Aikido
Commencer gratuitement
Sans carte bancaire
RapportsProtection
Pourquoi l'accès au code permet d'obtenir un meilleur retour sur investissement dans le cadre pentest IA

Pourquoi l'accès au code permet d'obtenir un meilleur retour sur investissement dans le cadre pentest IA

Sur plus de 1 000 tests d'intrusion basés sur l'IA, les missions de type « whitebox » ont permis de détecter sept fois plus de vulnérabilités élevées et critiques, pour un coût par vulnérabilité détectée deux fois moins élevé. Les arguments en faveur de l'octroi d'un accès au code ne sont plus seulement théoriques. Ils sont désormais mesurables.

  • Rentabilité. Les tests « whitebox » ont nécessité 15 lancements d'agents par vulnérabilité détectée, contre 31 pour les tests « greybox » : un écart de coût de 2 pour 1 qui s'amplifie à l'échelle de l'ensemble du programme de sécurité.

  • Ampleur des découvertes. Les tests en boîte blanche ont permis de mettre au jour sept fois plus de vulnérabilités graves et critiques, notamment contrôle d’accès défaillant, des failles dans la logique d’authentification et des problèmes de SSRF qui restent invisibles sans le code source.

  • L'asymétrie d'accès. Pour les agents d'IA, l'analyse d'une base de code complète ne prend que quelques secondes. La charge de travail qui faisait du « whitebox » une tâche réservée aux humains n'est plus d'actualité, ce qui fait de l'accès au code l'élément offrant le meilleur retour sur investissement dans le cadre d'un test d'intrusion par l'IA.

Résumé

Les tests « greybox » ne réduisent pas les risques. Ils réduisent la visibilité sur ces risques.

Sans code source, les agents IA sont limités à la surface d’attaque externe. Ils ne peuvent pas analyser la logique d’autorisation interne, les processus d’authentification en plusieurs étapes ou les problèmes d’intégrité des données qui n’apparaissent jamais dans une réponse HTTP.

Ce rapport s'appuie sur les données issues de plus de 1 000 interactions basées sur l'IA sur la Aikido . Il aborde les thèmes suivants :

  • Comparaison côte à côte des indicateurs « whitebox » et « greybox » en termes de nombre total de résultats, de gravité et de coût
  • Les trois catégories de vulnérabilités pour lesquelles l'écart est le plus important sont : contrôle d’accès défaillant couverture 5 fois plus étendue), les failles de logique d'authentification (couverture 3 fois plus étendue) et les failles SSRF et d'intégrité des données (en mode « whitebox » uniquement)
  • Comment les tests en boîte blanche permettent remédiation automatique, de la détection du problème à la demande de modification, réduisant ainsi un cycle de correction de plusieurs semaines à quelques heures

Ce que vous apprendrez

Quand privilégier le test en boîte blanche, quand le test en boîte grise est le choix le plus judicieux, et comment prendre cette décision en fonction des délais d'accès et de l'importance de l'application, et non par simple habitude.

Rédigé par :
Shaun Brown

Shaun est responsable marketing technique Aikido ; il sait présenter des produits de sécurité complexes sous un angle qui intéresse réellement le marché. Son parcours couvre les tests logiciels et la cybersécurité, et s'appuie sur une formation scientifique et une carrière à la pointe de la recherche en sciences de la Terre.

Principales conclusions

  • Rentabilité. Les tests « whitebox » ont nécessité 15 lancements d'agents par vulnérabilité détectée, contre 31 pour les tests « greybox » : un écart de coût de 2 pour 1 qui s'amplifie à l'échelle de l'ensemble du programme de sécurité.

  • Ampleur des découvertes. Les tests en boîte blanche ont permis de mettre au jour sept fois plus de vulnérabilités graves et critiques, notamment contrôle d’accès défaillant, des failles dans la logique d’authentification et des problèmes de SSRF qui restent invisibles sans le code source.

  • L'asymétrie d'accès. Pour les agents d'IA, l'analyse d'une base de code complète ne prend que quelques secondes. La charge de travail qui faisait du « whitebox » une tâche réservée aux humains n'est plus d'actualité, ce qui fait de l'accès au code l'élément offrant le meilleur retour sur investissement dans le cadre d'un test d'intrusion par l'IA.

Résumé

Les tests « greybox » ne réduisent pas les risques. Ils réduisent la visibilité sur ces risques.

Sans code source, les agents IA sont limités à la surface d’attaque externe. Ils ne peuvent pas analyser la logique d’autorisation interne, les processus d’authentification en plusieurs étapes ou les problèmes d’intégrité des données qui n’apparaissent jamais dans une réponse HTTP.

Ce rapport s'appuie sur les données issues de plus de 1 000 interactions basées sur l'IA sur la Aikido . Il aborde les thèmes suivants :

  • Comparaison côte à côte des indicateurs « whitebox » et « greybox » en termes de nombre total de résultats, de gravité et de coût
  • Les trois catégories de vulnérabilités pour lesquelles l'écart est le plus important sont : contrôle d’accès défaillant couverture 5 fois plus étendue), les failles de logique d'authentification (couverture 3 fois plus étendue) et les failles SSRF et d'intégrité des données (en mode « whitebox » uniquement)
  • Comment les tests en boîte blanche permettent remédiation automatique, de la détection du problème à la demande de modification, réduisant ainsi un cycle de correction de plusieurs semaines à quelques heures

Ce que vous apprendrez

Quand privilégier le test en boîte blanche, quand le test en boîte grise est le choix le plus judicieux, et comment prendre cette décision en fonction des délais d'accès et de l'importance de l'application, et non par simple habitude.

Rédigé par :
Shaun Brown

Shaun est responsable marketing technique Aikido ; il sait présenter des produits de sécurité complexes sous un angle qui intéresse réellement le marché. Son parcours couvre les tests logiciels et la cybersécurité, et s'appuie sur une formation scientifique et une carrière à la pointe de la recherche en sciences de la Terre.