MANDAT D'AUTORISATION DE TEST D'INTRUSION

Le Client autorise expressément le Prestataire à réaliser des tests de sécurité informatique sur les systèmes, applications et infrastructures définis dans le périmètre ci-dessous. Cette autorisation est donnée dans le cadre d'une mission d'audit de sécurité visant à identifier les vulnérabilités et à améliorer la posture de sécurité du Client.

3.1. Cibles autorisées :

3.2. Types de tests autorisés :

• Tests d'intrusion applicatifs (OWASP Top 10)
• Tests d'intrusion infrastructure / réseau
• Scan de vulnérabilités
• Tests d'authentification et de gestion des sessions
• Tests d'injection (SQL, XSS, CSRF, etc.)
• Tests de configuration
• Ingénierie sociale / Phishing (si coché)

3.3. Exclusions (éléments hors périmètre) :

Le Prestataire s'engage à :

• Réaliser les tests dans le strict respect du périmètre défini
• Ne pas compromettre intentionnellement la disponibilité des systèmes
• Informer immédiatement le Client en cas de découverte d'une vulnérabilité critique
• Traiter toutes les informations obtenues de manière strictement confidentielle
• Ne pas divulguer, copier ou conserver les données sensibles au-delà de la mission
• Détruire de manière sécurisée toutes les données collectées à l'issue de la mission
• Fournir un rapport détaillé des vulnérabilités identifiées et des recommandations

Le Client certifie :

• Être le propriétaire légitime des systèmes testés ou avoir l'autorisation du propriétaire
• Avoir informé les parties prenantes concernées de la réalisation des tests
• Disposer de sauvegardes à jour des systèmes concernés
• Pouvoir être joint pendant la durée des tests via le contact d'urgence

Le Client reconnaît que les tests de sécurité peuvent entraîner des effets indésirables malgré les précautions prises (ralentissements, indisponibilités temporaires). Le Prestataire ne pourra être tenu responsable des dommages indirects résultant de l'exécution des tests dans le respect du présent mandat.