La protection indispensable du pentesteur : un solide contrat
*Remerciements à Beru qui m’a inspiré ce texte.*
Tous les pentesteurs n’exercent pas nécessairement au sein d’entreprises comptant dans leurs rangs une direction juridique. En effet, certains vendent leurs services en tant qu’auto-entrepreneur. Ce texte s’adresse à eux. Voici quelques indications qui doivent figurer dans votre contrat de prestation de pentest, afin, non seulement de définir les obligations des parties mais également vous protéger au maximum.Vous trouverez un modèle de contrat en bas de ce texte.
Article 1 : Objet du contrat
On définit ce qu’est ce contrat et surtout ce qu’il englobe. On précise l’ensemble du système à auditer.
Article 2 : Le prix
On fait figurer le prix hors taxe de la prestation, par jour, les frais supplémentaires qui peuvent s’y adjoindre, le temps dont dispose le client pour payer le pentesteur et surtout, si ce temps est en jours ouvrés ou en jours calendaires. C’est également dans cette clause de que l’on insère la composition de la facture.
Article 3 : La durée
On y indique sur quel laps de temps la prestation va s’effectuer, encore une fois, en jours ouvrés ou en jours calendaires.
Article 4 : Le lieu d’exécution de la prestation
On mentionne si le pentesteur va effectuer sa prestation chez le client, chez lui, ailleurs et surtout avec quelles IP il va procéder à l’audit.
Article 5 : Exécution de la prestation
Cet article va souligner certains détails de la prestation, notamment si le prestataire va procéder à l’audit seul et qu’il s’engage à remettre un rapport détaillé à l’issue de sa mission.
Article 6 : Contenu du rapport final
On touche au cœur de la prestation : il faudra y mentionner les éléments suivants :
· L’objet du pentest ;
· La composition de l’objet du pentest ;
· L’adresse IP utilisée et la méthodologie employée ;
· Le système employé ;
· Les outils utilités ;
· Les relevés et les rapports de chacun des outils utilisés ;
· Les préconisations techniques et les patchs si cela est inclus dans la prestation.
Il n’est pas obligatoire de faire figurer l’ensemble de ces informations mais plus on est précis sur les aspects techniques, plus le pentesteur sera protégé.
Article 7 : Obligation de confidentialité
Le prestataire énonce qu’il s’interdit de divulguer les informations recueillis durant l’exécution de sa mission.
Article 8 : Obligation de collaboration
Cet article va émettre l’obligation pour le client de fournir tous les éléments nécessaires au pentesteur, afin que ce dernier puisse mener à bien sa mission.
Article 8 : Propriété des résultats
Cette mention va souligner que les résultats de l’audit sont la propriété du client et donc de sa responsabilité.
Article 9 : Responsabilités
Cet article va faire office de garde-fou. On y fera figurer les limites de responsabilité des deux personnes du contrat. Le prestataire énonce qu’il limite sa responsabilité envers son client pour la seule durée du contrat mais également pour le seul montant du contrat. Ceci implique que si une prestation supplémentaire vient s’ajouter, un nouveau contrat devra être rédigé.
Il énonce également que la responsabilité civile et pénale du prestataire est limitée en cas de dommages qui pourraient survenir lors de l’audit.
On peut également y faire figurer que le client – en tant que maître du système (expression consacrée par la jurisprudence – donne non seulement l’autorisation au prestataire de procéder à toutes les investigations qui lui sembleront nécessaire dans le but de mener à bien l’exécution de sa mission mais également qu’il s’engage à prévenir tous les responsables techniques, notamment l’hébergeur qu’un pentest aura lieu et que la preuve de la délivrance de cette information devra être délivrée au prestataire.
Article 10 : Référencement
Il ne s’agit pas d’une mention obligatoire. Elle consiste à donner l’autorisation au pentesteur de faire figurer les travaux qu’il a accompli pour son client sur un support quelconque – site Internet par exemple – sans pour autant en dévoiler la nature exacte ni les résultats finaux.
Article 11 : Interprétation du contrat
Il s’agit d’une clause standard de contrat énonçant que seul le présent document et les annexes pouvant y être adjointes sont source d’obligation.
Article 12 : Clause relative aux conditions et aux conséquences de la résolution
La résolution du contrat désigne une sanction consistant à l’effacement rétroactif – cela veut dire que le contrat est réputé n’avoir jamais existé – des obligations nées d’un contrat lorsque l’une des deux parties n’exécute pas ses prestations. A titre d’exemple, si le client ne fournit pas les documents nécessaires pour que le pentesteur puisse mener à bien sa mission, ce dernier pourra invoquer la résolution du contrat. On peut également insérer une mention relative au paiement énonçant que le contrat pourra être résolu si le client n’effectue pas le paiement – en partie ou en totalité – des sommes définies dans l’article 2 selon les modalités temporelles établies dans l’article3.
Article 13 : Clause pénale
La clause pénale est une mention par laquelle le prestataire, s’il manque à son engagement ou s’il l’exécute avec du retard, devra verser au créancier une somme d’argent dont le montant est fixé à l’avance. Cette clause vise à protéger le client, elle est indépendant de la notion de préjudice et permet de rétablir un équilibre en cas d’abus de la part du prestataire.
Article 14 : Clause relative à la recherche d’un accord avant saisine du juge/ de l’arbitre
En droit commercial, il est possible – avant de se présenter devant un magistrat – de faire appel à un arbitre, qui tentera d’établir une médiation entre deux parties. Dans cette clause, on y fait figurer le délai pendant lequel les parties peuvent tenter de procéder à un arbitrage. Si passé ce délai, les parties n’ont pas trouvé d’accord concernant la désignation d’un arbitre, la juridiction compétente sera saisie. L’arbitre peut être inséré nominativement dans cette clause.
Article 15 : Clause compromissoire
Il s’agit de l’article donnant compétence à l’arbitre désigné dans l’article précédent pour trancher le litige survenu entre les parties durant l’exécution du contrat. On y fait figurer à qui revient la charge de s’acquitter des frais de la procédure d’arbitrage.
Article 16 : Clause attributive de compétence
Cette clause désignant la juridiction compétente en cas de litige survenu pendant l’exécution du contrat et si aucun accord n’a été trouvé durant la procédure d’arbitrage ou si la désignation de l’arbitre n’a pas été possible en raison du désaccord entre les parties. On peut y inscrire en toutes lettres le tribunal compétent.
Toutes ses indications ne sont pas obligatoires. En effet, le droit civil – par essence – énonce que la rencontre de la volonté des parties suffit à créer un contrat, donc une source d’obligations respectives. Mais la prudence est de mise sur ce type de prestation, il convient donc d’encadrer strictement la prestation. Enfin, il est préférable de faire parvenir le contrat au client par lettre recommandé avec accusé de réception.
Vous trouverez un modèle ici.