Vidéo: Le diplôme en évaluation de programmes de l'université d'Ottawa 2025
Il se peut que vous deviez organiser vos informations sur les vulnérabilités dans un document officiel destiné à la direction ou à votre client afin qu'il puisse évaluer le risque de piratage dans sa propre entreprise. Ce n'est pas toujours le cas, mais c'est souvent la chose professionnelle à faire et montre que vous prenez votre travail au sérieux. Furetez les conclusions critiques et documentez-les afin que les autres parties puissent les comprendre.
Les graphiques et les graphiques sont un plus. Les captures d'écran de vos résultats - en particulier lorsqu'il est difficile de sauvegarder les données dans un fichier - peuvent ajouter une touche intéressante à vos rapports et montrer des preuves tangibles que le problème existe.
Documentez les vulnérabilités de manière concise et non technique. Chaque rapport doit contenir les informations suivantes:
-
Date (s) d'exécution du test
-
Tests effectués
-
Résumé des vulnérabilités découvertes
-
Liste des vulnérabilités à traiter en priorité
-
Recommandations et des étapes spécifiques sur la façon de brancher les trous de sécurité trouvés
Si cela ajoute de la valeur à la gestion ou à votre client (et c'est souvent le cas), vous pouvez ajouter une liste d'observations générales concernant les processus métier faibles, le support informatique et la sécurité, etc. avec des recommandations pour résoudre chaque problème.
La plupart des gens veulent que le rapport final inclue un résumé des résultats - pas tout. La dernière chose que la plupart des gens veulent faire est de passer au crible une pile de papiers de 5 pouces d'épaisseur contenant un jargon technique qui signifie très peu pour eux. De nombreuses firmes de consultants ont été accusées d'avoir un bras et une jambe pour ce type de rapport, mais cela ne constitue pas la bonne façon de faire rapport.
De nombreux gestionnaires et clients aiment recevoir des rapports de données brutes provenant des outils de sécurité. De cette façon, ils peuvent référencer les données plus tard s'ils le souhaitent, mais ne sont pas embourbés dans des centaines de pages imprimées de gobbledygook technique. Assurez-vous simplement d'inclure les données brutes dans l'annexe de votre rapport ou ailleurs et de vous y référer.
Votre liste d'éléments d'action dans votre rapport peut inclure les éléments suivants:
-
Activez l'audit de sécurité Windows sur tous les serveurs, en particulier pour les connexions et les déconnexions.
-
Placez un verrou sur la porte de la salle des serveurs.
-
Renforcez les systèmes d'exploitation en vous basant sur les bonnes pratiques de sécurité de la base de données nationale sur les vulnérabilités et du Centre for Internet Security Benchmarks / Scoring Tools.
-
Utiliser un destructeur de documents transversal pour la destruction des informations confidentielles sur papier.
-
Exigez des codes PIN ou des phrases de passe forts sur tous les appareils mobiles et forcez les utilisateurs à les modifier régulièrement.
-
Installez un pare-feu personnel / un logiciel IPS sur tous les ordinateurs portables.
-
Validez les entrées dans toutes les applications Web pour éliminer les scripts inter-sites et l'injection SQL.
-
Appliquez les derniers correctifs du fournisseur au serveur de base de données.
Dans le cadre du rapport final, vous pourriez vouloir documenter les réactions des employés que vous observez lors de vos tests de piratage éthique. Par exemple, les employés sont-ils complètement inconscients ou même belligérants lorsque vous réalisez une attaque d'ingénierie sociale évidente? Le service informatique ou le personnel de sécurité manque-t-il complètement de conseils techniques, tels que les dégradations du réseau lors des tests ou les différentes attaques apparaissant dans les fichiers journaux du système?
Vous pouvez également documenter d'autres problèmes de sécurité que vous observez, tels que la rapidité avec laquelle le personnel informatique ou les fournisseurs de services de gestion répondent à vos tests ou ne répondent pas du tout.
Gardez le rapport final pour le protéger des personnes qui ne sont pas autorisées à le voir. Un rapport de piratage éthique et la documentation et les fichiers associés entre les mains d'un concurrent, d'un pirate informatique ou d'un initié malveillant pourraient causer des problèmes à l'organisation. Voici quelques moyens d'éviter que cela ne se produise:
-
Fournissez le rapport et la documentation et les fichiers associés uniquement à ceux qui ont besoin d'une entreprise.
-
Lors de l'envoi du rapport final, cryptez toutes les pièces jointes, telles que la documentation et les résultats de test, en utilisant PGP, le format Zip crypté ou le service de partage de fichiers cloud sécurisé. Bien sûr, la remise en mains propres est votre pari le plus sûr.
-
Laissez les étapes de test réelles qu'une personne malveillante pourrait abuser du rapport. Répondez à toutes les questions sur ce sujet si nécessaire.
