Services de tests de pénétration
Conformes à la norme ISO/IEC 27001:2022 et à la directive NIS2

Introduction

Le SPF Intérieur invite les prestataires de cybersécurité qualifiés à soumettre des propositions pour la réalisation de services de tests de pénétration dans le cadre de notre programme d’assurance de la sécurité de l’information. Les tests doivent respecter les principes et contrôles de la norme ISO/IEC 27001:2022 et répondre aux exigences de gestion des risques techniques de la directive NIS2 pour les entités critiques et importantes.

1.1 Objectifs

• Identifier les vulnérabilités et les mauvaises configurations au niveau des réseaux, des systèmes et des applications.
• Simuler des scénarios d’attaque réels, à la fois internes et externes.
• Garantir la conformité réglementaire avec l’ISO27001 et l’Article 21 de la NIS2.
• Générer des recommandations exploitables et basées sur les risques pour la remédiation.
• Maintenir la continuité des services tout en réalisant les tests de manière non perturbatrice.
• Permettre une gestion et une amélioration continues des vulnérabilités techniques.

1.2 Périmètre des travaux

L’intervention se compose de deux parties :

Tests de pénétration de l’infrastructure externe :

• Systèmes exposés au public (plages IP, DNS, VPN, firewalls, portails)
• Tests en black-box ou grey-box pour simuler de véritables attaquants

Tests de pénétration internes :

• Simulation des actions d’un acteur malveillant ayant un accès physique ou logique
• Accent mis sur des tests approfondis et intrusifs pour identifier et exploiter les faiblesses
• Aucune perturbation des services en production

Tests de pénétration semi-automatisés et récurrents

• Scans mensuels ou trimestriels et tests légers à l’aide d’outils semi-automatisés
• Rapport priorisé des problèmes à haut risque
• Accès à un tableau de bord et aux rapports pour la gestion continue des vulnérabilités

1.3 Périmètre d’évaluation technique

• L’environnement de production de l’infrastructure technique, soumis à une analyse préalable des risques concernant la confidentialité, la disponibilité et l’intégrité des données
• Matériel et systèmes de stockage utilisés pour les données ou opérations critiques
• Des périmètres supplémentaires seront définis d’un commun accord entre les deux parties

Note : La documentation technique complète (schémas systèmes, IPs, architecture, etc.) sera communiquée après la soumission de la proposition et la signature d’un NDA.

1.4 Planification et phasage

La mission globale devrait nécessiter environ 55 jours-homme, sous réserve de confirmation après une définition détaillée du périmètre.

Elle se déroulera en étroite coordination avec nos équipes internes, selon trois phases en 2025 et au premier trimestre 2026 :

• Définition initiale du périmètre
• Exécution des tests et remise des résultats
• Planification des tests de suivi selon les résultats précédents et les disponibilités

1.5 Méthodologie d’exécution des tests

Tests de pénétration internes :

Simulation d’attaques provenant d’un initié ou d’un intrus ayant un accès physique ou logique au réseau interne.

Objectif : Identifier les vulnérabilités aux niveaux réseau, système et applicatif. L’approche comprend :

• Scans pour détecter les failles dans les systèmes et services
• Développement et exécution de scénarios d’exploitation
• Tests non perturbateurs
• Recommandations spécifiques aux risques

Exemples de tests réseau :

• VLAN-hopping
• Test des politiques de firewall
• DNS tunneling
• ARP poisoning / écoute réseau (MITM)
• Récupération de mots de passe en clair
• Déclassement de connexions sécurisées (SSL, NTLM, RDP)
• Interception de trafic VoIP/ToIP (le cas échéant)
• Extraction de données SNMP avec des chaînes communautaires faibles

Exemples de tests système :

• Scan de vulnérabilité et attaques simulées
• Craquage des comptes administrateur locaux
• Énumération des utilisateurs de domaine
• Identification des comptes privilégiés
• Escalade de privilèges
• Accès aux interfaces d’administration
• Test de robustesse des politiques de mot de passe (brute-force)
• Extraction de données des serveurs de fichiers
• Tests de services de messagerie (open relays, énumération, attaques par dictionnaire)

Tests de sécurité des postes de travail (sans accès réseau) :

• Simulation du vol ou de la perte d’ordinateurs portables/de bureau.

Tests des postes de travail (avec accès à un compte utilisateur) :

• Si un compte utilisateur est disponible, des tests sont réalisés pour évaluer l’escalade de privilèges, le niveau de patching système, et les possibilités de mouvement latéral.

1.6 Livrables

• Session de cadrage et de lancement
• Règles d’engagement et NDA
• Rapport de Pentest unique
• Rapport de retest
• Rapports mensuels pour les tests semi-automatisés
• Présentation finale

1.7 Exigences pour les prestataires

• Expérience avérée en tests de pénétration dans des environnements réglementés
• Certifications : OSCP, OSCE, CREST, GPEN, ISO/IEC 27001 LA/LI
• Capacité à fournir des solutions de tests semi-automatisés
• Maîtrise de l’anglais (et du néerlandais ou du français à un niveau courant)
• Assurance responsabilité cyber
• Au moins 2 références clients dans un contexte similaire

1.8 Charge de travail et disponibilité

La mission est estimée à environ 55 jours-homme répartis sur plusieurs phases. Il ne s’agit pas d’un poste à temps plein ; les services seront sollicités à la demande, en fonction des besoins du projet et de la planification. L’équipe devra être disponible pour répondre avec flexibilité aux fenêtres de tests planifiées et aux activités de suivi.