Durée: 12 mois
Rubrique: Architecte cybersécurité
Leçon 2.2 : Cadres et standards (OSSTMM, OWASP, NIST)
Dans le domaine des tests d'intrusion, plusieurs cadres (ou frameworks) et standards se sont imposés comme des références incontournables. Nous allons en aborder trois principaux : l'OSSTMM, l'OWASP et le NIST.
L'OSSTMM (Open Source Security Testing Methodology Manual) est un manuel qui fournit une méthodologie claire pour conduire des tests de sécurité. Il est structuré en plusieurs sections couvrant différentes zones de test, dont les réseaux, les télécommunications, les applications mobiles et les systèmes d'information.
L'OWASP (Open Web Application Security Project) est une organisation à but non lucratif qui œuvre pour améliorer la sécurité des applications logicielles. Elle propose diverses ressources, dont le fameux OWASP Top 10, une liste régulièrement mise à jour des dix vulnérabilités les plus critiques affectant les applications web.
Le NIST (National Institute of Standards and Technology) est une agence américaine qui propose un large éventail de guides et de standards en matière de sécurité de l'information. Le NIST SP 800115, en particulier, est un guide technique pour mener des tests de sécurité sur les réseaux et les systèmes.
Ces cadres et standards ont en commun de fournir une méthodologie structurée pour mener des tests d'intrusion, tout en mettant l'accent sur l'éthique et la légalité de ces tests. Ils sont essentiels pour faire en sorte que les tests soient réalisés de manière cohérente, efficace et dans le respect des normes de l'industrie.