Penetration Testing Execution Standard

PTES est un standard qui permet d’établir les principes fondamentaux essentiels au
bon déroulement d’un test d’intrusion.

Le PTES est structuré en 7 règles :

1) Les engagements pris avec le client

•Périmètre du test d’intrusion

•Actions en cas de sortie de zone
•Type de rapport attendu
•Nombre de points de suivi
•Etc…

2) La collecte de renseignements – Phase de reconnaissance

•Passive – Information accessibles publiquement

•OSINT
•Réseaux sociaux
•Google dorks (Récupérer des données sensibles en lançant des requêtes
spéciales sur le moteur de recherche)
•Footprinting (Récolter des informations dont l’accès est libre et
autorisé)
•Identification du système d’exploitation, les requêtes Whois, les
requêtes SNMP, le scan de ports, etc.
•Interdiction de consulter directement le site web (Trace de notre IP)

•Active – Interagir avec la cible

•Site Web
•Scans de ports
•Scans de vulnérabilités

3) Modélisation des menaces

•Déterminer la méthode d’attaque la plus efficace contre le système cible

•Identifier les faiblesses de la cible et de monter son plan d’attaque
4) Analyse des vulnérabilités

•Savoir comment pénétrer le SI

5) Exploitation

•Pénétration / Brute Force

•Effacement des traces pré & post opération (logs, désactivation IDS/IPS,
exclusion de stratégie, etc)

6) Post-Exploitation

•Vulnérabilités critiques
•Montrer l’impact financier que pourrait avoir une fuite ou une perte de ces
informations sur l’entreprise

7) Rapport

•Établis ce qui a été réalisé lors du test d’intrusion ainsi que la manière utilisée.
Il doit surtout mettre en lumière quelles sont les faiblesses à corriger et
comment le système cible peut être protégé contre de telles attaques.