Black Box, Gray Box, White Box : Quelle approche pour votre test d'intrusion ?
Black Box, Gray Box, White Box : Quelle approche pour votre test d'intrusion ?
Lorsque vous envisagez un test d'intrusion pour votre infrastructure, l'une des premières décisions à prendre concerne le niveau d'information que vous allez transmettre à l'auditeur. Cette décision impacte directement la méthodologie employée, la durée du test et les résultats obtenus.
Il existe trois approches principales : Black Box (boîte noire), Gray Box (boîte grise) et White Box (boîte blanche). Chacune simule un scénario d'attaque différent avec ses propres avantages.
Black Box : Test en boîte noire
Principe
Dans un test Black Box, l'auditeur ne dispose d'aucune information sur le système cible. Il part uniquement avec :
- Le nom de domaine ou l'adresse IP
- Aucun accès privilégié
- Aucune documentation technique
- Aucun compte utilisateur
Cette approche simule l'attaque d'un hacker externe qui tenterait de compromettre votre système sans connaissance préalable.
Méthodologie
- Reconnaissance passive : OSINT, DNS enumeration, recherche d'informations publiques
- Scan et énumération : Identification des services, technologies et points d'entrée
- Analyse des vulnérabilités : Recherche de failles exploitables
- Exploitation : Tentative d'intrusion et de pivot
- Post-exploitation : Élévation de privilèges et maintien d'accès
Quand l'utiliser ?
Le Black Box est idéal pour :
- Les tests d'intrusion externes (Offensight Externe)
- Évaluer la résistance face à une attaque opportuniste
- Tester vos défenses périmètriques
- Simuler un acteur malveillant externe
Gray Box : Test en boîte grise (le meilleur des deux mondes)
Principe
Le Gray Box est un compromis entre Black Box et White Box. L'auditeur reçoit des informations partielles :
- Comptes utilisateurs standards (non privilégiés)
- Documentation limitée
- Connaissance partielle de l'architecture
- Accès à certaines parties du réseau
Cette approche simule un attaquant interne (employé malveillant, fournisseur compromis) ou un hacker ayant déjà obtenu un accès initial.
Méthodologie
- Énumération ciblée : Exploration à partir d'un point d'entrée donné
- Élévation de privilèges : Test des contrôles d'accès internes
- Mouvement latéral : Tentative de pivot vers d'autres systèmes
- Exploitation de la confiance : Test des relations inter-systèmes
- Analyse de configuration : Audit des paramètres accessibles
Quand l'utiliser ?
Le Gray Box est parfait pour :
- Les tests d'intrusion internes (Offensight Interne)
- Simuler un employé malveillant ou compromis
- Tester la segmentation réseau et les mouvements latéraux
- Évaluer les contrôles d'accès et les privilèges
- Audits réguliers avec budget maîtrisé
White Box : Test en boîte blanche
Principe
À l'opposé, un test White Box fournit à l'auditeur un accès complet à toutes les informations :
- Documentation technique complète
- Code source des applications
- Schémas d'architecture réseau
- Identifiants et accès privilégiés
- Configuration des systèmes
Cette approche permet un audit exhaustif et en profondeur de l'ensemble du système.
Méthodologie
- Revue de code : Analyse statique (SAST) et dynamique (DAST)
- Analyse d'architecture : Revue de la conception et de la segmentation
- Configuration review : Audit des paramètres de sécurité
- Tests ciblés : Focus sur les composants critiques
- Validation : Tests des correctifs et des mesures de sécurité
Quand l'utiliser ?
Le White Box est recommandé pour :
- Les tests d'intrusion applicatifs (Offensight Applicatif)
- Audits de code source et revues de sécurité
- Validation avant mise en production
- Tests de conformité (PCI-DSS, ISO 27001)
- Audits de configuration et d'architecture