Commandes Terra Security
Vue d’ensemble
Terra Security est une plateforme de sécurité offensive agentique qui combine les testeurs de pénétration humains avec les agents d’IA pour rationaliser les tests de pénétration et l’évaluation des vulnérabilités. La plateforme a lancé Terra Portal en mars 2026 et a levé 30 millions de dollars de financement de série A auprès de Felicis, s’établissant comme leader des tests de sécurité pilotés par l’IA.
Caractéristiques clés
- Agents IA ambiants : Reconnaissance autonome, analyse des vulnérabilités et validation de l’exploitation
- Agents IA copilote : Exploitation contrôlée dirigée par l’homme avec orientation en temps réel
- Gouvernance en boucle fermée : Les contrôles de sécurité garantissent des tests responsables dans le cadre défini
- Rapport automatisé : Documentation complète des vulnérabilités avec guide de correction
- Intégration d’entreprise : Pipelines CI/CD, systèmes de ticket, plateformes SIEM
Architecture de la plateforme
Terra Portal (application de bureau/web)
├── Console de gestion des agents
├── Configuration de la portée et du flux de travail
├── Tableau de bord de surveillance en temps réel
├── Moteur de génération de rapports sur les vulnérabilités
└── Concentrateur d'intégrationConfiguration de Terra Portal
Installation
Application de bureau
| Étape | Action |
|---|---|
| 1 | Télécharger Terra Portal depuis terra.security |
| 2 | Exécuter le programme d’installation (Windows/macOS/Linux) |
| 3 | Accepter les autorisations de sécurité pour l’accès au réseau au niveau du système |
| 4 | Lancer et s’authentifier avec les identifiants organisationnels |
| 5 | Configurer les paramètres proxy si nécessaire |
Console basée sur le web
Accès via : https://portal.terra.security
Authentification : SSO/OAuth ou jeton d'API
Exigences : Navigateur moderne (Chrome, Firefox, Safari, Edge)Configuration initiale
| Paramètre | Description |
|---|---|
| Configuration de l’organisation | Créer/rejoindre une organisation, configurer les autorisations d’administrateur |
| Identifiants d’API | Générer des jetons d’authentification pour l’accès CI/CD et API |
| Configuration du réseau | Définir les réseaux internes, les paramètres proxy, les exigences VPN |
| Préférences de notification | Alertes e-mail, Slack, webhook pour l’activité des agents et les résultats |
| Paramètres des agents par défaut | Configuration de base pour les instances d’agent Ambient et Copilot |
| Cadre de conformité | Sélectionner les normes applicables (OWASP, PTES, NIST) |
Méthodes d’authentification
# Authentification par jeton d'API
Authorization: Bearer YOUR_API_TOKEN
X-Organization-ID: org_xxxxx
# Intégration SSO
Provider: Okta, Azure AD, Google Workspace
Auto-provisioning: Activé/Désactivé
# Comptes de service
Pour CI/CD : Créer un compte de service avec permissions limitées
Rotation des jetons : Intervalle par défaut de 90 joursTypes d’agents
Agents IA ambiants
Agents autonomes opérant dans des paramètres de portée et de profondeur définis pour évaluer continuellement la posture de sécurité.
| Type d’agent | Capacités |
|---|---|
| Agent de découverte des actifs | Reconnaissance du réseau, catalogage des inventaires, identification des services |
| Agent d’examen du code | Analyse statique, analyse des dépendances, détection des secrets |
| Agent de génération de cas de test | Création automatique de scénarios de test basés sur les actifs découverts |
| Agent d’analyse de la réachabilité | Cartographie des chemins réseau, analyse des règles de pare-feu, validation du contrôle d’accès |
| Agent de test de pénétration autonome | Analyse des vulnérabilités, tentatives d’exploitation, validation de l’impact |
| Agent de documentation | Collecte de preuves, validation des résultats, génération de rapports |
| Agent de correction | Recommandations de configuration, guide de correctif, suggestions de contrôle |
Exemple de configuration
Configuration des agents ambiants :
Découverte des actifs :
activée : true
fréquence_de_scan : quotidienne
portée : réseaux_internes_uniquement
inclure_cloud : true
Examen du code :
activée : true
référentiels : découverte_automatique
scan_des_requêtes_de_fusion : true
détection_des_secrets : stricte
Test de pénétration autonome :
activée : true
niveau_de_profondeur : 3
impact_maximal : "informatif"
annuler_les_modifications : true
seuil_d_approbation_humaine : critiqueAgents IA copilote
Agents dirigés par l’homme fournissant une assistance en temps réel lors de l’exploitation contrôlée et des tests manuels.
| Fonction du copilote | Cas d’usage |
|---|---|
| Orientation d’exploitation | Assistance étape par étape pour les flux de travail d’exploitation manuels |
| Interprétation des vulnérabilités | Expliquer les résultats, évaluation de l’impact, prérequis d’exploitation |
| Planification de la correction | Générer des stratégies de correction, recommandations de correctif, options de contournement |
| Documentation des preuves | Capture automatique de captures d’écran/journaux, validation des résultats |
| Assistance à la génération de rapports | Génération de rapports en temps réel, création d’un résumé exécutif |
Flux de travail d’interaction avec le copilote
1. Le testeur de pénétration identifie une vulnérabilité
↓
2. Invoquer le copilote : "/assist vuln_id"
↓
3. Le copilote analyse le contexte :
- Détails de la vulnérabilité
- Configuration du système
- Données historiques
↓
4. Fournit des recommandations :
- Étapes d'exploitation
- Outils/charges utiles requis
- Évaluation des risques
↓
5. Le testeur de pénétration exécute avec orientation
↓
6. Le copilote documente automatiquement les résultatsConfiguration du flux de travail
Définition de la portée
Définir les limites et cibles pour l’activité des agents.
| Configuration | Options |
|---|---|
| Portée des actifs | Plages IP, noms d’hôtes, domaines, comptes cloud, API |
| Portée technologique | Applications web, API, infrastructure, services cloud, mobile |
| Exclusions | Bases de données de production, données PII clients, systèmes tiers |
| Balisage d’environnement | Dev, Staging, Production, Internal, External |
| Portée réglementaire | Exigences de conformité PCI-DSS, HIPAA, SOC2, RGPD |
Contrôles de profondeur et d’intensité
| Contrôle | Objectif | Niveaux |
|---|---|---|
| Profondeur de reconnaissance | Degree de découverte complète des actifs par les agents | 1-5 (1=faible, 5=exhaustive) |
| Profondeur d’exploitation | Degree de profondeur des tentatives d’exploitation des vulnérabilités | 1-5 (1=détection uniquement, 5=compromis complet) |
| Intensité/taux | Charge de requête et fréquence de test | Basse, Moyenne, Haute, Personnalisée |
| Fenêtres de temps | Quand les agents opèrent | Toujours, Heures de travail, Calendrier personnalisé |
| Agents concurrents | Maximum d’instances d’agents simultanées | 1-50+ par type d’agent |
Contrôles d’impact
Mécanismes de gouvernance garantissant des tests responsables.
| Contrôle | Configuration |
|---|---|
| Annulation automatique des modifications | Annuler automatiquement les modifications (activé par défaut) |
| Seuil d’impact | Interruption maximale autorisée (info, basse, moyenne, haute) |
| Porte d’approbation humaine | Exiger l’approbation pour les actions à impact critique |
| Escalade automatique | Alerter les administrateurs si l’impact dépasse le seuil |
| Limites de ressources | Limites de CPU/mémoire/bande passante pour l’activité des agents |
| Fenêtre d’annulation | Délai pour l’annulation manuelle avant l’annulation automatique |
Modèles de flux de travail
Flux de travail : Évaluation continue
Calendrier : Quotidien (02:00 UTC)
Agents :
- ambient.asset_discovery (profondeur : 3)
- ambient.code_review (profondeur : 4)
- ambient.vulnerability_scanning (profondeur : 2)
Portée : réseaux_internes
Impact : faible
Approbation : automatisée
Flux de travail : Test de pénétration trimestriel
Calendrier : Trimestriel
Agents :
- ambient.asset_discovery (profondeur : 5)
- ambient.autonomous_pentesting (profondeur : 4)
- copilot.exploitation (profondeur : 4)
Portée : tous_les_systèmes_de_production
Impact : moyen
Approbation : approbation_humaine_requise
Durée : 2 semaines
Flux de travail : Réponse aux incidents
Déclenchement : manuel
Agents :
- ambient.reachability_analysis
- ambient.autonomous_pentesting (profondeur : 4)
- copilot.exploitation
Portée : systèmes_affectés
Impact : élevé (avec approbation)
Approbation : approbation_humaine_requiseFonctionnalités de reconnaissance
Découverte automatique des actifs
Les agents IA cataloguent automatiquement les actifs organisationnels et les surfaces d’attaque.
| Méthode de découverte | Couverture |
|---|---|
| Analyse de réseau | Analyse des plages CIDR, énumération des services, empreinte du système d’exploitation |
| Énumération DNS | Découverte de sous-domaines, analyse des enregistrements DNS, transferts de zones |
| Énumération des API Cloud | Découverte de comptes AWS, Azure, GCP et cartographie des services |
| Exploration web | Rendu JavaScript, découverte des points de terminaison cachés, identification des formulaires |
| Transparence des certificats | Découverte du domaine historique, suivi des certificats SSL/TLS |
| Analyse WHOIS/ASN | Propriété IP, cartographie du système autonome, analyse géographique |
| Analyse de port | Ports TCP/UDP, identification des services, détection des versions |
Cartographie de la surface d’attaque
Hiérarchie des résultats de découverte :
Organisation
├── Réseaux
│ ├── Réseaux internes
│ │ ├── Sous-réseaux
│ │ │ ├── Hôtes
│ │ │ │ ├── Services (HTTP, SSH, DB, etc.)
│ │ │ │ │ ├── Points de terminaison
│ │ │ │ │ └── Technologies
│ │ │ │ └── Vulnérabilités
│ │ │ └── Relations
│ │ └── Règles de pare-feu
│ └── Réseaux externes
├── Ressources cloud
│ ├── Comptes AWS
│ ├── Abonnements Azure
│ ├── Projets GCP
│ └── Stockage cloud
├── Applications web
│ ├── Points de terminaison
│ ├── Méthodes d'authentification
│ ├── API
│ └── Intégrations tierces
├── Référentiels de code
│ ├── Référentiels internes
│ ├── Exposition publique
│ └── Inventaire des dépendances
└── Intégrations tierces
├── Applications SaaS
├── Connexions API
└── Flux de donnéesGestion de l’inventaire des actifs
| Fonctionnalité | Description |
|---|---|
| Balisage automatique | L’IA catégorise les actifs par type, criticité, niveau d’exposition |
| Cartographie des relations | Connecte les actifs affichant les flux de données et les dépendances |
| Suivi des modifications | Détecte les nouveaux actifs, les actifs supprimés, les modifications de configuration |
| Notation du risque | Attribue le risque en fonction de l’exposition, des vulnérabilités, de la criticité |
| Suivi historique | Maintient l’historique de la découverte pour l’analyse des tendances |
| Capacités d’exportation | Formats CSV, JSON, XLSX pour les outils externes |
Évaluation des vulnérabilités
Analyse intelligente
Identification intelligente des vulnérabilités combinant plusieurs méthodes de détection.
| Type de scan | Description |
|---|---|
| Analyse basée sur les motifs | Signatures de vulnérabilités connues (bases de données CVSS, CWE) |
| Analyse comportementale | Détection d’anomalies de configuration, lacunes des contrôles de sécurité |
| Analyse des dépendances | Détection des vulnérabilités des bibliothèques/packages avec analyse de la chaîne d’approvisionnement |
| Détection des secrets | Clés API, identifiants, jetons dans le code et la configuration |
| Audit de configuration | Validation de la conformité des bonnes pratiques de sécurité |
| Examen du contrôle d’accès | Autorisations excessives, accès inutilisé, violations de ségrégation |
| Analyse cryptographique | Algorithmes faibles, problèmes de validation de certificat, lacunes de chiffrement |
Priorisation des vulnérabilités
Les agents IA priorisent automatiquement les résultats en fonction de :
Score de priorité = (CVSS × Exploitabilité) × Accessibilité × Impact métier
Facteurs :
- Score de base CVSS 3.1
- Exploitabilité :
* Nécessite l'accès au réseau
* Nécessite l'interaction de l'utilisateur
* Nécessite l'authentification
* Complexité de l'attaque
- Accessibilité :
* Exposition externe
* Accessibilité interne
* Accès direct/indirect
- Impact métier :
* Exposition PII
* Criticité du système
* Impact sur les revenus
* Violation de conformité
Résultat : Critique → Haute → Moyenne → Basse → InformatifCatégorisation des vulnérabilités
| Catégorie | Exemples |
|---|---|
| Authentification | Identifiants par défaut, authentification faible, défauts de gestion des sessions |
| Autorisation | Escalade des privilèges, références d’objets directs non sécurisées, contrôle d’accès cassé |
| Défauts d’injection | Injection SQL, injection de commande, injection LDAP, injection de modèle |
| Exposition des données sensibles | Données non chiffrées, chiffrement inadéquat, fuite de données, exposition PII |
| Entités XML/externes | Attaques XXE, rires billionnaires, injection d’entité externe |
| Contrôle d’accès cassé | Références d’objets directs non sécurisées, contrôle d’accès manquant, traversée de répertoires |
| Erreur de configuration de sécurité | Configuration par défaut, services inutiles, messages d’erreur verbeux |
| Désérialisation non sécurisée | Injection d’objets, chaînes de gadgets, attaques de désérialisation |
| Utilisation de composants avec des vulnérabilités connues | Bibliothèques obsolètes, dépendances non corrigées |
| Journalisation insuffisante | Traces d’audit manquantes, surveillance inadéquate, alerte faible |
Flux de travail d’exploitation
Exploitation gouvernée par des humains
Toutes les activités d’exploitation maintiennent la surveillance et le contrôle humains.
Flux de travail d’exploitation
1. Phase de découverte
- Les agents identifient la vulnérabilité
- Évaluer l'exploitabilité
- Déterminer les conditions préalables
↓
2. Phase de planification
- Générer une stratégie d'exploitation
- Estimer l'impact
- Identifier les étapes d'annulation
↓
3. Porte d'approbation
- Si impact critique : nécessite l'approbation humaine
- Si impact moyen : approbation automatisée avec notification
- Si impact faible : approbation automatisée
↓
4. Phase d'exécution
- Exécuter les étapes d'exploitation
- Surveillance du comportement inattendu
- Capture des preuves
↓
5. Phase de validation
- Confirmer l'exploitation réussie
- Documenter l'impact
- Identifier les opportunités de mouvement latéral
↓
6. Phase d'annulation
- Exécuter les étapes d'annulation pré-planifiées
- Vérifier la restauration du système
- Nettoyer les artefacts
↓
7. Phase de documentation
- Générer un rapport de résultats
- Documenter la preuve de concept
- Créer des recommandations de correctionContrôles de sécurité lors de l’exploitation
| Contrôle | Fonction |
|---|---|
| Validation pré-exécution | Vérifier que la cible est dans la portée avant toute action |
| Mode d’exécution à sec | Exécuter la logique d’exploitation sans impact réel |
| Planification de l’annulation | Pré-planifier et valider les étapes d’annulation avant l’exécution |
| Surveillance en temps réel | Surveiller la santé du système lors de l’exploitation |
| Arrêt automatique | S’arrêter si des conditions inattendues sont détectées |
| Limitation des ressources | Limiter la consommation de CPU/réseau/mémoire |
| Limites de temps | Arrêt automatique après le seuil de durée |
| Journalisation des modifications | Piste d’audit de toutes les modifications |
| Mode d’isolation | Facultatif : isoler la cible lors des tests |
Capacités d’exploitation
| Type | Description |
|---|---|
| Test des identifiants | Tentatives d’identifiants par défaut, force brute avec contrôles |
| Exploitation des vulnérabilités connues | Exploits basés sur les CVE avec chemins de succès éprouvés |
| Exploitation du flux logique | Défauts de logique métier, manipulation de flux de travail |
| Mouvement latéral | Mouvement après compromis avec contrôles de portée |
| Escalade des privilèges | Escalade au niveau du système d’exploitation/local avec validation des permissions |
| Validation de l’exfiltration des données | Accès aux données simulées sans extraction réelle |
| Test du mécanisme de persistance | Validation du placement de porte dérobée avec suppression automatique |
Rapport
Rapports automatisés sur les vulnérabilités
Terra Security génère automatiquement des rapports complets tout au long des tests.
Composants du rapport
| Section | Contenu |
|---|---|
| Résumé exécutif | Résultats clés, aperçu du risque, calendrier de correction |
| Détails des vulnérabilités | ID du résultat, titre, sévérité, CVSS, description, preuves |
| Preuve de concept | Procédure pas à pas d’exploitation, captures d’écran, journaux |
| Évaluation de l’impact | Impact métier, exposition des données, étendue du compromis système |
| Orientation de la correction | Recommandations de correction priorisées, orientation des correctifs, contournements |
| Cartographie de la conformité | Lier les résultats aux normes (OWASP, PTES, NIST, PCI-DSS) |
| Chronologie et métriques | Durée des tests, statistiques de couverture, détails de la portée |
| Résumé de gestion | Chronologie des risques, tendance des vulnérabilités, tableau de bord des métriques |
Personnalisation du rapport
Configuration du modèle de rapport :
Formats de sortie :
- PDF : Variantes exécutive, détaillée ou technique
- HTML : Version interactive et partageable
- JSON : Intégration API, automatisation des tickets
- CSV : Importation en masse vers les outils
Options de personnalisation :
marque : logo_organisation
sections :
- inclure_preuves : true
- inclure_chronologie : true
- inclure_correction : true
- inclure_conformité : true
destinataires :
- ciso@company.com
- security-team@company.com
calendrier :
- quotidien : rapport_de_résumé
- hebdomadaire : rapport_complet
- sur_critique : alerte_immédiateGestion du cycle de vie des résultats
| Statut | Description |
|---|---|
| Ouvert | Nouveau résultat, non encore traité |
| Reconnu | L’organisation a confirmé la réception et évalué |
| En cours | Effort de correction en cours |
| Résolu | Correctif appliqué et validé |
| Faux positif | Le résultat a été déterminé comme invalide, documentation du raisonnement |
| Risque accepté | Décision commerciale d’accepter le risque, approuvée |
| Différé | Accepté mais non prioritaire pour la chronologie actuelle |
Intégration
Intégration du pipeline CI/CD
Intégrez les tests de sécurité Terra dans les flux de travail de développement.
# Exemple GitLab CI
security_scan:
stage: test
script:
- terra-cli scan \
--workflow continuous \
--scope repository \
--report-format json \
--output artifacts/terra-report.json
artifacts:
reports:
sast: artifacts/terra-report.json
paths:
- artifacts/terra-report.json
expire_in: 30 days
# Exemple des actions GitHub
name: Terra Security Scan
on: [pull_request, push]
jobs:
security:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
- name: Terra Security Scan
env:
TERRA_API_KEY: ${{ secrets.TERRA_API_KEY }}
run: |
terra-cli scan \
--scope ./src \
--depth 3 \
--fail-on criticalIntégration du système de ticketing
Créez automatiquement et gérez les résultats de sécurité dans les suivi-pistes.
| Intégration | Fonctionnalités |
|---|---|
| Jira | Création automatique des problèmes, affectation aux équipes, définition de la priorité, liaison aux épopées |
| Azure DevOps | Créer des éléments de travail, intégrer aux backlogs, suivre la correction |
| Problèmes GitHub | Créer des problèmes, lier aux PR, suivre la résolution |
| Linear | Créer des problèmes avec des champs personnalisés, lier aux projets |
| ServiceNow | Créer des incidents/demandes de modification, flux de gestion des incidents |
| Slack | Notifications en temps réel, résumés des résultats, suivi des corrections |
Intégration SIEM et surveillance
| Plateforme | Type d’intégration |
|---|---|
| Splunk | Ingérer les journaux des résultats, créer des recherches, alertes, tableaux de bord |
| ELK Stack | Flux vers Elasticsearch pour l’analyse et la visualisation |
| Datadog | Exportation des métriques, corrélation APM, alertes |
| New Relic | Données de sécurité des applications, suivi des vulnérabilités |
| Prometheus | Exportation des métriques pour les tableaux de bord de sécurité |
| CloudWatch | Intégration AWS, diffusion en continu des journaux, publication de métriques |
Contrôles de sécurité
Application de la portée
Empêcher les tests en dehors des limites autorisées.
Application de la portée :
Portée du réseau :
plages_autorisées :
- 10.0.0.0/8
- 192.168.1.0/24
plages_bloquées :
- 0.0.0.0/0
application : stricte
Portée des actifs :
actifs_autorisés :
- tag: testing_approved
- tag: staging_only
actifs_bloqués :
- tag: production
- tag: customer_data
- hostname: "*prod*"
application : stricte
Portée de l'application :
applications_autorisées :
- applications_web_internes
- environnements_de_staging
applications_bloquées :
- bases_de_données_de_production
- magasins_de_données_clients
application : stricteLimitation de la profondeur
Contrôler la profondeur de fonctionnement des agents.
| Niveau de profondeur | Reconnaissance | Exploitation | Portée |
|---|---|---|---|
| 1 - Léger | Découverte basique, pas d’analyse intrusive | Détection uniquement | Actifs pré-approuvés |
| 2 - Standard | Analyse active, identification des vulnérabilités | Tentatives d’exploitation sûres | Portée de test standard |
| 3 - Modéré | Énumération détaillée, examen de la configuration | Mouvement latéral limité | Portée étendue avec approbation |
| 4 - Avancé | Cartographie complète, analyse des dépendances | Exploitation avancée, tests de persistance limités | Portée complète avec supervision |
| 5 - Exhaustif | Reconnaissance complète, toutes les techniques disponibles | Exploitation complète, activités post-compromis | Portée maximale avec approbation humaine |
Contrôles d’impact
Empêcher les dommages involontaires.
Seuils de contrôle d'impact :
Limites de sévérité :
informatif : approbation_automatique
bas : approbation_automatique
moyen : approbation_automatique_avec_surveillance
élevé : approbation_humaine_requise
critique : approbation_humaine_requise_escaladée
Limites d'impact du système :
seuil_cpu : 50%
seuil_mémoire : 75%
bande_passante_réseau : 50% de la capacité
impact_disponibilité : aucun autorisé
Limites d'impact des données :
pas_d_exfiltration_de_données : appliquée
pas_de_modifications_permanentes : appliquée_avec_annulation
pas_de_capture_d_identifiants : appliquée
journalisation_d_audit : toujours_activéeGouvernance en boucle fermée
Supervision humaine aux points de décision critiques.
| Déclencheur | Approbation requise | Chronologie |
|---|---|---|
| Découverte de vulnérabilité critique | Chef d’équipe de sécurité | 2 heures |
| Exploitation à fort impact | CISO ou délégué autorisé | 4 heures |
| Activité hors limites détectée | Arrêt immédiat, examen de la sécurité | S/O |
| Comportement inattendu | Agent suspendu, enquête manuelle | S/O |
| Tentative d’accès aux données | Bloquée, escaladée immédiatement | S/O |
| Test du système de production | Équipe de sécurité + infrastructure | Avis 24 heures à l’avance |
Journalisation et conformité d’audit
Piste d’audit complète pour la conformité et l’enquête.
| Type de journal | Contenu | Conservation |
|---|---|---|
| Actions des agents | Chaque action effectuée, horodatage, résultat, utilisateur | 2 ans |
| Modifications des résultats | Changements de statut, affectations, commentaires | 3 ans |
| Décisions d’approbation | Qui a approuvé quoi, quand, justification | 3 ans |
| Violations de portée | Activités bloquées, tentatives d’actions hors limites | 2 ans |
| Modifications du système | Modifications effectuées lors des tests, journaux d’annulation | 1 an |
| Journaux d’accès | Accès à Portal, appels API, activité de l’utilisateur | 1 an |
Utilisation des API et de la CLI
Authentification
# Définir le jeton d'API
export TERRA_API_KEY="tk_your_api_token_here"
export TERRA_ORG_ID="org_xxxxx"
# Ou dans le fichier de configuration
~/.terra/config.yaml:
api_key: tk_xxxxx
org_id: org_xxxxx
api_endpoint: https://api.terra.securityCommandes CLI (motifs courants)
# Lister les actifs
terra-cli assets list \
--scope all \
--format json
# Démarrer un flux de travail de scan
terra-cli scan start \
--workflow continuous \
--target 10.0.0.0/24 \
--depth 3 \
--agents asset-discovery,code-review
# Vérifier l'état du scan
terra-cli scan status \
--scan-id scan_xxxxx
# Obtenir les résultats
terra-cli findings list \
--scan-id scan_xxxxx \
--severity critical,high \
--format json
# Générer un rapport
terra-cli report generate \
--scan-id scan_xxxxx \
--template comprehensive \
--format pdf \
--output findings_report.pdf
# Approuver l'exploitation
terra-cli exploit approve \
--finding-id vuln_xxxxx \
--justification "Production test window authorized"
# Gérer la portée
terra-cli scope update \
--add-asset tag=testing_approved \
--remove-range 192.168.1.0/24
# Afficher les journaux des agents
terra-cli logs \
--agent-id agent_xxxxx \
--level debugPoints de terminaison d’API (RESTful)
# Authentification
POST /api/v1/auth/token
Request: {"api_key": "..."}
Response: {"access_token": "...", "expires_in": 3600}
# Lister les vulnérabilités
GET /api/v1/findings?severity=critical&status=open
Headers: Authorization: Bearer {token}
# Créer un scan
POST /api/v1/scans
Body: {"workflow": "continuous", "scope_id": "...", "depth": 3}
# Mettre à jour le statut des résultats
PATCH /api/v1/findings/{finding_id}
Body: {"status": "in_progress", "assigned_to": "user_id"}
# Approuver l'exploitation
POST /api/v1/findings/{finding_id}/approve-exploit
Body: {"justification": "...", "approved_by": "user_id"}
# Générer un rapport
POST /api/v1/scans/{scan_id}/report
Body: {"template": "comprehensive", "format": "pdf"}
# Événements des agents en flux continu (WebSocket)
WS /api/v1/agents/{agent_id}/events
Stream: {"event": "action", "action": "...", "timestamp": "..."}Bonnes pratiques pour le test de pénétration agentique
Planification et préparation
-
Définir clairement la portée
- Documenter les plages d’adresses IP exactes, les domaines et les actifs
- Lister les exclusions explicites (bases de données de production, données des clients)
- Spécifier les fenêtres de test et les limitations
- Obtenir une autorisation écrite avant les tests
-
Configurer le comportement des agents
- Définir les niveaux de profondeur appropriés pour les objectifs
- Activer les contrôles d’impact et les mécanismes d’annulation
- Configurer les fenêtres de temps pour éviter les pics d’utilisation
- Commencer de manière conservatrice, augmenter progressivement la profondeur
-
Établir la gouvernance
- Définir les critères d’approbation et les décideurs
- Configurer les procédures d’escalade
- Configurer la surveillance et les alertes
- Documenter les procédures de réponse aux incidents
Exécution
-
Commencer petit
- Commencer par les agents de découverte des actifs en mode faible profondeur
- Valider que l’application de la portée fonctionne
- Examiner la qualité des résultats et le taux de faux positifs
- Construire la confiance avant des tests plus approfondis
-
Surveiller continuellement
- Regarder les tableaux de bord des agents en temps réel
- Examiner les résultats au fur et à mesure de leur découverte
- Valider que les agents restent dans la portée
- Répondre immédiatement aux anomalies
-
Tirer parti des copilotes
- Utiliser les agents copilote pour l’exploitation complexe
- Documenter l’orientation et les recommandations
- Capturer les preuves systématiquement
- Valider les résultats avant de fermer
-
Gérer les résultats
- Prioriser par impact métier, pas seulement par sévérité
- Lier au contexte métier et à la tolérance au risque
- Coordonner avec les équipes de développement
- Suivre la progression de la correction
Post-test
-
Rapport complet
- Générer des rapports aux niveaux de détail appropriés
- Personnaliser pour les différentes parties prenantes
- Inclure des conseils de correction exploitables
- Planifier la distribution des rapports
-
Suivi de la correction
- Surveiller les changements de statut des résultats
- Re-tester les résultats critiques après les correctifs
- Valider les contrôles de compensation si la correction permanente est retardée
- Documenter les décisions d’acceptation des risques
-
Amélioration continue
- Analyser le taux de faux positifs des agents
- Ajuster les configurations en fonction des résultats
- Augmenter l’automatisation là où c’est stable
- Maintenir la supervision humaine pour les décisions complexes
- Partager les apprentissages avec les équipes de développement
Considérations de sécurité
-
Protéger les identifiants d’accès
- Stocker les clés API dans des coffres sécurisés
- Faire tourner les identifiants régulièrement
- Limiter la portée des jetons aux permissions nécessaires
- Auditer l’utilisation des clés API
-
Maintenir les pistes d’audit
- Activer la journalisation complète
- Archiver les journaux pour la conservation de la conformité
- Examiner régulièrement les journaux pour les anomalies
- Intégrer avec SIEM pour la corrélation
-
Réponse aux incidents
- Avoir des procédures d’annulation pour tous les changements
- Documenter les comportements inattendus
- Maintenir les coordonnées pour l’arrêt d’urgence
- Informer les équipes de réponse aux incidents sur les capacités des agents
Ressources
Documentation et communauté officielle
| Ressource | URL |
|---|---|
| Site Web Terra Security | https://terra.security |
| Portail de documentation | https://docs.terra.security |
| Référence API | https://api.terra.security/docs |
| Forum communautaire | https://community.terra.security |
| Intégration GitHub | https://github.com/terra-security |
Apprentissage et certifications
| Programme | Description |
|---|---|
| Testeur de pénétration agentique certifié | Certification officielle pour la maîtrise de la plateforme Terra Security |
| Configuration des agents | Module de formation pour la configuration des flux de travail et des agents |
| Gouvernance de l’exploitation | Bonnes pratiques pour les tests en boucle fermée |
| Modèles d’intégration | Formation sur l’intégration CI/CD, des tickets et des SIEM |
Blog et articles
- “IA agentique en sécurité : L’avenir du test de pénétration” - Blog de Terra Security
- “Équilibrer l’automatisation avec la supervision humaine dans les tests de sécurité” - Institut SANS
- “Du manuel à l’autonome : Mise à l’échelle des tests de sécurité” - Revue InfoSec
Technologies connexes
- Guide de test OWASP - https://owasp.org/www-project-web-security-testing-guide
- Norme d’exécution du test de pénétration PTES - https://www.pentest-standard.org
- Cadre de cybersécurité NIST - https://www.nist.gov/cyberframework
- Notation CVSS - https://www.first.org/cvss
Dernière mise à jour : 30 mars 2026 Plateforme : Terra Security Portal v2.0+ Objectif : Test de pénétration agentique IA avec gouvernance humaine Niveau de compétence : Avancé