La sécurité informatique doit être au cœur de la stratégie numérique de l’entreprise. Les conséquences d’un piratage informatique peuvent être désastreuses tant en termes d’image que d’activité. L’organisation d’un audit de test informatique est l’un des meilleurs moyens de mesurer la vulnérabilité d’un système d’information. Il existe plusieurs possibilités pour réaliser un tel audit. Découvrez les différences entre un pentest Black Box, Grey Box et White Box.
Demander à des experts en sécurité de réaliser un test d’intrusion White Box permettra, en partenariat avec les équipes de l’entreprise, d’identifier les failles potentielles de sécurité afin de leur apporter une réponse efficace.
Définition du pentest white box
Le pentest white box consiste à identifier les failles des systèmes en étroite collaboration avec les équipes informatiques de l’entreprise. Le travail se fait donc de l’intérieur et le prestataire chargé du test d’intrusion a accès à l’intégralité des informations concernant l’entreprise.
Le pentester va travailler depuis l’intérieur. Il aura donc accès au réseau d’entreprise, aux réseaux sans fil, disposera d’un ou plusieurs ordinateurs et d’un ou plusieurs comptes pour se connecter. Il sera en mesure de consulter toutes les documentations disponibles et d’échanger directement avec les équipes internes de l’entreprise. Les tests porteront sur les vulnérabilités éventuelles concernant les accès depuis l’extérieur, mais également sur la sécurité des infrastructures, la sécurité des applications et des données.
Comment se déroule un pentest white box ?
Le test d’intrusion de type white box partage à peu près la même structure que les pentests black box et grey box. Les techniques utilisées et les informations recueillies diffèrent en revanche.
Reconnaissance
Durant cette première phase, le pentester recueillira un maximum de renseignements et de données sur l’entreprise, son infrastructure et son réseau informatique. Si certaines données peuvent être obtenues à l’extérieur de l’entreprise (afin notamment de déterminer quelles informations potentiellement sensibles ou utilisables par un pirate sont disponibles), la plus grande partie sera obtenue en interne.
Le pentester va en effet examiner l’ensemble des documentations disponibles afin d’en extraire les informations utiles pour identifier des failles potentielles. Il va également s’entretenir avec les différents responsables informatiques afin d’obtenir des éléments qui peuvent ne pas avoir été documentés.
En synthétisant toutes les informations recueillies, le pentester sera alors en mesure de constituer une véritable cartographie de l’infrastructure informatique de l’entreprise.
Découverte
A partir de la liste des composants informatiques de l’entreprise dressée lors de la phase de reconnaissance, le pentester peut maintenant s’employer à analyser les faiblesses, connues ou non, du matériel, des applications et des différents systèmes d’information.
Plusieurs types de tests peuvent être effectués. Certains sont automatisés grâce à des logiciels spécialisés. Ces derniers vont scanner le réseau et les applications à la recherche de vulnérabilités. D’autres tests pourront être réalisés manuellement. Les connaissances et les compétences du pentester sont alors primordiales puisqu’elles lui permettront de déterminer quels tests réaliser et dans quel ordre, et de créer des scripts sur-mesure pour détecter les éventuelles failles.
Le « Top 10 OWASP » sert de référence afin de déterminer les types de vulnérabilités les plus courants.
Exploitation
Les failles de sécurité des systèmes étant à présent identifiées, le pentester va s’atteler à vérifier si elles sont exploitables, dans quelles mesures, et pour quelles conséquences.
Les tests sont multiples, mais pour résumer, le pentester va tenter à partir d’un utilisateur « lambda » d’obtenir une élévation de privilèges, à savoir devenir administrateur de la machine à laquelle il est connecté. Il aura alors accès à beaucoup plus d’options. Le maintien de ces privilèges puis leur propagation à d’autres éléments de l’entreprise feront ensuite partie de ses objectifs. Le tout naturellement, sans que les équipes internes ne détectent ces manœuvres de préférence.
A l’issue de cette phase, le pentester procédera à un nettoyage minutieux de ses traces. Il ne s’agit pas là de masquer son travail comme le ferait un pirate mais bien de supprimer toute trace des outils utilisés lors de ce test d’intrusion.
Un rapport écrit sera fourni à l’entreprise. Le pentester ne se contentera pas de fournir une liste exhaustive des failles de sécurité du système informatique de l’entreprise. L’ensemble des méthodes et techniques utilisées sera détaillé et des correctifs personnalisés seront proposés.
A partir de ce rapport et de sa présentation, un plan d’action pourra être mis en place en tenant compte du ROI sécurité de chaque solution proposée.
Pourquoi choisir l’approche white box ?
Le test d’intrusion white box permet de détecter un maximum de vulnérabilités. Dans la mesure où le pentester dispose de toutes les informations possibles sur l’infrastructure, les applications et les habitudes de l’entreprise, il peut se concentrer sur l’inspection des systèmes informatiques. L’analyse pourra être réalisée bien plus en profondeur qu’avec une approche black box ou grey box.
Le pentest white box est la méthode qui se rapproche le plus de l’audit de sécurité plus classique. Néanmoins, la détection des vulnérabilités et des failles de sécurité est bien plus poussée que lors d’un simple audit.
En quoi le test d’intrusion white box renforce la sécurité ?
Le pentest white box va permettre d’identifier les failles de sécurité du système d’information et de mettre en place des solutions concrètes, adaptées à la taille de l’entreprise, à son budget et aux risques auxquels elle est exposée.
L’important est d’impliquer les équipes internes qui en aucun cas ne seront en compétition avec le pentester. Le test doit être fait en toute transparence. Des actions seront ensuite mises en place afin d’améliorer la sécurité. Il pourra naturellement s’agir de réponses techniques (mises à jour logicielles, optimisation de la configuration, changement de matériel…) mais également de formation (des équipes chargées de la sécurité) et d’information (rappel des bonnes pratiques en matière de sécurité informatique à l’ensemble du personnel).
Pourquoi nous confier votre test white box ?
Nos équipes sont rôdées à ce type d’exercice. Nos experts en sécurité s’intégreront à vos équipes et examineront votre système informatique, de l’infrastructure aux logiciels utilisés en passant par les droits des différents utilisateurs. Ils s’appuieront sur la connaissance de vos équipes ainsi que les différentes documentations accessibles.
L’intégralité du système d’information sera examiné au travers d’un audit de sécurité exhaustif. Chaque audit de sécurité étant personnalisé, vous disposerez à l’issue du pentest white box d’un ensemble de recommandations et de mesures de sécurité à mettre en place. Là encore, nous vous accompagnerons afin de vous aider à mettre en place les méthodologies les plus adaptées. Le rapport d’audit vous permettra de mettre en œuvre les solutions les plus appropriées pour bloquer les failles de sécurité identifiées grâce à des modifications d’infrastructure, des mises à jour logicielles, une meilleure gestion des utilisateurs ou encore la formation de vos équipes.
Vous pourriez également être intéressé par les articles suivants :
Pentest avec la méthodologie Black box
Vous souhaitez savoir si le système d’information de votre entreprise est à même de résister à une cyberattaque ? Découvrir les failles de sécurité potentielles
Pentest avec la méthodologie Grey box
Réaliser un inventaire des failles potentielles de sécurité de votre infrastructure informatique est le meilleur moyen de se prémunir contre une cyberattaque. Bien connaître les