L’objectif de la Charte FPTI® est de permettre aux professionnels réalisant des tests d’intrusion de partager des valeurs et de règles communes. Cette approche fournit aux entreprises clientes et autorités compétentes des indicateurs clairs sur la qualité de leurs prestations et les méthodologies qu’ils utilisent.

La fédération des professionnels des tests d’intrusion a ainsi mis en place une organisation permettant aux professionnels de prouver leur engagement grâce à une entité de contrôle indépendante qui permet aux entreprises d’être signataires et d’obtenir l’utilisation sous licence des marques « Certifié FPTI® », « Certification FPTI® » et « Charte FPTI® » pour une durée d’un an renouvelable chaque année.

INTRODUCTION

L’utilisation des technologies de l’information et de la mobilité oblige les entreprises à décloisonner les systèmes d’information ouvrant ainsi de nouveaux axes d’attaques ne pouvant être facilement identifiés par des audits de sécurité informatiques conventionnels ou des analyses de risques.

De ce constat,  ont été créer les fondations d’une discipline spécifique : le test d’intrusion informatique.

Ainsi, loin des pratiques illégales habituellement l’objet des pirates informatiques, le test d’intrusion réalisé par une entreprise signataire repose sur des engagements stricts et un respect des lois sans failles.

Ainsi les professionnels se sont réunis pour définir les 5 règles fondatrices de la fédération : la traçabilité, la discrétion, l’intégrité, l’éthique, la formation.

Chapitre 1 : Traçabilité

Article 1.1

Chaque entreprise autorisée à utiliser sous licence les marques de la fédération des professionnels des tests d’intrusion, est tenue de fournir l’ensemble  des informations juridiques permettant aux entreprises clientes de :

• Identifier la personne morale qui va réaliser la prestation d’intrusion,
• Connaître précisément les auditeurs participant au processus du test d’intrusion

Article 1.2

Chaque société signataire de la présente charte, s’astreint à prendre toutes les mesures nécessaires afin de garantir la traçabilité d’un test d’intrusion, notamment en :

• Enregistrant le test d’intrusion à la demande de l’entreprise cliente,
• Identifiant l’ensemble des intervenants devant participer à une mission tant au sein de l’entreprise réalisant le test d’intrusion qu’au sein de l’entreprise cliente,
• Requérant tous justificatifs nécessaires afin de garantir que la prestation est réalisée à de « bonnes fins ».

Article 1.3

Toute entreprise signataire, s’astreint à une information sans faille de l’entreprise cliente, tant sur les résultats du test d’intrusion que sur les découvertes connexes qui pourraient en résulter, ainsi :

• Chaque test d’intrusion doit être composé au minima d’une réunion de lancement et d’une réunion de clôture,
• Toute découverte de données ou logiciels pouvant porter atteinte aux intérêts de l’entreprise cliente devra être signalée avant la fin de la prestation.

Article 1.4

Chaque société signataire, définit un périmètre précis devant faire l’objet de la prestation de test d’intrusion. Ainsi :

• Il est prohibé de réaliser un test d’intrusion sur tout ou partie du système d’information de l’entreprise cliente sans un accord formel identifiant les cibles de la prestation.

Article 1.5

Chaque entreprise signataire, s’astreint à l’utilisation d’un document ou convention formalisé présentant au minium les obligations des parties afin de :

• définir le périmètre de la prestation,
• informer l’entreprise cliente sur les risques de la prestation,
• identifier le donneur d’ordre,
• présenter la prestation qui va être réalisée.

Chapitre 2 : Intégrité

Article 2.1

Chaque signataire, s’astreint à une loyauté complète envers l’entreprise cliente, ainsi il  prohibe :

• La transmission d’informations à un tiers découlant d’une prestation de tests d’intrusion,
• Les recommandations ou les correctifs basés sur des technologies ou des sociétés tierces entrainant un gain financier quelconque.
• Les prestations d’ingénierie sociale.

Article 2.2

Chaque signataire, s’oblige en fin de mission à procéder dans un délai de trois mois à la destruction des éléments fournis par le client lors de la prestation de test d’intrusion, par conséquent :

• Il s’interdit de conserver tous documents fournis par le client et ce quelque soit le support,
• Il s’oblige à fournir un document formel entérinant la destruction des dits documents.

Article 2.3

Chaque signataire, est tenu de souscrire une responsabilité civile et professionnelle permettant de fournir une contrepartie financière à l’entreprise cliente en cas d’incident.

• Il fournira à la première demande du client toute information relative à la responsabilité civile qu’il a souscrit.

Article 2.4

Chaque signataire, s’engage à n’utiliser que des logiciels, méthodologies ou référentiels dont il a acquis les licences

• Il fournira à la première demande du client toutes informations relatives aux licences acquises

Article 2.5

Chaque signataire, s’engage à fournir dans les plus brefs délais toutes informations découvertes relatives à des actes de piratage ou des demandes illégales auprès des autorités compétentes.

Article 2.6

Chaque signataire, s’astreint lors de la réalisation de prestation d’intrusion en sécurité informatique à prendre toutes les mesures nécessaires pour protéger les lois et les droits des personnes.

Chapitre 3 : Discrétion

Article 3.1

Chaque signataire, s’engage à communiquer les noms de ses clients qu’après en avoir obtenu l’accord écrit.

• Ainsi, est prohibé tout usage de noms de client sur tout document ou publication sans autorisation écrite.

Article 3.2

Chaque signataire, est tenu de limiter ses échanges au sein d’une mission aux seules personnes clairement identifiées par le mandataire.

• Dés lors, il est prohibé de communiquer à tous tiers les résultats, ou documents relatifs à une mission.

Article 3.3

Chaque signataire, s'oblige dans l'exercice de sa profession, à n’utiliser que des matériels et supports permettant de sécuriser le transfert et le stockage des informations par des moyens cryptographiques reconnus.

Chapite 4 : Ethique

Article 4.1

Chaque entreprise utilisant les marques de la fédération des professionnels des tests d’intrusion, s’engage à ne pas faire réaliser des prestations de tests d’intrusion par des « pirates » informatiques ou des intervenants ponctuels.

• Ainsi, sont prohibées toutes réalisations de prestations d’intrusion par des personnels n’ayant pas de contrat de travail licite.

Article 4.2

Chaque auditeur ou personnel liée à une prestation de test d’intrusion au sein d’une entreprise signataire de la charte FPTI®, est tenu de ratifier la présente charte dans sa totalité.

Article 4.3

Chaque signataire s’engage à n’utiliser, la présente charte, les marques « Fédération des professionnels des tests d’intrusion® », « Certifié FPTI® », « Certification FPTI® », « Charte FPTI® », « FPTI® » qu’après avoir obtenu une licence et ce pour une période d’une année renouvelable.

• Ainsi, il supprimera tous liens, logos, marques, documents appartenant à la fédération de tous supports à la première demande de la fédération des professionnels des tests d’intrusion.

Article 4.4

Chaque signataire, autorise la FPTI® à procéder ou à permettre à toute société mandatée par cette dernière à procéder à des contrôles biennaux basés sur l’application de toute ou partie de la charte FPTI®.

Chapitre 5 : Formation

Article 5.1

Chaque signataire, s’engage à fournir une formation continue et spécifique aux personnels réalisant des tests d’intrusion.

• Ainsi, il s’oblige à mettre en place des sessions de formation ou permettre la participation de ses salariés à des conférences facilitant ainsi la construction d’une spécialité dans le domaine de l’intrusion informatique et la protection des entreprises.

Article 5.2

Chaque signataire, s’engage à encourager chaque semaine dans une limite définie des temps dédiés à la veille technologique dans le domaine des tests d’intrusion.