Un test de pénétration est un type d'évaluation de la sécurité effectué sur un système informatique dans lequel la personne effectuant l'évaluation tente de pirater le système.L'objectif du test est de déterminer si une personne ayant une intention malveillante peut entrer dans le système et à quoi il peut accéder une fois le système pénétré.Les tests de pénétration sont offerts par un certain nombre d'entreprises qui se spécialisent dans la sécurité des systèmes informatiques, et ils sont souvent fortement recommandés pour les systèmes et les entreprises de toutes tailles, car les dommages à un système informatique causé par une attaque hostile peuvent être coûteux et embarrassants.

Il existe un certain nombre d'approches différentes du test de pénétration.Dans une approche de boîte noire, aucune information sur le système n'est fournie à la personne effectuant le test.Il ou elle part du sol pour rechercher des exploits potentiels et pénétrer dans le système.Dans un test de boîte blanche, toutes les informations sont fournies, permettant au testeur de simuler un travail intérieur ou une fuite d'informations.Certaines entreprises choisissent une approche hybride, dans laquelle certaines informations sont fournies et d'autres informations doivent être recherchées.

Au cours d'un test de pénétration, l'expert en sécurité peut simuler la suppression ou la modification des données, le vol de fichiers, l'insertion de malveillantsCode et une variété d'autres activités.Le test de pénétration peut ralentir le système, ce qui rend le moment du test important;Les entreprises veulent éviter d'interférer avec leurs propres opérations lorsqu'elles effectuent des évaluations de la sécurité.

Les personnes qui effectuent des tests de pénétration ont une grande bibliothèque de compétences informatiques, et certains ont une histoire en tant que pirates qui les ont familiarisés avec les nombreuses façons dont l'ordinateurLes systèmes peuvent être exploités.L'embauche de pirates qualifiés en tant que consultants en sécurité peut en fait être une décision commerciale très avisée pour une entreprise qui se spécialise dans la sécurité des ordinateurs et des réseaux, car les pirates ont souvent les connaissances et les informations les plus récentes, et ils sont utilisés pour approcher des systèmes informatiques à partir du rôle deQuelqu'un atteint de méchanceté, plutôt que le rôle d'un expert en sécurité concerné.

Pour des tests simples, il est possible d'utiliser un système automatisé pour effectuer un test de pénétration.Cela réduit les dépenses et permet aux entreprises de tenir facilement des tests aléatoires lorsqu'ils pensent qu'il pourrait y avoir un besoin.Les tests manuels sont plus approfondis et longs, mais il peut donner des résultats plus complets.Un humain créatif et déterminé peut détecter des exploits potentiels qu'un programme automatisé peut manquer.

Une fois un test de pénétration conclu, les résultats sont écrits et présentés au client.Parallèlement aux résultats, une liste de recommandations est générée, la société de sécurité indiquant les zones dans lesquelles la sécurité pourrait être améliorée et faire des suggestions d'amélioration.