Les tests d’intrusion peuvent être externes (depuis Internet) ou internes (connecté au réseau de l’entreprise) et ont pour but de simuler les actions d’un attaquant sur Internet ou d’une personne ayant accès au réseau interne de l’entreprise (stagiaire, prestataire). En fonction de l’objectif précis de la prestation, ces tests peuvent être réalisés :
- En « Boîte noire », c’est-à-dire sans information sur le système testé. Ces tests simulent les attaques d’un pirate informatique sur Internet.
- En « Boîte blanche », c’est-à-dire en ayant connaissance de l’ensemble des éléments d’architecture du système testé. Ces tests permettent de donner un avis plus pertinent sur le niveau des protections.
- Avec ou sans compte utilisateur, permettant ainsi de mesurer la capacité du système à résister à un attaquant ne disposant d’aucune information d’authentification ou au contraire, ayant un accès, légitime ou non.
En fonction des objectifs de la mission, ces tests peuvent porter uniquement sur l’infrastructure réseau et le système d’exploitation, uniquement sur l’application ou porter sur l’ensemble du système d’information (réseau et applicatif). Par exemple, les audits applicatifs peuvent être réalisés préalablement à la mise en production du service ou dans le cadre de campagnes régulières. Quelle que soit l’approche retenue, en raison des contraintes juridiques et des impacts possibles sur le système d’information, ces tests sont réalisés en collaboration avec le client.
Ces tests aboutissent à la rédaction d’une synthèse managériale, d’un rapport d’audit présentant les résultats des tests réalisés, les vulnérabilités identifiées et les actionshiérarchisées à mettre en place.