Ce test, appelé également test de pénétration ou Pentest consiste à attaquer un système comme un hacker le ferait. Parmi les différentes approches de Pentest, il existe les tests en Black Box

Pentest
Pentest

Pour évaluer la sécurité d’un système d’information, une approche très pragmatique consiste à reproduire une cyberattaque de la façon la plus réaliste possible. Un auditeur sécurité peut-il se mettre vraiment dans la peau d’un « bad guy » ? Est-il possible de ne pas biaiser les tests en évitant de communiquer des informations au préalable ?

Black Box Pentest

C’est effectivement possible avec un audit de sécurité « 100 % Black Box ». Dans ce cas de figure, le pentester démarre l’audit en ayant pour seule information le nom de l’entreprise. À lui de découvrir quel est le périmètre exposé à des attaques, puis de conduire des attaques en essayant de maximiser l’impact des tests dans le temps qui lui a été imparti.

Les avantages pour l’entreprise qui commandite ce type d’audit black box sont :

    Pas besoin de transmettre la moindre information sur son SI à l’entreprise chargée de conduire l’audit de sécurité.

    Le pentest black box apporte de vraies réponses à la question « mon SI est-il sécurisé ? » puisque les conditions de tests sont au plus proches du réel (simulation d’attaque externe).

    Comme l’entreprise cliente ne définit pas le scope du pentest black box, cela permet d’éviter de concentrer les tests uniquement sur ce que le client perçoit comme potentiellement vulnérable (et donc on évite le risque de ne pas tester certains pans simplement parce que le client les perçoit comme sécurisés, ou a oublié qu’il s’agissait de portes d’entrée exposées à des attaques externes).

    L’audit black box est simple et rapide à mettre en place, sous réserve de signer les autorisations nécessaires et d’assurer une communication en cas d’urgence.

    Les équipes de l’entreprise cliente ne sont pas informées qu’un pentest black box aura lieu, ce qui permet de constater leur réaction face aux attaques dans des conditions réalistes.

Ce type d’audit de sécurité peut mixer attaques techniques et attaques par ingénierie sociale, afin de tester tous les types de menaces sur le SI. Ainsi, pour le pentester, « tous les coups sont permis ». Ce sera à lui de prioriser les attaques en fonction du contexte qu’il découvre au fur et à mesure de l’audit. Il est possible de définir des objectifs généraux avec le client (par exemple : détourner de l’argent), ou de privilégier les objectifs classiques d’une cyberattaque : détourner de l’argent, obtenir des informations confidentielles, obtenir un accès au SI interne, nuire à l’activité et à l’image de l’entreprise ciblée.

Pour remplir ces objectifs, le pentester suit les étapes décrites ci-dessous, de la même manière que pourrait le faire un attaquant mal intentionné. La principale différence est que le pentester dispose d’un temps délimité (forfait temps défini en amont avec le client) et qu’il sera joignable par le commanditaire de l’audit en cas de détection d’un incident chez le client (pour définir si les attaques détectées sont liées au pentest black box ou à une attaque réelle, et pour interrompre l’audit et conseiller le client en cas de besoin).

Comments are closed.