suspendre le compte en cas de scan non déclaré
- **Dépassement d'horaire** : documenter chaque dépassement demandé et obtenir confirmation écrite