|
Notre entreprise est certifiée FPTI® et s'engage à respecter la présente charte éthique, définie par la fédération des professionnels des tests d'intrusion®.
Chaque personne préposée au test d'intrusion est membre de la FPTI®. |
|
|
Les Professionnels des Tests d'Intrusion, www.fpti.asso.fr, ont choisi de se réunir au sein de la Fédération des Professionnels des Tests d'Intrusion® FPTI® pour définir une certification spécifique à leur spécialisation. La Fédération des Professionnels des Tests d’Intrusion® FPTI® a mis en place depuis le premier juin 2010 une organisation de contrôle indépendante permettant de s'assurer du respect de la Charte auprès des entreprises qui ont demandé à être certifiées FPTI®. PREAMBULE L'interconnexion massive des systèmes d'information avec le réseau Internet, la mobilité croissante, la mondialisation des moyens d'accès fragilisent chaque jour la sécurité de l'information. Face à ces risques constants, une démarche innovante et complémentaire à l'audit conventionnel devait être mise en place afin d'aider les entreprises à sécuriser techniquement leurs systèmes d'information : le test d'intrusion a ainsi été créé dans ce but. Les prestations de tests d’intrusion sont diamétralement opposées aux actions des pirates informatiques qui elles sont répréhensibles devant les lois françaises et internationales. En effet, même s'elles sont réalisées dans un environnement technique similaire et partagent des objectifs analogues, à savoir s'introduire dans les systèmes informatiques des engagements stricts et un respect du droit les encadrent. Face à cet amalgame, les Professionnels des Tests d'Intrusion ont décidé de se regrouper afin de lutter contre les stéréotypes véhiculés par l’action des pirates considérée souvent comme ludique mais néanmoins délinquante. La certification FPTI® lors de la pratique des tests d’intrusion entraînera une gestion de la qualité et attestera les engagements des entreprises certifiées afin de lutter contre des pratiques délictueuses comme : le chantage, l’altération de données, le vol, l’espionnage industriel, la destruction de ressources informatiques ou la revente de données confidentielles. Elle assurera en outre les clients de la rigueur et l’engagement des entreprises certifiées avec lesquelles ils contractent, afin d’établir avec les professionnels une relation de confiance. La présente charte énonce les quatre principes fondateurs de ses règles déontologiques : • l’ Ethique, • la Transparence, • la Confidentialité, • l’ Intégrité.
En conséquence, toute entreprise certifiée FPTI® s'engage à :
PRINCIPE D’ETHIQUE ARTICLE 1 S’engage à ne pas recruter ou employer de pirate informatique pour réaliser des missions d’intrusion informatiques. Dans le respect de cet engagement, elle ne peut faire réaliser ces missions de tests d’intrusion qu’avec un auditeur lié par une relation de travail officialisée. Dès lors, elle exclut et interdit toute action ponctuelle ou participation de tout intervenant lors de la réalisation de tests d’intrusion. ARTICLE 2 Atteste que chaque auditeur autorisé par la présente charte à réaliser des tests d’intrusion à accepter les articles de la présente chate FPTI. Dès lors, elle sera dans l’obligation de faire signer la présente charte par tout auditeur réalisant des tests d’intrusion. PRINCIPE DE TRANSPARENCE ARTICLE 3 Afin de maintenir une parfaite transparence de ses actions, elle doit maintenir et permettre une indication précise aussi bien de son identité en temps que personne morale que de l’identité des auditeurs participant aux missions de tests d’intrusion. Dès lors, - En tant qu'entreprise certifiée auprès de la Fédération des Professionnels des Tests Intrusion®, elle s’astreint aux articles et engagement résultant de cette certification - Elle transmettra à la demande de son client toute information permettant d’identifier son identité ou celle de ses auditeurs ayant réalisés la mission de tests d’intrusion. - Elle fournira à la demande du client, dans le respect et la protection de son savoir-faire, toute information ou méthodologie ayant été utilisée lors du test d’intrusion. - Elle se conformera, si nécessaire ou à la suite de toute demande, à toute déclaration ou enregistrement d’un test d’intrusion afin de le fournir à toutes autorités ou organismes de contrôles compétents. ARTICLE 4 S’astreint à une transparence sans faille sur les opérations réalisées lors de mission de tests d’intrusion Dès lors, - Elle transmettra toute information sur les adresses IP, les lieux, adresses des auditeurs réalisant la mission de tests d’intrusion. - Elle mettra en place une traçabilité des différentes phases et actions réalisées lors des missions de tests d’intrusion. ARTICLE 5 S'astreint à une communication claire et exacte sur les différentes opérations réalisées lors des missions de tests d’intrusion. Dès lors, - Elle portera à la connaissance du mandataire de la mission toutes découvertes inhabituelles ou opérations illégales qui auraient pu être mis à jour lors de la mission. - Elle se porte garante de la remise à son client de l’ensemble des résultats qui ont été obtenus suite à la mission, et ceux sans qu’il soit nécessaire de formuler une demande spécifique.
PRINCIPE DE CONFIDENTIALITÉ ARTICLE 6 Assure par des moyens reconnus la confidentialité des résultats et des informations pouvant être fournis ou découverts lors de sa mission avec le client. Dès lors, - Les règles de confidentialité édictées par la présente charte FPTI®, s’appliquent pour toutes les personnes étant en rapport avec la mission qu’envers tous les autres tiers. ARTICLE 7 Définit un contrôle spécifique afin de limiter la transmission d’information relative à une mission de test d’intrusion qu’au aux seules personnes habilitées à "en connaître". ARTICLE 8 S'oblige dans l'exercice de sa profession, à n’utiliser que des matériels et supports permettant de sécuriser le transfert et le stockage des informations par des moyens cryptographiques reconnus. PRINCIPE D’INTEGRITE ARTICLE 9 S'astreint à réaliser ces missions de tests d’intrusion en toute indépendance. Dès lors, - elle ne transmettra en aucune façon à des tiers toute information qu’elle aurait pu découvrir lors d’un test d’intrusion sauf obligation légale, - elle s’astreint à ne pas exploiter lors de la mission de tests d’intrusion, toutes informations qui auraient pu être portées à sa connaissance. - elle atteste qu’elle ne fournira pas de recommandation ou de correctif basés sur des technologies ou des sociétés tierces entraînant un gain financier quelconque. ARTICLE 10 Certifie qu’aucune mission de tests d’intrusion ne pourra être réalisée sans la signature d’un document formalisé permettant de qualifier et d’identifier les parties. Dès lors, - elle s’engage à ne pas réaliser de prestation d’intrusion avant-vente ou commerciale, - elle s’oblige à accomplir un test d’intrusion que lorsqu’elle se sera assurée des pouvoirs du mandataire de la mission. - elle s’interdit toute prestation d’ingénierie sociale. ARTICLE 11 Autorise la FPTI® à procéder ou à permettre à toute société mandatée par cette dernière à procéder à des contrôles biennaux basés sur l’application de toute ou partie de la charte FPTI®. ARTICLE 12 S'oblige dans l'exercice de sa profession à prendre toutes réserves permettant de garantir la protection des droits de la personne humaine Ce document appartient à la FPTI®, www.fpti.asso.fr et est librement diffusable et copiable sans modification dès lors que la référence à la FPTI® est maintenue. Son usage commercial sur tous supports est quant à lui limité aux seules entreprises certifiées FPTI®.
|
