CA-08(02) - Exercices effectués par l’équipe de testeuses et testeurs (PbMM)
Énoncés :
Avoir recours à des exercices effectués par l’équipe de testeuses et testeurs pour simuler des tentatives de compromission des systèmes organisationnels lancées par des adversaires conformément aux règles d’engagement : [Affectation : exercices effectués par l’équipe de testeuses et testeurs définie par l’organisation].
Paramètres :Les exercices effectués par l’équipe de testeuses et testeurs vont au-delà des objectifs liés aux tests d’intrusion en permettant d’examiner la posture de sécurité et de protection de la vie privée des organisations et leur capacité à mettre en place des contrôles de cyberdéfense efficaces. Les exercices qu’effectue l’équipe de testeuses et testeurs sont menés de manière à simuler des tentatives lancées par des adversaires qui cherchent à compromettre des fonctions opérationnelles ou liées à la mission de l’organisation afin d’évaluer de façon exhaustive la posture de sécurité et de protection de la vie privée du système et de l’organisation. De telles tentatives comprennent les attaques axées sur la technologie de même que les attaques axées sur l’ingénierie sociale. Les attaques axées sur la technologie comprennent les interactions avec des composants matériels, logiciels ou micrologiciels et avec des processus opérationnels ou liés à la mission. Quant aux attaques axées sur l’ingénierie sociale, elles comprennent les interactions à l’aide de courriels, d’appels téléphoniques, d’espionnage par-dessus l’épaule ou de conversations personnelles. Les exercices effectués par l’équipe de testeuses et testeurs sont plus efficaces lorsqu’ils sont menés par des agentes et agents ou des équipes chargés des tests d’intrusion qui ont des connaissances et de l’expérience des tactiques, des techniques, des procédures et des outils utilisés par les adversaires. Bien que les tests de pénétration se fassent surtout dans des laboratoires, les organisations se servent des exercices qu’effectue l’équipe de testeurs afin de mener des évaluations exhaustives qui reflètent les conditions réelles. Les organisations peuvent utiliser les résultats des exercices effectués par l’équipe de testeuses et testeurs pour améliorer la sensibilisation à la sécurité et à la protection de la vie privée, la formation sur la sécurité et la protection de la vie privée et pour évaluer l’efficacité des contrôles.