Définition du cadre
Il appartient au client de définir les conditions d'intervention et délimiter précisément le périmètre du test d'intrusion.
Le contrat de pentest permet de définir un cadre légal d'intervention, et notamment d'identifier les biens sensibles du système d'information audité. Il informe également le client des éventuels risques liés aux tests d'intrusions. Dans tous les cas, une clause de confidentialité signée par le pentester complète le contrat.