PTES
Qu'est-ce que PTES ?
PTESMethodologie communautaire de tests d'intrusion qui structure une mission en sept phases, du pre-engagement au reporting et aux recommandations de remediation.
Le Penetration Testing Execution Standard (PTES) est un cadre maintenu par la communaute qui definit comment planifier, executer et rapporter un test d'intrusion professionnel. Il structure le travail en sept phases: interactions de pre-engagement, collecte de renseignement, modelisation de menace, analyse de vulnerabilites, exploitation, post-exploitation et reporting. Il est associe a un document Technical Guidelines recommandant outils et tactiques par phase. Tres adopte par les cabinets de conseil et les red teams internes, il harmonise perimetre, regles d'engagement et livrables sur des environnements heterogenes et s'aligne avec OSSTMM, NIST SP 800-115 et les guides de tests OWASP.
● Exemples
- 01
Un cabinet aligne chaque lettre de mission de pentest sur les exigences de pre-engagement du PTES.
- 02
Une red team utilise la phase post-exploitation du PTES pour evaluer l'impact reel pour le COMEX.
● Questions fréquentes
Qu'est-ce que PTES ?
Methodologie communautaire de tests d'intrusion qui structure une mission en sept phases, du pre-engagement au reporting et aux recommandations de remediation. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie PTES ?
Methodologie communautaire de tests d'intrusion qui structure une mission en sept phases, du pre-engagement au reporting et aux recommandations de remediation.
Comment fonctionne PTES ?
Le Penetration Testing Execution Standard (PTES) est un cadre maintenu par la communaute qui definit comment planifier, executer et rapporter un test d'intrusion professionnel. Il structure le travail en sept phases: interactions de pre-engagement, collecte de renseignement, modelisation de menace, analyse de vulnerabilites, exploitation, post-exploitation et reporting. Il est associe a un document Technical Guidelines recommandant outils et tactiques par phase. Tres adopte par les cabinets de conseil et les red teams internes, il harmonise perimetre, regles d'engagement et livrables sur des environnements heterogenes et s'aligne avec OSSTMM, NIST SP 800-115 et les guides de tests OWASP.
Comment se défendre contre PTES ?
Les défenses contre PTES combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de PTES ?
Noms alternatifs courants : Standard d'execution des tests d'intrusion.
● Termes liés
- compliance№ 770
OSSTMM
Methodologie de test de securite ouverte et revue par les pairs maintenue par ISECOM, qui definit des mesures scientifiques et repetables de la securite operationnelle sur cinq canaux.
- compliance№ 768
OSCP
Certification offensive pratique d'Offensive Security obtenue en compromettant un reseau de laboratoire lors d'un examen pratique surveille de 24 heures.
- compliance№ 152
CEH
Certification de hacking ethique d'EC-Council qui enseigne les outils et techniques des attaquants en reconnaissance, exploitation, web, sans-fil et cloud.
- defense-ops№ 813
Test d'intrusion
Cyberattaque simulée et autorisée contre des systèmes, applications ou personnes pour identifier les faiblesses exploitables avant les véritables adversaires.
- compliance№ 735
NIST SP 800-30
Publication speciale du NIST qui fournit des lignes directrices pour conduire les evaluations de risque des systemes d'information et des missions qu'ils supportent.