Demander une autorisation de test d'intrusion
Réalisation de tests d'intrusion

Notre Politique d'utilisation acceptable décrit les comportements autorisés et proscrits sur AWS. Elle comprend des descriptions des violations de sécurité et d'abus du réseau qui sont interdits. Cependant, dans la mesure où les tests d'intrusion et autres événements simulés sont souvent impossibles à distinguer de ce type d'activités malveillantes, nous avons mis en place une politique permettant aux clients de solliciter l'autorisation de réaliser des tests d'intrusion et des analyses de vulnérabilité dans leur environnement AWS ou depuis celui-ci.


Veuillez remplir et envoyer le Formulaire de demande de test d'intrusion/vulnérabilité AWS pour demander l'autorisation d'effectuer un test d'intrusion en direction ou en provenance de n'importe quelle ressource AWS. Quelques remarques importantes au sujet des demandes de test d'intrusion :

  • Une autorisation est requise pour tous les tests d'intrusion.
  • Pour demander une autorisation, vous devez vous connecter au portail AWS avec les informations d'identification root associées aux instances que vous souhaitez tester, sans quoi le formulaire ne sera pas correctement prérempli. Si vous avez engagé une tierce partie pour réaliser votre test, vous devez remplir d'abord le formulaire, puis avertir ce tiers une fois que nous vous avons donné notre autorisation. AWS n'approuvera aucune société de test tierce.
  • Notre politique ne permet que le test des ressources suivantes :

    • EC2
    • RDS
    • Aurora
    • CloudFront
    • API Gateway
    • Lambda
    • Lightsail
    • Inspection de zone DNS
  • Actuellement, notre politique ne permet pas de tester les instances RDS de type small ou micro. Il est également interdit de tester les instances EC2 de type m1.small, t1.micro ou t2.nano. Cette mesure vise à empêcher tout impact négatif sur le rendement des ressources susceptibles d'être partagées avec d'autres clients.

Le formulaire vous demande d'indiquer diverses informations sur les instances que vous souhaitez tester, ainsi que les dates de début et de fin prévues pour votre test. Vous devez également lire et accepter les Conditions générales spécifiques aux tests d'intrusion et à l'utilisation des outils appropriés à cet effet. Remarque : le test ne doit pas durer plus de 90 jours à compter de la date de début.

Les informations que vous partagez avec AWS dans le cadre de ce processus sont gardées comme confidentielles dans AWS. Elles ne seront pas partagées avec des tiers sans votre autorisation.

Nous répondons à votre demande après avoir pris le temps de l'étudier, ce qui peut nécessiter jusqu'à deux jours ouvrables. Si votre demande est acceptée, vous recevrez un numéro d'autorisation. Si nous avons des questions, nous vous contacterons afin de vous demander des précisions. Veuillez noter que les demandes d'informations complémentaires peuvent prolonger le processus : tenez-en compte lors de la planification du test, et veillez à ce que votre demande initiale soit la plus détaillée possible.

Si vous avez des questions concernant le processus d'approbation relatif au test de vulnérabilité et de pénétration, contactez-nous par e-mail à l'adresse aws-security-cust-pen-test@amazon.com.

Demande de test d'intrusion

• Simulations de sécurité ou journées ludiques autour de la sécurité

• Simulations de support ou journées ludiques autour du support

• Simulations de jeux de guerre

• Cartes blanches

• Tests équipe bleue contre équipe rouge

• Simulations de reprise après sinistre

• Autres événements simulés

Envoyez-nous directement un e-mail à l'adresse aws-security-simulated-event@amazon.com. Lorsque vous nous informez de votre événement, merci de fournir une description détaillée de celui-ci, incluant notamment les informations suivantes :

• Dates

• Comptes impliqués

• Ressources impliquées

• Coordonnées de l'organisateur, dont numéro de téléphone

• Description détaillée des événements prévus

AWS s'engage à vous répondre rapidement et à vous tenir au courant du traitement de votre demande. Dans les 2 jours ouvrables suivant votre premier message, vous recevrez une réponse non automatisée confirmant la réception de votre demande.

Après examen des informations fournies, nous transmettrons votre demande aux équipes concernées afin qu'elles l'étudient. La nature particulière de ces demandes nous impose de les traiter au cas par cas et de façon non automatisée ; par conséquent, il faut parfois compter jusqu'à 7 jours pour que nous vous fournissions une réponse. La décision finale est parfois plus longue, en particulier si nous avons besoin de demander des informations complémentaires pour mener à bien notre évaluation.

Aucune autre action de votre part n'est requise après la réception de notre autorisation. Vous pouvez effectuer votre test pendant toute la période que vous avez indiquée.

Demander la réalisation d'un test d'événements simulés

 

Contactez-nous