Méthodologies de Penetration Testing : PTES, OWASP et NIST expliqués

Ce guide vous fournit tout ce dont vous avez besoin pour comprendre, définir la portée et exécuter ce type de test, avec des conseils pratiques que vous pouvez appliquer immédiatement.

PTES : Norme d'exécution des tests d'intrusion (Penetration Testing Execution Standard)

PTES fournit un cadre complet pour la réalisation de tests d'intrusion, couvrant sept phases : interactions préliminaires, collecte de renseignements, modélisation des menaces, analyse des vulnérabilités, exploitation, post-exploitation et reporting. C'est la méthodologie la plus souvent référencée dans le contexte général du pentesting et elle fournit des directives techniques détaillées pour chaque phase.

Guide de test OWASP

Le Guide de test OWASP est la référence standard pour le pentesting des applications web. Il fournit des cas de test détaillés, organisés par catégorie : collecte d'informations, tests de configuration, gestion des identités, authentification, autorisation, gestion des sessions, validation des entrées, gestion des erreurs, cryptographie, logique métier et tests côté client. Pour le pentesting des applications web et des API, OWASP est la méthodologie que les auditeurs s'attendent le plus souvent à voir appliquée.

NIST SP 800-115

La publication spéciale NIST 800-115 fournit des directives pour les tests et l'évaluation de la sécurité des informations. C'est la méthodologie la plus souvent référencée dans les contextes gouvernementaux et de santé, et elle est conforme aux exigences HIPAA et FedRAMP. NIST SP 800-115 couvre la planification, la découverte, l'exécution des attaques et le reporting.

Quelle méthodologie suivre

Pour les applications web et les API : Guide de test OWASP. Pour les tests généraux d'infrastructure et de réseau : PTES. Pour les secteurs de la santé et gouvernemental : NIST SP 800-115. Pour les environnements cloud : CSA Cloud Penetration Testing Playbook, en plus de la méthodologie d'application/d'infrastructure appropriée. La plupart des fournisseurs de pentests professionnels combinent des éléments de plusieurs frameworks en fonction de la portée de l'engagement.

Documentation pour la conformité

Votre rapport de pentest doit faire référence à la méthodologie suivie. Les auditeurs n'imposent pas de méthodologie spécifique dans la plupart des frameworks, mais ils s'attendent à une approche documentée et reconnue. Penetrify documente la méthodologie de test dans chaque rapport, en référençant OWASP, PTES et NIST, selon le cas, en fonction de la portée de l'engagement.

Conclusion

La méthodologie ne consiste pas à choisir le « bon » framework, mais à suivre une approche structurée et documentée qui garantit une couverture complète et satisfait votre auditeur. Les meilleurs fournisseurs adaptent plusieurs méthodologies à votre environnement spécifique.

Foire aux questions

Mon framework de conformité exige-t-il une méthodologie spécifique ?

La plupart des frameworks (SOC 2, PCI DSS, ISO 27001) n'imposent pas de méthodologie spécifique, mais exigent qu'une méthodologie soit documentée et suivie. La proposition de mise à jour de la norme HIPAA fait référence à des « principes de cybersécurité généralement acceptés » sans nommer de norme spécifique.

Puis-je utiliser plusieurs méthodologies dans un seul engagement ?

Oui, et la plupart des fournisseurs professionnels le font. Un engagement complet peut suivre OWASP pour les tests d'application, PTES pour les tests d'infrastructure et NIST pour la documentation de conformité.