Test d’intrusion ou Pentest Black Box et Grey Box
Les différentes approches de pentest
De nombreuses entreprises sont vulnérables à des cyberattaques. Pourtant, peu d’entre elles auditent régulièrement leur système d’information afin de découvrir ses failles de sécurité. Il existe pourtant des moyens de le faire, parmi ceux-ci on peut citer « le test d’intrusion ».
Ce test, appelé également test de pénétration ou pentest consiste à attaquer un système comme un hacker le ferait. Parmi les différentes approches de pentest, il existe les tests en Black Box, Grey Box et White Box.
Découvrez ces différentes approches et prenez en main votre cybersécurité avec HTTPCS !
Le Test d’intrusion
Ou comment tester la sécurité de son système d’information, site ou application web.Un test d’intrusion, test de pénétration ou pentest, c’est quoi ?
Selon Wikipedia, « Un test d'intrusion (« penetration test » ou « pentest », en anglais) est une méthode d'évaluation (« audit » en anglais) de la sécurité d'un système d'information ou d'un réseau informatique, il est réalisé par un testeur, (« pentester », en anglais). »
Le test d’intrusion, test de pénétration ou pentest consiste en fait à se mettre dans la peau d’un hacker et de tenter d’exploiter les failles de sécurité ou vulnérabilités d’un système. Il s’agit de simuler une attaque informatique qui aurait pu être réalisée par un pirate informatique, un logiciel malveillant ou un système déjà compromis.
C’est une forme d’évaluation de la sécurité d’un système, d’un réseau informatique, d’un site web ou d’une application web.
Pourquoi faire un test d’intrusion ?
Toutes les organisations, quelles que soient leurs tailles, sont susceptibles de subir des cyberattaques. Que ce soit pour la nature des données qu’elles stockent (données personnelles, données bancaires…), pour dégrader leur image de marque ou pour mener des attaques de plus grande envergure, les pirates peuvent viser tout type de site ou application web. Il est donc impossible de garantir qu’un site internet serait plus à l’abri qu’un autre.
Afin de prévenir ces attaques, une des solutions est de faire réaliser un test d’intrusion. Ce test permettra alors de :
- Lister les vulnérabilités d’un système ou d’une organisation
- Démontrer la capacité d’un hacker à pirater le système de l’extérieur
- Tester l’efficacité des outils de détection d’intrusion mis en place si tel est le cas, ainsi que la réactivité des experts techniques lors d’une attaque.
- Comprendre et voir les réactions des collaborateurs (dans le cas du social engineering)
Les résultats du pentest mené permettront la mise en place des contre-mesures afin de corriger les failles de sécurité et protéger le système.
Quand et à quelle fréquence est-il nécessaire d’effectuer un test d’intrusion ?
Il y a quelques années, on se demandait s’il était utile de tester la sécurité de son site ou de son application web, aujourd’hui il est question de se demander à quelle fréquence il est nécessaire de le faire ?
Bien évidemment, la réponse à cette question est différente d’une entreprise à une autre. Il semble évident qu’une entreprise effectuant des transactions financières ou un site e-commerce comprenant de nombreuses données personnelles et sensibles ont un niveau de risque plus élevé qu’un commerce ayant simplement un site dit « vitrine », sans espace membre.
Il est recommandé de :
- Réaliser des tests d’intrusion réguliers, plusieurs fois par an, pour des sites ou applications web particulièrement sensibles.
- Mener un pentest à chaque nouvelle version ou ajout d’importantes fonctionnalités pour des sites ou applications web faiblement sensibles. Tout changement majeur pourrait en effet, impliquer de nouvelles vulnérabilités.
Découvrez le scanner de vulnérabilité automatisé HTTPCS
Testez GratuitementLes différentes approches d’un pentest
Il existe trois principales méthodes et configurations pour mener à bien un test d’intrusion
Le test d’intrusion en Black Box
Vous ne voyez pas ce qu’il y a dans la boîte qui est entièrement fermée !
Définition
Le test d’intrusion en black box, appelé également pentest en mode « boite noire », consiste à réussir à s’introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système. Le pentester n’a alors aucune connaissance de l’environnement et teste à l’aveugle. Depuis l’extérieur, son objectif est donc de trouver comment s’introduire dans le système cible comme un attaquant extérieur pourrait le faire.
Dans quels cas faire un test en Black Box ?
Les tests en black box sont le plus souvent utilisés tout simplement sur des sites vitrines, sans espace membre car aucune information supplémentaire utile ne permettrait au hacker d’aller plus loin dans la démarche de cette attaque.
Avantages
Le test en black box permet donc de montrer au client quels types d’informations le hacker serait capable d’obtenir et ainsi de mettre en avant les risques encourus dans le cas d’une attaque.
Les limites de l’approche en Black Box
Le test en boite noire aura tendance à être plus long que si le pentester a déjà quelques informations supplémentaires. Il se peut également qu’il n’arrive pas à s’introduire dans le système, ce qui ne prouve pas qu’un hacker n’y arriverait pas et ne puisse pas obtenir les informations que le pentester n’aura pas pu tester au-delà.
Le test d’intrusion en Grey Box
Vous voyez partiellement dans la boîte
Définition
Cette méthode dite « boite grise » ou « grey box » consiste, quant à elle, à tenter de s’introduire dans le système d’informations en disposant d’un nombre limité d’informations sur l’organisation et son système. Ce cas permet de vérifier les failles d’un système en se positionnant soit en tant que collaborateur de l’entreprise ayant accès en interne à quelques informations, soit en tant que point de départ d’un hacker qui aurait réussi à avoir accès à un compte utilisateur au sein de l’organisation.
Dans quels cas ?
En général, lors d’un test en Grey Box, le pentester dispose alors d’identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.
Avantages
Le pentester ne démarre pas à l’aveugle. En ayant un nombre limité d’informations, il peut plus facilement simuler des attaques et aller au-delà de ce qu’il aurait pu faire en mode Black Box.
Les limites de l’approche Grey Box
La méthode Grey Box est la plus souvent utilisée dans le cadre de test d’intrusion auprès des entreprises car elle est souvent la plus réaliste. Le hacker dispose en effet, dans la majorité des cas de quelques informations, ou si ce n’est pas le cas, il aura trouver comment accéder à ses informations et pourra pousser son attaque au-delà d’une étape d’authentification.
Cependant, le pentester ne peut pas garantir que le hacker n’aura pas trouver une nouvelle technique de piratage et ainsi trouver une nouvelle faille exploitable. Il y a donc toujours une limite de test d’intrusion même si le risque est minimisé.
Le test d’intrusion en White Box
Vous voyez tout ce qu’il y a dans la boîte !
Définition
L’approche de la White Box, comme vous pouvez vous en douter, est simple : le pentester a accès à la totalité des informations concernant le système. Le testeur travaille dans ce cas en collaboration avec les équipes techniques de l’organisation afin de récupérer un maximum d’informations utiles. Il a accès à tout ce dont il a besoin afin de détecter un maximum de vulnérabilités.
Dans quels cas ?
La méthode en White Box est utilisée lorsqu’une entreprise veut arriver à déceler la moindre faille et vulnérabilité de son système d’information.
Avantages
Le principal avantage de l’approche en White Box est la possibilité de détecter un maximum de failles de sécurité. En ayant accès à toutes les informations souhaitées, le pentester est alors dans la capacité d’inspecter de fond en comble le système et d’atteindre un stade qu’il n’aurait peut-être pas atteint dans une approche Black Box ou Grey Box.
Les limites de l’approche en White Box
En soi, les seules limites à l’approche en mode White Box sont les compétences du pentester choisi et la perpétuelle chasse aux nouvelles techniques de hacking qui évoluent chaque jour.
Maintenant que vous avez toutes les clés en mains pour comprendre ces trois approches différentes, à vous d’identifier laquelle est la plus appropriée pour réaliser un pentest au sein de votre organisation.
Attention, il est important de comprendre que ces tests d’intrusion ponctuels, nécessaires à réaliser, ne permettent malheureusement pas de garantir la sécurité d’un système tout au long de l’année. En effet, un système non vulnérable un jour peut devenir un système vulnérable le lendemain ! C’est pourquoi, il est préconisé d’auditer de manière automatisée et quotidiennement son système d’information et de compléter par des tests manuels ponctuels.
HTTPCS Security
le test d’intrusion accessible, automatisé et quotidien
Détectez les failles de sécurité de votre système 365 jours par an.
HTTPCS Security, bien plus qu’un simple scanner de vulnérabilité
Les scanners de vulnérabilités web sur le marché sont des outils qui permettent de manière passive de remonter des vulnérabilités connues d’un site ou d’une application web. HTTPCS Security va plus loin : cette nouvelle génération de scan de vulnérabilité permet de remonter les failles seulement si elles sont « exploitables ».
Comment peut-il faire ça ? Tout simplement en essayant par lui-même d’exploiter chaque faille détectée, tel un hacker. En simulant une attaque, le robot prouve qu’un hacker pourrait réellement injecter du code et récupérer des informations confidentielles. C’est ce qu’on appelle la garantie zéro faux positif.
Basic Security (en Black Box)
Le forfait Basic Security vous permet de détecter les vulnérabilités d’un site ou d’une application web. Ce forfait permet d’auditer de manière automatisée votre site :
- en mode Black Box, c’est-à-dire sans authentification.
- avec une fréquence hebdomadaire.
Plus Security (en Grey Box)
Le forfait Plus Security permet également d’identifier les failles de sécurité de votre site ou application web en les auditant de manière automatisée :
- en mode Grey Box, c’est-à-dire avec authentification.
- avec une fréquence quotidienne.
Audits manuels, pour aller plus loin qu’un test d’intrusion
Bien que le test de pénétration soit un outil efficace contre le piratage informatique, il peut être complété par un audit de sécurité. Cet audit manuel, réalisé par des experts en cybersécurité, inclut un test d’intrusion, mais pas seulement !
Complémentaire d’un audit de vulnérabilité automatisé quotidien, l’audit manuel permettra de repérer des erreurs de configuration, de vérifier les réactions des collaborateurs et de déterminer le niveau de sécurité d’une entreprise également sur le plan organisationnel, afin d’optimiser sa sécurité.
Découvrez le Scanner de vulnérabilité Black Box et Grey Box
Je scanne gratuitement mon site en Grey Box (essai 14 jours)
