| Chacun de nos consultants s'engage à respecter et à ratifier la présente charte éthique, définie par la fédération des professionnels des tests intrusifs |
|
|
CONTEXTE Les Professionnels des tests intrusifs ont décidé de se regrouper au sein de la Fédération des Professionnels des Tests Intrusifs (FPTI) et de se doter de règles déontologiques au travers de la présente Charte. La Fédération des Professionnels des Tests Intrusifs (FPTI) a d'ores et déjà décidé, dans les douze mois de sa constitution, de promouvoir la création d'un organisme indépendant chargé du contrôle de l'application des règles énoncées aux présentes par ses membres. La FPTI pourra notamment définir des partenariats adaptés avec des organismes représentatifs de la profession ou d'autres professionnels de l'informatique et exercer toute action de promotion auprès des instances compétentes afin que la réglementation des activités de cette nouvelle profession soit en cohérence avec les règles et principes énoncés dans la présente Charte. PRÉAMBULE L'ouverture des systèmes d'information par leur interconnexion aux réseaux de communication, dont l'internet, les a fragilisés. Dans un contexte où les technologies étaient stables et peu communicantes, la préoccupation de sécurité des systèmes d'information était relativement faible et une démarche d'audit pouvait suffire à la mesure de cette sécurité. Dans un monde de technologies évolutives, basées sur l'interconnexion, le souci de la sécurité des systèmes d'information se doit d'être constant. Face à la fréquence et la variété des " attaques " que peuvent subir ces systèmes d'information, une démarche nouvelle et complémentaire à l'audit doit être menée : les tests intrusifs. Les tests intrusifs doivent être distingués des effractions menées par les "hackers" qui, s'ils agissent dans un environnement technique similaire ayant pour base l'introduction dans les réseaux et systèmes informatiques , le font dans un contexte pénalement répréhensible. Ces trois actions sont couramment regroupées sous le vocable unique d'intrusion. Face à cet amalgame, les Professionnels ont décidé de se regrouper afin de lutter contre les stéréotypes véhiculés par l'action des " hackers " considérée souvent comme ludique mais néanmoins délinquante. La réunion de ces Professionnels au sein d'une Fédération a pour finalité de démontrer qu'il existe une véritable profession de l'intrusion exerçant selon des règles garantissant aux clients le respect d'une déontologie en opposition avec ces pratiques délinquantes : soudoiement, chantage, déni de service, altération des données, vol, introduction physique dans les locaux, altération et/ou destruction des ressources informatiques, introduction et/ou maintien dans les systèmes informatiques de tiers ... La définition de règles d'exercice de leurs activités par les professionnels de l'intrusion permettra de parvenir à une auto régulation de la profession. Elle assurera en outre les clients de la rigueur et du sérieux des entreprises avec lesquelles ils contractent, afin d'établir avec les professionnels une relation de confiance. La présente Charte de l'intrusion énonce les quatre principes fondateurs des règles déontologiques de ses adhérents : - la Moralité, En conséquence, tout adhérent à la Présente Charte :
PRINCIPE DE MORALITÉ ARTICLE 1 • il prohibe toute pratique d'intéressement ponctuel de ses employés ou préposés aux opérations d'intrusion ARTICLE 2 En conséquence, • il devra leur faire approuver les articles de la Charte les concernant PRINCIPE DE TRANSPARENCE ARTICLE 3 En conséquence, • en tant que membre de la Fédération des Professionnels de l'intrusion, il se soumet aux devoirs et obligations découlant de cette appartenance • il fournira à la première demande du client toutes informations relatives à son identité, son personnel, ses partenaires ou sous traitants, ses méthodologies et pratiques utilisées pour ses opérations d'intrusion, sous réserves de la protection de son savoir faire • il s'obligera, à la première demande, à procéder à toute déclaration ou enregistrement de son opération d'intrusion auprès de toutes autorités ou organismes de contrôle compétents ARTICLE 4 En conséquence, • il communiquera toutes informations sur le lieu de situation de ses techniciens chargés des tests intrusifs • il assurera une traçabilité des actions menées dans le cadre d'une opération d'intrusion ARTICLE 5 En conséquence, • il informera le client de toute pratique illicite ou anormale qu'il aurait pu constater lors de l'exercice de ses tests intrusifs • il s'engage à fournir à son client tous les résultats obtenus, qu'ils aient été demandés explicitement ou non PRINCIPE DE CONFIDENTIALITÉ ARTICLE 6 En conséquence, • cette obligation de confidentialité s'exerce tant à l'égard des personnels du client, autres que le mandant ou son délégataire, qu'à l'égard de tout tiers ARTICLE 7 PRINCIPE DE PROBITÉ ARTICLE 8 En conséquence, • il ne transmettra aux organes de l'état aucune information dont il pourrait avoir eu connaissance lors de l'exécution de ses tests intrusifs, sauf obligation légale • il certifie qu'il n'utilisera pas, aux fins d'effectuer une prestation d'intrusion, des informations dont il aurait pu avoir connaissance à l'occasion de l'exercice d'une autre activité ARTICLE 9 En conséquence, • il s'interdit toute prestation intrusion avant vente • il s'astreint à n'effectuer de prestations d'intrusion qu'après vérification des pouvoirs du mandant • toutes prestations d'ingénierie sociale ne sauraient être effectuées sans signature préalable d'un mandat explicite spécifique ARTICLE 10 Ce document appartient à la FPTI et est librement diffusable et copiable dès lors que la référence à la FPTI est maintenue. |
