1 - Principes fondateurs

Version 1.0 du 2 mars 2012
Les principes fondateurs de la F.P.T.I. se traduisent par 11 règles professionnelles encadrant la pratique des tests d'intrusion, tout adhérent de la F.P.T.I. se doit de les respecter.

Règle 1. Le Professionnel s'engage à réaliser un test d'intrusion répondant à la définition suivante : ensemble de tests consistant à simuler le comportement d'attaquant externe ou interne à un système informatique, dans le but d'identifier puis d'exploiter des failles menant à une compromission du système. L'utilisation exclusive de tests automatisés ne peut être considérée comme un test d'intrusion.

Règle 2. Le Professionnel ne peut prétendre être exhaustif dans l'inventaire des différents moyens de s'introduire sur les cibles, sauf à disposer de ressources illimitées (en moyens humains, en durée de prestation, ...).

Règle 3. Le Professionnel adhère à la Charte déontologique de la Profession, et s'engage à la faire respecter par les intervenants en charge de l'activité de test d'intrusion.

Règle 4. Le Professionnel s'engage à respecter la démarche et ses livrables comme décrits par la F.P.T.I. dans son document "Démarche de l'Intrusion".

Règle 5. Le Professionnel est tenu de respecter la législation et la réglementation en vigueur sur le territoire français, notamment en matière de traitements de données à caractère personnel, de prêt de main d’oeuvre illicite, de propriété intellectuelle et de fraude informatique.

Règle 6. Le Professionnel prestataire de service a souscrit à une assurance civile et professionnelle couvrant les dommages éventuellement causés dans le cadre d'un test d'intrusion.

Règle 7. Le Professionnel prestataire de service réalise le test d'intrusion exclusivement dans le cadre d’un contrat de prestation préalablement approuvé et signé par son commanditaire.

Règle 8. Un test d'intrusion doit faire l'objet d'un mandat d'autorisation signé par le mandant détaillant à minima les adresses IP sources et cibles du test, et les éventuelles conditions particulières (par exemple, plage horaire du test).

Règle 9. Le Professionnel prestataire de service peut sous-traiter une partie de la prestation sous réserve que :
  • il existe une convention ou un cadre contractuel documentés entre le prestataire et son sous-traitant ;
  • le recours à la sous-traitance est connu et accepté par le commanditaire.
Règle 10. Le Professionnel s'engage à détailler au mandant l'intégralité des résultats obtenus lors du test d'intrusion.

Règle 11. Le Professionnel s'engage à adopter une approche basée sur la preuve pour parvenir à des conclusions fiables et reproductibles.
Comments