Pentest avec la méthodologie Grey box

Réaliser un inventaire des failles potentielles de sécurité de votre infrastructure informatique est le meilleur moyen de se prémunir contre une cyberattaque. Bien connaître les forces et les faiblesses de son système permet de savoir quelles parties doivent être renforcées. Avec la multiplication des applications web, des applications mobiles et des objets connectés, les incidents de sécurité se multiplient ainsi que les risques d’une intrusion informatique. Le test d’intrusion, ou pentest, est sans aucun doute l’une des méthodes les plus efficaces pour améliorer la sécurisation du système. Alors que le pentest black box se déroulera dans des conditions très proches d’une cyberattaque réelle et que le white box se fera en partenariat avec l’entreprise, le test d’intrusion grey box va se situer entre les deux. En complément, découvrez notre comparatif des méthodologies Pentest Black Box, White Box, Grey Box.

Définition du pentest grey box

Lors d’une approche grey box, le pentester va disposer d’un certain nombre d’informations et d’un accès limité à l’entreprise. Le pentester black box se trouve à l’extérieur de l’entreprise et va devoir tout faire pour s’introduire dans le réseau de l’entreprise. Le pentester white box va travailler en étroite collaboration avec les équipes informatiques. Le pentest grey box se situe quelque-part entre ces deux approches.

Le testeur peut par exemple être intégré à l’entreprise comme n’importe quel salarié et disposer des mêmes droits. Il va lui être attribué le même matériel que ses « collègues » et les mêmes habilitations. A partir de cela et des seules informations à sa disposition, le pentester grey box va s’employer à obtenir des droits supplémentaires pour prendre le contrôle de ressources auxquelles il ne devrait normalement pas avoir accès. Pour y parvenir, il va devoir identifier et exploiter les failles de sécurité présentes au sein du système d’information de l’entreprise.

Déroulement d’un pentest grey box ?

Le test d’intrusion de type grey box partage à peu près la même structure que les pentests black box et white box. Les techniques utilisées et les informations recueillies diffèrent en revanche.

La phase de reconnaissance

Le pentester va prendre connaissance des différentes informations mises à sa disposition, des droits octroyés à son utilisateur et des solutions logicielles et matérielles à sa portée. A partir des possibilités qui lui sont offertes, il va établir une cartographie du réseau, des logiciels auxquels il a accès et des solutions de sécurité actuellement mises en place.

En fonction des informations recueillies, il va être possible de vérifier si l’infrastructure comporte des failles ou si les versions logicielles installées font l’objet de vulnérabilités déjà identifiées.

La phase de découverte

Fort de toutes les informations désormais à sa disposition, le pentester va s’employer dans un premier temps à élever les droits dont il dispose sur l’ordinateur qu’il utilise. En obtenant des droits d’administrateur sur son poste, il aura alors plus de commandes à sa disposition et pourra installer et exécuter les logiciels dont il pourrait avoir besoin et les scripts qu’il aura écrits.

Une fois tous ces outils en place, l’objectif suivant sera de vérifier si certaines failles de sécurité potentielles identifiées précédemment existent bien et s’il est possible de les exploiter.

La phase d’exploitation

Toutes les pièces sont en place et le pentester va maintenant réellement passer à l’attaque. Il va tenter d’exploiter les failles de sécurité identifiées afin de se connecter à d’autres machines ou serveurs et d’y obtenir également des droits d’administrateur. Le maintien de ces droits dans le temps et l’accès à des données confidentielles sont les principaux objectifs de cette phase, tout en veillant naturellement à ne pas être repéré par les équipes de sécurité. L’exploitation de failles permettant de lancer des actions perturbant le bon fonctionnement de la société sont naturellement également au programme du pentester.

A la fin de cette phase du test d’intrusion, le pentester veillera à effacer ses traces afin que les outils utilisés ne soient pas exploitables par d’autres. Il produira ensuite un rapport complet sur son activité, les méthodes employées pour arriver à ses fins, les failles identifiées et exploitées ainsi que sur les actions à mener en termes de correctifs de sécurité.

Les avantages de l’approche grey box pour renforcer la sécurité

Grâce au pentest grey box, vous pourrez tester plusieurs scénarios. Tous les salariés d’une entreprise ne disposent pas du même matériel ni des mêmes droits d’accès. Il va être possible pour le pentester de tester différentes combinaisons de droits afin de vérifier qu’un profil particulier ne comporte pas plus de vulnérabilités que les autres.

Il va également être possible de vérifier qu’un ancien salarié ne faisant plus partie du personnel ne sera pas en mesure de conserver des accès au système d’information de l’entreprise après son départ. De la même façon, les droits habituellement octroyés à des prestataires externes pourront être contrôlés.

Le pentest grey box va donc être principalement concentré sur la sécurité informatique interne de l’entreprise.

Le périmètre du test d’intrusion peut même être restreint à une seule application ou à certaines fonctionnalités si nécessaire de façon à vérifier s’il existe des vulnérabilités exploitables par un pirate.

Pourquoi nous confier votre test grey box ?

Nous sommes à même de vous fournir des experts en sécurité qui sauront s’intégrer discrètement à votre entreprise afin de tester la sécurité de votre système d’information. Ils seront alors à même d’identifier les vulnérabilités de votre système et de vous proposer des solutions concrètes pour les corriger.

Les propositions qui vous seront remises à l’issue du test d’intrusion seront entièrement personnalisées. Il ne s’agira pas de mesures « génériques » mais bien d’actions à mener précisément sur votre système d’information. Elles seront adaptées à la taille de votre entreprise et à votre budget, en tenant compte du ROI sécurité de chaque correction envisagée. Des solutions d’installations et de mises à jour logicielles, de changement de matériel, d’optimisation des configurations ou encore de formation de vos équipes peuvent faire partie des propositions qui vous seront soumises.