OSSTMM
Qu'est-ce que OSSTMM ?
OSSTMMMethodologie de test de securite ouverte et revue par les pairs maintenue par ISECOM, qui definit des mesures scientifiques et repetables de la securite operationnelle sur cinq canaux.
Le Open Source Security Testing Methodology Manual (OSSTMM) est maintenu par l'Institute for Security and Open Methodologies (ISECOM) et utilise par les auditeurs et pentesters pour mener des evaluations repetables et fondees sur la preuve. Il definit cinq canaux de test — humain, physique, sans fil, telecommunications et reseaux de donnees — et produit un score quantitatif, le Risk Assessment Value (RAV), base sur les controles operationnels, les limitations et la confiance. OSSTMM met l'accent sur les regles d'engagement, la mesure scientifique et l'ethique plutot que sur les listes d'outils. Il est cite dans les audits publics et regules et complete les cadres techniques tels que PTES et NIST SP 800-115.
● Exemples
- 01
Un auditeur utilise OSSTMM pour evaluer la surface d'attaque physique et humaine d'une agence bancaire.
- 02
Un pentester combine le score RAV d'OSSTMM avec les procedures techniques du PTES.
● Questions fréquentes
Qu'est-ce que OSSTMM ?
Methodologie de test de securite ouverte et revue par les pairs maintenue par ISECOM, qui definit des mesures scientifiques et repetables de la securite operationnelle sur cinq canaux. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie OSSTMM ?
Methodologie de test de securite ouverte et revue par les pairs maintenue par ISECOM, qui definit des mesures scientifiques et repetables de la securite operationnelle sur cinq canaux.
Comment fonctionne OSSTMM ?
Le Open Source Security Testing Methodology Manual (OSSTMM) est maintenu par l'Institute for Security and Open Methodologies (ISECOM) et utilise par les auditeurs et pentesters pour mener des evaluations repetables et fondees sur la preuve. Il definit cinq canaux de test — humain, physique, sans fil, telecommunications et reseaux de donnees — et produit un score quantitatif, le Risk Assessment Value (RAV), base sur les controles operationnels, les limitations et la confiance. OSSTMM met l'accent sur les regles d'engagement, la mesure scientifique et l'ethique plutot que sur les listes d'outils. Il est cite dans les audits publics et regules et complete les cadres techniques tels que PTES et NIST SP 800-115.
Comment se défendre contre OSSTMM ?
Les défenses contre OSSTMM combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OSSTMM ?
Noms alternatifs courants : Manuel de methodologie de test de securite open source.
● Termes liés
- compliance№ 876
PTES
Methodologie communautaire de tests d'intrusion qui structure une mission en sept phases, du pre-engagement au reporting et aux recommandations de remediation.
- compliance№ 768
OSCP
Certification offensive pratique d'Offensive Security obtenue en compromettant un reseau de laboratoire lors d'un examen pratique surveille de 24 heures.
- compliance№ 152
CEH
Certification de hacking ethique d'EC-Council qui enseigne les outils et techniques des attaquants en reconnaissance, exploitation, web, sans-fil et cloud.
- defense-ops№ 813
Test d'intrusion
Cyberattaque simulée et autorisée contre des systèmes, applications ou personnes pour identifier les faiblesses exploitables avant les véritables adversaires.
- compliance№ 735
NIST SP 800-30
Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent.