Les limites des tests d'intrusion

Se faisant en aveugle, les tests d'intrusion ne doivent pas servir à définir le niveau de sécurité du périmètre testé mais seulement à vérifier qu'un niveau de sécurité prédéfini est (ou n'est pas) atteint. Lors de tests en aveugle, il est courant de passer à côté de vulnérabilités, ne serait-ce que parce que la durée du test n'est pas illimitée. Une recherche exhaustive est impossible, l'espace à explorer étant infini.

Un test d'intrusion n'a donc de signification que si vous disposez d'une politique et d'un référentiel de sécurité. Si ce n'est pas le cas, vous perdez votre temps (et votre argent).

Si vous souhaitez identifier les vulnérabilités d'un système, vous devez faire procéder à un audit de sécurité, pas à un test d'intrusion.