?>
Les grands types de tests d’intrusion
Dans le domaine de la sécurité des systèmes d’information, l’évaluation de la sécurité par des pentests est une pratique essentielle et indispensable.
Avec l’augmentation croissante des incidents de sécurité, ce sont les entreprises et les consommateurs/clients qui sont les premières victimes de ces menaces, notamment pour les acteurs de la santé et de l’industrie, devenus une cible de choix pour les cybercriminels.
Mais avant tout, qu’est-ce qu’un pentest ou test d’intrusion ?
Un test d’intrusion, également connu sous le terme de pentest test de pénétration ou test de sécurité, consiste à simuler les techniques et comportements des pirates pour identifier les vulnérabilités et les failles sur votre SI tels que vos applications, sites web ou même vos accès physiques.
Ils permettent d’identifier des vulnérabilités exploitables, d’évaluer la politique de sécurité de l’entreprise, de vérifier la conformité réglementaire et de sensibiliser les employés à la cybersécurité.
Le but : élaborer un plan de sécurisation après avoir identifié les points à améliorer.
Il existe différentes approches, différents types de tests d’intrusion qui amènent chacune une valeur ajoutée différente.
On choisira la méthodologie en fonction du périmètre, des objectifs de sécurité et des attentes du client. Et, évidemment, on ne réalisera pas de la même façon un test d’intrusion Active Directory ou un pentest d’une application web.
Tout l’intérêt, pour bien évaluer votre sécurité est donc de comprendre et d’identifier le test d’intrusion le plus adapté à votre besoin.
Quels sont ces différents tests d’intrusion ?
Les 3 grands types de test d’intrusion
La majorité peut être regroupée sous 3 grandes approches distinctes, chacune offrant des avantages et inconvénients en fonction du périmètre et des objectifs de sécurité de l’entreprise :
- le test en boite blanche dit white box,
- le test en boite grise dit grey box,
- le test en boite noire dit black box.
Découvrez dans cet article les différents choix qui s’offrent à vous, leur utilité, leurs inconvénients et le meilleur contexte pour les mettre en œuvre.
Sans oublier les autres types de pentests qui sont régulièrement utilisés en entreprise.
Le Black Box : le pentest réaliste ?
Souvent demandé par nos clients pour leur première évaluation, le test d’intrusion en boîte noire (Black Box) est exécuté dans les conditions les plus proches d’une attaque externe réalisée par un pirate.
Le pentester réalise son évaluation sans qu’aucune information spécifique sur le système d’information cible ne lui soit communiquée, et il ne reçoit aucun droit d’accès.
Beaucoup pensent, à tort, qu’il s’agit du test d’intrusion le plus réaliste, car un attaquant externe n’aurait pas de privilège particulier.
On imagine, en effet, très souvent un pirate à l’autre bout du monde sur son ordinateur…
Pourtant :
- de nombreuse attaques ciblent les collaborateurs (via l’ingénierie sociale), et, l’attaquant obtient directement des crédits d’authentification valides,
- beaucoup d’attaques sont dues à des ex-employé-es, ou des mots de passe volés ou compromis.
Le test Black box, est très indiqué pour évaluer l’exposition d’une entreprise, ou identifier des chemins de compromission sans connaissance initiale.
Mais l’absence d’information entraîne en contrepartie une phase d’énumération et de cartographie plus longue (en proportion) et un risque de manquer des vulnérabilités par manque de visibilité.
| Avantages | Inconvénients |
– Simuler un cas d’attaque externe – Permet de se concentrer sur les scénarios qui permettent une compromission importante – Mobilise peu de ressources pour l’audité – Avoir un bon aperçu du niveau de sécurité d’un point de vue externe | – Moins exhaustif car la phase de recherche et d’énumération peut être longue – Grande probabilité de rater un élément important car elle ne permet pas de cibler les éléments critiques |
Le Grey Box : Le compromis ROI
Pour ce type de test d’intrusion, on donnera à l’auditeur les accès (et/ou les informations) nécessaires pour la réalisation du scénario.
Cet audit de sécurité permet notamment d’évaluer plus précisément la cible.
Par exemple : on pourra tester l’intégralité d’une application web en accédant :
- aux pages nécessitant une authentification,
- à différents profils et niveaux de privilège.
L’approche est souvent utilisée parce qu’elle représente une certaine réalité des compromissions effectives.
En effet, dans beaucoup de cas d’attaques réelles, l’attaquant avait déjà des accès spécifiques avant de lancer l’attaque (exemple : ransomware).
De plus, les différents comptes et informations permettent d’évaluer plus de scénarios d’attaques, tels que la compromission horizontale ou les élévations de privilèges.
C’est, selon nous, le meilleur compromis entre le réalisme de la simulation et la valeur du test, ce qui fait de lui, le test le plus utilisé !
| Avantages | Inconvénients |
| – Large couverture de tests – Scénarios ciblés – Évaluation plus précise de la cible – Plus représentatif de la réalité des cyberattaques | – Souvent précédé par un test en Black Box : volume de jour plus important |
Le White Box : le test d’intrusion ultra ciblé
A l’inverse de la black box, les tests en boite blanche ou White Box, consistent à fournir aux pentesters l’accès à toutes les informations nécessaires pour mener à bien l’audit de sécurité (documentations, schémas, collaborateurs,etc.).
L’auditeur dispose d’un accès total à l’infrastructure cible, aux documentations ainsi qu’aux équipes d’exploitation.
A l’aide des différents éléments en sa possession et ses tests, il ciblera très précisément les vulnérabilités potentielles.
En effet, cette approche offre une évaluation beaucoup plus approfondie, ciblée et exhaustive qu’un test d’intrusion en boîte noire. Elle permet de mieux comprendre les problèmes de sécurité et de viser les points qui lui semblent les plus fragiles.
Elle a l’avantage également de mettre en lumière les vulnérabilités d’architecture et d’implémentation.
Pour résumer, elle évalue de façon chirurgical les vulnérabilités de la cible pour la protéger des attaques avancées (APT, utilisateurs internes malveillants,etc.).
| Avantages | Inconvénients |
| – Précision et exhaustivité du test – Trouve les vulnérabilités non-exploitables mais existantes | – Nécessite un bon niveau de maturité cyber – Nécessite d’une bonne maîtrise des systèmes – Volume de jours important |
Les autres types de pentest
Les tests d’ingénierie sociale
Type de test qui vise à évaluer la vulnérabilité des collaborateurs et leur capacité à suivre les politiques de sécurité. Les pentesters peuvent utiliser des techniques de manipulation (d’ingénierie sociale) pour tromper les employés pour d’obtenir des informations confidentielles ou accéder à des zones restreintes.
Les simulations de phishing
Outil couramment utilisé pour évaluer la vulnérabilité des employés et permettre aux entreprises de prendre des mesures pour renforcer la sensibilisation à la sécurité et la formation.
Elles consistent à envoyer des e-mails ou des messages qui imitent des messages légitimes (messages de banques, de fournisseurs de services, etc.) dans le but de tromper les employés pour qu’ils cliquent sur des liens ou fournissent des informations sensibles. Les simulations de phishing sont souvent incluses dans les plans de formation à la sécurité des employés et sont un outil précieux pour maintenir une sécurité informatique solide.
Les tests d’intrusion physique
Comme son nom l’indique, il s’agit d’une simulation d’intrusion physique au sein de l’entreprise. Ce test vise à tester la résistance du site/bâtiment en mettant en évidence les failles de sécurité des locaux. Il est utilisé pour évaluer les systèmes de sécurité tels que les caméras de surveillance, les systèmes d’alarme, les portes d’entrée, etc. Il sert également à récolter un maximum d’information et à effectuer des repérages techniques pour faciliter son intrusion.
Les tests Red Team
En dehors des 3 grands types de pentest, l’approche Red Team est la plus complète.
En effet, elle regroupe les principaux avantages en une seule approche !
Cette simulation d’attaque, en condition réelle, a pour but de trouver un chemin de compromission pour atteindre un objectif bien identifié (serveur, données, matériel), en utilisant tous les moyens et techniques qu’un attaquant utiliserait : phishing, intrusion dans les locaux, exploitation des failles de sécurité, ingénierie social, etc…
Ces tests Red Team sont longs et s’étalent généralement sur plusieurs mois.
Ils sont un excellent moyen pour tester vos défenses, et sont souvent lancés sans que les équipes de cybersécurité soient au courant.
Ils sont également souvent utilisés pour tester les systèmes critiques et les infrastructures sensibles.
En conclusion
Les pentests sont un élément clé de la stratégie de sécurité d’une entreprise. Ils permettent d’identifier les failles de sécurité et de prendre les mesures nécessaires pour les corriger avant qu’elles ne soient exploitées par des cybercriminels.
L’approche choisie doit être adaptée à la nature et au niveau de sensibilité des données de l’entreprise.
Il est important de souligner une nouvelle fois que chaque approche présente des avantages et des inconvénients.
Le choix doit donc être justifié en fonction des objectifs de sécurité de l’entreprise.
C’est pourquoi une réelle réflexion et une certaine préparation sont nécessaires avant tout test.
Ne loupez pas notre webinaire sur les prérequis et les étapes à suivre pour bien préparer votre prochain test d’intrusion.
Si vous avez besoin de conseils ou d’accompagnement pour choisir le meilleur type de test d’intrusion.