Les tests d'intrusion ou pentests
Interne ou externe ?
L'objectif d'un pentest est d'évaluer le niveau de sécurité d'une infrastructure, d'un service web ou encore d'un site e-commerce. Pour cela, l'auditeur (ou communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles.
Externe
Interne
Ce type d'audit peut également être mené en interne, directement depuis les locaux de l'entreprise. Dans cette configuration, le pentester simule des actions malveillantes depuis l'intérieur de l'entreprise. L'objectif est d'évaluer le niveau de risque lié à une éventuelle compromission par un employé, un partenaire ou un prestataire de l'entreprise.
Une fois le périmètre déterminé, il convient de choisir quel type de pentest va être réalisé
Black Box
L'approche "Black Box" ou "Boîte Noire" implique d'évaluer le niveau de sécurité de la cible sans disposer d'aucune information préalable. Dans cette situation, l'auditeur se place dans la position d'un acteur malveillant classique. Cette approche exige une méthodologie bien définie ainsi que du temps pour explorer minutieusement la cible.
Grey Box
L'approche "Grey Box" ou "Boîte Grise" vise à maximiser l'efficacité en optimisant le temps et la portée de l'attaque. Le pentester reçoit un ensemble restreint d'informations pour définir le périmètre d'analyse. Cela permet au pentester de concentrer ses efforts sur ce périmètre défini.