Cybersécurité

Les différentes approches de pentest

De nombreuses entreprises sont vulnérables à des cyberattaques. Pourtant, peu d’entre elles auditent régulièrement leur système d’information afin de découvrir ses failles de sécurité. Il existe pourtant des moyens de le faire, parmi ceux-ci on peut citer « le test d’intrusion ». Ce test, appelé également test de pénétration ou pentest consiste à attaquer un système comme un hacker le ferait. Parmi les différentes approches de pentest, il existe les tests en Black Box, Grey Box etWhite Box.

Le test d’intrusion

N

Le Test

Ou comment tester la sécurité de son système d’information, site ou application web. Un test d’intrusion, test de pénétration ou pentest, c’est quoi ? « Un test d’intrusion (« pénétration test » ou « pentest », en anglais) est une méthode d’évaluation (« audit », en anglais) de la sécurité d’un système ou d’un réseau informatique ou un Système d’information ; il est réalisé par un testeur, (« pentester », en anglais). » Le test d’intrusion, test de pénétration ou pentest consiste en fait à se mettre dans la peau d’un hacker et de tenter d’exploiter les failles de sécurité ou vulnérabilités d’un système. Il s’agit de simuler une attaque informatique qui aurait pu être réalisée par un pirate informatique, un logiciel malveillant ou un système déjà compromis. C’est une forme d’évaluation de la sécurité d’un système, d’un réseau informatique, d’un site web ou d’une application web.

N

Pourquoi faire un test d’intrusion ?

Toutes les organisations, quelles que soient leurs tailles, sont susceptibles de subir des cyberattaques. Que ce soit pour la nature des données qu’elles stockent (données personnelles, données bancaires…), pour dégrader leur image de marque ou pour mener des attaques de plus grande envergure, les pirates peuvent viser tout type de site ou application web. Il est donc impossible de garantir qu’un site internet serait plus à l’abri qu’un autre. Afin de prévenir ces attaques, une des solutions est de faire réaliser un test d’intrusion. Ce test permettra alors de :

  • Lister les vulnérabilités d’un système ou d’une organisation
  • Démontrer la capacité d’un hacker à pirater le système de l’extérieur
  • Tester l’efficacité des outils de détection d’intrusion mis en place si tel est le cas, ainsi que la réactivité des experts techniques lors d’une attaque.
  • Comprendre et voir les réactions des collaborateurs (dans le cas du social engineering)

Les résultats du pentest mené permettront la mise en place des contre-mesures afin de corriger les failles de sécurité et protéger le système.

N

Quand et à quelle fréquence est-il nécessaire d’effectuer un test d’intrusion ?

La réponse à cette question est différente d’une entreprise à une autre. Il semble évident qu’une entreprise effectuant des transactions financières ou un site e-commerce comprenant de nombreuses données personnelles et sensibles ont un niveau de risque plus élevé qu’un commerce ayant simplement un site dit « vitrine », sans espace membre. Il est recommandé de : 

  • Réaliser des tests d’intrusion réguliers, plusieurs fois par an, pour des sites ou applications web particulièrement sensibles. 
  • Mener un pentest à chaque nouvelle version ou ajout d’importantes fonctionnalités pour des sites ou applications web faiblement sensibles. Tout changement majeur pourrait en effet impliquer de nouvelles vulnérabilités.

Le test d’intrusion en Black Box

N

Définition

Le test d’intrusion en black box, appelé également pentest en mode « boite noire » consiste à réussir à s’introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système. Le pentester n’a alors aucune connaissance de l’environnement et teste à l’aveugle. Depuis l’extérieur, son objectif est donc de trouver comment s’introduire dans le système cible comme un attaquant extérieur pourrait le faire

N

Dans quels cas faire un test en Black Box ?

Les tests en black box sont le plus souvent utilisés tout simplement sur des sites vitrines, sans espace membre car aucune information supplémentaire utile ne permettrait au hacker d’aller plus loin dans la démarche de cette attaque

N

Avantages

Le test en black box permet donc de montrer au client quels types d’informations le hacker serait capable d’obtenir et ainsi de mettre en avant les risques encourus dans le cas d’une attaque.

Le test d’intrusion en Grey Box

N

Définition

Cette méthode dite « boite grise » ou « grey box » consiste, quant à elle, à tenter de s’introduire dans le système d’informations en disposant d’un nombre limité d’informations sur l’organisation et son système. Ce cas permet de vérifier les failles d’un système en se positionnant soit en tant que collaborateur de l’entreprise ayant accès en interne à quelques informations, soit en tant que point de départ d’un hacker qui aurait réussi à avoir accès à un compte utilisateur au sein de l’organisation.

N

Dans quels cas faire un test en Grey Box ?

En général, lors d’un test en Grey Box, le pentester dispose alors d’identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.

N

Avantages

Le pentester ne démarre pas à l’aveugle. En ayant un nombre limité d’informations, il peut plus facilement simuler des attaques et aller au-delà de ce qu’il aurait pu faire en mode Black Box.

Le test d’intrusion en White Box

N

Définition

L’approche de la White Box, comme vous pouvez vous en douter, est simple : le pentester a accès à la totalité des informations concernant le système. Le testeur travaille dans ce cas en collaboration avec les équipes techniques de l’organisation afin de récupérer un maximum d’informations utiles. Il a accès à tout ce dont il a besoin afin de détecter un maximum de vulnérabilités.

N

Dans quels cas faire un test en White Box ?

La méthode en White Box est utilisée lorsqu’une entreprise veut arriver à déceler la moindre faille et vulnérabilité de son système d’information.

N

Avantages

Le principal avantage de l’approche en White Box est la possibilité de détecter un maximum de failles de sécurité. En ayant accès à toutes les informations souhaitées, le pentester est alors dans la capacité d’inspecter de fond en comble le système et d’atteindre un stade qu’il n’aurait peut-être pas atteint dans une approche Black Box ou Grey Box.