Quels sont les différents types de méthodologie de test de pénétration?
Il existe essentiellement deux types principaux de méthodologie de test d'intrusion - la norme interne et la norme industrielle - bien que parmi celles-ci se trouvent un nombre presque illimité de variantes. Une méthodologie interne est une méthodologie développée par une entreprise, généralement celle qui effectue le test, à l'intention de ses employés. Les méthodologies standard de l'industrie, en revanche, sont celles développées par les principales organisations de sécurité pour être utilisées par d'autres sociétés dans le but de créer une méthodologie standard universellement reconnue et approuvée. Les deux types de méthodologie de test de pénétration peuvent être efficaces, et la meilleure méthode pour un test de pénétration donné dépend généralement beaucoup de la personne qui effectue le test.
Une méthodologie de test d'intrusion est une série de règles ou de directives utilisées pour effectuer des tests d'intrusion sur un système informatique ou un réseau. Ce type de test est généralement effectué pour déterminer les faiblesses éventuelles d’un système pouvant être utilisées par les pirates pour lancer une attaque sur ce système. Une fois cette analyse initiale terminée, le testeur lance généralement une attaque simulée contre le système pour déterminer la vulnérabilité de ces faiblesses. Une méthodologie de test d'intrusion est souvent utilisée pour déterminer la manière dont cette séquence d'évaluation et de test doit être effectuée et pour fournir aux testeurs des lignes directrices pour la documentation de la procédure.
Une des méthodes de test de pénétration les plus courantes est une méthodologie interne. Il s'agit d'un document créé par une entreprise à l'intention de ses employés lorsqu'ils effectuent des tests d'intrusion sur un système. Une méthodologie de test d'intrusion interne peut être préparée par une entreprise qui a engagé quelqu'un pour effectuer des tests sur son système ou par une entreprise qui loue ses services à d'autres entreprises pour les tester. Ce type de méthodologie peut être préféré par certains testeurs, car il garantit que toute plainte du client concernant le test peut être contestée à l'aide de la méthodologie fournie par le client pour le testeur.
D'autre part, une méthodologie de test d'intrusion standard de l'industrie est un document créé par une entreprise de sécurité informatique à l'intention d'autres testeurs. Ce type de méthodologie est généralement destiné à être utilisé par des testeurs non employés par l'entreprise qui l'a créée. L'un des avantages de ce type de méthodologie est que les testeurs peuvent plus facilement indiquer une méthode unique et unifiée grâce à laquelle ils peuvent apprendre et démontrer leurs compétences. Les défauts d'une méthodologie de test de pénétration standard de l'industrie, cependant, sont que les entreprises peuvent ne pas aimer toutes les méthodes qui y sont configurées, et il peut être difficile de déterminer quelle méthode agit réellement comme une norme de l'industrie.