Test d'intrusion.

Un test d'intrusion est une simulation d'attaque autorisée et délimitée, visant à identifier les failles exploitables avant que de véritables attaquants ne le fassent. Black box / grey box / white box, interne / externe, applicatif / infrastructure. À distinguer du scan de vulnérabilités (automatisé, large couverture) et du red team (plusieurs mois, orienté objectifs). Les rapports alimentent le backlog de remédiation.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

Un test d'intrusion est une simulation d'attaque autorisée et délimitée, visant à identifier les failles exploitables avant que de véritables attaquants ne le fassent. Black box / grey box / white box, interne / externe, applicatif / infrastructure. À distinguer du scan de vulnérabilités (automatisé, large couverture) et du red team (plusieurs mois, orienté objectifs). Les rapports alimentent le backlog de remédiation.

Ce qu'est réellement un test d'intrusion

Un test d'intrusion est une tentative délibérée et autorisée de s'introduire dans un système comme le ferait un véritable attaquant, menée dans le cadre d'un périmètre écrit et de règles d'engagement. L'objectif n'est pas de dresser une liste de faiblesses théoriques, mais de prouver lesquelles peuvent réellement être enchaînées pour atteindre une cible qui compte : une base de données, un compte administrateur, une fiche client, un flux de paiement. Le testeur suit le même chemin qu'un intrus, mais avec une permission et une limite définie, afin que l'organisation découvre où elle céderait avant qu'un acteur hostile ne le fasse. C'est l'autorisation qui distingue un test d'intrusion d'un délit ; sans périmètre signé, les mêmes actions ne sont qu'une intrusion.

Les missions sont cadrées selon quelques axes que le périmètre doit fixer en amont. Le niveau de connaissance va de la boîte noire, où le testeur ne dispose au départ que d'un nom ou d'une plage d'adresses IP, à la boîte blanche, où il reçoit le code source, les schémas d'architecture et des identifiants complets, en passant par la boîte grise, où il obtient un compte à faibles privilèges ou une documentation partielle.

Le point de vue est soit externe, simulant un attaquant sur Internet, soit interne, simulant quelqu'un déjà présent dans le réseau ou un initié malveillant. Le type de cible distingue le test applicatif, qui sonde une application web ou mobile et sa logique, du test d'infrastructure, qui s'attaque aux hôtes, aux services et à la configuration réseau. La plupart des programmes réels combinent ces approches pour coller aux menaces qui les préoccupent vraiment.

En quoi il diffère d'un scan et d'une équipe rouge

La confusion la plus fréquente oppose le test d'intrusion au scan de vulnérabilités, et les deux ne sont pas la même chose. Un scan de vulnérabilités est automatisé et optimisé pour la largeur : un outil balaie chaque actif accessible, compare ce qu'il trouve à une base d'anomalies connues et produit une longue liste. Il est rapide, reproductible et peu coûteux, mais il ne peut pas vous dire si un résultat donné est réellement exploitable dans votre environnement ou s'il s'agit d'un faux positif.

Un test d'intrusion est mené par un humain et optimisé pour la profondeur : le testeur valide les résultats en les exploitant réellement, enchaîne plusieurs anomalies de moindre gravité en une compromission réelle, et teste la logique métier et les hypothèses de confiance qu'aucun scanner ne comprend. Le scan vous dit ce qui pourrait clocher ; le test d'intrusion vous dit ce qu'un attaquant pourrait réellement en faire.

À l'autre extrémité se trouve l'équipe rouge, elle aussi souvent confondue avec le test d'intrusion. Une mission d'équipe rouge est plus longue, s'étalant souvent sur plusieurs mois, et elle est orientée objectif plutôt que couverture : le but est d'atteindre un résultat précis, comme exfiltrer un jeu de données défini ou atteindre un système particulier, tout en restant indétecté et en vérifiant si les défenseurs s'en aperçoivent et réagissent. Un test d'intrusion vise la couverture au sein d'un périmètre et est généralement connu des équipes concernées ; une équipe rouge vise un unique objectif en profondeur et teste délibérément la détection et la réponse autant que les contrôles eux-mêmes.

Le test d'intrusion comparé à un scan de vulnérabilités et à une équipe rouge
DimensionScan de vulnérabilitésTest d'intrusionÉquipe rouge
MéthodeOutillage automatiséMené par un humain, pratiqueMené par un humain, émulation d'adversaire
ObjectifLargeur : lister les anomalies connuesProfondeur : prouver l'exploitabilité dans le périmètreBut : atteindre une cible définie
ValidationAucune exploitationRésultats exploités et enchaînésChaîne d'attaque complète jusqu'à l'objectif
Détection testéeNonGénéralement nonOui, teste directement les défenseurs
Durée typiqueMinutes à heuresJours à semainesSemaines à mois

Sa place dans un programme de sécurité

Un test d'intrusion est un contrôle ponctuel, pas un contrôle en soi. Sa véritable valeur se réalise après la mission, lorsque le rapport alimente la file de remédiation. Un bon rapport fait plus que lister des résultats : il les classe par exploitabilité et par impact métier, fournit des preuves reproductibles et recommande des correctifs. Ces résultats deviennent des tickets, des responsables et des échéances au sein du processus plus large de gestion des vulnérabilités, et un nouveau test confirme que les correctifs ont réellement comblé les failles plutôt que de les déplacer. Sans ce suivi, un test n'est qu'un document coûteux.

Le test d'intrusion apparaît aussi explicitement dans les normes et la réglementation. Un système de management de la sécurité de l'information aligné sur ISO/IEC 27001 considère les tests techniques comme un moyen de vérifier que les contrôles fonctionnent en pratique, et les cadres relatifs au paiement, aux infrastructures critiques et aux services financiers attendent de plus en plus des tests réguliers et cadrés des systèmes exposés à Internet et critiques.

ENISA et des agences nationales comme l'ANSSI publient des recommandations sur la manière de commander des tests de façon responsable, et le savoir-faire offensif est formalisé dans des certifications pour hackers éthiques. Ce que les praticiens livrent réellement est un rythme récurrent : cadrer la mission, convenir des règles d'engagement et d'une autorisation écrite, tester, rapporter, remédier, retester, et recommencer à mesure que l'environnement évolue.

Frequently asked questions

01Quelle est la différence entre un test d'intrusion et un scan de vulnérabilités ?

Un scan de vulnérabilités est automatisé et conçu pour la largeur : il balaie les actifs et liste rapidement les anomalies connues, mais ne peut pas confirmer si elles sont véritablement exploitables. Un test d'intrusion est mené par un humain et conçu pour la profondeur : le testeur exploite et enchaîne réellement les résultats pour prouver ce qu'un attaquant pourrait faire. Le scan, c'est ce qui pourrait clocher ; le test, c'est ce qui pourrait réellement arriver.

02Que signifient boîte noire, boîte grise et boîte blanche ?

Ils décrivent ce que le testeur sait au départ. La boîte noire ne lui donne presque rien, simulant un attaquant extérieur. La boîte grise donne un accès partiel, comme un compte à faibles privilèges. La boîte blanche donne un accès complet, y compris le code source et les identifiants, ce qui permet de trouver davantage dans le même laps de temps.

03Un test d'intrusion est-il la même chose qu'une mission d'équipe rouge ?

Non. Un test d'intrusion recherche la couverture au sein d'un périmètre défini et est généralement connu des équipes concernées. Une équipe rouge est plus longue et orientée objectif, visant à atteindre une cible précise tout en restant cachée, et elle teste explicitement si les défenseurs détectent et réagissent.

04À quelle fréquence une organisation doit-elle réaliser un test d'intrusion ?

Le test est ponctuel, il doit donc se répéter à une cadence régulière et également après un changement important, comme une version majeure, un nouveau service exposé à Internet ou une migration d'infrastructure. De nombreux cadres de conformité attendent au moins un test annuel des systèmes critiques et exposés à Internet, avec un nouveau test une fois les résultats remédiés.

05Qu'est-ce qui rend un test d'intrusion légal ?

Une autorisation écrite et un périmètre convenu. Les mêmes techniques réalisées sans permission constituent une intrusion. Une mission en bonne et due forme est encadrée par des règles d'engagement signées qui définissent les cibles, les méthodes autorisées, le calendrier et les points de contact.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.