Chargement en cours

PenTest

« Back to Glossary Index

Un test d’intrusion (pentest) est une action qui consiste à essayer plusieurs vulnérabilités et codes d’exploitation sur un système d’information, afin de déterminer ceux qui donnent des résultats positifs.


Remarques : Il s’agit à la fois d’une intention défensive (mieux se protéger) et d’une action offensive (agresser son propre système d’information).


Pentest avec la méthodologie Black box :
Le pentest en mode Black Box (boite noire) ou test d’intrusion Black Box, est le mode de test le plus réaliste puisque le pentester ne possède aucune information lui permettant de pénétrer le système cible. Ainsi, cette méthode de pentest permet de mettre en exergue les failles que pourrait exploiter un véritable pirate dans son cheminement qui mènera à la compromission du système d’information.
Ce mode de test implique une durée d’exécution plus longue puisqu’aucune information n’est rendue volontairement disponible au début du test. De plus, cette méthode ne garantit pas la découverte de toutes les failles.
Comme son nom l’indique, le pentest blackbox est une boîte noire pour l’entreprise ciblée. Le test d’intrusion va être réalisé en conditions réelles. L’équipe chargée de la cybersécurité ne sera pas au courant que l’attaque que subit l’entreprise est un test d’intrusion et devra donc réagir en conséquence. Le pentester réalise son test d’intrusion de l’extérieur, sans disposer a priori d’informations sur l’entreprise cible. Si cette méthode est très efficace puisqu’elle permet d’effectuer un test d’intrusion en conditions réelles, elle peut en revanche prendre beaucoup de temps. En effet, infiltrer le système d’information d’une entreprise n’est pas un sprint mais une course de fond. Le test peut se dérouler sur plusieurs semaines, voire plusieurs mois en fonction de la taille de l’entreprise et de sa politique de sécurité du système d’information.


Pentest avec la méthodologie White box :
Le pentest en mode White Box (boite blanche) se caractérise par un partage complet des informations avec l’auditeur. L’objectif est d’identifier la maximum, idéalement la totalité des failles existantes en passant au crible l’ensemble du périmètre destiné à être évalué.
La principale limite de cette méthode est que le pentest est peu représentatif de ce que pourrait réellement effectuer un hacker puisque toutes les informations sont déjà portées à la connaissance du testeur.
Le pentest whitebox est tout le contraire du blackbox. Le test d’intrusion sera réalisé en complète collaboration avec les services techniques de l’entreprise. De cette manière, l’auditeur a accès à l’ensemble du système d’information, à sa configuration, à la documentation technique. Le pentest whitebox est donc très proche d’un audit de sécurité classique. Il est en revanche plus complet puisqu’il va permettre de détecter les vulnérabilités du Système d’information bien plus précisément et proposer des solutions concrètes.


Pentest avec la méthodologie Grey box :
Le pentest Grey Box (boite grise) est souvent désigné comme le meilleur choix en matière de méthodologie de pentest. L’auditeur débute ses tests avec un certain nombre d’information qui lui permettront de gagner du temps. L’auditeur pourra pousser les tests plus loin que s’il était en mode Black Box, tout en restant proche du scénario que pourrait suivre un hacker malveillant.
Le pentest Greybox se situe entre les deux premiers types de pentest. Le pentester pourra disposer d’un certain nombre d’informations avant d’effectuer son test d’intrusion. Il peut par exemple être intégré à l’entreprise comme un employé lambda. Il aura donc des informations de base et un compte utilisateur avec des droits limités. Il va ensuite, comme pour n’importe quel pentest, tenter d’obtenir plus de droit et d’accéder à des informations sensibles ou perturber le fonctionnement normal de l’entreprise.

« Back to Glossary Index