la méthode présentée ci-dessous est une façon de faire un test d'intrusion parmi d'autres (ici PTES):

Qu'est ce que le standard PTES ?

C'est une norme d'exécution des tests d'intrusion qui se compose de sept sections principales. Ceux-ci couvrent tout ce qui concerne un test d'intrusion.

ressource: http://www.pentest-standard.org/index.php/Main_Page

En cas de prestation externe

• Première réunion avec le client afin de discuter des attentes, du scope, du type de test d'intrusion (black box, white box ?)...

• Rédaction d'un contrat de prestation de pentest.

Phases du test d'intrusion

Collecte de renseignement

• Recherche passive

• Recherche active

• Cartographie de la surface d'attaque

• Parfois ingénierie sociale

Modélisation des menaces

Analyse de vulnérabilité

• Scans de vulnérabilités

• Recherche de vulnérabilités connues sur les versions

• Elaboration d'un arbre d'attaque

Exploitation

• Tentative d'exploitation des vulnérabilités trouvées

• Validation des vulnérabilités

• Retour à la phase d'analyse si découverte de nouvelles cibles

Post-exploitation

• Recherche de données sensibles et de persistance

• Tentatives de mouvements latéraux

Rédaction d'un rapport de pentest

Ressources utiles

https://github.com/1modm/petereport: outil open source de génération de rapport

https://github.com/juliocesarfort/public-pentesting-reports: Une liste de rapports de tests d'intrusion publics publiés par plusieurs cabinets de conseil et groupes de sécurité universitaires.

https://www.deciduous.app/: pour la génération de scénario d'attaque