Le choix de la méthodologie de test d’intrusion que nous utilisons en matière varie selon certains critères.
Parmi ces critères, la cible à atteindre influence fortement ce choix. Ainsi, effectuer un pentest sur un site web marchand ou non n’impliquera pas les mêmes besoins que tester la sécurité du réseau interne d’une organisation.
La durée de la période de test est également prépondérante dans le choix de la méthodologie à employer.
La méthodologie Grey Box offre la plus grande polyvalence, la méthode Black Box sera la plus représentative, enfin pentest White Box sera de loin la plus exhaustive.
Pentest avec la méthodologie Black box
Le pentest en mode Black Box (boite noire) ou test d’intrusion Black Box, est le mode de test le plus réaliste puisque le pentester ne possède aucune information lui permettant de pénétrer le système cible. Ainsi, cette méthode de pentest permet de mettre en exergue les failles que pourrait exploiter un véritable pirate dans son cheminement qui mènera à la compromission du système d’information.
Ce mode de test implique une durée d’exécution plus longue puisqu’aucune information n’est rendue volontairement disponible au début du test. De plus, cette méthode ne garantit pas la découverte de toutes les failles.
Comme son nom l’indique, le pentest blackbox est une boîte noire pour l’entreprise ciblée. Le test d’intrusion va être réalisé en conditions réelles. L’équipe chargée de la cybersécurité ne sera pas au courant que l’attaque que subit l’entreprise est un test d’intrusion et devra donc réagir en conséquence. Le pentester réalise son test d’intrusion de l’extérieur, sans disposer a priori d’informations sur l’entreprise cible. Si cette méthode est très efficace puisqu’elle permet d’effectuer un test d’intrusion en conditions réelles, elle peut en revanche prendre beaucoup de temps. En effet, infiltrer le système d’information d’une entreprise n’est pas un sprint mais une course de fond. Le test peut se dérouler sur plusieurs semaines, voire plusieurs mois en fonction de la taille de l’entreprise et de sa politique de sécurité du système d’information.
Pentest avec la méthodologie White box
Le pentest en mode White Box (boite blanche) se caractérise par un partage complet des informations avec l’auditeur. L’objectif est d’identifier la maximum, idéalement la totalité des failles existantes en passant au crible l’ensemble du périmètre destiné à être évalué.
La principale limite de cette méthode est que le pentest est peu représentatif de ce que pourrait réellement effectuer un hacker puisque toutes les informations sont déjà portées à la connaissance du testeur.
Le pentest whitebox est tout le contraire du blackbox. Le test d’intrusion sera réalisé en complète collaboration avec les services techniques de l’entreprise. De cette manière, l’auditeur a accès à l’ensemble du système d’information, à sa configuration, à la documentation technique. Le pentest whitebox est donc très proche d’un audit de sécurité classique. Il est en revanche plus complet puisqu’il va permettre de détecter les vulnérabilités du Système d’information bien plus précisément et proposer des solutions concrètes.
Pentest avec la méthodologie Grey box
Le pentest Grey Box (boite grise) est souvent désigné comme le meilleur choix en matière de méthodologie de pentest. L’auditeur débute ses tests avec un certain nombre d’information qui lui permettront de gagner du temps. L’auditeur pourra pousser les tests plus loin que s’il était en mode Black Box, tout en restant proche du scénario que pourrait suivre un hacker malveillant.
Le pentest Greybox se situe entre les deux premiers types de pentest. Le pentester pourra disposer d’un certain nombre d’informations avant d’effectuer son test d’intrusion. Il peut par exemple être intégré à l’entreprise comme un employé lambda. Il aura donc des informations de base et un compte utilisateur avec des droits limités. Il va ensuite, comme pour n’importe quel pentest, tenter d’obtenir plus de droit et d’accéder à des informations sensibles ou perturber le fonctionnement normal de l’entreprise.
Choisir la bonne méthodologie en collaboration
Lors de la phase préparatoire de votre pentest, nos équipes vous accompagnent pour choisir la méthodologie la plus adaptée à vos besoin, puis réalisent les test en respectant scrupuleusement les conditions définies précédemment.
Vous pourriez également être intéressé par les articles suivants :
Comment préparer un pentest ?
L’organisation d’un pentest va permettre de mettre à l’épreuve la sécurité informatique de l’entreprise. C’est une méthode idéale pour identifier d’éventuelles failles de sécurité et
FAQ – Foire aux questions Test d’intrusion
Voici les questions concernant les tests d’intrusion qui nous sont le plus fréquemment posées. Si vous souhaitez nous poser d’autres questions ou obtenir des précisions,
Les types de test d’intrusion
Depuis plusieurs années, les médias relaient des informations sur des cyberattaques ayant visé des entreprises, sur les pertes occasionnées et les fuites de données. Mais
Pentest – Test d’intrusion BLUE TEAM
S’assurer de la sécurité informatique de son système d’information doit être une priorité pour toute entreprise. Le test d’intrusion, aussi nommé pentest, est un outil
Pentest – Test d’intrusion PURPLE TEAM
Toujours dans le but d’améliorer la sécurité du système d’information, le test d’intrusion Purple Team fera le lien entre les approches Red Team et Blue
Pentest – Test d’intrusion RED TEAM
Devant la recrudescence des cyberattaques visant aussi bien les sociétés privées que les structures gouvernementales, il est impératif de s’assurer que son système d’information est
Pourquoi faire un Test d’intrusion / Pentest ?
Dans le monde hyperconnecté dans lequel nous vivons, la cybersécurité doit être au cœur de la stratégie informatique de l’entreprise. La moindre intrusion dans le
Quand et à quelle fréquence effectuer un test d’intrusion ?
Quand effectuer un pentest, c’est-à-dire tester les vulnérabilités d’un système d’information ? Cette question taraude de nombreux directeurs de systèmes d’information, responsables cybersécurité, ou dirigeants