Le Pentest peut être réalisé sous différents modes : Black Box, White Box ou Grey Box. Chacun de ces scénarios possède des caractéristiques bien distinctes, qui influencent la méthode d’analyse, la portée de l’évaluation, la précision des résultats obtenus et la finalité stratégique du test.
Le Pentest Black Box
Le test d’intrusion en Black Box représente la forme la plus réaliste d’une attaque extérieure. Dans ce scénario, le pentester ne dispose d’aucune connaissance préalable sur l’environnement ciblé. Il est placé dans la même situation qu’un cybercriminel tentant de compromettre un système à partir d’une position totalement extérieure, sans identifiants, sans documentation technique, ni schéma d’architecture.
Le test commence donc par une phase de reconnaissance longue et minutieuse, durant laquelle l’auditeur collecte toutes les informations accessibles publiquement via des techniques de reconnaissance passive et active, également appelé OSINT, comme l’énumération de noms de domaine, le scan de ports, ou encore la recherche de fuites de données exposées sur Internet. L’objectif de ce mode est d’évaluer la surface d’attaque externe, c’est-à-dire l’ensemble des vecteurs exploitables depuis l’extérieur, souvent accessibles via des services ouverts sur Internet. Il s’applique particulièrement aux sites web publics, aux API exposées, aux services de messagerie ou aux systèmes de télémaintenance.
Le test en Black Box permet de mesurer l’efficacité des protections périmétriques, comme les pare-feux, les mécanismes d’authentification, la détection des comportements anormaux ou la robustesse des interfaces face aux injections SQL, XSS ou autres vulnérabilités connues. Cependant, cette approche a pour limite de ne pas permettre l’exploration des couches internes du système, ni l’identification des failles structurelles complexes qui nécessitent une compréhension approfondie de l’architecture. Elle reste néanmoins précieuse pour estimer le niveau de sécurité ressenti depuis l’extérieur.
Le Pentest White Box
À l’opposé du test en boîte noire, le Pentest White Box repose sur une transparence totale entre l’organisation cliente et l’auditeur. Ce dernier reçoit un ensemble d’informations détaillées sur le système à auditer : codes sources, schémas réseau, identifiants techniques, configurations des serveurs, politiques de sécurité, journaux d’événements, voire un accès aux environnements de préproduction.
L’approche White Box permet d’analyser en profondeur la structure de l’application ou de l’infrastructure cible, dans une logique d’audit complet de conformité et de résilience. Le testeur peut ainsi examiner la qualité du code, rechercher les failles de logique métier, vérifier l’implémentation des contrôles d’accès ou identifier des configurations inadéquates susceptibles de créer des vecteurs d’attaque.
Cette méthode est souvent privilégiée dans un cadre de revue de sécurité logicielle, pour s’assurer que les bonnes pratiques de développement sécurisé sont respectées, ou pour valider la posture de sécurité d’un système complexe en amont de sa mise en production. Le principal avantage du Pentest White Box est sa capacité à couvrir un périmètre étendu et à détecter des vulnérabilités difficilement accessibles en boîte noire, comme des élévations de privilèges internes ou des erreurs de conception.
En revanche, cette approche suppose un haut degré de collaboration entre les équipes techniques de l’organisation et l’auditeur, et elle ne reflète pas nécessairement les conditions d’une attaque réelle menée par un acteur externe sans information préalable.
Le Pentest Grey Box
Entre les deux extrêmes que sont la boîte noire et la boîte blanche, le Pentest Grey Box propose une solution intermédiaire, où l’auditeur reçoit un niveau limité d’informations sur le système ciblé. Il peut s’agir d’un accès utilisateur sans privilège administrateur, d’une documentation partielle, ou encore de comptes clients simulés pour accéder à certaines interfaces.
Cette configuration correspond à la posture d’un attaquant ayant déjà obtenu un pied dans le système, comme un employé malveillant, un partenaire externe disposant d’un accès distant ou un pirate ayant compromis un compte de faible niveau. L’approche Grey Box permet de simuler des scénarios réalistes d’attaques internes, tout en limitant le champ d’investigation à ce qu’un attaquant authentifié pourrait exploiter. Elle offre un bon équilibre entre la représentativité d’une menace plausible et la possibilité d’explorer des zones techniques sensibles, comme les flux entre services, les défauts de segmentation réseau ou les mécanismes de validation d’accès.
Le test en Grey Box est souvent privilégié dans les organisations souhaitant évaluer la résistance de leurs mécanismes de défense en profondeur, sans exposer l’intégralité de leur environnement à un auditeur externe. Il permet également de tester la réactivité des systèmes de détection face à des actions initiées depuis un accès légitime mais mal utilisé, tout en garantissant une certaine économie de temps et de ressources par rapport à une analyse complète en White Box.