Appelé aussi test d’intrusion (pour Penetration testing), c’est une cyberattaque simulée pour évaluer la sécurité d’un système d’information en pénétrant le réseau, le site internet, l’application ou l’objet connecté testé.
Ainsi, lors d’un pentest, le pentester devient un faux cybercriminel qui cherche des vulnérabilités à exploiter en vue de proposer des recommandations à l’organisation afin qu’elle améliore sa cybersécurité.
2 standards méthodologiques existent :
- Celui de l’OWASP (Open Worldwide Application Security Project)
- Le PTES (Penetration Testing Execution Standard)
Ils ne sont pas réellement utilisés mais les étapes de pentesting restent globalement similaires.
Il existe 3 niveaux de pentesting :
- Boîte noire (black box) : le pentester n’a aucune information
- Boîte grise (grey box) : le pentester a des informations partielles
- Boîte blanche (white box) : le pentester a des informations complètes
Pentest vs audit de sécurité
Le pentest est une des façons de faire un audit de sécurité. Il existe d’autres manières de faire des tests.