Apprenez à gérer les attentes des clients et à assurer une communication claire lors d’une mission de test d’intrusion, de la définition de la portée au reporting.

Set clear expectations with your client for a smooth penetration testing journey. Define the scope, objectives, and timeline upfront. Discuss potential risks and legal considerations openly. Keep them in the loop with regular updates, and educate them on the process. Collaborate on findings and remediation plans. After testing, provide a thorough debriefing, and offer post-engagement support. Transparent communication ensures a successful and mutually beneficial engagement.

A well-known example is the penetration test conducted on the Maroochy Water Services in Australia. This case highlighted the importance of clear communication between the testing team and the client, especially regarding the potential impacts and vulnerabilities found. The testers discovered critical vulnerabilities in the SCADA system, leading to significant improvements in the system's security. This case underscores the importance of thorough testing and clear, detailed reporting to the client about the vulnerabilities and recommended actions.

Last updated on 26 août 2024

Comment gérez-vous les attentes des clients lors d’une mission de test d’intrusion ?

Généré par l’IA et la communauté LinkedIn

Les tests d’intrusion, ou piratage éthique, sont un service précieux qui aide les organisations à identifier et à atténuer les vulnérabilités de leurs systèmes et réseaux. Cependant, la réalisation réussie d’un test d’intrusion nécessite plus que des compétences et des outils techniques. Il s’agit également de gérer les attentes des clients et d’assurer une communication claire tout au long de la mission. Dans cet article, vous découvrirez quelques bonnes pratiques pour gérer les attentes des clients lors d’une mission de test d’intrusion, de la définition de la portée au reporting.

Des experts chevronnés contribuent à cet article

Sélectionnés par la communauté pour 18 contributions. En savoir plus

1 Définir le périmètre et les objectifs

La première étape de la gestion des attentes des clients consiste à définir la portée et les objectifs du test d’intrusion. Cela signifie qu’il faut se mettre d’accord sur le type, la portée et la profondeur du test, ainsi que sur les systèmes, réseaux et applications cibles. Vous devez également discuter des objectifs et des résultats du test, tels que l’identification des risques, des problèmes de conformité ou des opportunités d’amélioration. En définissant la portée et les objectifs, vous pouvez éviter les malentendus, la dérive de la portée et les attentes irréalistes du client.

Ajoutez votre point de vue

Geraldo Alcantara, CISSP, CCISO, CCSK

Pentester | Cybersecurity | CISSP | CCISO | CEH Master | CCSK | CASP+ | Pentest+ | eWPTX | CRTP | eCPPT | eMAPT | eWPT | DCPT | Security+ | 34x CVEs | MBA | LPIC-1 | AZ-900 | ISFS | EHF
Signaler la contribution
Set clear expectations with your client for a smooth penetration testing journey. Define the scope, objectives, and timeline upfront. Discuss potential risks and legal considerations openly. Keep them in the loop with regular updates, and educate them on the process. Collaborate on findings and remediation plans. After testing, provide a thorough debriefing, and offer post-engagement support. Transparent communication ensures a successful and mutually beneficial engagement.

Texte traduit

J’aime
Kai Springs

IT Partner - Passionate about Cybersecurity | Small Business Owner| Technology Accessibility Enthusiast
Signaler la contribution
Every customer's environment is unique, and needs will be different; but managing their expectations begins with understanding their current policies and frameworks they follow. I explain that the pen test gives us a sample report of where we are at with risk management and how it will help us identify how we can help the customer fill in the gaps afterwords (what's missing from practice or what can/should be improved right away). Provide the findings to the client, identify what needs to be prioritized, and follow up to ensure there's a plan for customer deliverables to be met.

Texte traduit

J’aime
Mohammed Nabeel Usman

Msc, Mphil , Phd inview Cyber Security
Signaler la contribution
Define the scope and objectives Establish the rules of engagement Communicate the methodology and deliverables Provide regular updates and feedback Deliver a comprehensive report and presentation Follow up and maintain relationship Here’s what else to consider

Texte traduit

J’aime
Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Signaler la contribution
Absolutely, here's a concise breakdown: Clear Communication: Understand client goals and define the scope clearly. Documentation: Detailed SoW outlining objectives, methods, and limitations. Regular Updates: Keep the client informed of progress. Risk Assessment: Categorize and prioritize findings. Post-Engagement: Debrief, deliver a comprehensive report, offer recommendations. Educational Approach: Explain findings and offer training opportunities. Flexibility: Be adaptable to scope changes and unexpected findings. Professionalism: Maintain a respectful and responsive attitude. Follow-up Support: Offer assistance post-report delivery.

Texte traduit

J’aime
Mike Q. Hainsworth, MBA

Business & Property Entrepreneur, Director Incommsec Ltd, Founder of Anti-Coach solving problems with Mindset developing people from within, CEO and Co-Founder of Joint Commonwealth LTD.
Signaler la contribution
Relationship and Rapport. Absolutely define scope, set expectations. What we have found is some clients will say they want a full engagement, but when we start getting detailed they will pull back and say 'well let's not go quite that far...' Sometimes you have to listen to the subtext of the answer.

Texte traduit

J’aime

Charger plus de contributions

2 Etablir les règles d’engagement

L’étape suivante consiste à établir les règles d’engagement, c’est-à-dire les modalités du test d’intrusion. Il s’agit notamment de définir les rôles et les responsabilités des deux parties, le calendrier et le calendrier du test, les canaux et la fréquence de communication, les procédures d’escalade et les limites juridiques et éthiques. Vous devez également obtenir l’autorisation et le consentement écrits du client pour effectuer le test, et vous assurer que vous vous conformez à toutes les lois et réglementations applicables. En établissant les règles d’engagement, vous pouvez vous assurer que le test est effectué de manière sûre, légale et professionnelle.

Ajoutez votre point de vue

Jephthah Antwi
Signaler la contribution
One thing I have found helpful is being able get the client a report that can easily help address vulnerabilities and make decisions with a report that is very easy to understand and use. I usually leverage a lot of visuals in reports to help them quickly identify systems to focus on for remediation.

Texte traduit

J’aime
Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Signaler la contribution
Certainly, here's a condensed version: Scope Definition: Clearly define what's included and excluded. Authorized Activities: Specify allowed actions and tools. Legal Compliance: Ensure adherence to laws and policies. Communication Protocols: Define reporting and updates. Data Handling Rules: Establish data protection protocols. Timeline and Schedule: Set clear engagement timelines. Escalation Procedures: Outline critical issue escalation. Roles and Responsibilities: Define involved parties' duties. Confidentiality: Stress confidentiality and non-disclosure. Exit Strategy: Plan for conclusion and post-assessment support. Contingency Plans: Prepare for unforeseen situations.

Texte traduit

J’aime

Charger plus de contributions

3 Communiquer la méthodologie et les livrables

Une autre étape importante consiste à communiquer la méthodologie et les livrables du test d’intrusion. Cela signifie qu’il faut expliquer les étapes et les techniques que vous utiliserez pour effectuer le test, telles que la reconnaissance, l’analyse, l’exploitation et la post-exploitation. Vous devez également informer le client des livrables attendus, tels que les rapports, les conclusions, les recommandations et les preuves. En communiquant la méthodologie et les livrables, vous pouvez faire preuve de transparence et de responsabilité envers le client, et démontrer votre compétence et votre crédibilité.

Ajoutez votre point de vue

Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Signaler la contribution
Methodology Communication: Approach Overview: Summarize the testing approach. Detailed Steps: Outline specific testing techniques. Risk Assessment: Explain how risks will be evaluated. Compliance Alignment: Highlight industry standards compliance. Deliverables Communication: Report Structure: Explain report sections and summaries. Findings Documentation: Detail identified issues. Severity Classification: Define risk severity levels. Recommendations: Present actionable mitigation steps. Presentation/Debrief: Offer explanation sessions. Post-Assessment Support: Specify ongoing support.

Texte traduit

J’aime
Sujaykumar Adoor

Founder @HacFy | 🏅 2X LinkedIn Top Voice | Security Researcher | Pentester | Cloud Security | SOC | GRC
Signaler la contribution
Explain the testing methodology that will be used, including the tools and techniques involved. Clearly outline the expected deliverables, such as interim reports, a final report, and any presentations. Ensure the client understands what to expect at each stage of the process.

Texte traduit

J’aime

4 Fournir des mises à jour et des commentaires réguliers

Pendant le test d’intrusion, vous devez fournir des mises à jour et des commentaires réguliers au client. Il s’agit de rendre compte de la progression et de l’état du test, tels que les tâches effectuées, les problèmes rencontrés et les résultats obtenus. Vous devez également informer le client de toute découverte critique ou à haut risque, telle que les violations de données, les compromissions du système ou les impacts sur l’entreprise. En fournissant des mises à jour et des commentaires réguliers, vous pouvez tenir le client informé et engagé, et répondre à toute préoccupation ou question qui pourrait survenir.

Ajoutez votre point de vue

Nithin Hewavitharana (Niki)

Full Stack Developer | Crafting Scalable & High-Performance Web Applications | Expert in Front-End & Back-End Development | Proficient in Modern Frameworks & Technologies | Cloud Integration | Electronic Enthusiast 🛠️
Signaler la contribution
Scheduled Reports: Regularly share progress and findings. Highlight Key Points: Emphasize significant discoveries. Risks and Actions: Communicate risks and mitigation steps. Adherence to Timeline: Confirm project progress. Feedback Mechanisms: Open Channels: Encourage feedback through various avenues. Structured Sessions: Arrange formal feedback sessions. Act on Feedback: Implement actionable suggestions. Continuous Improvement: Use feedback for future enhancements. Efficient Communication: Conciseness: Keep updates focused and brief. Documentation: Use reports, emails, or presentations. Prompt Responses: Address urgent matters promptly. Acknowledgment: Recognize and respond to feedback.

Texte traduit

J’aime

5 Fournir un rapport et une présentation complets

La dernière étape consiste à fournir un rapport complet et une présentation au client. Cela signifie fournir un rapport détaillé et structuré qui résume la portée, les objectifs, la méthodologie, les résultats et les recommandations du test d’intrusion. Vous devez également présenter les principales conclusions et recommandations au client de manière claire et concise, à l’aide d’aides visuelles, de tableaux, de graphiques et de captures d’écran. En fournissant un rapport et une présentation complets, vous pouvez démontrer la valeur et l’impact du test d’intrusion, et fournir des informations et des conseils exploitables au client.

Ajoutez votre point de vue

Mike Q. Hainsworth, MBA

Business & Property Entrepreneur, Director Incommsec Ltd, Founder of Anti-Coach solving problems with Mindset developing people from within, CEO and Co-Founder of Joint Commonwealth LTD.
Signaler la contribution
Key element. Otherwise what's the point of it for the customer. If they've brought in an 'expert' to help then the advise afterwards is critical to moving forward.

Texte traduit

J’aime
Sujaykumar Adoor

Founder @HacFy | 🏅 2X LinkedIn Top Voice | Security Researcher | Pentester | Cloud Security | SOC | GRC
Signaler la contribution
Upon completion of the testing, provide a detailed report that includes an executive summary, findings, vulnerabilities discovered, risk ratings, and recommended remediation actions. Follow this up with a presentation to discuss the findings, answer questions, and ensure the client fully understands the results.

Texte traduit

J’aime

6 Assurer le suivi et le maintien de la relation

Après avoir remis le rapport et la présentation, vous devez assurer le suivi et maintenir la relation avec le client. Cela signifie solliciter les commentaires et la satisfaction du client, et répondre à tous les problèmes ou questions qui peuvent survenir. Vous devez également offrir du soutien et de l’aide au client dans la mise en œuvre des recommandations, et surveiller l’efficacité et les résultats des mesures correctives. En assurant le suivi et le maintien de la relation, vous pouvez vous assurer que le client est satisfait et satisfait du test d’intrusion, et établir la confiance et la loyauté pour les engagements futurs.

Ajoutez votre point de vue

Mike Q. Hainsworth, MBA

Business & Property Entrepreneur, Director Incommsec Ltd, Founder of Anti-Coach solving problems with Mindset developing people from within, CEO and Co-Founder of Joint Commonwealth LTD.
Signaler la contribution
This is where the long term relationship builds from. There's a difference between transactional service delivery and contractual service delivery. Needless to say contractual builds over time. If you do it right.

Texte traduit

J’aime

7 Voici ce qu’il faut prendre en compte d’autre

Il s’agit d’un espace pour partager des exemples, des histoires ou des idées qui ne correspondent à aucune des sections précédentes. Que voudriez-vous ajouter d’autre ?

Ajoutez votre point de vue

Lamine T.

Head of Growth & Partnerships at Evina | We protect 1 billion users worldwide every day | Safeguarding Mobile Payments - Direct Carrier Billing / VAS & Mobile Money in High / Low Risk markets
Signaler la contribution
A well-known example is the penetration test conducted on the Maroochy Water Services in Australia. This case highlighted the importance of clear communication between the testing team and the client, especially regarding the potential impacts and vulnerabilities found. The testers discovered critical vulnerabilities in the SCADA system, leading to significant improvements in the system's security. This case underscores the importance of thorough testing and clear, detailed reporting to the client about the vulnerabilities and recommended actions.

Texte traduit

J’aime
Alexander Antukh

CISO | EMBA | QTE | Mentor | ISO 3103 enthusiast
Signaler la contribution
Make sure the client understands that a well-done pentest does not necessarily equal to a list of critical findings. Be transparent about the scope, methodology, time constraints, and deliverables, and provide visibility about what was not tested.

Texte traduit

J’aime

Cybersécurité

+ Suivre

Notez cet article

Nous avons créé cet article à l’aide de l’intelligence artificielle. Qu’en pensez-vous ?

Il est très bien Ça pourrait être mieux

Signaler cet article

Tout voir

Comment gérez-vous les attentes des clients lors d’une mission de test d’intrusion ?

1

2

3

4

5

6

7

1 Définir le périmètre et les objectifs

2 Etablir les règles d’engagement

3 Communiquer la méthodologie et les livrables

4 Fournir des mises à jour et des commentaires réguliers

5 Fournir un rapport et une présentation complets

6 Assurer le suivi et le maintien de la relation

7 Voici ce qu’il faut prendre en compte d’autre

Cybersécurité

Notez cet article

Nous vous remercions de votre feedback

Plus d’articles sur Cybersécurité

Lecture plus pertinente

Comment gérez-vous les attentes des clients lors d’une mission de test d’intrusion ?

1

2

3

4

5

6

7

1 Définir le périmètre et les objectifs

2 Etablir les règles d’engagement

3 Communiquer la méthodologie et les livrables

4 Fournir des mises à jour et des commentaires réguliers

5 Fournir un rapport et une présentation complets

6 Assurer le suivi et le maintien de la relation

7 Voici ce qu’il faut prendre en compte d’autre

Cybersécurité

Notez cet article

Nous vous remercions de votre feedback

Explorer d’autres compétences