Pre-engagement — Scope & Règles d'engagement

Objectifs

Établir un cadre juridique et opérationnel clair avant toute interaction avec la cible.

Questions de cadrage

| Catégorie | Questions à poser | |---|---| | Périmètre IP | Quels ranges IP/CIDR sont autorisés ? | | Domaines | Quels domaines/sous-domaines sont inclus ? | | Exclusions | Systèmes critiques à exclure ? | | Horaires | Tests 24/7 ou horaires bureau uniquement ? | | Méthodes | Boîte noire/grise/blanche ? Ingénierie sociale ? | | Impact | Exploitation autorisée ou observation seulement ? | | Contact | Responsable technique joignable en cas d'incident ? |

Règles d'engagement

# RÈGLES D'ENGAGEMENT — {{CLIENT}}
# Auditeur : {{AUDITOR}} | Date : {{DATE}}
# AUTORISÉ
# - Scan de ports et services sur périmètre défini
# - Exploitation des vulnérabilités identifiées
# - Élévation de privilèges et mouvement latéral
# - Capture de credentials (hachages)
# INTERDIT
# - DoS / DDoS sur systèmes de production
# - Destruction de données
# - Exfiltration réelle de données personnelles (RGPD)
# - Extension hors périmètre sans accord écrit
# SIGNALEMENT IMMÉDIAT
# - Découverte d'intrusion tierce en cours
# - Système critique rendu indisponible accidentellement

Périmètre — Template

# Périmètre autorisé — {{CLIENT}}
# IP/CIDR inclus :
TARGET"{{TARGET}}"
# Vérification pre-scan — TOUJOURS valider avant nmap
echo "Périmètre cible : $TARGET"
echo "Vérifier exclusions avant lancement"
# Domaines inclus : [à compléter]
# Exclusions : [à compléter]
# Horaires : [à compléter]

Pièges fréquents

• Périmètre flou : exiger des CIDR exacts, pas "notre réseau interne"
• Pas de contact d'urgence : indispensable si un système tombe pendant les tests
• Extension de scope : refuser toute demande verbale, exiger un avenant écrit
• Cloud : AWS, Azure, GCP ont leur propre politique de pentest — vérifier avant tout test