Services de tests d’intrusion
Conformes à la norme ISO/IEC 27001:2022 et à la Directive NIS2

Introduction

Le SPF Intérieur invite les prestataires qualifiés en cybersécurité à soumettre des propositions pour la réalisation de services de tests d’intrusion dans le cadre de notre programme d’assurance de la sécurité de l’information. Les tests doivent respecter les principes et contrôles de la norme ISO/IEC 27001:2022 et satisfaire aux exigences de gestion des risques techniques de la Directive NIS2 pour les entités critiques et importantes.

1.1 Objectifs

• Identifier les vulnérabilités et mauvaises configurations aux niveaux réseau, système et applicatif.
• Simuler des scénarios d’attaque réels, internes et externes.
• Fournir une garantie de conformité réglementaire à ISO27001 et à l’Article 21 de la NIS2.
• Générer des recommandations exploitables, basées sur les risques, pour la remédiation.
• Maintenir la continuité de service tout en réalisant les tests de façon non-disruptive.
• Permettre une gestion et une amélioration continue des vulnérabilités techniques.

1.2 Portée des travaux

La mission comprend deux volets :

Tests d’intrusion de l’infrastructure externe :

• Systèmes exposés au public (plages IP, DNS, VPN, firewalls, portails)
• Tests en black-box ou grey-box pour simuler de vrais attaquants

Tests d’intrusion internes :

• Simulation des actions d’un acteur malveillant disposant d’un accès physique ou logique
• Accent sur des tests approfondis et intrusifs pour identifier et exploiter les faiblesses
• Sans interruption des services de production

Tests d’intrusion récurrents semi-automatisés

• Analyse et tests légers mensuels ou trimestriels à l’aide d’outils semi-automatisés
• Rapports priorisés sur les problématiques à haut risque
• Accès à un tableau de bord et aux rapports pour la gestion continue des vulnérabilités

1.3 Périmètre d’évaluation technique

• L’environnement de production de l’infrastructure technique, soumis à une analyse de risque préalable concernant la confidentialité, la disponibilité et l’intégrité des données
• Matériel et systèmes de stockage utilisés pour les données ou opérations critiques
• Des périmètres additionnels seront définis d’un commun accord entre les deux parties

Note : La documentation technique complète (schémas systèmes, IPs, architecture, etc.) sera communiquée après la soumission de la proposition et la signature d’un NDA.

1.4 Planification et phasage

La mission globale devrait nécessiter environ 55 jours-homme, à confirmer après finalisation du périmètre.

À réaliser en étroite coordination avec nos équipes internes en trois phases courant 2025 et premier trimestre 2026 :

• Définition initiale du périmètre
• Réalisation des tests et restitution des résultats
• Planification de tests de suivi en fonction des résultats précédents et des disponibilités

1.5 Méthodologie d’exécution des tests

Tests d’intrusion internes :

Simulation d’attaques par un initié ou un intrus disposant d’un accès physique ou logique au réseau interne.

Objectif : Identifier les vulnérabilités sur les couches réseau, système et applicative. L’approche inclut :

• Scan des failles sur les systèmes et services
• Développement et exécution de scénarios d’exploitation
• Tests non-disruptifs
• Recommandations spécifiques en fonction des risques

Exemples de tests réseau

• VLAN-hopping
• Test des politiques de firewall
• DNS tunneling
• ARP poisoning / sniffing réseau (MITM)
• Récupération de mots de passe en clair
• Rétrogradation des connexions sécurisées (SSL, NTLM, RDP)
• Interception du trafic VoIP/ToIP (le cas échéant)
• Extraction de données SNMP via des community strings faibles

Exemples de tests système

• Scan de vulnérabilités et attaques simulées
• Crack de comptes administrateur locaux
• Énumération des utilisateurs de domaine
• Identification des comptes privilégiés
• Escalade de privilèges
• Accès aux interfaces de gestion
• Test par force brute des politiques de mot de passe
• Extraction de données sur les serveurs de fichiers
• Tests des services de messagerie (open relay, énumération, attaques par dictionnaire)

Tests de sécurité des postes de travail (sans accès réseau)

Simulation de vol ou de perte d’ordinateurs portables/fixes.

Tests des postes de travail (avec accès compte utilisateur)

Si un compte utilisateur est disponible, des tests sont réalisés pour évaluer l’escalade de privilèges, le niveau de patching et les capacités de mouvement latéral.

1.6 Livrables

• Séance de cadrage et de lancement
• Rules of Engagement et NDA
• Rapport de Pentest ponctuel
• Rapport de Retest
• Rapports mensuels pour les tests semi-automatisés
• Présentation finale

1.7 Exigences pour les prestataires

• Expérience avérée en tests d’intrusion dans des environnements réglementés
• Certifications : OSCP, OSCE, CREST, GPEN, ISO/IEC 27001 LA/LI
• Capacité à fournir des solutions de test semi-automatisées
• Maîtrise de l’anglais (et du néerlandais ou du français à un niveau courant)
• Assurance responsabilité civile cyber
• Au moins 2 références clients dans un contexte similaire

1.8 Charge de travail et disponibilité

La mission est estimée à environ 55 jours-homme répartis sur plusieurs phases. Il ne s’agit pas d’un poste à temps plein ; les services seront sollicités à la demande, en fonction des besoins du projet et de la planification. L’équipe devra être disponible pour répondre de manière flexible aux fenêtres de tests prévues et aux activités de suivi.