La checklist du Pentester
Vous trouverez ci-après la checklist global qu’un pentester peut suivre afin de mener à bien son test d’intrusion sans rien oublier.
Par ailleurs, il doit avoir une méthodologie en 7 étapes :
1.Phase de « pré-engagement »
2.Phase de « Intelligence Gathering » ou « Information Gathering »
3.Phase de « Threat Modeling »
4.Phase d’analyse des vulnérabilités
5.Phase d’exploitation
6.Phase de post-exploitation
7.Phase de reporting
Il existe deux types de pentests :
Black Box : le pentesteur (ou pentester, c’est comme on veut, l’anglicisme ne doit pas exister mais bon…) n’a quasiment pas d’information sur sa cible. Il s’apparente donc à un attaquant qui doit découvrir par lui même l’architecture du SI et comment y accéder.
White Box : le pentesteur, travaille en collaboration avec le responsable de la sécurité du système d’information (RSSI). Il est alors possible de commencer l’intrusion à différent niveaux (par rapport au mode Black Box où on peut rester bloqué à une étape sans tester les autres).
On peut également trouver la terminologie “Grey Box”, mode dans lequel le pentesteur possède initialement quelques informations sur la cible. Par exemple, il peut avoir accès à un compte utilisateur, un accès physique… Cela correspond à ce qu’un utilisateur peut faire comme conneries.
Pour en savoir plus : “Red Team” est un test d’intrusion sur une longue période, qui correspond à une attaque d’un groupe de pirates prenant son temps pour étudier la cible.