2 - Charte de l'Intrusion

Version 2.0 du 14 juin 2011
(Cliquer ici pour consulter la version 1.0 du 4 février 2000)

PRINCIPE DE MORALITÉ

ARTICLE 1

S'engage à employer exclusivement des personnes de bonne moralité pour l'exécution de ses activités d'intrusion.

En conséquence,
  • il ne saurait employer pour l'exécution de ses activité de tests d'intrusion qu’un personnel compétent avec lequel il a une relation de travail contractualisée ;
  • il veillera à ce que ses éventuels sous-traitants appliquent cet article.

ARTICLE 2

Certifie que les employés ou préposés à son service ont accepté les règles et principes contenus dans la présente Charte.

En conséquence,
  • il devra leur faire approuver les articles de la Charte les concernant.

PRINCIPE DE TRANSPARENCE

ARTICLE 3

S'oblige à une information claire et précise sur son identité et celle de ses éventuels sous traitants.

En conséquence,
  • en tant que membre de la Fédération des Professionnels des Tests d'Intrusifs, il se soumet aux devoirs et obligations découlant de cette appartenance ;
  • il fournira à la première demande du client toutes informations relatives à son identité, son personnel, ses partenaires ou sous traitants, ses méthodologies et pratiques utilisées pour ses tests d'intrusion, sous réserves de la protection de son savoir faire ;
  • il informera le mandant de l'identité, coordonnées professionnelles et statut contractuel du personnel chargé des tests d'intrusion.

ARTICLE 4

S'oblige à une information claire et précise sur les actions menées lors des tests d'intrusion.

En conséquence,
  • il communiquera toutes informations sur la localisation géographique du personnel technique chargé des tests d'intrusion ;
  • il assurera une traçabilité des actions menées dans le cadre de tests d'intrusions.

ARTICLE 5

S'oblige à une information claire et précise sur tous les résultats des tests d'intrusion.

En conséquence,
  • il informera le client de toute pratique illicite qu'il aurait pu constater lors de l'exercice de ses tests d'intrusion ;
  • il informera immédiatement le client de tout dysfonctionnement qu'il aurait pu provoquer pendant le test d'intrusion ;
  • il s’engagera à fournir systématiquement au client tous les résultats obtenus, ainsi que les informations nécessaires à leur bonne compréhension.

PRINCIPE DE CONFIDENTIALITÉ

ARTICLE 6

Garantit le respect de la plus stricte confidentialité sur toutes les informations dont il pourra avoir connaissance.

En conséquence,
  • cette obligation de confidentialité s'exerce tant à l’égard des personnels du client, autres que le mandant ou son délégataire, qu'à l’égard de tout tiers ;
  • il s'engage à détruire sur demande du mandant les traces, rapports et les informations liés à la prestation.

ARTICLE 7

S'astreint à limiter la transmission des informations relatives aux tests d'intrusions d'un client aux seuls membres de son personnel devant en connaître et à se porter fort du respect par ces personnes des clauses générales ou particulières de confidentialité s'appliquant à ces tests.

PRINCIPE DE PROBITÉ

ARTICLE 8

S'oblige à agir en toute indépendance dans l'exécution de ses prestations de tests d'intrusion.

En conséquence,
  • il ne transmettra aux organes d'un État aucune information dont il pourrait avoir eu connaissance lors de l'exécution de ses tests d'intrusion, sauf obligation légale ;
  • il certifie qu'il n'utilisera pas, aux fins de réaliser un test d'intrusion, des informations dont il aurait pu avoir connaissance à l'occasion de l'exercice d'une autre activité chez le client ;
  • Il fait acte d'indépendance et s'engage à ne pas réaliser de prestations de test d'intrusions sur un périmètre intégrant des éléments qu'il considère affectant son objectivité.
ARTICLE 9

S'oblige à agir en toute loyauté et à n'effectuer de tests d'intrusion que dans le strict cadre d’un mandat préalable et explicite.

En conséquence,
  • il s'interdit tout test d'intrusion avant vente ;
  • il s'astreint à n'effectuer de tests d’intrusion qu'après vérification des pouvoirs du mandant ;
  • toutes prestations d'ingénierie sociale ne sauraient être effectuées sans signature préalable d'une clause explicite spécifique.

ARTICLE 10

S’astreint dans l'exercice de son métier à prendre toutes mesures permettant d’assurer le respect des droits de la personne humaine.

En conséquence,
  • il s'engage à anonymiser ou détruire les données personnelles ayant pu être recueillies pendant la prestation ;
  • il s'engage à ne pas utiliser à d'autres fins que l'illustration des résultats de la prestation les données collectées.

Comments