• 8 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 28/11/2019

Maîtrisez les différents types de tests

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans ce chapitre, nous allons voir les différents types de tests d'intrusion qui existent et comment sélectionner le bon en fonction de votre besoin.

Il existe deux types de tests d'intrusion :

  • les tests d'intrusion externe

  • les tests d'intrusion interne

Voyons cela ensemble !

Les 2 types de tests d’intrusion

Externe

Sur ce type d'intrusion, l'attaquant ou le pentesteur dans notre cas, est placé sur Internet. Il est donc dans la situation ou un pirate tenterait de pénétrer dans l’entreprise à partir de l’extérieur. L'adresse IP publique de la connexion internet du pentesteur et l'adresse IP publique de la connexion internet de l'entreprise sont utilisées dans ce scénario.

Interne

À l'inverse, dans ce cas-là, le pentesteur est sur le réseau interne de l'entreprise. Il est dans la situation d'une personne malveillante interne.

Par exemple, cela peut être le cas d'un prestataire qui accès physiquement au bureau de l'entreprise comme un technicien télécom, un électricien, etc. C'est également le cas d'un employé malveillant, par exemple pour de l’espionnage industriel ou par vengeance. L’employé peut également être inconscient des risques, et cliquer sur une pièce jointe infectée ou communiquer des identifiants. Enfin, on peut également imaginer un pirate ayant la possibilité de s'introduire physiquement dans l'entreprise et de se retrouver dans un de ces scénarios.

Il y a donc des deux types de tests que nous réalisons, interne et externe, car ce sont les deux types de scénarios qui se produisent dans la vie réelle des entreprises.

Conditions du test

En fonction du niveau de connaissance du pentesteur, trois qualificatifs différents sont utilisés pour identifier les tests d'intrusion :

  • la boîte noire

  • la boîte grise

  • la boîte blanche 

Voyons cela dans le détail.

Boîte noire

Dans ce cas, le pentesteur n'a aucune information sur le réseau cible au début du test et ne connaît aucun nom d’utilisateur ni mot de passe.

Il s'agit dans un premier temps de rechercher des informations sur :

  • l'entreprise,

  • les employés,

  • connaître la situation géographique,

  • les informations générales,

  • le fournisseur d'accès à Internet,

  • et toutes autres données pour rassembler un maximum d'informations qui pourraient aider à trouver des vulnérabilités.

Boîte grise

Le testeur possède un nombre limité d'informations. En général, lors de tests d'intrusion en mode boîte grise, le testeur dispose uniquement d'un couple identifiant / mot de passe que l'entreprise cible lui a fourni avant de démarrer la phase de test. Cela permet notamment de passer l'étape d'authentification, et de pouvoir approfondir le test à l'intérieur de l'application ou du système.

Boîte blanche

Enfin, dans cette condition, le pentesteur peut être en possession de nombreuses informations. Parmi elles, les plus courantes sont :

  • les schémas d'architecture,

  • un compte utilisateur permettant de s'authentifier,

  • le code source de l'application,

  • etc.

Dans ce cas, le pentesteur va rechercher les failles en étant le plus exhaustif possible. Dans ce scénario, la recherche est très approfondie et très complète.

Choix du test

Le choix du test d'intrusion qui va être conduit et très important, car il faudra le déterminer en fonction de ce que le client veut tester. En fonction de la stratégie adoptée, les résultats sont différents. Il faut donc bien identifier ce que l'entreprise cible veut protéger et de quel type d'attaque elle veut se prémunir. De là, il faut déterminer le meilleur type de scan et les meilleures conditions de connaissance du pentesteur avant le début du test.

Quelques exemples

  1. Vous êtes RSSI pour l’entreprise SECURITYFIRST. Vous êtes soucieux qu’un pirate sur Internet vole les données que vous hébergez. Dans ce cas, vous devrez privilégier un test de type externe basé sur la boîte noire car c’est le scénario qui se rapproche le plus de la menace pour laquelle vous voulez vous protéger.

  2. Vous êtes RSSI dans une entreprise qui traverse une période de crise sociale avec grèves et licenciements. Vous vous interrogez sur les conséquences que pourrait avoir un collaborateur malveillant. Le choix le plus judicieux sera un test d'intrusion interne en boîte grise. Le pentesteur possédera alors un login et mot de passe pour accéder au système comme un utilisateur standard et vous pourrez identifier les vulnérabilités internes dans ce scénario.

En résumé

  • Il existe deux types de tests d'intrusion : interne et externe

  • Il y a trois conditions de test d'intrusion : boîte blanche, boîte grise, et boîte noire.

  • En fonction des conditions de départ, le pentesteur possède un niveau d'information qui lui permet de plus ou moins approfondir le test.

  • Le choix du type de test et des conditions de connaissance de départ est très important. Il doit être fait en fonction de ce que l'entreprise veut protéger et également en fonction du risque contre lequel elle se protège.

Exemple de certificat de réussite
Exemple de certificat de réussite