SA-11(05) - Tests d’intrusion (PaFF)
Énoncés :
Exiger que la développeuse ou le développeur du système, du composant du système ou du service qui s’y rapporte procède à des tests d’intrusion :
a. au niveau de rigueur suivant : [Affectation : profondeur et étendue des tests définies par l’organisation]
b. selon les contraintes suivantes : [Affectation : contraintes définies par l’organisation]
Le test d’intrusion est une méthodologie d’évaluation au cours de laquelle les évaluatrices et évaluateurs ont recours à toute la documentation accessible sur des produits informatiques ou des systèmes et se conforment à des contraintes prédéterminées pour tenter de contourner les fonctions de sécurité et de protection de la vie privée mises en œuvre dans les produits informatiques et les systèmes. Parmi les renseignements utiles nécessaires aux évaluatrices et évaluateurs qui effectuent les tests d’intrusion, on retrouve les spécifications de conception des produits et des systèmes, le code source et les guides d’administration et d’utilisation. Les tests d’intrusion peuvent comprendre notamment les tests en boîte blanche, grise ou noire combinés à des analyses menées par des spécialistes chevronnées et chevronnés, qui visent à simuler des attaques. L’objectif des tests d’intrusion est de découvrir les vulnérabilités dans les systèmes, les composants de systèmes et les services qui peuvent résulter d’erreurs de mise en œuvre, de fautes de configuration ou encore de lacunes ou défectuosités opérationnelles. Les tests d’intrusion peuvent être effectués conjointement avec les revues manuelles et automatisées du code dans le but de produire un niveau d’analyse plus élevé que celui que l’on retrouve couramment. Si l’information des sessions utilisateur et d’autres renseignements personnels sont collectés ou enregistrés au cours des tests d’intrusion, il convient de les traiter de façon appropriée pour en protéger la protection de la vie privée.