Le test d’intrusion en Grey Box

Le test en grey box consiste à tenter de s’introduire dans le système d’informations en disposant d’un nombre limité d’informations sur l’organisation et son système. Ce cas permet de vérifier les failles d’un système en se positionnant soit en tant que collaborateur de l’entreprise ayant accès en interne à quelques informations, soit en tant que point de départ d’un hacker qui aurait réussi à avoir accès à un compte utilisateur au sein de l’organisation.

Dans quels cas ?

Le pentester dispose des identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.

Avantages

Le pentester ne démarre pas à l’aveugle. En ayant un nombre limité d’informations, il peut plus facilement simuler des attaques et aller au-delà de ce qu’il aurait pu faire en mode Black Box.

Limites

Le pentester dispose des identifiants et mots de passe lui permettant d’aller au-delà de l’étape d’authentification. On utilise cette approche dans le cas d’un site marchand ou d’un site non marchand disposant d’un espace membre ou espace clients.