Tous les tests d’intrusion ne se valent pas. Les types de tests d’intrusion diffèrent selon deux axes : ce que le testeur sait à l’avance de vos systèmes (black box, white box ou grey box) et la partie de votre environnement incluse dans le périmètre (une application web, une API, le périmètre réseau, etc.). Bien les choisir rend un test rentable et réellement utile plutôt qu’un simple exercice de conformité. Ce guide explique les options pour vous aider à bien choisir.
TL;DR
- Black box, white box et grey box décrivent la quantité d’informations dont dispose le testeur au départ ; le grey box est le plus courant et le plus rentable pour la plupart des missions
- Les types de tests par périmètre incluent le réseau externe, le réseau interne, l’application web, l’API, le sans-fil et l’ingénierie sociale
- La bonne combinaison dépend de ce que vous protégez, de vos besoins de conformité et de votre budget
- Quel que soit le type, un bon test suit une méthodologie reconnue comme PTES ou OWASP et livre des résultats priorisés et exploitables
Types de tests d’intrusion selon le niveau de connaissance
Il s’agit de ce que l’on communique au testeur avant qu’il ne commence, ce qui simule différents types d’attaquants.
Test black box
Le testeur reçoit peu ou pas d’informations préalables, seulement ce qu’un véritable attaquant externe aurait (par exemple un nom de domaine). Il mène sa propre reconnaissance à partir de zéro.
- Simule : Un attaquant externe sans connaissance interne.
- Avantages : Vision réaliste de l’exposition externe ; teste ce qu’un attaquant opportuniste trouverait.
- Inconvénients : Le temps consacré à la reconnaissance peut réduire celui du test des problèmes plus profonds, et certaines vulnérabilités peuvent être manquées par simple manque de temps, non de risque.
- Idéal pour : Évaluer l’exposition externe réelle.
Test white box
Le testeur reçoit des informations complètes : schémas d’architecture, code source, identifiants et configuration.
- Simule : Un initié compétent, ou un audit approfondi supposant une connaissance de l’attaquant dans le pire des cas.
- Avantages : La couverture la plus complète ; le temps sert à trouver des problèmes, non à découvrir l’environnement ; peut révéler des failles de logique profonde et au niveau du code.
- Inconvénients : Plus de préparation et de partage d’informations requis ; moins représentatif d’un attaquant externe aveugle.
- Idéal pour : Maximiser la couverture, et pour les systèmes critiques où la rigueur prime sur le réalisme.
Test grey box
Le testeur reçoit des informations partielles, par exemple des identifiants d’utilisateur standard et un aperçu de haut niveau, mais pas les rouages internes complets.
- Simule : Un attaquant ayant pris pied, ou un utilisateur ordinaire malveillant ou compromis.
- Avantages : Un équilibre pragmatique ; usage efficace du temps tout en testant des chemins d’attaque réalistes comme l’élévation de privilèges depuis un compte normal.
- Inconvénients : Ni une vision totalement aveugle ni totalement informée, bien que pour la plupart des usages ce compromis soit un atout.
- Idéal pour : La plupart des missions. Le grey box est le choix par défaut courant car il équilibre réalisme, couverture et coût.
Tests par périmètre
Indépendamment du niveau de connaissance, vous choisissez ce qui est dans le périmètre. Les types courants incluent :
- Test du réseau externe : Le périmètre exposé sur Internet : serveurs publics, pare-feux, services exposés.
- Test du réseau interne : Depuis l’intérieur du réseau, simule un attaquant déjà présent (via phishing, un appareil malveillant ou un initié malintentionné) et teste le déplacement latéral.
- Test d’application web : Test approfondi de la logique, de l’authentification et des entrées d’une application web spécifique, généralement aligné sur la méthodologie OWASP.
- Test d’API : Test ciblé des API, une surface d’attaque croissante et souvent moins protégée que la façade web.
- Test sans-fil : Réseaux Wi-Fi et leur cloisonnement par rapport aux systèmes sensibles.
- Ingénierie sociale : Test de la couche humaine par phishing et techniques de prétexte (avec des règles d’engagement convenues).
Comment choisir le bon test
- Vous protégez une application spécifique ? Un test grey box d’application web (et d’API) offre généralement le meilleur rapport qualité-prix.
- Inquiet de l’exposition externe ? Commencez par un test du réseau externe, en black ou grey box.
- Préoccupé par le risque interne ou le confinement ? Choisissez un test du réseau interne pour évaluer le déplacement latéral.
- Piloté par la conformité ? Vérifiez ce qu’exige votre référentiel ou votre contrat client ; certains imposent un périmètre ou une indépendance.
- Budget limité ? Le grey box concentre l’effort là où il compte, évitant le temps perdu en pure reconnaissance.
Quoi que vous choisissiez, exigez une méthodologie reconnue. Les tests professionnels suivent des standards comme le Penetration Testing Execution Standard (PTES) et OWASP , vont au-delà du scan automatisé pour enchaîner les vulnérabilités et tenter de vrais chemins d’attaque, et livrent des exploits de preuve de concept avec une feuille de route de remédiation priorisée.
Points clés à retenir
- Les principaux types de tests d’intrusion selon le niveau de connaissance sont black, white et grey box ; le grey box est le choix pragmatique par défaut pour la plupart des besoins.
- Le périmètre (externe, interne, application web, API, sans-fil, ingénierie sociale) est un choix distinct du niveau de connaissance.
- Adaptez le test à ce que vous protégez, à vos besoins de conformité et à votre budget.
- Un bon test suit PTES/OWASP et livre des résultats priorisés et exploitables, pas seulement un rapport de scanner.
Obtenez le test adapté à vos besoins
Choisir le périmètre et le niveau de connaissance est plus simple avec un avis d’expert. Le service de test d’intrusion suit les méthodologies PTES et OWASP sur les applications web, les API et le périmètre réseau, avec des exploits de preuve de concept et une feuille de route de remédiation priorisée. Si vous commandez votre premier test, le guide sur ce qu’il faut attendre d’un test d’intrusion au Royaume-Uni parcourt le processus, le calendrier et les coûts.
Foire aux questions (FAQ)
Quelle est la différence entre les tests d’intrusion black box, white box et grey box ? C’est la quantité d’informations que le testeur connaît à l’avance. Black box signifie peu ou pas d’informations préalables (comme un attaquant externe), white box signifie un accès complet au code et à la configuration (rigueur maximale), et grey box signifie des informations partielles comme un identifiant utilisateur (un juste milieu pragmatique).
Quel type de test d’intrusion me faut-il ? Pour la plupart des applications, un test grey box d’application web et d’API offre le meilleur équilibre entre réalisme, couverture et coût. Pour l’exposition externe, un test du réseau externe ; pour le risque interne, un test interne. La bonne réponse dépend de ce que vous protégez et de vos exigences de conformité.
Le test grey box est-il meilleur que le black box ? Pas universellement, mais c’est le choix par défaut le plus courant car il utilise efficacement le temps de test tout en exerçant des chemins d’attaque réalistes comme l’élévation de privilèges. Le black box est plus réaliste pour la pure exposition externe ; le white box est plus complet dans l’ensemble.
Quelle est la différence entre les tests d’intrusion externes et internes ? Les tests externes ciblent votre périmètre exposé sur Internet comme le ferait un attaquant extérieur. Les tests internes simulent un attaquant déjà présent dans le réseau, en se concentrant sur le déplacement latéral et jusqu’où un point d’appui pourrait se propager.
Un test d’intrusion suit-il une méthodologie standard ? Il le devrait. Les tests professionnels suivent des standards reconnus comme le Penetration Testing Execution Standard (PTES) et OWASP, qui garantissent une couverture cohérente et reproductible plutôt qu’un scan ad hoc, et produisent des résultats priorisés et exploitables.
Commentaires