Lors d'un audit de sécurité, il existe trois types d'approches selon l'objectif de la mission. Le test d'intrusion pourra être réalisé avec plusieurs niveaux d'informations fournies au pentester sur un périmètre plus ou moins large
Black box
C'est le pentest qui se rapproche le plus de la position d'un attaquant
Caractéristiques
- Le consultant ne dispose d'aucune information sur le système ou l'application à tester
- Ce sont en général les pentest les plus chers pour le client et les plus longs à réaliser
Objectifs
- L'objectif central est d'identifier les informations accessibles pour un hacker extérieur à l'organisation ou à l'entreprise
- Le pentest reproduit donc la situation d'un user non-privilégié, c'est en quelque sorte le scénario le plus authentique
Grey Box
Caractéristiques
- Le pentester dispose d'informations limitées sur le système ou l'application
- Il peut par ailleurs bénéficier de quelques accès et identifiants
Objectifs
- Ces tests sont les plus courants et sont utilisés pour déterminer les dommages que pourrait causer un utilisateur privilégier et le niveau de sécurité en interne
- En grey box, il est possible de simuler une attaque interne sur le système d'information
White Box
Ici, le pentester est en position d'administrateur et dispose de l'ensemble des accès au système d'information
Caractéristiques
- Le pentester est en position d'admin et dispose de toutes les informations d'accès au système d'informations
- Cela permet en général d'accélérer le pentest et de réduire le coût pour le client
Objectifs
- Ceci permet d'être quasi-exhaustif sur les vulnérabilités et d'être efficace