Autorisation et règles d’engagement
Règles d’engagement, limites, preuve de l’autorisation et méthode reproductible pour un pentest ou une simulation Red Team.
Principe
Un test offensif ne commence jamais par un outil. Il commence par une autorisation écrite, un périmètre et des règles d’engagement (ROE). Le document doit préciser les actifs, les dates, les techniques autorisées, les personnes de contact et les conditions d’arrêt.
Contenu minimum des ROE
| Élément | Exemple |
|---|---|
| Périmètre | FQDN, IP, tenant, SSID, applications |
| Fenêtre | jours, heures, fuseau horaire |
| Techniques | scan, exploitation contrôlée, social engineering |
| Interdictions | DoS, destruction, données réelles, persistance |
| Données | conservation, chiffrement, suppression |
| Contacts | sponsor, SOC, IT, urgence |
| Arrêt | saturation, indisponibilité, donnée sensible |
Classification des actions
- Passive : collecte publique, CT logs, DNS public.
- Active légère : résolution, requêtes HTTP, scan de ports lent.
- Intrusive : authentification, fuzzing, exploitation, modifications.
- À haut risque : credential access, C2, exfiltration, Wi-Fi actif.
Les exemples de ce portail sont destinés à des laboratoires, des systèmes dont tu es propriétaire ou des missions couvertes par une autorisation explicite. Une autorisation générale ne remplace pas la validation d’une technique sensible.
Preuve de contrôle
Avant la première requête active, enregistre : numéro de mission, heure UTC, opérateur, IP source, cible, outil et profil. Cela permet au SOC de distinguer l’exercice d’un incident réel.