Tests d'intrusion : l'ultime rempart contre les pirates Garance Mathias (Avocate) : "Dans les tests d'intrusion, tout doit être cadré par écrit"
JDNSolutions. Jusqu'où les tests d'intrusion et les pentesteurs peuvent-ils aller ?
Garance Mathias. Tout dépend de l'accord signé entre l'auditeur et l'audité. Celui-ci doit être précis et exhaustif. Il doit par exemple mentionner clairement les adresses IP concernées et les heures pendant lesquelles les tests vont être réalisés, entre autres.
Il faut un document juridique complet autorisant les accès. Certains points peuvent figurer dans l'appel d'offres, mais les détails peuvent ensuite faire l'objet d'une réunion avec l'auditeur retenu. Tout doit être cadré, avec l'accord écrit de la direction, ou de l'autorité responsable. A noter que l'accord peut être amendé en cours de test, avec une nouvelle fois la signature des parties concernées.
La seule limite infranchissable : la vie privée, qui est protégée en France. L'audit ne peut donc pas s'appuyer sur les correspondances privées, dans les mails notamment.
Plusieurs points doivent retenir la vigilance pour le contrat. Ses clauses doivent être claires. Il doit également préciser qu'il n'y a pas d'obligation de résultat. Il doit aussi être conforme à l'état de l'art. Tous les outils et logiciels utilisés pour le test doivent être listés, et validés. A noter qu'il ne faut pas oublier qu'il faut également avoir, le cas échéant, l'autorisation d'accéder aux adresses IP d'un tiers, celles d'un hébergeur par exemple. Ce dernier doit aussi donner son accord écrit.
"La seule limite infranchissable : la vie privée"
Les tests peuvent-ils alors avoir recours à l'ingénierie sociale ? Certains employés peuvent se sentir manipulés...
L'ingénierie sociale passant par l'intrusion dans des correspondances privées, elle n'est donc pas légale. En revanche, l'auditeur peut par exemple se faire passer pour un technicien informatique, s'il a l'accord de la direction. Si personne ne vérifie que le soi disant technicien en est bien un avant de le laisser entrer, c'est bien qu'il y a une faute, qui va servir de faille.
Y-a-il déjà eu des plaintes ?
Avant de penser à un procès, il peut toujours y avoir discussion. Cela peut être la solution préférable pour des raisons d'images, car la SSII attaquée qui a effectué le test ne goûterait guère une telle publicité.
Cependant, pénétrer un système de traitement automatique de données et agir sur celui-ci sans autorisation est bien puni par la loi. Cela relève du code pénal. Les peines prévoient des amendes et de la prison ferme.
Garance Mathias, avocat au barreau de Paris, a décidé de créer sa propre structure dédiée à l'activité des entreprises, plus particulièrement aux problématiques de sécurité informatique.