Mandat d'Autorisation - Test d'Intrusion

Le Client autorise expressément le Prestataire à réaliser des tests de sécurité informatique sur les systèmes, applications et infrastructures définis dans le périmètre ci-dessous. Cette autorisation est donnée dans le cadre d'une mission d'audit de sécurité visant à identifier les vulnérabilités et à améliorer la posture de sécurité du Client.

3. Type d'Audit

Mode opératoire :

Black Box (aucune information fournie) Grey Box (accès limités fournis) White Box (accès complets + code source)

4. Périmètre des Tests

4.1. Cibles autorisées :

Type	Cible (URL / IP / Application)	Environnement
Application Web		☐ Production ☐ Pré-prod ☐ Test
API		☐ Production ☐ Pré-prod ☐ Test
Infrastructure		☐ Production ☐ Pré-prod ☐ Test
Application Mobile		☐ iOS ☐ Android
Autre

4.2. Types de tests autorisés :

Tests d'intrusion applicatifs (OWASP Top 10)
Tests d'intrusion infrastructure / réseau
Scan de vulnérabilités automatisé
Tests d'authentification et de gestion des sessions
Tests d'injection (SQL, XSS, CSRF, SSRF, etc.)
Tests de configuration et de durcissement
Tests d'API (REST, GraphQL)
Ingénierie sociale / Phishing
Tests de déni de service (DoS) - attention : risque d'indisponibilité

4.3. Exclusions (éléments hors périmètre) :

5. Accès Fournis (si Grey Box ou White Box)

Type d'accès	Identifiant / Description	Niveau
Compte utilisateur		☐ Standard ☐ Admin
Compte utilisateur 2		☐ Standard ☐ Admin
Accès VPN
Documentation technique
Code source

Les credentials seront transmis de manière sécurisée (canal chiffré) et non inclus dans ce document.

6. Période d'Exécution

7. Adresses IP du Prestataire

Les tests seront effectués depuis les adresses IP suivantes (à whitelister si nécessaire) :

IP principale
IP secondaire (si applicable)
Plage IP (si applicable)

Le Prestataire informera le Client de tout changement d'adresse IP avant les tests.

8. Communication et Reporting

Fréquence de reporting	☐ Quotidien ☐ Hebdomadaire ☐ Fin de mission uniquement
Notification vulnérabilité critique	☐ Immédiate (sous 4h) ☐ Sous 24h ☐ Dans le rapport final
Format du rapport	☐ PDF ☐ Présentation ☐ Les deux
Délai de livraison du rapport	_____ jours ouvrés après fin des tests
Réunion de restitution	☐ Oui ☐ Non
Retest inclus	☐ Oui (délai : _____ jours) ☐ Non

9. Engagements du Prestataire

Le Prestataire s'engage à :

Réaliser les tests dans le strict respect du périmètre défini
Ne pas compromettre intentionnellement la disponibilité des systèmes
Informer immédiatement le Client en cas de découverte d'une vulnérabilité critique
Traiter toutes les informations obtenues de manière strictement confidentielle
Ne pas divulguer, copier ou conserver les données sensibles au-delà de la mission
Détruire de manière sécurisée toutes les données collectées dans un délai de 30 jours après la mission
Fournir un rapport détaillé des vulnérabilités identifiées et des recommandations
Disposer d'une assurance responsabilité civile professionnelle couvrant l'activité d'audit

10. Engagements du Client

Le Client certifie :

Être le propriétaire légitime des systèmes testés ou avoir l'autorisation écrite du propriétaire
Avoir informé les parties prenantes concernées de la réalisation des tests
Avoir informé son hébergeur/infogérant si nécessaire
Disposer de sauvegardes à jour des systèmes concernés
Pouvoir être joint pendant la durée des tests via le contact d'urgence
S'engager à ne pas poursuivre le Prestataire pour les actions réalisées dans le cadre de ce mandat

11. Confidentialité

Les parties s'engagent à maintenir la confidentialité de toutes les informations échangées dans le cadre de cette mission. Cette obligation de confidentialité s'applique pendant la durée de la mission et pour une période de 3 (trois) ans après son terme.

Le rapport d'audit et ses annexes sont la propriété exclusive du Client. Le Prestataire ne pourra les divulguer à des tiers sans accord écrit préalable du Client.

12. Limitation de Responsabilité

Le Client reconnaît que les tests de sécurité peuvent entraîner des effets indésirables malgré les précautions prises (ralentissements, indisponibilités temporaires). Le Prestataire ne pourra être tenu responsable des dommages indirects résultant de l'exécution des tests dans le respect du présent mandat.

La responsabilité du Prestataire est limitée au montant de la prestation facturée.

13. Droit Applicable et Litiges

Le présent mandat est soumis au droit français. En cas de litige, les parties s'engagent à rechercher une solution amiable avant toute action judiciaire. À défaut d'accord, les tribunaux de __________________ seront seuls compétents.

Date de début
Date de fin
Horaires autorisés
Tests hors horaires ouvrés	☐ Oui ☐ Non

MANDAT D'AUTORISATION DE TEST D'INTRUSION

1. Identification des Parties

LE PRESTATAIRE

LE CLIENT (Donneur d'ordre)

2. Objet du Mandat