Présentez-moi une méthodologie de test d'intrusion comme PTES.
Réponse courte
PTES définit sept phases : pré-engagement (périmètre, règles d'engagement, autorisation), collecte de renseignements (OSINT, reconnaissance), modélisation des menaces, analyse de vulnérabilités, exploitation, post-exploitation (pivotement, données de valeur, persistance) et reporting. La structure rend les missions reproductibles, défendables et liées au risque métier plutôt qu'à du hacking improvisé. Le pré-engagement et le reporting sont les phases que les juniors sous-estiment.
Un test d'intrusion n'est pas « hacker jusqu'à ce que quelque chose casse » : c'est une évaluation structurée et autorisée qui doit être reproductible et défendable. Le Penetration Testing Execution Standard (PTES) est le référentiel le plus cité pour cette structure, et les recruteurs s'en servent pour voir si vous traitez un test comme une mission avec des limites légales et métier, et non comme une mêlée générale.
Les sept phases
- Interactions de pré-engagement. Périmètre, objectifs, calendrier, actifs dans et hors périmètre, règles d'engagement et — point crucial — autorisation écrite. Ratez cela et le reste du test devient un accès non autorisé.
- Collecte de renseignements. OSINT, DNS, reconnaissance réseau et applicative pour cartographier la surface d'attaque avant de toucher à quoi que ce soit d'intrusif.
- Modélisation des menaces. Transformer ce renseignement en chemins d'attaque probables et prioriser les cibles selon l'impact métier, pas seulement selon ce qui semble facile.
- Analyse de vulnérabilités. Identifier les faiblesses par le scan, le test manuel et la validation, en écartant les faux positifs qu'un scanner produirait.
- Exploitation. Prouver que la vulnérabilité est réelle en obtenant un accès, tout en restant dans le périmètre et en évitant les dommages collatéraux.
- Post-exploitation. Pivoter, élever les privilèges, trouver les données de valeur et démontrer le véritable impact métier. C'est là que le test justifie son prix, car « nous avons obtenu domain admin et pu lire la paie » frappe plus fort que « le port 445 est ouvert ».
- Reporting. Un récit clair pour les dirigeants, plus des constats reproductibles, notés en risque et remédiables pour les ingénieurs.
Pourquoi la structure compte
Les phases d'encadrement — pré-engagement et reporting — sont ce qui sépare un professionnel d'un script kiddie. Le périmètre et l'autorisation vous gardent dans la légalité ; le rapport est le seul livrable que le client paie réellement.
Ce que recherchent les recruteurs
Ils veulent vous entendre cadrer et autoriser avant d'exploiter, lier les constats au risque métier, et expliquer pourquoi la post-exploitation et un rapport solide comptent plus que de collectionner des shells.
Questions de suivi probables
- Que doit contenir un document de règles d'engagement avant de toucher une cible ?
- Pourquoi la post-exploitation a-t-elle souvent plus de valeur pour le client que l'exploitation initiale ?
- Comment gérez-vous la découverte d'une preuve d'une véritable compromission antérieure en pleine mission ?