Convention de Prestation & Mandat Légal
d'Audit de Sécurité (Test d'Intrusion)

Document encadrant les conditions opérationnelles, légales et déontologiques de l'audit.

LE PRESTATAIRE D'AUDIT

Prisme Pro — Vaelen Red Team
Représenté par : Yann Schvartz
Fonction : Directeur / Auditeur Cybersécurité
SIRET : 513 938 217 00033
Adresse : 425 Route de Nevers, 45290 Nogent-sur-Vernisson
Téléphone : 06 74 91 31 84
Email : contact@prisme-pro.net

LE CLIENT COMMANDITAIRE

Raison sociale :
SIRET :
Adresse :
Représenté par :
Fonction :
Téléphone :
Email :

Article 1 : Objet de la convention et Mandat d'Autorisation

La présente convention encadre de manière stricte les conditions dans lesquelles le Prestataire est mandaté pour réaliser une mission d'évaluation de la sécurité et d'analyse de vulnérabilités sur le Système d'Information du Client.

Conformément aux dispositions impératives des articles 323-1 à 323-7 du Code pénal relatifs à la répression des atteintes aux systèmes de traitement automatisé de données, le Client donne, par la signature des présentes, un mandat explicite, écrit et préalable au Prestataire pour procéder à des investigations offensives sur le périmètre technique défini à l'Article 2.

Le Client garantit être le propriétaire exclusif et légitime des infrastructures soumises à l'audit, ou disposer des autorisations écrites nécessaires de la part de son hébergeur (Cloud, infogérance) pour permettre la réalisation de ces tests.

Article 2 : Délimitation du Périmètre (Scope)

Les actions du Prestataire sont strictement circonscrites au périmètre technique suivant :

Application / URL cible principale :
Plages d'adresses IP cibles / Domaines :
Environnement ciblé : Production Pré-production Recette

Toute cible non identifiée ci-dessus est considérée comme hors périmètre. Les attaques par Déni de Service (DoS/DDoS) volumétriques sont formellement exclues de la prestation.

Article 3 : Niveaux d'Audit (Framework Vaelen Red Team)

Le Client mandate le Prestataire pour exécuter la prestation selon le(s) niveau(x) d'intensité suivant(s) (Le Client coche les niveaux autorisés) :

[1] RECONNAISSANCE (SAFE)

Utilisation de 6 outils d'OSINT. Lecture passive des informations publiques, énumération DNS. Aucune interaction directe avec les serveurs du client.

[2] DÉTECTION DE FAILLES (SAFE)

Utilisation de 12 outils (Scanners). Requêtes HTTP limitées à GET. Cartographie active des vulnérabilités connues (CVE) sans modification d'état.

[3] TEST D'ACCÈS ADMIN (MODÉRÉ)

Utilisation de 14 outils. Évaluation des mécanismes d'authentification (Force brute ciblée, fuzzing). Accord requis en raison du risque de verrouillage de comptes.

[4] EXPLOITATION SQLi/XSS (ÉLEVÉ)

Utilisation de 17 outils. Injection active de charges utiles (POST), exploitation de failles applicatives critiques. Accord explicite pour l'exfiltration temporaire d'une preuve de concept (PoC).

[5] AUDIT COMPLET (EXPERT)

Utilisation de 18 outils (Red Teaming). Simulation globale de compromission, élévation de privilèges, post-exploitation. Mandat intrusif nécessitant un environnement robuste.

Article 4 : Responsabilités et Sauvegardes (Obligation du Client)

Préalablement au déclenchement des tests (particulièrement pour les niveaux 3, 4 et 5), le Client s'engage sous son entière responsabilité à réaliser et vérifier une sauvegarde complète (Backup) des données et configurations du périmètre audité.

Le Client reconnaît que les tests d'intrusion comportent des risques inéluctables d'altération temporaire du fonctionnement des services ou de verrouillage. Le Prestataire (Prisme Pro) s'engageant à une obligation de moyens et au respect des règles de l'art, le Client lui accorde une décharge complète de responsabilité pour toute perturbation d'exploitation consécutive à l'audit sur le périmètre autorisé.

Article 5 : Confidentialité et Données (RGPD)

Le Prestataire est tenu au secret professionnel absolu. Toute information, vulnérabilité ou donnée identifiée est classifiée strictement confidentielle. Conformément au RGPD, en cas de collecte de données pour validation de preuve (PoC aux niveaux 4 et 5), le Prestataire s'engage à la destruction sécurisée et irréversible de l'ensemble de ces traces techniques et données métiers à l'issue de la mission.

Article 6 : Calendrier d'Intervention

Les opérations techniques d'audit se dérouleront selon le calendrier suivant :

Début des tests :
Fin des tests :

Article 7 : Litiges

La présente convention est soumise au droit français. À défaut de résolution amiable dans un délai de 30 jours, compétence exclusive est attribuée aux tribunaux du ressort du siège social du Prestataire.

POUR LE PRESTATAIRE

Prisme Pro (Yann Schvartz)

Fait à : Nogent-sur-Vernisson

Le :

Signature :

POUR LE CLIENT COMMANDITAIRE

Nom / Fonction :

Fait à :