Skip to content

En pleine mission, vous découvrez un hôte exploitable qui n'est clairement PAS dans le périmètre convenu. Que faites-vous ?

Réponse courte

L'autorisation définit la mission : tester hors du périmètre convenu est potentiellement illégal et viole les règles d'engagement, aussi tentante que soit la cible. Documentez ce que vous avez vu, arrêtez-vous et obtenez l'accord écrit du client avant d'aller plus loin. Exploiter pour « plus de constats » ne justifie jamais un accès non autorisé. L'exploiter discrètement en pensant ne pas être pris est à la fois contraire à l'éthique et un délit, et étendre le périmètre vous-même prive le client de son consentement éclairé.

Un test d'intrusion n'est légal que parce que le client l'a autorisé par écrit, et cette autorisation est limitée par un périmètre défini. Dès l'instant où vous touchez un hôte hors de cette limite, vous ne réalisez plus un test sanctionné : vous commettez un accès non autorisé, un délit dans la plupart des juridictions, quelle que soit votre intention.

Pourquoi s'arrêter et confirmer par écrit est la bonne réponse

La démarche professionnelle consiste à s'arrêter, laisser l'hôte intact et escalader auprès du client pour qu'il décide d'étendre ou non le périmètre. S'il accepte, vous obtenez le changement par écrit — un périmètre amendé ou une autorisation signée — avant de poursuivre. Cela vous protège juridiquement et préserve le consentement éclairé du client. Vous pouvez tout de même noter que l'hôte semble joignable et potentiellement exploitable : l'observer depuis le périmètre autorisé est acceptable, mais l'exploiter activement ne l'est pas.

Pourquoi les autres options sont fausses

  • L'exploiter pour « plus de constats ». Un rapport plus volumineux ne vaut rien s'il découle d'une activité illégale. Cela vous expose, vous et votre cabinet, et détruit la confiance du client.
  • L'exploiter discrètement si vous n'êtes pas pris. Cela transforme le test en ce délit même que vous êtes payé pour aider à prévenir. « Ne pas être pris » n'est pas un modèle d'autorisation, c'est l'état d'esprit d'un attaquant.
  • L'ajouter vous-même au périmètre. Avoir un accès réseau n'équivaut pas à avoir une permission. Étendre le périmètre soi-même retire au client sa capacité de consentir et peut mettre en péril des systèmes de production ou des actifs tiers.

Ce que sonde un recruteur

Il veut voir que vous traitez l'autorisation, et non la capacité, comme le facteur limitant. Un bon candidat se tourne instinctivement vers les règles d'engagement et le contact client plutôt que vers l'exploit. L'éthique et la discipline face à la tentation distinguent précisément un testeur de confiance d'un risque, et ce scénario est conçu pour révéler lequel vous êtes.

Questions de suivi probables

  • Qu'est-ce qui, dans les règles d'engagement, régit l'autorisation des changements de périmètre ?
  • Comment documenteriez-vous l'hôte hors périmètre sans le tester ?
  • Quelle exposition juridique un test non autorisé crée-t-il pour vous et votre cabinet ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.