MODULE D : Règles D’engagement

Règles d’engagement : Présentation des

différentes règles d’engagement,
desquelles découlent le succès de la
mission.

Aspect légal, les risques

 1. Disclaimer

Le contenu de ce cours est uniquement des�né à un usage pédagogique et d’appren�ssage. Les auteurs
déclinent toutes responsabilités de l’u�lisa�on des acquis.

2. Règles d’engagement

a. Aspect légal

- Respecter les lois actuelles : Il est évident que pour réaliser un test d’intrusion physique, il est
obligatoire de connaitre et de comprendre les lois actuelles en France, ainsi que de les
respecter. Notamment le code pénal, la législa�on sur la protec�on des données (en grande
par�e le RGPD), et d’autres réglementa�ons per�nentes. [En attente d’Emilien pour remplir
cette partie avec des éléments plus concret]
- Avoir possession d’une autorisa�on : Le testeur doit avoir en sa possession une autorisa�on
écrite et bien explicite du propriétaire ou une personne physique qui peut avoir le pouvoir de
donner cete autorisa�on, par exemple le RSI, le ges�onnaire des locaux, le directeur. Cete
autorisa�on peut être obtenue sous forme de contrat ou de letre signés par les deux par�es
concernées. [Je crois savoir qu’il y a des entreprises qui peuvent être mandatées par l’état pour
mener des pentest sans avoir l’accord des entreprises à confirmer]
- [Apparrement le testeur devrait porter une identification claire telle qu’un badge pour éviter
une confusion avec un activité malveillante. A confirmer]

b. Ges�on des risques

- Evaluer les risques en amont : Avant le test, une évalua�on exhaus�ve des risques doit être
réalisée, incluant la possibilité d’une ou plusieurs perturba�ons des opéra�ons normales
(interrup�on ou instabilité), de dommages poten�els sur le matériel, et tout autre impact.
- Communiquer avec les autorités compétentes : Il est fortement recommandé d’informer les
autorités locales (force de l’ordre, sécurité privé, veilleur du bâ�ment, etc.) avant de
commencer le test pour éviter les interven�ons inatendues.
- Réaliser une (ou plusieurs) procédures d’urgences : Les procédures d’urgences claires doivent
être réalisées avant le test. Elles peuvent inclure les plans d’évacua�ons, les protocoles, et les
contacts d’urgence pour minimiser les risques poten�els.

c. Protec�on des données :

- Respecter la vie privée : Le testeur doit respecter la vie privée des individus et ne pas
collecter, ni stocker ou u�liser des données personnelles sans autorisa�on explicite de la ou
des personne(s)
- Anonymisa�on des résultats : Le rapport contenant les résultats du test doit être présenté de
façon à ne pas comprometre la confiden�alité des informa�ons sensibles. La moindre
donnée traitée doit l’être avec prudence.

d. Rapport et fin de mission

- Debrifing avec le client : Une réunion doit être planifiée avec le client à la suite du test afin de
débrifer sur les résultats, les vulnérabilités et comment se débarrasser ou amoindrir ces
dernières.
- Rapport : Les méthodes u�lisées, les résultats, les vulnérabilités, les recommanda�ons, les
méthodes u�lisées doivent être dans un rapport le plus exhaus�f possible. Ce rapport doit
être clair et complet et éviter de divulguer des informa�ons sensibles si ça n’est pas autorisé.