Services de Test de Pénétration
Conformes à l’ISO/IEC 27001:2022 et à la Directive NIS2

Introduction

Le SPF Intérieur invite les prestataires de cybersécurité qualifiés à soumettre des propositions pour la fourniture de services de test de pénétration dans le cadre de notre programme d’assurance de la sécurité de l’information. Les tests doivent respecter les principes et contrôles de l’ISO/IEC 27001:2022 et satisfaire aux exigences de gestion des risques techniques de la Directive NIS2 pour les entités critiques et importantes.

1.1 Objectifs

• Identifier les vulnérabilités et les mauvaises configurations aux niveaux réseau, système et applicatif.
• Simuler des scénarios d’attaque réels, internes comme externes.
• Fournir une assurance de conformité réglementaire avec l’ISO27001 et l’Article 21 de NIS2.
• Générer des recommandations exploitables et basées sur les risques pour la remédiation.
• Maintenir la continuité de service en réalisant les tests de manière non perturbatrice.
• Permettre une gestion et une amélioration continue des vulnérabilités techniques.

1.2 Périmètre des Travaux

La mission comprend deux volets :

Test de Pénétration d’Infrastructure Externe :

• Systèmes exposés au public (plages IP, DNS, VPN, firewalls, portails)
• Tests “black-box” ou “grey-box” pour simuler de vrais attaquants

Test de Pénétration Interne :

• Simulation des actions d’un acteur malveillant avec un accès physique ou logique
• Accent sur des tests approfondis et intrusifs pour identifier et exploiter les faiblesses
• Aucun impact sur les services de production

Test de Pénétration Semi-Automatisé Récurrent :

• Scans mensuels ou trimestriels et tests légers via des outils semi-automatisés
• Rapports priorisés sur les problèmes à haut risque
• Accès à un tableau de bord et à des rapports pour la gestion continue des vulnérabilités

1.3 Périmètre d’Évaluation Technique

• L’environnement de production de l’infrastructure technique, soumis à une analyse de risque préalable concernant la confidentialité, la disponibilité et l’intégrité des données
• Les systèmes matériels et de stockage utilisés pour les données ou opérations critiques
• Des périmètres additionnels seront définis mutuellement entre les deux parties

Remarque : La documentation technique complète (schémas systèmes, IP, architecture, etc.) sera partagée après la soumission de la proposition et la signature d’un NDA.

1.4 Planification et Phasage

La mission globale devrait nécessiter environ 55 journées-hommes, à confirmer après définition détaillée du périmètre.

Elle sera réalisée en étroite coordination avec nos équipes internes en trois phases durant 2025 et le premier trimestre 2026 :

• Définition initiale du périmètre
• Exécution des tests et livraison des résultats
• Planification de tests de suivi en fonction des premiers résultats et des disponibilités

1.5 Méthodologie d’Exécution des Tests

Tests de Pénétration Interne :

Simulation d’attaques par un initié ou un intrus disposant d’un accès physique ou logique au réseau interne.

Objectif : Identifier les vulnérabilités sur les couches réseau, système et applicative. L’approche inclut :

• Scan des failles dans les systèmes et services
• Développement et exécution de scénarios d’exploitation
• Tests non perturbateurs
• Recommandations spécifiques au risque

Exemples de Tests Réseau :

• VLAN-hopping
• Test de politiques de firewall
• Tunneling DNS
• ARP poisoning / sniffing réseau (MITM)
• Récupération de mots de passe en clair
• Rétrogradation des connexions sécurisées (SSL, NTLM, RDP)
• Interception du trafic VoIP/ToIP (le cas échéant)
• Extraction de données SNMP via des community strings faibles

Exemples de Tests Système :

• Scan de vulnérabilité et attaques simulées
• Cracking de comptes administrateur locaux
• Enumération des utilisateurs de domaine
• Identification des comptes privilégiés
• Escalade de privilèges
• Accès aux interfaces de gestion
• Tests de force brute des politiques de mot de passe
• Extraction de données sur les serveurs de fichiers
• Tests des services de messagerie (open relays, énumération, attaques par dictionnaire)

Test de la Sécurité des Postes de Travail (Sans Accès Réseau) :

• Simule le vol ou la perte d’ordinateurs portables/fixes.

Test des Postes de Travail (Avec Accès Compte Utilisateur) :

• Si un compte utilisateur est disponible, des tests sont réalisés pour évaluer l’escalade de privilèges, le patching système et les capacités de déplacement latéral.

1.6 Livrables

• Session de cadrage et de lancement
• Règles d’engagement et NDA
• Rapport ponctuel de Pentest
• Rapport de retest
• Rapports mensuels pour les tests semi-automatisés
• Présentation finale

1.7 Exigences Fournisseur

• Expérience démontrée en tests de pénétration dans des environnements réglementés
• Certifications : OSCP, OSCE, CREST, GPEN, ISO/IEC 27001 LA/LI
• Capacité à fournir des solutions de test semi-automatisées
• Maîtrise de l’anglais (et du néerlandais ou du français à un niveau courant)
• Assurance responsabilité cyber
• Au moins 2 références clients dans un contexte similaire

1.8 Charge de Travail et Disponibilité

La mission est estimée à environ 55 journées-hommes réparties sur plusieurs phases. Ce n’est pas un poste à temps plein ; les services seront sollicités à la demande, en fonction des besoins du projet et de la planification. L’équipe doit être disponible pour répondre de manière flexible aux fenêtres de test prévues et aux activités de suivi.