Créer une demande d’évaluation de test de pénétration (avant la version 19.0)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Lancez une demande d’évaluation de test de pénétration pour vos applications Web ou API. Ces demandes sont soumises à l’équipe de piratage éthique, qui procède ensuite au test de ces applications et signale manuellement les résultats du test d’intrusion.

    Avant de commencer

    Rôle requis : App-Sec Manager

    Pourquoi et quand exécuter cette tâche

    Le propriétaire de l’application soumet une demande d’évaluation de test de pénétration pour analyser manuellement son application ou ses API. L’équipe de piratage éthique teste l’application et crée manuellement les résultats du test d’intrusion. Ces résultats sont des éléments vulnérables de l’application (AVI) créés manuellement.

    Le groupe d’affectation par défaut pour le résultat du test de pénétration est le groupe configuré dans le champ « Équipe d’application » de la demande d’évaluation du test de pénétration associée. Le type d’affectation du résultat du test de pénétration est Manuel. Les règles d’affectation ne peuvent pas remplacer l’affectation de ces conclusions de test de pénétration.

    À partir de la version 19.0, vous pouvez créer des demandes d’évaluation de test de pénétration directement à partir de la table Demandes d’évaluation de test de pénétration [sn_vul_pen_test_assessment_request_list]. Consultez Créer une demande d’évaluation de test de pénétration à partir de demandes existantes (v19.0) pour plus d'informations.

    Procédure

    1. Avant la version 19.0, accédez à Tout > Libre-service > Catalogue de services > Services > Demande d'évaluation de test de pénétration.
    2. Facultatif : Vous pouvez également créer une demande en répliquant les demandes fermées.
      Toutes les valeurs de la demande d’origine sont conservées. Les éléments vulnérables de l’application (AVI) actifs sont automatiquement copiés dans la nouvelle demande.
    3. Renseignez les champs du formulaire.
      Tableau 1. Formulaire de demande d’évaluation de test de pénétration
      Champ Description
      Numéro Identificateur unique généré pour la demande d’évaluation de test de pénétration.
      Demandés par Personne demandant l’évaluation de la demande.
      Demande d'évaluation parente Demande d’évaluation de test de pénétration d’origine utilisée pour créer la demande enfant. Elle est créée à l’aide d’une demande d’évaluation fermée. Visible uniquement sur le formulaire de demande d’évaluation de l’enfant.
      Application Sélectionnez une application à l’aide de l’option de recherche.
      Type d'application Sélectionnez une option parmi :
      • Service Web (connu sous le nom d’API avant la version 16.1)
      • Application Web
      • Client lourd
      • Mobile (si vous sélectionnez Mobile, l’onglet Mobile s’affiche en bas du formulaire avec des champs supplémentaires)
      v19.0 : Taille de l’application Sélectionnez la taille de l’application que vous souhaitez tester.
      • Petit
      • Moyen
      • Grand
      • Standard (sélectionnez cette option si vous n’êtes pas sûr de la taille)
      Type d'évaluation Sélectionner le type d’évaluation dans :
      • Test de pénétration complet
      • Test ciblé
      • Retester
      Pour plus de détails, voir Configurer les types d’évaluation pour les tests de pénétration.
      Objet de l'application Description de la fonctionnalité de l’application.
      Détails des piles de technologies Pile technologique complète, du front-end au back-end, en passant par les bases de données et d’autres technologies clés.
      S’agit-il d’une application tierce ? Confirme si cette application appartient à un fournisseur tiers.
      Types de listes de données sensibles accessibles à partir de l'application Types de données sensibles accessibles à partir de l’application. Par exemple, les données PII, les données PHI et les données financières telles que les numéros de carte de crédit.
      Type d'authentification Spécifie si cette application utilise LDAP Authentication, sa propre authentification native ou d’autres formes d’authentification.
      L'application a-t-elle un impact sur un programme de conformité ? Spécifie si cette application a un impact sur des programmes de conformité tels que PCI.
      Contacts de l'équipe d'application Les membres de l’équipe d’application doivent être contactés par l’équipe de piratage éthique pour toute question.
      Date de la démo Date à laquelle cette application peut être démontrée.
      Déploiement du produit planifié le Date planifiée pour le déploiement de cette application en production.
      Version/mise en production de l'application planifiée pour le déploiement Version de l’application planifiée pour un déploiement de production.
      v19.0 : application appartenant à un fournisseur tiers ou à une société commune Si vous sélectionnez Oui pour ce champ, l’onglet Informations sur le fournisseur/la société commune s’affiche avec des champs supplémentaires.

      Le terme « clause » peut faire référence à des normes de test qui incluent tout accord existant entre deux ou plusieurs parties.
      État Sélectionnez une valeur en fonction de l’état de la demande.
      Groupe d'affectation Groupe sélectionné pour travailler sur les résultats du test de pénétration. Elles peuvent être ajoutées ou modifiées manuellement par un gestionnaire de sécurité des applications.
      Affecté à Personne du groupe d’affectation sélectionné qui travaille sur les conclusions du test de pénétration. Elles peuvent être ajoutées ou modifiées manuellement par un gestionnaire de sécurité des applications.
      Sprint Affiche les sprints avec la bande passante disponible pour prendre en charge la demande d’évaluation en fonction du champ Type d’évaluation sélectionné.
      Créé Date et heure de création de la demande.
      Date de démarrage du test Date et heure auxquelles le test commence.
      Mis à jour Date et heure de dernière mise à jour de la demande.
      Détails du test
      URL à tester URL qui doivent être incluses dans les tests de pénétration.
      URL à exclure URL qui doivent être exclues des tests de pénétration.
      Cette application a-t-elle été testée précédemment ? Spécifie si cette application a déjà fait l’objet d’un test de pénétration.
      Motif du nouveau test Motif de demande de réévaluation du test de pénétration si l’application a été testée précédemment.
      Quand l’application a-t-elle été testée ? Délai pendant lequel l’application a été testée par pénétration.
      Détails du compte de test Détails du compte de test qui peuvent être utilisés par l’équipe de piratage éthique pour les tests d’intrusion.
      Rôles d'application Rôles pris en charge par l’application pour ses utilisateurs.
      Rôles les plus utilisés Rôles les plus couramment utilisés dans l’application.
    4. Sélectionnez Soumettre.
      Une notification par e-mail est envoyée à l’équipe de piratage éthique indiquant que la demande a été créée pour l’application concernée.