Black Box, Gray Box, White Box : Quelle approche pour votre test d'intrusion ?
Black Box, Gray Box, White Box : Quelle approche pour votre test d'intrusion ?
Lorsque vous envisagez un test d'intrusion pour votre infrastructure, l'une des premières décisions à prendre concerne le niveau d'information que vous allez transmettre à l'auditeur. Cette décision impacte directement la méthodologie employée, la durée du test et les résultats obtenus.
Il existe trois approches principales : Black Box (boîte noire), Gray Box (boîte grise) et White Box (boîte blanche). Chacune simule un scénario d'attaque différent avec ses propres avantages.
Black Box : Test en boîte noire
Principe
Dans un test Black Box, l'auditeur ne dispose d'aucune information sur le système cible. Il part uniquement avec :
Le nom de domaine ou l'adresse IP
Aucun accès privilégié
Aucune documentation technique
Aucun compte utilisateur
Cette approche simule l'attaque d'un hacker externe qui tenterait de compromettre votre système sans connaissance préalable.
Méthodologie
Reconnaissance passive : OSINT, DNS enumeration, recherche d'informations publiques
Scan et énumération : Identification des services, technologies et points d'entrée
Analyse des vulnérabilités : Recherche de failles exploitables
Exploitation : Tentative d'intrusion et de pivot
Post-exploitation : Élévation de privilèges et maintien d'accès
Quand l'utiliser ?
Le Black Box est idéal pour :
Les tests d'intrusion externes (Offensight Externe)
Évaluer la résistance face à une attaque opportuniste
Tester vos défenses périmètriques
Simuler un acteur malveillant externe
Gray Box : Test en boîte grise (le meilleur des deux mondes)
Principe
Le Gray Box est un compromis entre Black Box et White Box. L'auditeur reçoit des informations partielles :
Comptes utilisateurs standards (non privilégiés)
Documentation limitée
Connaissance partielle de l'architecture
Accès à certaines parties du réseau
Cette approche simule un attaquant interne (employé malveillant, fournisseur compromis) ou un hacker ayant déjà obtenu un accès initial.
Méthodologie
Énumération ciblée : Exploration à partir d'un point d'entrée donné
Élévation de privilèges : Test des contrôles d'accès internes
Mouvement latéral : Tentative de pivot vers d'autres systèmes
Exploitation de la confiance : Test des relations inter-systèmes
Analyse de configuration : Audit des paramètres accessibles
Quand l'utiliser ?
Le Gray Box est parfait pour :
Les tests d'intrusion internes (Offensight Interne)
Simuler un employé malveillant ou compromis
Tester la segmentation réseau et les mouvements latéraux
Évaluer les contrôles d'accès et les privilèges
Audits réguliers avec budget maîtrisé
White Box : Test en boîte blanche
Principe
À l'opposé, un test White Box fournit à l'auditeur un accès complet à toutes les informations :
Documentation technique complète
Code source des applications
Schémas d'architecture réseau
Identifiants et accès privilégiés
Configuration des systèmes
Cette approche permet un audit exhaustif et en profondeur de l'ensemble du système.
Méthodologie
Revue de code : Analyse statique (SAST) et dynamique (DAST)
Analyse d'architecture : Revue de la conception et de la segmentation
Configuration review : Audit des paramètres de sécurité
Tests ciblés : Focus sur les composants critiques
Validation : Tests des correctifs et des mesures de sécurité
Quand l'utiliser ?
Le White Box est recommandé pour :
Les tests d'intrusion applicatifs (Offensight Applicatif)
Audits de code source et revues de sécurité
Validation avant mise en production
Tests de conformité (PCI-DSS, ISO 27001)
Audits de configuration et d'architecture