Aujourd'hui, j'ai vécu une situation où une personne responsable de la sécurité d'une entreprise a demandé à une entreprise de pentest de retirer une clause dans le contrat qui dit que:
"pendant le pentest il existe le possibilité de supprimer ou de modifier des données sensibles dans l'environnement de production sans le vouloir en raison de l'exécution de certains outils, exploits, techniques, etc. "
Le client dit qu'il n'acceptera pas cette clause et qu'il pense qu'aucune entreprise n'accepterait cette clause. Il pense que lors d'un pentest, des informations pourraient être consultées mais jamais supprimées ou modifiées.
Nous savons que l'exécution de certains outils comme les robots d'exploration ou les araignées peut supprimer des données si l'application Web est très mal programmée, donc le la possibilité existe toujours si ces types d'outils doivent être utilisés.
Je sais que ce sont les conditions du client, et devraient être acceptées, mais:
Peut un pentester qualifié et professionnel garantit toujours qu'aucune donnée ne sera supprimée ou modifiée en production pendant un pentest?
Un pentest peut-il vraiment être fait si l'équipe de pentest a la limitation de ces données ne peut pas être créé ni modifié?
L'entreprise de test doit-elle toujours inclure la clause de non-responsabilité au cas où?