Tests de pénétration PENT

Test de l’efficacité des contrôles de sécurité par imitation d’outils et techniques d’attaquants potentiels.

Notes d’orientation

Les tests de pénétration peuvent être une activité autonome ou un aspect de tests d’acceptation avant autorisation d’exploitation.

Les activités peuvent inclure -- mais ne sont pas limitées à :

piratage éthique : utilisation des mêmes outils et techniques qu’un adversaire pour exploiter en sans danger les failles de sécurité
démonstration comment un adversaire pourrait subvertir les objectifs de sécurité ou atteindre des objectifs adversaires spécifiques
évaluation de l’efficacité des défenses ou contrôles de mitigation implémentés / planifiés
assurance de la sécurité de réseaux, systèmes et applications
évaluation de la force et de l’efficacité des implémentations cryptographiques
identification d’informations sur les risques commerciaux de diverses vulnérabilités
test des faiblesses de réseau, infrastructure, Web et applications mobiles
vérification des niveaux de patches et configurations
ingénierie sociale.

Comprendre les niveaux de responsabilité de cette compétence

Là où les niveaux inférieurs ne sont pas définis...

Les tâches et responsabilités spécifiques ne sont pas définies car la compétence exige un niveau plus élevé d’autonomie, d’influence et de complexité dans la prise de décision que ce à quoi on s’attend généralement à ces niveaux. Vous pouvez utiliser les énoncés d’essence pour comprendre les responsabilités génériques associées à ces niveaux.

Là où les niveaux supérieurs ne sont pas définis...

Les responsabilités et les obligations de rendre compte ne sont pas définies parce que ces niveaux supérieurs impliquent un leadership stratégique et une influence organisationnelle plus large qui va au-delà de la portée de cette compétence spécifique. Voir les énoncés d’essence.

Développer des compétences et démontrer les responsabilités liées à ces compétences

Les niveaux définis montrent la progression progressive des compétences et des responsabilités.

Là où les niveaux inférieurs ne sont pas définis...

Vous pouvez développer vos connaissances et soutenir d’autres personnes qui ont des responsabilités dans ce domaine en :

Apprendre les concepts et principes clés liés à cette compétence et son impact sur votre rôle
Exécution de compétences connexes (voir les compétences SFIA connexes)
Soutenir les autres personnes qui exécutent des tâches et des activités de plus haut niveau

Là où les niveaux supérieurs ne sont pas définis...

Vous pouvez progresser en développant des compétences connexes qui conviennent mieux aux niveaux supérieurs de leadership organisationnel.

Cliquez ici pour savoir pourquoi les compétences SFIA ne sont pas définies aux 7 niveaux.

Afficher/masquer les descriptions et les niveaux supplémentaires.

Niveaux de responsabilité pour cette compétence

Niveau 1

Niveau 1 - Suivre: Essence du niveau : effectue des tâches de routine sous une supervision étroite, suit des instructions et a besoin d’être guidé pour achever son travail. Apprend et applique les compétences et les connaissances de base.

Tests de pénétration: Niveau 2

Niveau 2 - Aider: Essence du niveau : fournit une assistance aux autres, travaille sous une supervision régulière et fait preuve de discernement pour résoudre les problèmes courants. Apprend activement par le biais de formations et d’expériences sur le terrain.

Participe à des tâches de tests de pénétration sous une supervision de routine. Contribue à l’exécution de tests de pénétration standards sur les systèmes, les réseaux et les applications. Contribue à la documentation et à l’établissement de rapports sur les résultats des tests, les conclusions et les risques potentiels pour la sécurité.

Tests de pénétration: Niveau 3

Niveau 3 - Appliquer: Essence du niveau : effectue des tâches variées, parfois complexes et non routinières, en utilisant des méthodes et des procédures standards. Travaille sous une direction générale, fait preuve de discrétion et gère son propre travail dans le respect des délais. Améliore de manière proactive ses compétences et son impact sur le lieu de travail.

Suit des approches standards pour concevoir et exécuter des activités de test de pénétration. Recherche et étudie les techniques d’attaque et recommander des moyens de s’en prémunir. Analyse les activités, les résultats, les problèmes et les risques liés aux tests de pénétration et rédige des rapports à ce sujet.

Tests de pénétration: Niveau 4

Niveau 4 - Permettre: Essence du niveau : effectue diverses activités complexes, soutient et guide les autres, délègue des tâches le cas échéant, travaille de manière autonome sous une direction générale et apporte son expertise pour atteindre les objectifs de l’équipe.

Sélectionne les approches d’essai appropriées à l’aide d’une analyse technique approfondie des risques et des vulnérabilités typiques. Produit des scripts de test, du matériel et des packs de test et tester des réseaux, des systèmes ou des applications nouveaux et existants. Fournit des conseils sur les tests de pénétration pour aider les autres. Enregistre et analyse les actions et les résultats et modifie les tests si nécessaire. Fournit des rapports sur les progrès, les anomalies, les risques et les problèmes liés à l’ensemble du projet.

Tests de pénétration: Niveau 5

Niveau 5 - Assurer, conseiller: Essence du niveau : fournit des conseils faisant autorité dans son domaine et travaille sous une direction générale. Est responsable de l’obtention de résultats significatifs, de l’analyse à l’évaluation en passant par l’exécution.

Planifie et pilote les tests de pénétration dans un domaine d’activité défini. Fournit des constatations objectives sur l’existence de vulnérabilités, l’efficacité des défenses et des contrôles d’atténuation. Assume la responsabilité de l’intégrité des activités de test et coordonne l’exécution de ces activités. Fournit conseils et orientations faisant autorité sur tous les aspects des tests de pénétration. Identifie les besoins et met en œuvre de nouvelles approches pour tests de pénétration. Contribue aux normes de test de sécurité.

Tests de pénétration: Niveau 6

Niveau 6 - Initier, influencer: Essence du niveau : exerce une influence significative sur l’organisation, prend des décisions de haut niveau, élabore des directives, fait preuve de leadership, favorise la collaboration au sein de l’organisation et accepte la responsabilité dans des domaines clés.

Détermine la politique de test d’intrusion et est responsable des processus de support. Gère toutes les activités de test d’intrusion au sein de l’organisation. Évalue et conseille sur le caractère pratique des alternatives des processus de test. Établit la capacité d’amélioration continue et d’invention dans les tests d’intrusion et dirige la mise en œuvre de nouvelles approches. Évalue les capacités de développement et de test des fournisseurs. Gère les relations clients en ce qui concerne les tests de pénétration.

Niveau 7

Niveau 7 - Définir la stratégie, inspirer, mobiliser: Essence du niveau : opère au plus haut niveau de l’organisation, détermine la vision et la stratégie globales de l’organisation et assume la responsabilité du succès global.