Besoin d'aide ? Appelez-nous :
+33 (0)3.74.09.61.00

Pourquoi réaliser un pentest ?

Le pentest (ou test d’intrusion) : un complément à vous outils de sécurité.

Les cyber-attaques se font de plus en plus menaçantes pour les entreprises ou collectivités.
Votre entreprise ou votre collectivité dispose de données sensibles. Elle est très probablement raccordée à internet et utilise des services de messagerie, de partage de fichiers, de communication unifiée, de marketing etc.

Préconisé ou exigé par un certain nombre de méthodologies et de réglementations, le “pentest” ou test d’intrusion a pour objectif d’analyser l’infrastructure informatique et simuler l’attaque d’un utilisateur mal intentionné ou d’un logiciel malveillant.

Interne ou externe ?

L’objectif d’un pentest est d’évaluer le niveau de sécurité d’une infrastructure, d’un service web ou encore d’un site e-commerce. Pour cela, l’auditeur (ou communément appelé pentester ou ethical hacker), va tester la cible en simulant des attaques réelles.

Ce type d’audit peut être réalisé sur des cibles externes de l’entreprise (sites web accessibles sur internet, API publiques …). Le pentester réalise ses tests à distance, depuis une simple connexion internet. Il simulera des attaques d’acteurs malveillants, de manière anonyme.

Il peut être aussi réalisé en interne, depuis les locaux de l’entreprise. Dans ce contexte, le pentester simulera des actions malveillantes depuis l’intérieur de l’entreprise. Le but est de mesurer le risque de compromission par un collaborateur, un partenaire ou un prestataire de l’entreprise.

Black box, Grey box …

Une fois le périmètre déterminé, il convient de choisir quel type de pentest va être réalise.

Une approche “Black Box” ou “boîte noire” consiste à évaluer le niveau de sécurité de la cible en ne disposant d’aucune information. Dans un tel contexte, l’auditeur se positionne comme n’importe quel acteur malveillant. Ce type d’approche nécessite de la méthodologie et du temps pour explorer la cible.

La spécificité de cette approche est qu’elle n’est pas orientée. Et de ce fait, la surface d’attaque est large. N’importe quel équipement ou application accessible depuis internet sera audité.

Une approche “Gray box” ou “boîte grise” permet d’optimiser le temps et la surface d’attaque. Le pentester reçoit une quantité limitée d’information permettant de cadrer le périmètre. Ainsi le pentester se concentrera sur ce périmètre.

Cependant, que le test d’intrusion soit en approche “Black box” ou “Grey box”, la communication entre l’entreprise et l’auditeur est un élément clé. Il sera nécessaire de recadrer le périmètre, de gérer les incidents, etc. afin que le résultat soit le plus pertinent et le plus riche pour le client.

Qu’il s’agisse de faire un état des lieux ou bien d’une étape de la livraison de nouveaux produits, le pentest (ou test d’intrusion) est nécessaire à l’évaluation de votre niveau de sécurité. Il vient compléter votre dispositif de cybersécurité.

Une évolution logique : la red team et la blue team

Les tests d’intrusion sont généralement limités dans le temps. La mise en place d’une red team consiste à dédier une équipe à la recherche de vulnérabilités. Nous sommes dans une approche offensive. Elle teste les dispositifs et évolutions mises en œuvre par la blue team. Vous l’aurez donc compris, la blue team est dans une démarche défensive.


Vous souhaitez en savoir plus sur notre activité Ethical Hacking ?

Contactez-nous !





Les informations recueillies font l’objet d’un traitement informatique destiné à répondre à vos interrogations. Les destinataires de ces données sont les services Marketing-communication et Commercial. Conformément à la réglementation en vigueur, vous disposez d’un droit d’accès, de rectification, de suppression, de portabilité et d’opposition sur vos données personnelles. Vous avez également le droit de retirer votre consentement à tout moment. Vous pouvez exercer ce droit en vous adressant par courrier à :

Allistic
Service Marketing-Communication
EuraTechnologies
165 avenue de Bretagne
59000 Lille
E-mail : marketing@allistic.fr