Retour à nos services

Contrats de Pentest

Un accord de confidentialité fait partie intégrante de nos contrats de Pentest qui sont signés avant toute prestation.

Définition du cadre

Il appartient au client de définir les conditions d'intervention et délimiter précisément le périmètre du test d'intrusion.

Le contrat de pentest permet de définir un cadre légal d'intervention, et notamment d'identifier les biens sensibles du système d'information audité. Il informe également le client des éventuels risques liés aux tests d'intrusions. Dans tous les cas, une clause de confidentialité signée par le pentester complète le contrat.

Projection juridique

Il s'agit de protéger le client et le prestataire.

Le contrat a également pour but d'éclairer le juge sur l'intention des parties dans l'hypothèse où un litige serait porté devant lui. Il doit identifier clairement le représentant de la société cliente et ses pouvoirs de décision: son autorisation est nécessaire car elle déterminera les éventuelles poursuites sur le fondement des articles 323-1 et suivants du Code pénal.

De son côté, le prestataire identifie un responsable de projet et définit précisément les outils et les techniques mis en oeuvre pour accomplir sa mission.

Autorisations de test

Elles sont nécessaires au bon déroulement de la prestation.

Outre l'autorisation du Client, il peut être nécessaire de recueillir le consentement de société tierces, généralement partenaires de celui-ci. Il peut s'agir d'entreprises fournissant des services hébergés ou managés. Le lancement des opérations de test est donc suspendu jusqu'à l'obtention de l'ensemble des autorisations de tiers requises.

Si au cours d'une mission nous découvrons une faille de sécurité majeure, vous en serez immédiatement averti et nous solliciterons une autorisation expresse afin de l’exploiter.

Données confidentielles

Avec nous, vos données sont en sécurité.

Lorsque nos équipes rencontrent des informations confidentielles au cours de leurs missions, elles ne sont ni collectées, ni conservées.

Lorsque nous y faisons référence dans nos rapports d'audit, afin d'expliciter une faille, elles sont systématiquement anonymisées.