Journée Portes Ouvertes
Blog
Les différents types de pentest

Les différents types de pentest

Quelles sont les caractéristiques et objectifs de pentest en boites noires, grises et blanches?

4/4/2023
Romain Burel Favicon Oteria Cyber School
Romain Burel
Les différents types de pentest

Lors d'un audit de sécurité, il existe trois types d'approches selon l'objectif de la mission. Le test d'intrusion pourra être réalisé avec plusieurs niveaux d'informations fournies au pentester sur un périmètre plus ou moins large

Black box

C'est le pentest qui se rapproche le plus de la position d'un attaquant

Caractéristiques

  • Le consultant ne dispose d'aucune information sur le système ou l'application à tester
  • Ce sont en général les pentest les plus chers pour le client et les plus longs à réaliser

Objectifs

  • L'objectif central est d'identifier les informations accessibles pour un hacker extérieur à l'organisation ou à l'entreprise
  • Le pentest reproduit donc la situation d'un user non-privilégié, c'est en quelque sorte le scénario le plus authentique

Grey Box

Caractéristiques

  • Le pentester dispose d'informations limitées sur le système ou l'application
  • Il peut par ailleurs bénéficier de quelques accès et identifiants

Objectifs

  • Ces tests sont les plus courants et sont utilisés pour déterminer les dommages que pourrait causer un utilisateur privilégier et le niveau de sécurité en interne
  • En grey box, il est possible de simuler une attaque interne sur le système d'information

White Box

Ici, le pentester est en position d'administrateur et dispose de l'ensemble des accès au système d'information

Caractéristiques

  • Le pentester est en position d'admin et dispose de toutes les informations d'accès au système d'informations
  • Cela permet en général d'accélérer le pentest et de réduire le coût pour le client

Objectifs

  • Ceci permet d'être quasi-exhaustif sur les vulnérabilités et d'être efficace