Skip to main content

Pen Test - Test d'intrusion

Le test d'intrusion peut être employé pour différentes cibles : 

  • Une adresse IP
  • Une application
  • Un serveur Web
  • Un réseau complet

Les objectifs d'un test d'intrusion sont :

  • Identifier les vulnérabilités de son système d'information ou de son application 
  • Évaluer le degré de risque de chaque faille identifiée
  • Proposer des correctifs de manière priorisée

Le test d'intrusion permet donc de qualifier : 

  • La sévérité de la vulnérabilité

  • La complexité de la correction

  • L'ordre de priorité qu’il faut donner aux corrections

Quand faire un test d'intrusion  :

  • Durant la conception du projet

  • Pendant la phase d'utilisation du composant ou du réseau (à intervalle régulier)
  • Suite à une cyberattaque 

Deux type de test : 

  • Interne
    • Test d'intrusion depuis le réseau local
  • Externe 
    • Test d'intrusion depuis internet

Il existe trois types de test : 

  • Le test en boite noir 
    • Le testeur n'as aucune information sur le réseau au début du test, il ne connait pas non-plus de mots de passes ou d'identifiants. Il va donc rechercher des informations sur l'entreprise en général pour l'aider à trouver des vulnérabilités.   
  • Le test en boite grise
    • Le testeur dispose uniquement d'un couple identifiant/mot de passe que l'entreprise cible lui a fourni avant de démarrer la phase de test. 
    • L'objectif de ce test c'est de se mettre dans la peau d'un utilisateur "normal" au sein de l'entreprise cible.
  • Le test en boite blanche
    • Le testeur dispose de nombreuses informations comme des schémas d'infrastructure, le code source de l'application. La recherche de faille est donc très approfondie et très compète.