Le travail technique est terminé. Que met-on dans un rapport sur lequel le client agira réellement ?
Réponse courte
Un bon rapport sert deux publics : un résumé exécutif qui cadre le risque métier pour la direction, et des trouvailles détaillées et reproductibles avec preuves, évaluations de risque exactes et remédiation priorisée pour l'équipe technique. Le rapport — et non l'exploit — est le livrable.
Les clients ne paient pas pour des shells ; ils paient pour un document qui leur dit ce qui ne va pas, à quel point c'est grave et que faire. Une brillante compromission mal rédigée est du travail gâché — et un rapport clair sur des trouvailles modestes peut avoir une valeur énorme. C'est pourquoi le reporting est traité comme une phase à part entière.
Deux publics, un seul document
- Résumé exécutif : pour la direction. Pas de jargon. Il énonce la posture de risque globale, la poignée de problèmes qui comptent le plus, l'impact métier (exposition de données, indisponibilité, conformité), et si les objectifs ont été atteints. Un RSSI devrait saisir la situation en deux pages.
- Trouvailles techniques : pour les ingénieurs qui corrigent. Chaque trouvaille est autonome.
Ce dont chaque trouvaille a besoin
- Un titre et une description clairs du problème et de sa cause racine.
- Une gravité exacte — fondée sur le risque, et non un score de base CVSS copié-collé. Le contexte compte : une SQLi interne uniquement, derrière du MFA, diffère du même bug sur le portail de connexion public.
- Des étapes de reproduction et des preuves — assez de détails (requêtes, charges, captures d'écran) pour que le client puisse la reproduire et plus tard vérifier la correction. Les données sensibles sont caviardées.
- Un impact métier — ce qu'un attaquant accomplit réellement, et non « TLS 1.0 est activé ».
- Une remédiation spécifique et priorisée — des conseils concrets (« paramétrez cette requête », « faites tourner cet identifiant »), ordonnés pour que le client sache quoi corriger en premier.
Touches professionnelles
- Signalez les trouvailles critiques immédiatement pendant l'engagement, et non enfouies dans un PDF des semaines plus tard.
- Incluez le périmètre, la méthodologie et le calendrier pour que les résultats soient interprétés correctement.
- Soyez honnête sur la couverture et les limites — ce que vous n'avez pas testé fait partie du tableau du risque.
- Proposez un nouveau test pour confirmer les corrections.
Ce que recherchent les recruteurs
Que vous voyiez le rapport comme le produit, sachiez écrire à la fois pour les dirigeants et les ingénieurs, évaluiez le risque en contexte plutôt que de répéter le CVSS, rendiez les trouvailles reproductibles et reliiez tout à une remédiation actionnable et priorisée — plus la maturité d'escalader les critiques en temps réel.
Questions de suivi probables
- Comment évaluez-vous la gravité pour qu'elle reflète le risque réel, et non juste les scores de base CVSS ?
- Comment signaleriez-vous une trouvaille grave en cours d'engagement plutôt que d'attendre le rapport ?
- Qu'est-ce qui rend une trouvaille « reproductible », et pourquoi est-ce important pour le client ?