Cours — Domaine 1 · 16% · 15 h

Sécurité et gestion des risques

Cours complet du Domaine 1 (Security & Risk Management), structuré en 7 modules pour environ 12 heures d'apprentissage : éthique, concepts fondamentaux, gouvernance, droit et conformité, gestion des risques, threat modeling et supply chain, continuité et sécurité du personnel. Contenu en français, mots-clés en anglais pour l'examen, avec cas d'étude et point de contrôle à chaque étape.

Objectifs d'apprentissage

À la fin de ce cours, vous saurez

  • Manier le vocabulaire de base (CIA, IAAAA, risk triad, due care/diligence) sans confusion.
  • Appliquer le (ISC)² Code of Ethics et arbitrer un dilemme par l'ordre des canons.
  • Distinguer gouvernance, management et opérations, et la hiérarchie documentaire.
  • Qualifier une obligation (loi, regulation, contrat, standard) et choisir le bon type d'investigation.
  • Conduire une analyse de risque qualitative et quantitative (SLE, ALE, ARO) et choisir un traitement.
  • Mener un threat modeling, gérer le risque fournisseur (SCRM) et cadrer un BIA (MTD, RTO, RPO).

Prérequis : Aucun prérequis formel. Une culture IT générale aide. Ce domaine est le socle conceptuel des sept autres.

Parcours conseillé

Parcours conseillé en 4 sessions d'environ 3 à 4 h, à étaler sur 2 à 3 semaines. Refaire les checkpoints avant de passer à la session suivante, puis le quiz complet (150+ Q) en révision finale.

  1. Session 1 - Fondations

    MODULE 1 · MODULE 2

    Vocabulaire, CIA, IAAAA, risk triad, éthique et 4 canons.

  2. Session 2 - Gouvernance & droit

    MODULE 3 · MODULE 4

    Rôles, frameworks, hiérarchie documentaire, conformité, droit, IP, privacy, enquêtes.

  3. Session 3 - Risques & menaces

    MODULE 5 · MODULE 6

    Analyse qualitative/quantitative, traitement, threat modeling, supply chain.

  4. Session 4 - Continuité & révision

    MODULE 7

    BIA, RTO/RPO, sécurité du personnel, sensibilisation, puis glossaire + synthèse + quiz complet.

Module 1 Objectif B 120 min Fondamental

Concepts fondamentaux de la sécurité

Prérequis : Aucun. Point de départ du domaine.

Avant toute discussion sur les politiques, les frameworks ou les contrôles techniques, le candidat CISSP doit maîtriser un vocabulaire commun. Ce module pose les briques de base sur lesquelles s'appuie l'ensemble du Domaine 1 : la triade CIA et ses extensions (authenticity, nonrepudiation), le cycle d'accès IAAAA, le triangle du risque (asset, threat, vulnerability) et les principes structurants comme la defense in depth.

Ces notions paraissent simples, mais l'examen les teste sous forme de distinctions fines : confidentialité vs intégrité, due care vs due diligence, identification vs authentication. Confondre ces termes coûte des points même à des praticiens expérimentés. L'objectif ici n'est pas de mémoriser des définitions isolées, mais de comprendre comment elles s'articulent.

À la fin du module, vous saurez relier un objectif de sécurité (ex: empêcher une modification non autorisée) au bon attribut (integrity), au bon type de contrôle (technical) et au bon raisonnement de gouvernance (due care).

Objectifs pédagogiques

  • Définir la triade CIA et expliquer pourquoi authenticity et nonrepudiation la complètent
  • Distinguer les cinq phases du cycle IAAAA et les différencier du modèle AAA
  • Relier asset, vulnerability, threat, threat agent, exploit et risk au sein de la risk triad
  • Expliquer la defense in depth et classer un contrôle en administrative, technical ou physical
  • Différencier due care et due diligence et les rattacher à la notion de négligence

Critères de réussite

  • Associer sans erreur un scénario de violation au bon attribut CIA (C, I ou A)
  • Ordonner correctement les phases IAAAA pour un accès utilisateur donné
  • Calculer conceptuellement Risk = Threat × Vulnerability × Asset et expliquer pourquoi un risque tombe à zéro si l'un des facteurs est nul
  • Classer 5 contrôles donnés dans la bonne catégorie (administrative / technical / physical)
  • Choisir entre due care et due diligence dans une question d'examen formulée sur la responsabilité légale

1.1 La triade CIA, authenticity et nonrepudiation

Triangle représentant Confidentiality, Integrity et Availability
Figure 1.1 · Triangle représentant Confidentiality, Integrity et Availability

La triade CIA est le modèle mental fondateur de la sécurité de l'information. Confidentiality garantit que l'information n'est divulguée qu'aux parties autorisées disposant d'un need to know : une fuite de données clients viole la confidentialité. Integrity garantit que l'information reste complète et exacte, libre de toute modification non autorisée : si un attaquant altère un montant dans une base bancaire, c'est l'intégrité qui est touchée, même si la donnée reste lisible par tous. Availability garantit que l'information est accessible quand et où elle est nécessaire : un ransomware qui chiffre les fichiers attaque la disponibilité.

ISC2 a élargi ce modèle à cinq piliers en ajoutant authenticity et nonrepudiation. Authenticity assure que l'information est authentique : elle provient d'une source de confiance, vérifiable, et son émetteur avait l'autorité d'agir (les attaques de whaling exploitent justement un défaut d'authenticity). Nonrepudiation empêche qu'un acteur nie après coup une action qu'il a réalisée : une signature numérique sur un ordre médical ou un contrat de trading garantit que l'émetteur ne pourra pas dire « ce n'est pas moi ».

Piège classique : la confidentialité concerne la divulgation (qui peut lire), l'intégrité concerne la modification (qui peut écrire). Un même incident peut toucher plusieurs attributs, mais l'examen attend que vous identifiiez l'attribut principal en jeu.

Mots-clés EN Confidentiality Integrity Availability Authenticity Nonrepudiation Five pillars Need to know
Points clés
  • Confidentiality = divulgation ; Integrity = modification ; Availability = accès
  • Authenticity et nonrepudiation étendent la CIA aux cinq piliers ISC2
  • Nonrepudiation s'appuie sur authentication, accountability et la signature numérique
  • Un incident peut toucher plusieurs attributs ; identifier le principal

1.2 Le cycle IAAAA et la distinction avec AAA

Flux séquentiel des cinq phases du cycle IAAAA
Figure 1.2 · Flux séquentiel des cinq phases du cycle IAAAA

Tout accès à une ressource suit un enchaînement logique que l'on résume par l'acronyme IAAAA : Identification, Authentication, Authorization, Accountability, Auditing. Identification est l'affirmation d'une identité : l'utilisateur déclare « je suis alice » (un username, un identifiant de carte). Authentication prouve cette affirmation : alice fournit un mot de passe, un jeton ou une biométrie. Tant que l'authentification n'a pas réussi, aucune identité n'est validée.

Authorization détermine ensuite ce que l'identité authentifiée a le droit de faire : quels objets elle peut lire, écrire ou exécuter, selon le principe du least privilege. Accountability lie chaque action à l'identité responsable : c'est la capacité d'imputer une action à un individu, condition indispensable de la nonrepudiation. Auditing examine les journaux a posteriori pour vérifier, détecter les anomalies et fournir des preuves.

Le modèle AAA (triple-A) du contrôle d'accès regroupe Authentication, Authorization et Accounting (souvent assimilé à accountability). IAAAA est donc une vue plus complète qui ajoute explicitement l'Identification en amont et l'Auditing en aval. Piège d'examen : ne confondez pas Identification (déclarer qui l'on est) et Authentication (le prouver) ; et n'oubliez pas que l'accountability dépend d'une identification unique et fiable, sinon impossible d'imputer une action.

Mots-clés EN Identification Authentication Authorization Accountability Auditing Chain of custody
Points clés
  • Ordre strict : Identification -> Authentication -> Authorization -> Accountability -> Auditing
  • Identification déclare l'identité, Authentication la prouve
  • AAA = Authentication, Authorization, Accounting ; IAAAA ajoute Identification et Auditing
  • Sans identification unique, pas d'accountability ni de nonrepudiation

1.3 La risk triad : asset, vulnerability, threat et le risque

Triangle reliant asset, threat et vulnerability au centre desquels se trouve le risque
Figure 1.3 · Triangle reliant asset, threat et vulnerability au centre desquels se trouve le risque

Le risque n'existe pas dans le vide : il naît de la rencontre entre trois éléments que l'on appelle la risk triad. Un asset est une ressource de valeur à protéger (données, système, personnel, réputation) ; sa valeur ou sa criticité dictent les safeguards que l'on déploie. Une vulnerability est une faiblesse exploitable (un système non patché, un datacenter sans alimentation de secours, un bâtiment non antisismique). Une threat est un événement potentiellement nuisible (séisme, panne, malware, employé malveillant).

Deux acteurs intermédiaires précisent le tableau. Le threat agent (ou threat actor) est l'entité qui déclenche la menace : un cybercriminel, une catastrophe naturelle, un initié. L'exploit est le moyen concret par lequel une vulnerability est utilisée pour réaliser la menace. Le risk est la probabilité qu'une threat exploite une vulnerability sur un asset, multipliée par l'impact résultant.

La formule conceptuelle Risk = Threat × Vulnerability × Asset capture l'essentiel : si l'un des facteurs vaut zéro, le risque est nul. Un système Linux n'a aucune vulnérabilité à Conficker, donc aucun risque face à ce ver, même si la menace existe ailleurs. Piège d'examen : une menace sans vulnérabilité correspondante ne crée pas de risque, et un actif sans valeur ne mérite pas de safeguard. Distinguez bien threat (l'événement) de threat agent (qui le porte) et de vulnerability (la faiblesse).

Mots-clés EN Asset Vulnerability Threat Threat agent Exploit Risk
Points clés
  • Risk = Threat × Vulnerability × Asset : un facteur nul annule le risque
  • Threat (événement) ≠ threat agent (acteur) ≠ vulnerability (faiblesse)
  • La valeur de l'asset dicte le niveau de safeguard
  • Un exploit est le moyen concret d'activer une vulnérabilité

1.4 Defense in depth et les trois types de contrôles

Couches concentriques administrative, technical et physical autour d'un actif
Figure 1.4 · Couches concentriques administrative, technical et physical autour d'un actif

La defense in depth (défense en profondeur) repose sur un principe simple : aucun contrôle unique n'est infaillible, il faut donc empiler plusieurs couches de protection indépendantes. Si un attaquant franchit une couche, la suivante l'arrête ou au moins le ralentit et le rend détectable. On parle aussi de layered security. Un exemple : un pare-feu (technical), complété par une politique d'accès (administrative) et un badge à l'entrée du datacenter (physical).

CISSP classe les contrôles selon trois grandes catégories par leur nature. Les contrôles administrative (ou managerial) sont des politiques, procédures, formations, contrats de travail, séparation des tâches : ils orientent le comportement humain. Les contrôles technical (ou logical) sont implémentés dans les systèmes : chiffrement, pare-feu, ACL, authentification, journalisation. Les contrôles physical protègent l'environnement matériel : clôtures, éclairage, serrures, gardes, systèmes anti-incendie.

Ces catégories par nature se combinent avec les fonctions des contrôles (preventive, detective, corrective, etc.), traitées dans un module ultérieur. Piège d'examen : une caméra de surveillance est un contrôle physical par nature mais detective par fonction ; un chiffrement est technical et preventive. Le questionnaire teste souvent votre capacité à classer un même contrôle sur deux axes différents. La defense in depth exige justement de mélanger les trois natures pour ne pas dépendre d'un seul rempart.

Mots-clés EN Defense in depth Administrative control Technical control Physical control Layered security
Points clés
  • Defense in depth = plusieurs couches indépendantes, aucun rempart unique
  • Trois natures : administrative, technical/logical, physical
  • La nature (quoi) est distincte de la fonction (preventive, detective...)
  • Un même contrôle se classe sur l'axe nature ET l'axe fonction

1.5 Due care vs due diligence et la négligence

Comparaison entre due care (agir) et due diligence (savoir)
Figure 1.5 · Comparaison entre due care (agir) et due diligence (savoir)

Due care et due diligence sont deux concepts de gouvernance et de responsabilité juridique souvent confondus. La formule mnémonique la plus utile : due diligence c'est savoir ce qui est juste (knowing what is right), due care c'est faire ce qui est juste (doing the right thing). Autrement dit, la due diligence consiste à se renseigner, évaluer, planifier et comprendre les risques ; la due care consiste à agir de manière prudente et continue pour les traiter.

Concrètement, mener une analyse de risques, auditer un fournisseur, étudier les obligations réglementaires relève de la due diligence. Appliquer des correctifs, appliquer la politique de sécurité, former les employés, surveiller en continu relève de la due care. La due diligence précède et alimente la due care : on ne peut pas agir correctement sur des risques qu'on n'a pas d'abord identifiés.

Le lien avec la négligence est central pour l'examen. Une organisation qui ne fait preuve ni de due care ni de due diligence s'expose à des poursuites pour negligence : elle n'a pas agi comme un prudent person l'aurait fait dans les mêmes circonstances. Le prudent man rule (ou prudent person rule) est le standard de comparaison. Piège d'examen : si la question parle d'enquêter, d'évaluer ou de comprendre, pensez due diligence ; si elle parle d'agir, de maintenir ou d'appliquer dans la durée, pensez due care. Les deux ensemble protègent les dirigeants de l'accusation de negligence.

Mots-clés EN Due diligence Due care Negligence Prudent person rule
Points clés
  • Due diligence = knowing what is right ; due care = doing the right thing
  • La due diligence précède et alimente la due care
  • L'absence des deux constitue de la negligence (prudent person rule)
  • Mots-clés question : enquêter/évaluer -> diligence ; agir/maintenir -> care

1.6 Privacy et safety : les attributs au-delà des cinq piliers

Les attributs de sécurité : triade CIA et ses extensions ISC2
Figure 1.6 · Les attributs de sécurité : triade CIA et ses extensions ISC2

Les objectifs du manuel ISC2 (1.2) listent sept attributs à expliquer : confidentiality, integrity, availability, authenticity, nonrepudiation, mais aussi privacy et safety. Ces deux derniers sont souvent oubliés alors qu'ils sont testables. La privacy n'est pas un synonyme de la confidentiality : la confidentiality protège l'information contre une divulgation non autorisée, tandis que la privacy protège le droit d'un individu (le data subject) à contrôler la collecte et l'usage des données qui le concernent. On peut garder une donnée confidentielle tout en violant la privacy, par exemple en la traitant pour une finalité non consentie. La privacy s'appuie sur des cadres comme les huit principes OECD (collection limitation, data quality, purpose specification, use limitation, security safeguards, openness, individual participation, accountability) et le GDPR, qui encadre toute donnée concernant une personne dans l'UE/EEE.

La safety concerne la prévention ou le contrôle d'un dommage non voulu ou non autorisé envers les personnes ou les biens : elle relève du monde physique. La safety of information se rattache au fait que l'usage de l'information ne mette pas en danger des personnes. Exemple du manuel : la fuite d'une liste d'employés avec leurs adresses pendant qu'ils sont tous au séminaire annuel compromet la safety de ces employés et de leurs familles, au-delà d'une simple atteinte à la confidentiality.

Piège d'examen : ne confondez pas privacy (droit de l'individu sur ses données) et confidentiality (non-divulgation), ni safety (protection des personnes/biens, monde physique) et security (protection de l'actif). PII (personally identifiable information) est la donnée dont la protection fonde le droit à la privacy du data subject.

Mots-clés EN Privacy Safety Data subject PII OECD privacy principles GDPR
Points clés
  • Le manuel 1.2 liste sept attributs : CIA + authenticity + nonrepudiation + privacy + safety
  • Privacy (droit de l'individu) n'est pas confidentiality (non-divulgation)
  • Safety protège personnes et biens dans le monde physique
  • Privacy s'appuie sur les 8 principes OECD, le GDPR, et la protection des PII du data subject

1.7 La valeur de l'information et le statut des modèles de sécurité

Le manuel ISC2 ouvre la section 1.2 par une idée structurante souvent négligée : l'information a de la valeur parce qu'elle sert à prendre des décisions, qui mènent à des actions, qui produisent des résultats. La sécurité de l'information est la science et la pratique consistant à s'assurer que l'information est correcte, complète et disponible pour soutenir ces décisions, qu'elle est produite de façon fiable et reproductible, et que ce qui doit rester secret le reste. Une information non sécurisée peut conduire à des actions causant des dommages matériels, des blessures, voire la mort. Cette mise en perspective justifie pourquoi on protège un actif informationnel : ce n'est pas la donnée en soi qui compte, mais l'usage décisionnel qu'elle permet.

Un second point de nuance est essentiel pour l'examen : la triade CIA et les cinq piliers ne sont pas la source des exigences de sécurité ; ce sont des aide-mémoire (memory-joggers) destinés à maintenir ces préoccupations au premier plan de la pensée des concepteurs et analystes. On ne dérive donc pas directement une liste de contrôles de la triade ; on l'utilise comme grille de questionnement.

Piège d'examen : si une question suggère que le modèle CIA est en soi une exigence réglementaire ou un standard de contrôles, c'est faux. Le modèle est un cadre conceptuel ; les requirements viennent des risques, des lois, des obligations métier. La popularité de la triade tient à sa simplicité, et les modèles étendus (cinq piliers, Parkerian) répondent à des menaces mieux financées et plus motivées.

Mots-clés EN Value of information Memory-jogger Five pillars
Points clés
  • L'information a de la valeur par son usage décisionnel, pas en soi
  • La sécurité garantit information correcte, complète, disponible et fiable
  • La triade et les cinq piliers sont des memory-joggers, pas la source des requirements
  • Les requirements viennent des risques, des lois et des obligations métier

Cas d'étude

Cas · Scénario pédagogique

Le facteur nul du risque

Contexte : Une PME héberge une application de paie sur un serveur Linux. Un nouveau ver cible exclusivement une faille d'un service Windows obsolète. La direction, paniquée par l'actualité, demande un budget d'urgence de 50 000 € pour déployer un correctif spécifique à ce ver sur tous les serveurs, y compris le serveur Linux de la paie.

Question : Au regard de la formule Risk = Threat × Vulnerability × Asset, la dépense est-elle justifiée pour le serveur Linux ?

Voir l'analyse et la correction

La threat (le ver) existe bel et bien et le serveur de paie est un asset de grande valeur. Mais le serveur Linux ne présente aucune vulnerability à cette faille Windows : le facteur Vulnerability vaut zéro pour cet actif.

Dans la formule Risk = Threat × Vulnerability × Asset, un facteur nul annule le produit : le risque résiduel de ce ver sur le serveur Linux est nul. Dépenser pour le protéger contre cette menace précise est un gaspillage de safeguard, contraire à un emploi rationnel des ressources.

La bonne réponse de gouvernance : la due diligence (avoir caractérisé l'actif et identifié l'absence de vulnérabilité) évite une due care mal dirigée. Le budget doit cibler les actifs réellement vulnérables, pas tous les actifs indistinctement.

À retenir : Sans vulnérabilité correspondante, une menace ne crée aucun risque, quelle que soit la valeur de l'actif.

Cas · Scénario pédagogique

Confidentialité ou intégrité ?

Contexte : Un employé du service comptable, sans en avoir le droit, modifie le numéro IBAN d'un fournisseur dans le système de paiement pour y substituer son propre compte. Le fichier reste lisible par tous les utilisateurs habilités et le système reste disponible. Le détournement est découvert après deux virements.

Question : Quel attribut de la triade CIA a été principalement violé, et quel mécanisme aurait permis d'imputer l'action à l'employé ?

Voir l'analyse et la correction

L'information n'a pas été divulguée à un tiers non autorisé : la confidentiality n'est pas l'attribut central. La donnée est restée accessible : l'availability est intacte. C'est l'integrity qui est violée, car une donnée a été modifiée sans autorisation, la rendant incorrecte.

Le piège fréquent est de répondre confidentiality dès qu'un employé « accède » à une donnée sensible. Ici, l'acte fautif est une écriture non autorisée, pas une lecture : intégrité.

Pour imputer l'action, il faut de l'accountability, qui repose sur une identification unique, une authentication forte et un auditing des journaux. Sans logs liant la modification à l'identité de l'employé, la nonrepudiation est impossible et l'organisation ne peut prouver qui a agi.

À retenir : Modification non autorisée = integrity ; l'imputation exige accountability (identification + authentication + auditing).

Cas · Scénario pédagogique

Confidentielle mais non privée

Contexte : Une plateforme stocke les données de santé de ses utilisateurs dans une base chiffrée, avec accès strictement limité aux soignants habilités : aucune fuite, aucune divulgation. L'entreprise décide ensuite de réutiliser ces mêmes données, en interne et sans en informer les utilisateurs, pour entraîner un modèle de scoring marketing.

Question : La confidentiality est-elle violée ? Quel attribut est réellement en cause ?

Voir l'analyse et la correction

La confidentiality n'est pas violée : la donnée reste chiffrée, non divulguée à des tiers non autorisés. L'attribut réellement atteint est la privacy. Le data subject n'a pas consenti à cette finalité, ce qui contrevient au principe OECD de purpose specification et use limitation, et au GDPR.

Le piège classique est d'assimiler privacy et confidentiality. Ici la donnée est bien gardée secrète, mais le droit de l'individu à contrôler l'usage de ses données personnelles est bafoué.

La réponse de gouvernance : une finalité de traitement doit être spécifiée et consentie ; réutiliser des PII pour un autre objectif exige une nouvelle base légale. La sécurité technique (chiffrement) ne suffit jamais à garantir la privacy.

À retenir : Une donnée peut rester confidentielle tout en violant la privacy : la privacy porte sur la finalité et le consentement, pas seulement sur la divulgation.

Piège d'examen

CIA vs DAD

À chaque objectif de la triade CIA correspond une menace miroir résumée par l'acronyme DAD : Disclosure (contre Confidentiality), Alteration (contre Integrity), Destruction ou Denial (contre Availability). L'examen peut formuler une question côté attaque : une fuite de données = Disclosure, donc atteinte à la Confidentiality. Ne répondez pas « DAD est un autre modèle de sécurité » : c'est le négatif de la CIA, la liste des conséquences à éviter.

Piège d'examen

Due care vs due diligence

L'erreur la plus fréquente est d'inverser les deux. Retenez : due diligence = knowing what is right (enquêter, évaluer, analyser les risques, auditer un fournisseur) ; due care = doing the right thing (appliquer les correctifs, faire respecter la politique, surveiller). Si la question parle d'investigation, de recherche ou d'évaluation préalable, c'est due diligence. Si elle parle d'action prudente et continue, c'est due care. L'absence des deux = negligence, jugée selon le prudent person rule.

Piège d'examen

Privacy vs confidentiality vs safety

Trois notions voisines, trois angles distincts. Confidentiality = empêcher la divulgation non autorisée (qui peut lire). Privacy = droit du data subject à contrôler la collecte et l'usage de ses données personnelles (finalité, consentement, PII, OECD, GDPR). Safety = prévenir un dommage aux personnes ou aux biens, dans le monde physique. Une donnée peut être confidentielle mais traitée en violation de la privacy ; et la fuite de données (atteinte à la confidentiality) peut menacer la safety (ex : adresses d'employés divulguées). À l'examen, privacy et safety sont des attributs à part entière listés dans les objectifs 1.2, pas de simples synonymes de la confidentiality.

Point de contrôle — Vérification des acquis

  1. Un attaquant modifie discrètement les montants d'une base de données financière sans empêcher quiconque d'y accéder. Quel attribut de sécurité est principalement compromis ?

    • A Integrity
    • B Confidentiality
    • C Availability
    • D Authentication
    Réponse & justification

    Réponse : A — Integrity

    La modification non autorisée d'une donnée vise l'integrity. La confidentiality concernerait une divulgation (lecture non autorisée), absente ici. L'availability est intacte puisque l'accès reste possible. Authentication n'est pas un attribut de la triade mais une phase du contrôle d'accès.

  2. Dans le cycle IAAAA, quelle phase consiste uniquement à affirmer une identité, sans encore la prouver ?

    • A Identification
    • B Authentication
    • C Authorization
    • D Accountability
    Réponse & justification

    Réponse : A — Identification

    Identification est la simple affirmation (« je suis alice »). Authentication prouve cette affirmation via un facteur (mot de passe, biométrie). Authorization accorde des droits une fois l'identité prouvée. Accountability impute une action a posteriori. L'ordre et la distinction Identification/Authentication sont des pièges récurrents.

  3. Une menace réelle vise une faille d'un logiciel qui n'est installé sur aucun système de l'entreprise. Selon Risk = Threat × Vulnerability × Asset, quel est le risque pour ces systèmes ?

    • A Nul, car la vulnérabilité correspondante est absente
    • B Élevé, car la menace existe
    • C Moyen, car les actifs ont de la valeur
    • D Impossible à déterminer sans une ALE
    Réponse & justification

    Réponse : A — Nul, car la vulnérabilité correspondante est absente

    Si la vulnerability vaut zéro, le produit Threat × Vulnerability × Asset vaut zéro : pas de risque, même avec une menace réelle et des actifs de valeur. C'est l'exemple du système Linux insensible à un ver Windows. Les autres réponses ignorent l'effet d'un facteur nul.

  4. Un RSSI réalise une analyse de risques approfondie et audite ses fournisseurs avant de choisir une solution de chiffrement. Quel concept de gouvernance illustre cette démarche d'investigation préalable ?

    • A Due diligence
    • B Due care
    • C Least privilege
    • D Separation of duties
    Réponse & justification

    Réponse : A — Due diligence

    Enquêter, évaluer et auditer avant d'agir relève de la due diligence (knowing what is right). La due care serait l'action prudente qui suit, comme déployer puis maintenir le chiffrement. Least privilege et separation of duties sont des principes d'accès, hors sujet ici. Inverser due care et due diligence est le piège visé.

  5. Les objectifs ISC2 de la section 1.2 demandent d'expliquer plusieurs attributs au-delà de la triade CIA. Lequel de ces ensembles est complet selon le manuel ?

    • A Authenticity, nonrepudiation, privacy, safety
    • B Authenticity, nonrepudiation uniquement
    • C Accountability, auditing, privacy
    • D Least privilege, defense in depth, safety
    Réponse & justification

    Réponse : A — Authenticity, nonrepudiation, privacy, safety

    Le manuel 1.2 liste sept attributs : confidentiality, integrity, availability, plus authenticity, nonrepudiation, privacy et safety. Beaucoup s'arrêtent à authenticity et nonrepudiation et oublient privacy et safety, pourtant explicitement dans les objectifs. Accountability et auditing relèvent du cycle d'accès, pas des attributs de l'information ; least privilege et defense in depth sont des principes.

  6. Une entreprise garde des données clients chiffrées et non divulguées, mais les réutilise pour une finalité à laquelle les clients n'ont pas consenti. Quel attribut est principalement violé ?

    • A Privacy
    • B Confidentiality
    • C Availability
    • D Authenticity
    Réponse & justification

    Réponse : A — Privacy

    La donnée restant chiffrée et non divulguée, la confidentiality est préservée. C'est la privacy qui est violée : le data subject n'a pas consenti à cette finalité (purpose specification, use limitation des principes OECD, GDPR). Le piège est d'assimiler privacy et confidentiality.

  7. Selon le manuel ISC2, quel est le statut de la triade CIA et des cinq piliers ?

    • A Des aide-mémoire conceptuels, pas la source des exigences de sécurité
    • B La source directe et exhaustive des contrôles à implémenter
    • C Une exigence réglementaire imposée par le GDPR
    • D Un standard de certification équivalent à l'ISO 27001
    Réponse & justification

    Réponse : A — Des aide-mémoire conceptuels, pas la source des exigences de sécurité

    Le manuel précise que ces modèles ne sont pas la source des exigences de sécurité, mais de simples memory-joggers maintenant ces préoccupations au premier plan. Les requirements proviennent des risques, des lois et des obligations métier. On n'en dérive pas directement une liste de contrôles ni un standard.

Points essentiels à retenir

  • La triade CIA (Confidentiality, Integrity, Availability) plus authenticity et nonrepudiation forme les cinq piliers ISC2.
  • Le cycle d'accès suit l'ordre IAAAA ; Identification déclare, Authentication prouve ; AAA n'en couvre que le cœur.
  • Risk = Threat × Vulnerability × Asset : un facteur nul annule le risque.
  • Distinguer threat (événement), threat agent (acteur) et vulnerability (faiblesse).
  • Defense in depth empile administrative, technical et physical controls ; nature et fonction sont deux axes distincts.
  • Due diligence = knowing what is right ; due care = doing the right thing ; leur absence = negligence.
  • Les objectifs 1.2 listent sept attributs : CIA + authenticity + nonrepudiation + privacy + safety ; ne pas oublier les deux derniers.
  • Privacy (droit du data subject sur ses données : finalité, consentement, PII, OECD, GDPR) n'est pas confidentiality (non-divulgation).
  • Safety protège les personnes et les biens dans le monde physique ; une fuite de données peut menacer la safety.
  • L'information a de la valeur par les décisions qu'elle permet ; la triade et les cinq piliers sont des memory-joggers, pas la source des requirements.
Module 2 Objectif A 60 min Fondamental

Éthique professionnelle

Prérequis : Aucun. Peut être étudié en parallèle du module 1.

L'éthique est le fondement de la confiance accordée au professionnel de la sécurité. Le CISSP doit comprendre, adhérer à et promouvoir l'éthique professionnelle (Key Area A) : c'est le tout premier objectif du Domaine 1, et l'adhésion stricte au (ISC)² Code of Ethics est une condition de la certification, pas une simple recommandation.

Ce module couvre trois piliers. D'abord le (ISC)² Code of Ethics, son préambule et ses 4 canons dans leur ordre prescriptif (qui sert d'arbitrage en cas de conflit). Ensuite la RFC 1087 « Ethics and the Internet » de l'Internet Architecture Board (IAB), comparée aux autres codes (IEEE, ACM, ISACA). Enfin la mise en pratique : signaler les violations, gérer les conflits d'intérêts et comprendre les conséquences d'un manquement, dont la révocation de la certification par le comité d'éthique d'ISC2.

Objectifs pédagogiques

  • Citer le préambule et les 4 canons du (ISC)² Code of Ethics dans leur ordre exact.
  • Appliquer l'ordre prescriptif des canons pour arbitrer un conflit éthique.
  • Énumérer les activités déclarées non-éthiques par la RFC 1087 de l'IAB.
  • Décrire le processus de signalement et les conséquences d'une violation, dont la révocation par le comité d'éthique d'ISC2.

Critères de réussite

  • Je récite les 4 canons dans l'ordre et j'explique pourquoi l'ordre compte.
  • Face à un dilemme, je désigne le canon prioritaire et je justifie l'arbitrage.
  • Je distingue le (ISC)² Code of Ethics de la RFC 1087 et des codes IEEE/ACM/ISACA.
  • Je sais qui prononce la révocation et selon quelle procédure.

2.1 Le (ISC)² Code of Ethics : préambule et 4 canons

Les 4 canons du (ISC)² Code of Ethics empilés par priorité décroissante, société en haut.
Figure 2.1 · Les 4 canons du (ISC)² Code of Ethics empilés par priorité décroissante, société en haut.

Le (ISC)² Code of Ethics s'ouvre par un préambule qui pose le principe directeur : la sûreté et le bien-être de la société, le bien commun (common good), le devoir envers nos mandants (principals) et le devoir les uns envers les autres exigent que nous adhérions - et soyons vus comme adhérant - aux plus hauts standards éthiques. Le préambule conclut que l'adhésion stricte au Code est une condition de certification.

Suivent les 4 canons, dans cet ordre exact : (1) Protéger la société, le bien commun, la confiance et le crédit publics nécessaires, et l'infrastructure ; (2) Agir avec honneur, honnêteté, justice, responsabilité et en respectant la loi (act honorably, honestly, justly, responsibly, and legally) ; (3) Fournir un service diligent et compétent aux mandants (principals) ; (4) Faire avancer et protéger la profession.

L'ordre est PRESCRIPTIF : il sert d'arbitrage. En cas de conflit entre deux canons, le canon de rang supérieur prime sur le canon de rang inférieur. Ainsi, protéger la société (canon 1) l'emporte sur le devoir envers son employeur (canon 3) ; et agir légalement (canon 2) prime sur l'intérêt commercial de la profession (canon 4). C'est ce raisonnement hiérarchique - et non une simple récitation - que l'examen teste.

Piège classique : confondre l'ordre, par exemple placer « advance and protect the profession » avant « protect society ». Le bien-être de la société figure TOUJOURS en tête ; la profession ferme la marche.

Mots-clés EN Canon Principals Preamble Common good Tone at the top
Points clés
  • 4 canons, ordre fixe : société -> honneur/légalité -> mandants -> profession.
  • L'ordre est prescriptif : le canon supérieur prime en cas de conflit.
  • L'adhésion stricte au Code est une condition de certification.

2.2 RFC 1087 (IAB) et les autres codes professionnels

La RFC 1087 « Ethics and the Internet » est publiée par l'Internet Architecture Board (IAB). Elle ne décrit pas des canons positifs comme ISC2, mais déclare explicitement NON-ÉTHIQUES six catégories d'activités : (1) chercher un accès non autorisé à des ressources Internet ; (2) détruire l'intégrité de l'information ; (3) perturber l'usage normal d'Internet ; (4) gaspiller des ressources (humaines, capacité, etc.) par de telles actions ; (5) compromettre la vie privée (privacy) des utilisateurs ; (6) faire preuve de négligence dans la conduite d'expériences sur Internet.

La logique de la RFC 1087 recoupe la triade CIA : l'accès non autorisé et la compromission de la privacy touchent la confidentialité, la destruction d'intégrité touche l'integrity, la perturbation et le gaspillage touchent la disponibilité (availability). C'est un angle d'examen utile pour mémoriser la liste.

D'autres organisations maintiennent leurs propres codes : l'IEEE et l'ACM (informatique et ingénierie logicielle), l'ISACA (audit et gouvernance SI). Ils partagent l'esprit - intégrité, compétence, primauté de l'intérêt public - mais diffèrent par la portée et l'autorité. Point clé : seul le (ISC)² Code of Ethics conditionne la certification CISSP. La RFC 1087 et les codes IEEE/ACM/ISACA sont des références complémentaires, pas la base disciplinaire d'ISC2.

Piège classique : attribuer la liste des activités non-éthiques au (ISC)² Code of Ethics. Cette liste vient de la RFC 1087 / de l'IAB, à ne pas confondre avec les 4 canons.

Mots-clés EN RFC 1087 Internet Architecture Board (IAB) ISACA
Points clés
  • RFC 1087 = IAB ; énonce 6 activités NON-éthiques (pas des canons).
  • Les 6 items se mappent sur la triade CIA.
  • Seul le (ISC)² Code conditionne la certification ; IEEE/ACM/ISACA sont complémentaires.

2.3 Promouvoir l'éthique en pratique : signalement et conséquences

Promouvoir l'éthique (le verbe « promote » du Key Area A) dépasse l'adhésion personnelle : le professionnel doit aussi signaler les violations et désamorcer les conflits d'intérêts. Un conflit d'intérêts (conflict of interest) apparaît quand un intérêt personnel - lien familial, gain financier, animosité - peut compromettre l'objectivité. La réponse attendue est la divulgation (disclosure) et le retrait (recusal), pas la dissimulation.

Le signalement suit un processus formel. Chez ISC2, une plainte (complaint) déclenche une procédure : établissement des faits (finding of facts), possibilité pour le membre accusé de présenter une réfutation (rebuttal), puis examen par le comité d'éthique (ISC2 Ethics Committee). Le comité laisse le membre relire les conclusions et recommandations avant de les soumettre au conseil d'administration (board) d'ISC2, qui statue.

La conséquence ultime d'un manquement est la révocation de la certification : c'est le board d'ISC2, sur recommandation du comité d'éthique, qui décide de retirer ou non l'adhésion. Au-delà, un comportement non éthique détruit la confiance de l'organisation, qui ne pourra plus accepter les conseils de sécurité du professionnel.

Piège classique : croire que c'est le manager ou l'employeur qui « révoque » le CISSP. La révocation de la certification relève d'ISC2 (comité d'éthique + board), pas de l'employeur. L'employeur peut licencier ; seul ISC2 retire la certification.

Mots-clés EN Conflict of interest Ethics Committee Revocation
Points clés
  • Promouvoir l'éthique = signaler les violations et divulguer les conflits d'intérêts.
  • Processus ISC2 : plainte -> faits -> rebuttal -> comité d'éthique -> board.
  • Seul ISC2 (comité + board) révoque la certification, jamais l'employeur.

2.4 L'organizational code of ethics et l'illustration Enron / SOX

Au-delà du (ISC)² Code of Ethics, il faut distinguer l'organizational code of ethics : un document de politique (policy document) approuvé et soutenu par le senior management de l'organisation. Là où le (ISC)² Code engage l'individu certifié, le code organisationnel engage tout le personnel et fixe les modes de comportement acceptables. Il est souvent fusionné avec les personnel policies globales et peut énoncer la mission et les core values de l'organisation.

Un organizational code définit concrètement ce qui est interdit : comportements discriminatoires et improductifs (harcèlement racial, religieux ou sexuel), pratiques commerciales déloyales (unfair trade practices) telles que le népotisme (nepotism), la corruption (bribery) et l'attribution de contrats en échange de faveurs. Certains codes sont aussi conçus pour assurer la conformité à la législation à laquelle l'organisation est soumise (compliance-driven).

Point d'application : l'éthique, comme tout le reste, doit être inscrite dans les policies and procedures, et l'ethics committee doit la réviser et la surveiller (review and monitor) en continu. Le professionnel de sécurité « set the example » : sa conduite devient la pratique de référence (tone at the top).

L'histoire éclaire l'enjeu. À la fin des années 1990 / début 2000, une série de scandales comptables - WorldCom, Adelphia, Enron - a conduit à des faillites. Le cabinet d'audit d'Enron, Arthur Andersen, fournissait à la fois de l'audit ET du business consulting : un conflit d'intérêts inhérent (les rôles sont adversariaux). Andersen a ensuite ordonné la destruction de documents pendant une enquête réglementaire. En réponse, le Congrès américain a créé le Sarbanes-Oxley Act (SOX) - exigeant davantage de transparence dans le reporting financier des sociétés cotées - et a amendé les Federal Rules of Evidence : un data owner ne peut plus détruire d'information une fois reçue la notification d'une action légale ou d'une enquête.

Piège classique : confondre l'organizational code of ethics (interne, approuvé par le management, sanctionné par l'employeur) avec le (ISC)² Code (qui conditionne la certification, sanctionné par ISC2). Et : Andersen a montré que disposer d'une politique de destruction des données ne rend pas la destruction éthique en pleine enquête - c'est précisément ce que SOX a corrigé.

Mots-clés EN Organizational code of ethics Sarbanes-Oxley Act (SOX) Unfair trade practices
Points clés
  • Organizational code of ethics = policy interne approuvée par le senior management ; distincte du (ISC)² Code.
  • Il proscrit harcèlement, népotisme, bribery, pratiques déloyales, et peut être compliance-driven.
  • Enron + Arthur Andersen (conflit audit/conseil, destruction de docs) ont engendré SOX + amendement des Federal Rules of Evidence.

Cas d'étude

Cas · Scénario éthique

La faille découverte chez un client

Contexte : En mission d'audit, vous découvrez une vulnérabilité critique exposant les données médicales de milliers de patients. Votre client (principal) vous demande de ne pas la documenter dans le rapport pour éviter un signalement réglementaire et un impact sur sa réputation.

Question : Devez-vous obéir au client et omettre la faille du rapport ?

Voir l'analyse et la correction

Le devoir de service diligent au mandant (canon 3) entre ici en conflit avec la protection de la société et du bien commun (canon 1), car des patients tiers sont en danger.

L'ordre prescriptif tranche : le canon 1 prime sur le canon 3. Vous ne pouvez pas dissimuler une faille qui menace la société pour servir l'intérêt d'un client. Agir avec honnêteté (canon 2) interdit aussi un rapport faussé. La bonne conduite est de documenter la vulnérabilité et de rappeler au client ses obligations.

À retenir : Société (canon 1) > mandant (canon 3) : on ne sacrifie pas la sécurité publique au confort d'un client.

Cas · Scénario éthique

La surveillance non autorisée d'un collègue

Contexte : Un administrateur réseau vous rapporte qu'un employé navigue sur Internet pendant les heures de travail, en violation de la politique interne. Vous découvrez que l'administrateur disposait des droits techniques de surveillance mais n'avait reçu aucune autorisation explicite de surveiller, et qu'un conflit personnel l'opposait à l'employé.

Question : Le rapport de l'administrateur est-il éthiquement recevable ?

Voir l'analyse et la correction

L'activité de l'employé n'est pas illégale mais viole une politique. Surtout, l'administrateur a agi sans autorisation et en situation de conflit d'intérêts non divulgué, ce qui mine l'honnêteté et la justice attendues (canon 2) et frôle la compromission de la privacy de l'utilisateur (esprit de la RFC 1087).

L'arbitrage : disposer des droits techniques n'équivaut pas à l'autorisation éthique. Le rapport est entaché par le moyen et par le mobile. Il faut traiter la violation de politique par les canaux RH appropriés, mais aussi examiner la conduite de l'administrateur - surveillance non mandatée et conflit dissimulé.

À retenir : Avoir la capacité technique n'est pas avoir l'autorisation ; un conflit d'intérêts non divulgué vicie un signalement.

Cas · Cas historique

Enron, Arthur Andersen et la naissance de SOX

Contexte : Le cabinet Arthur Andersen fournit à Enron à la fois des services d'audit et de business consulting. Lorsqu'une enquête réglementaire s'ouvre sur Enron, des dirigeants d'Andersen ordonnent la destruction de milliers de documents et de volumes de données électroniques liés à la mission, en invoquant une politique interne de destruction des données en fin de mission.

Question : Qu'est-ce qui rend cette conduite non éthique, et quelle réponse législative en a découlé ?

Voir l'analyse et la correction

Deux problèmes éthiques se cumulent. D'abord, cumuler audit et business consulting pour le même client est un conflit d'intérêts inhérent : le conseil vise à maximiser le profit du client, tandis que l'audit doit garantir conformité et reporting fidèle - des rôles adversariaux.

Ensuite, détruire des documents pendant une enquête, même au nom d'une politique interne, viole l'honnêteté et la justice (canon 2) et trahit la confiance publique (canon 1). Le fait qu'aucune loi ne l'interdisait alors n'efface pas le manquement éthique : légalité et éthique ne se confondent pas.

La réponse : le Congrès a créé le Sarbanes-Oxley Act (SOX), exigeant transparence du reporting financier des sociétés cotées, et a amendé les Federal Rules of Evidence pour interdire à tout data owner de détruire de l'information une fois notifié d'une action légale ou d'une enquête. La leçon d'examen : une politique de destruction ne légitime pas la destruction face à une enquête, et un conflit d'intérêts doit être structurellement évité, pas seulement « compartimenté » par déclaration.

À retenir : Audit + conseil pour un même client = conflit d'intérêts inhérent ; détruire des données sous enquête est non éthique - SOX et les Federal Rules of Evidence en sont la réponse légale.

Piège d'examen

L'ordre des canons n'est pas décoratif

Les 4 canons sont classés par priorité décroissante et l'examen teste cet ordre comme règle d'arbitrage. « Protect society » est TOUJOURS premier ; « advance and protect the profession » est TOUJOURS dernier. Devant un dilemme, identifiez les canons en conflit et appliquez celui de rang supérieur. Mémoriser la liste sans en comprendre la hiérarchie fait échouer aux questions de scénario.

Piège d'examen

Ne pas confondre les codes : ISC2 vs RFC 1087 vs IEEE/ACM/ISACA

Le (ISC)² Code of Ethics = 4 canons positifs, condition de la certification CISSP. La RFC 1087 = liste de 6 activités NON-éthiques publiée par l'IAB. IEEE, ACM et ISACA ont leurs propres codes, complémentaires mais sans autorité sur le CISSP. Piège fréquent : attribuer la liste des activités non-éthiques aux canons ISC2, ou penser que seul ISC2 a un code. Seul ISC2 conditionne VOTRE certification ; les autres codes n'en sont pas la base disciplinaire.

Point de contrôle — Checkpoint - Éthique professionnelle

  1. Dans le (ISC)² Code of Ethics, quel canon prime en cas de conflit avec le devoir envers son employeur ?

    • A Protéger la société, le bien commun et l'infrastructure
    • B Fournir un service diligent aux mandants
    • C Faire avancer et protéger la profession
    • D Tous les canons ont un poids égal
    Réponse & justification

    Réponse : A — Protéger la société, le bien commun et l'infrastructure

    Les canons sont prescriptifs : le canon 1 (protéger la société) prime sur le canon 3 (service aux mandants). L'option D est fausse : l'ordre est hiérarchique.

  2. Quel document liste l'accès non autorisé, la destruction d'intégrité et la compromission de la privacy comme activités non-éthiques ?

    • A Le (ISC)² Code of Ethics
    • B La RFC 1087 de l'Internet Architecture Board
    • C Le code d'éthique de l'ISACA
    • D Le préambule du CBK
    Réponse & justification

    Réponse : B — La RFC 1087 de l'Internet Architecture Board

    La liste des 6 activités non-éthiques provient de la RFC 1087 « Ethics and the Internet » de l'IAB, pas des canons ISC2.

  3. Qui décide en dernier ressort de révoquer la certification d'un membre pour faute éthique ?

    • A L'employeur du membre
    • B L'Internet Architecture Board
    • C Le board d'ISC2, sur recommandation du comité d'éthique
    • D L'auditeur externe
    Réponse & justification

    Réponse : C — Le board d'ISC2, sur recommandation du comité d'éthique

    La révocation relève d'ISC2 : le comité d'éthique instruit et recommande, le board statue. L'employeur peut licencier mais ne révoque pas la certification.

  4. Quel est l'ordre correct des 4 canons du (ISC)² Code of Ethics ?

    • A Profession ; mandants ; honneur ; société
    • B Société ; honneur/légalité ; mandants ; profession
    • C Honneur ; société ; profession ; mandants
    • D Mandants ; société ; profession ; honneur
    Réponse & justification

    Réponse : B — Société ; honneur/légalité ; mandants ; profession

    Ordre prescriptif : protéger la société -> agir avec honneur et légalité -> servir les mandants -> faire avancer la profession. La société d'abord, la profession en dernier.

  5. Qu'est-ce qui distingue un organizational code of ethics du (ISC)² Code of Ethics ?

    • A C'est une politique interne approuvée par le senior management, applicable à tout le personnel et sanctionnée par l'employeur
    • B Il liste les 6 activités non-éthiques de la RFC 1087
    • C Il conditionne la certification CISSP au même titre que les 4 canons
    • D Il est publié et révoqué par l'Internet Architecture Board
    Réponse & justification

    Réponse : A — C'est une politique interne approuvée par le senior management, applicable à tout le personnel et sanctionnée par l'employeur

    L'organizational code est un policy document approuvé par le management, applicable à tout le personnel et sanctionné par l'employeur. Seul le (ISC)² Code conditionne la certification (B et D décrivent la RFC 1087/l'IAB).

  6. Le cas Enron / Arthur Andersen a directement conduit à quelle réponse législative américaine ?

    • A La RFC 1087
    • B Le Sarbanes-Oxley Act (SOX) et l'amendement des Federal Rules of Evidence
    • C Le (ISC)² Code of Ethics
    • D Le code d'éthique de l'ISACA
    Réponse & justification

    Réponse : B — Le Sarbanes-Oxley Act (SOX) et l'amendement des Federal Rules of Evidence

    En réponse au scandale Enron et à la destruction de documents par Arthur Andersen, le Congrès a créé SOX (transparence du reporting) et amendé les Federal Rules of Evidence (interdiction de détruire des données sous enquête).

Points essentiels à retenir

  • Le (ISC)² Code of Ethics a un préambule + 4 canons ; l'adhésion stricte est une condition de certification.
  • Ordre prescriptif : société > honneur/légalité > mandants > profession ; le canon supérieur prime en cas de conflit.
  • La RFC 1087 (IAB) déclare 6 activités non-éthiques ; ne pas la confondre avec les canons ISC2 ni avec IEEE/ACM/ISACA.
  • Promouvoir l'éthique = signaler les violations et divulguer les conflits d'intérêts.
  • Seul ISC2 (comité d'éthique + board) peut révoquer la certification, jamais l'employeur.
  • Distinguer l'organizational code of ethics (politique interne du management, applicable à tout le personnel) du (ISC)² Code (qui conditionne la certification).
  • Un code interne proscrit harcèlement, népotisme, bribery et pratiques commerciales déloyales, et peut viser la conformité légale.
  • Enron + Arthur Andersen (cumul audit/conseil, destruction de documents) ont engendré SOX et l'amendement des Federal Rules of Evidence : légalité d'alors n'est pas éthique.
Module 3 Objectif C Objectif G 150 min Intermédiaire

Gouvernance de la sécurité & documentation

Prérequis : Modules 1 et 2 (concepts de base, éthique).

La sécurité n'existe que pour servir le métier : l'information systems security department n'a aucune raison d'être sans l'organisation qu'il protège. Ce module relie la sécurité aux goals, mission et objectives de l'entreprise et clarifie qui décide quoi.

Nous distinguons d'abord Governance (le QUOI, porté par le board, accountable) de Management (le COMMENT, responsible) et des Operations (le FAIRE). Nous cartographions ensuite les rôles - du Senior Manager au Custodian - puis les control frameworks (ISO 27001/27002, COBIT, NIST SP 800-53, ITIL, CIS Controls), les processus organisationnels à risque (M&A, divestitures), et enfin la hiérarchie documentaire Policy > Standard/Baseline > Procedure > Guideline.

Objectif examen : savoir qui est accountable vs responsible, quel document est obligatoire vs facultatif, et quel framework répond à quel besoin.

Objectifs pédagogiques

  • Distinguer Governance, Management et Operations et situer le niveau de chaque décision
  • Attribuer correctement les rôles de sécurité (accountable vs responsible) et leurs responsabilités
  • Sélectionner le control framework adapté à un besoin (certification, gouvernance IT, catalogue de contrôles, services)
  • Évaluer les risques de sécurité liés aux M&A, divestitures et autres processus organisationnels
  • Ordonner la hiérarchie documentaire et identifier ce qui est obligatoire vs facultatif

Critères de réussite

  • Je sais dire qui est ultimement accountable d'une décision de risque (Senior Manager)
  • Je place sans hésiter ISO 27001 (certifiable) face à ISO 27002 (bonnes pratiques)
  • Je classe un document fourni dans la bonne strate (policy/standard/baseline/procedure/guideline) et je dis s'il est obligatoire

3.1 Aligner la sécurité sur le métier

Schéma des trois niveaux Governance, Management et Operations
Figure 3.1 · Schéma des trois niveaux Governance, Management et Operations

La security governance est le méta-processus qui relie les efficiences de l'organisation à ses goals et objectives : elle régit la manière dont les policies sont écrites, dont les gens sont formés et dont les actions sont menées. Règle fondatrice : le métier peut exister sans le département sécurité, mais le département sécurité n'a aucune raison d'exister sans le métier. La sécurité doit donc rehausser et soutenir les objectifs business, jamais les entraver inutilement.

Trois niveaux à ne pas confondre. Governance = le QUOI : le board / les directors / le top management définissent la direction, le risk appetite et les politiques ; ils sont accountable. Management = le COMMENT : les managers traduisent en programmes, allouent les ressources et restent responsible de l'exécution. Operations = le FAIRE : les équipes appliquent les contrôles au quotidien. Le risk appetite (niveau de risque que l'organisation accepte) est fixé par le top management, pas par l'opérationnel.

Exemple : un board fixe « zéro tolérance pour la fuite de données patients » (governance) ; le RSSI conçoit un programme de chiffrement et de DLP (management) ; l'équipe SOC surveille les alertes (operations). Piège d'examen : une décision de risk acceptance prise par un administrateur technique est invalide - l'acceptation du risque résiduel relève du senior management, pas de l'opérateur.

Mots-clés EN Governance Management Risk appetite
Points clés
  • La sécurité sert le métier, jamais l'inverse
  • Governance = QUOI/accountable, Management = COMMENT/responsible, Operations = FAIRE
  • Le risk appetite est fixé au plus haut niveau

3.2 Rôles et responsabilités

Rôles et responsabilités sur la donnée (owner, custodian, controller, processor)
Figure 3.2 · Rôles et responsabilités sur la donnée (owner, custodian, controller, processor)

Le Senior Manager (CEO, board) est ultimement accountable de la sécurité : il signe les policies et porte le risque devant les actionnaires et la loi. L'Information Security Officer / RSSI est fonctionnellement responsible : il conçoit, pilote et maintient le programme de sécurité. Distinction clé d'examen : accountable (le seul, en haut, qui répond du résultat) vs responsible (celui qui exécute, délégable).

Les rôles data. Le Data Owner (souvent un cadre métier) classifie la donnée et en définit la sensibilité ; il décide qui y accède. Le Custodian (Data Custodian / steward, souvent IT) préserve la CIA au quotidien : sauvegardes, droits techniques, chiffrement - il applique les décisions de l'owner, il ne les prend pas. Le User / Operator applique les règles et signe l'AUP (Acceptable Use Policy). L'Auditor évalue indépendamment et mesure l'écart entre la politique et la réalité.

Vocabulaire réglementaire (GDPR). Le Data Controller détermine les finalités et moyens du traitement (il décide POURQUOI et COMMENT) ; le Data Processor traite pour le compte du controller (il exécute, sur instruction). Piège : ne pas confondre Owner (interne, classifie) et Controller (notion légale, responsable du traitement) ; ni Custodian (interne, technique) et Processor (tiers, légal).

Mots-clés EN Accountable vs Responsible Data Owner Custodian Controller vs Processor
Points clés
  • Senior Manager = ultimement accountable ; ISO/RSSI = responsible
  • Owner classifie, Custodian préserve la CIA
  • Controller décide le traitement, Processor l'exécute pour lui

3.3 Control frameworks

Comparaison des control frameworks ISO 27001, COBIT et NIST 800-53
Figure 3.3 · Comparaison des control frameworks ISO 27001, COBIT et NIST 800-53

ISO 27001 énonce les exigences d'un ISMS (Information Security Management System / SMSI) : c'est la norme certifiable - une organisation se fait auditer et certifier sur sa conformité. ISO 27002 est le recueil de bonnes pratiques de contrôles (le « comment » détaillé des mesures) ; elle n'est PAS certifiable. Piège classique : on se certifie ISO 27001, jamais ISO 27002.

COBIT (ISACA) est un framework de gouvernance et de gestion de l'IT, très utilisé par les auditeurs ; il relie les objectifs IT aux objectifs business. NIST SP 800-53 est un catalogue exhaustif de contrôles de sécurité et de privacy (pour les systèmes fédéraux US) : on part d'une baseline (Low/Moderate/High selon FIPS 199/200) puis on applique scoping (écarter les contrôles non pertinents) et tailoring (adapter le reste au contexte). ITIL est l'ensemble de bonnes pratiques de gestion des services IT (service delivery), mappé à ISO 20000. Les CIS Controls (au nombre de 18) sont une liste priorisée et concrète de contrôles défensifs, gratuite et orientée action.

Exemple : pour décrocher une certification reconnue à l'international, on vise ISO 27001 ; pour bâtir un programme fédéral US, on s'appuie sur NIST 800-53 ; pour aligner IT et gouvernance face aux auditeurs, COBIT. Piège : NIST 800-53 n'est pas « certifiable » comme ISO 27001 - c'est un catalogue, pas un schéma de certification.

Mots-clés EN ISO 27001 ISO 27002 NIST SP 800-53 COBIT CIS Controls ISO 27003 / 27005 PCI DSS
Points clés
  • ISO 27001 = certifiable (ISMS) ; ISO 27002 = bonnes pratiques, non certifiable
  • NIST 800-53 = catalogue, avec scoping & tailoring depuis une baseline
  • COBIT = gouvernance IT/audit ; ITIL = services IT ; CIS = 18 contrôles

3.4 Processus organisationnels impactant la sécurité

Certaines décisions business modifient profondément la posture de sécurité. Lors d'une acquisition, l'entreprise acheteuse hérite des legacy systems, policies, procedures et données de la cible - souvent mal sécurisés - et peut soudain tomber sous de nouvelles législations et régulations. Une merger (fusion) impose d'aligner la security governance de l'entité résultante. Une divestiture (cession) ou un spinoff oblige à évaluer ce qui doit partir, ce qui reste, et comment séparer les accès et les données sans rupture de confidentialité.

Le risque majeur des M&A : l'organisation acquéreuse hérite des vulnérabilités de la cible. Cas réel cité par le CBK : Marriott a acquis Starwood en 2016 ; un système de réservation Starwood était déjà compromis depuis 2014 - la brèche n'a été découverte qu'après l'acquisition, exposant des centaines de millions de clients. D'où l'importance d'une due diligence de sécurité AVANT la signature.

Gouvernance de ces processus : un governance committee (souvent obligatoire en non-profit) encadre les décisions ; la transformation digitale et la réorganisation introduisent aussi des risques (comptes orphelins, données non migrées). Piège d'examen : la due diligence doit précéder l'intégration ; intégrer d'abord puis « auditer ensuite » revient à importer les compromissions de la cible dans son propre réseau.

Mots-clés EN Acquisition / Merger Divestiture / Spinoff Due diligence Governance committee
Points clés
  • Une acquisition fait hériter des vulnérabilités de la cible (cas Marriott/Starwood)
  • Due diligence de sécurité AVANT la signature, pas après
  • Divestitures : séparer proprement accès et données

3.5 Hiérarchie documentaire

Pyramide de la hiérarchie documentaire Policy, Standard, Baseline, Procedure, Guideline
Figure 3.5 · Pyramide de la hiérarchie documentaire Policy, Standard, Baseline, Procedure, Guideline

La documentation de sécurité se structure en strates. La Policy est le document de plus haut niveau : elle exprime l'intention et la direction, est émise et signée par le senior management, et reste stable et générale (le « pourquoi »). Elle est obligatoire (mandatory).

Sous la policy : le Standard impose des choix précis et uniformes (technologies, configurations) - il est obligatoire. La Baseline définit le niveau minimum de sécurité à atteindre (un plancher de configuration) - obligatoire. La Procedure décrit le pas-à-pas détaillé d'exécution d'une tâche - obligatoire dans son périmètre. La Guideline, elle, est une recommandation : flexible et facultative, elle conseille sans contraindre (le « si vous voulez »).

Mémo examen : Policy > Standard / Baseline > Procedure sont obligatoires ; seule la Guideline est facultative. Piège récurrent : « Un standard est une suggestion » est FAUX (c'est obligatoire) ; « une guideline est obligatoire » est FAUX (c'est facultatif). Autre piège : la policy ne contient pas les détails techniques - ceux-ci descendent dans les standards et procedures pour que la policy reste stable dans le temps.

Mots-clés EN Policy Standard Baseline Procedure Guideline
Points clés
  • Policy > Standard/Baseline > Procedure > Guideline
  • Seule la Guideline est facultative ; le reste est obligatoire
  • La policy reste générale ; les détails descendent dans standards et procedures

3.6 Due care, due diligence et alignement métier

Due care (agir) vs due diligence (savoir)
Figure 3.6 · Due care (agir) vs due diligence (savoir)

Aligner la sécurité sur le métier, c'est ajuster plans et ressources aux goals et objectives : dépenser du temps, du matériel ou de l'argent sur des activités non essentielles est un signe de mauvais alignment. Le manuel rappelle que le security practitioner doit d'abord comprendre comment l'organisation fonctionne et ses objectifs, puis seulement déterminer comment la sécurité s'y insère pour rehausser ces fonctions. La BIA (business impact analysis, vue en 1.8) est la forme reconnue qui capture cet alignment entre goals, ressources et risques. Une gouvernance mal alignée produit des policies qui freinent inutilement la productivité, imposent des coûts indus et entravent l'intention stratégique.

Deux devoirs légaux et éthiques structurent cet effort. Due care = prendre toutes les actions raisonnables et prudentes pour planifier et accomplir une tâche ou une responsabilité, sur tout son cycle de vie (de la conception à la mise au rebut). C'est le fait de mettre en place les systèmes qui contrôlent ou préviennent les threat events. Due diligence = prendre toutes les actions raisonnables et prudentes pour surveiller, contrôler, gérer et, si besoin, réorienter les plans et actions dont on est responsable ; c'est rester attentif à l'environnement et aux nouveaux risques. Formule du manuel : "constant vigilance" exprime la due diligence ; on prête attention aux alarmes que les systèmes (due care) génèrent. Mémo de management : "you cannot manage what you do not measure".

Deux notions juridiques affinent ces devoirs. Prudent actions = ce que des personnes de formation, d'expérience et d'autorité comparables feraient dans les mêmes circonstances. Reasonable actions = décisions à la justification claire, logique et défendable après coup (agir sur une intuition n'est pas reasonable). Piège d'examen central : publier une policy ne suffit PAS comme due diligence ; pour satisfaire le devoir légal, l'organisation doit aussi disposer d'une capacité documentée et active de monitoring et d'enforcement vérifiant qu'elle respecte sa propre policy. La due diligence inclut aussi la revue de sécurité des vendors/suppliers avant de les utiliser et les background checks du personnel.

Mots-clés EN Due care Due diligence Prudent man Alignment / BIA
Points clés
  • Due care = mettre en place les contrôles ; due diligence = surveiller et réorienter en continu
  • Publier une policy ne suffit PAS : il faut monitoring + enforcement documentés et actifs
  • Prudent man / reasonable actions : test légal de ce qui est défendable après coup
  • Aligner la sécurité au métier = ajuster plans/ressources aux goals ; la BIA capture l'alignment

3.7 Frameworks étendus : RMF, FedRAMP, SABSA et catégories

Le NIST Cybersecurity Framework : Identify, Protect, Detect, Respond, Recover
Figure 3.7 · Le NIST Cybersecurity Framework : Identify, Protect, Detect, Respond, Recover

Au-delà du noyau ISO 27001/27002-COBIT-NIST 800-53-ITIL-CIS, le manuel détaille plusieurs frameworks à connaître. Famille ISO 27000 : 27001 (exigences ISMS, certifiable), 27002 (catalogue de contrôles, advisory), 27003 (guide d'implémentation), 27005 (risk management). Action n°1 de 27001 : lire 27002 et justifier l'inclusion/exclusion de chaque contrôle - cet exercice produit la Statement of Applicability (SoA).

L'écosystème NIST/FIPS s'articule en cascade. Une FIPS est une exigence, une SP (Special Publication) est une guideline qui aide à la satisfaire. FIPS 199 catégorise le système (Low/Moderate/High selon C-I-A) ; NIST SP 800-60 explique comment réaliser cette catégorisation ; FIPS 200 impose des contrôles minimaux selon la catégorie ; NIST SP 800-53 fournit le catalogue de contrôles satisfaisant FIPS 200. Le NIST RMF (SP 800-37) transforme l'ancien Certification & Accreditation en un processus en six étapes (Categorize, Select, Implement, Assess, Authorize, Monitor) ; il n'est obligatoire que pour le fédéral US mais est largement adopté dans le privé et n'offre PAS de certification privée. FedRAMP applique cette logique au cloud : le JAB (Joint Authorization Board) accorde des autorisations provisoires réutilisables, et des 3PAO (Third-Party Assessment Organizations) vérifient indépendamment les contrôles d'un CSP.

SABSA (Sherwood Applied Business Security Architecture) est une méthodologie d'architecture de sécurité business-driven, risk- et opportunity-focused, qui supporte de façon traçable les objectifs métier (avantages : value-assured, prioritized, scalable, agile, open source, auditable). Enfin, le manuel distingue des CATÉGORIES de frameworks : privacy (PMF, ex-GAPP de l'AICPA, intègre GDPR/TSC) ; risk/ERM (ISO 31000, ISO 27005, COSO ERM, ISACA Risk IT, NIST SP 800-37) ; cybersecurity (ISO 270XX, HITRUST CSF pour HIPAA, CSA STAR pour le cloud avec ses 3 tiers et le CAIQ) ; et les Security Control Frameworks (SCF) qui donnent les pratiques minimales d'implémentation (PCI DSS, SWIFT CSCF, NIST, COBIT, CIS). Outil transverse : la gap analysis compare les contrôles en place à ce qu'exige un SCF. Piège : NIST RMF/800-53 et SABSA ne délivrent pas de certification privée comme ISO 27001.

Le NIST Cybersecurity Framework (CSF) structure quant à lui la sécurité autour de cinq fonctions : Identify, Protect, Detect, Respond, Recover. Largement adopté, il sert de langage commun pour piloter et communiquer la posture de sécurité au niveau direction.

Mots-clés EN NIST RMF (SP 800-37) FIPS 199 / 200 FedRAMP SABSA Statement of Applicability (SoA) CSA STAR / CAIQ HITRUST CSF NIST CSF
Points clés
  • FIPS = exigence, SP = guideline : 199 catégorise -> 200 exige -> 800-53 fournit le catalogue
  • NIST RMF (800-37) = 6 étapes Categorize/Select/Implement/Assess/Authorize/Monitor
  • FedRAMP = RMF cloud avec JAB et 3PAO ; SABSA = architecture business-driven traçable
  • Catégories : privacy (PMF), risk/ERM (ISO 31000, COSO, Risk IT), cyber (HITRUST, CSA STAR), SCF (PCI DSS)
  • Gap analysis = écart entre contrôles en place et ce qu'exige un SCF

Cas d'étude

Cas · Étude de cas - M&A

Intégrer les contrôles d'une cible acquise

Contexte : Votre groupe acquiert une PME du secteur santé. La direction veut connecter immédiatement le réseau de la cible au vôtre pour accélérer les synergies. La cible n'a ni ISMS ni inventaire d'actifs à jour, et ses comptes admin sont partagés.

Question : Quelle est la première action de sécurité à mener, et pourquoi l'intégration immédiate est-elle risquée ?

Voir l'analyse et la correction

Connecter d'abord, sécuriser ensuite revient à importer dans votre réseau toutes les vulnérabilités et compromissions éventuelles de la cible - exactement le scénario Marriott/Starwood, où une brèche préexistante a transité avec l'acquisition.

La bonne séquence : mener une due diligence de sécurité AVANT toute interconnexion - inventaire des actifs, classification des données (santé = données sensibles, régulations HIPAA/GDPR héritées), revue des accès, recherche de compromission. Puis aligner la security governance et appliquer vos standards et baselines avant d'ouvrir le réseau. L'isolation (segmentation) de la cible pendant l'évaluation est la mesure de prudence par défaut.

À retenir : Due diligence et isolation AVANT l'interconnexion : on n'hérite pas des brèches d'une cible qu'on n'a pas auditée.

Cas · Étude de cas - Choix de framework

Quel control framework pour quel besoin

Contexte : Trois exigences arrivent en même temps : (1) la direction veut une certification reconnue à l'international pour rassurer les clients ; (2) le comité d'audit réclame un alignement IT/gouvernance vérifiable ; (3) une filiale doit répondre à un appel d'offres fédéral américain.

Question : Quel framework associez-vous à chaque besoin ?

Voir l'analyse et la correction

Besoin 1 (certification internationale) -> ISO 27001 : c'est la seule des options certifiable, via un ISMS audité. ISO 27002 ne convient pas car elle n'est pas certifiable, c'est un recueil de bonnes pratiques.

Besoin 2 (alignement IT/gouvernance pour auditeurs) -> COBIT : conçu par l'ISACA pour relier objectifs IT et business, c'est la référence des auditeurs.

Besoin 3 (programme fédéral US) -> NIST SP 800-53 : catalogue de contrôles imposé aux systèmes fédéraux, avec sélection d'une baseline puis scoping & tailoring. Attention, 800-53 n'est pas un schéma de certification comme ISO 27001 - c'est un référentiel de contrôles à implémenter.

À retenir : Un framework par besoin : ISO 27001 pour certifier, COBIT pour gouverner/auditer, NIST 800-53 pour le fédéral US.

Cas · Étude de cas - Due diligence

Une policy publiée suffit-elle ?

Contexte : Après un incident de fuite de données, un régulateur examine votre organisation. Vous présentez une AUP et une policy de chiffrement, signées par le senior management et diffusées à tous. Aucun log de contrôle, aucune sanction, aucun audit interne n'existe pour vérifier leur application réelle.

Question : Le régulateur peut-il conclure à un manquement à la due diligence malgré l'existence des policies ?

Voir l'analyse et la correction

Oui. Le manuel ISC2 est explicite : publier une policy est une forme INSUFFISANTE de due diligence. Avoir un document signé satisfait au mieux une partie de la due care (mettre en place une intention de contrôle), mais le devoir légal de due diligence exige une capacité documentée et active de monitoring et d'enforcement prouvant que l'organisation respecte effectivement sa propre policy.

Ici, l'absence de logs, d'audits et de sanctions montre qu'aucun feedback loop ne mesure l'état réel ni ne corrige les écarts - c'est précisément l'inverse de la "constant vigilance". Application du prudent man : une organisation comparable aurait mis en place une surveillance et une enforcement. La bonne posture combine due care (les contrôles : chiffrement, AUP) ET due diligence (monitoring continu, revue des alarmes, audits, sanctions) sur tout le cycle de vie.

À retenir : Une policy signée ne couvre pas la due diligence : sans monitoring ni enforcement actifs et documentés, le devoir légal n'est pas rempli.

Piège d'examen

Standard vs Guideline : obligatoire ou facultatif

Erreur fréquente : croire qu'un Standard est une « recommandation ». FAUX. Un Standard est OBLIGATOIRE (mandatory), au même titre que Baseline et Procedure. Seule la Guideline est facultative et flexible. Si l'énoncé qualifie une mesure de « recommandée mais non imposée », c'est une Guideline ; si elle est « imposée et uniforme », c'est un Standard.

Piège d'examen

Accountable vs Responsible

On peut déléguer la responsibility (l'exécution), jamais l'accountability (la reddition de comptes). Le Senior Manager reste ultimement accountable même si le RSSI est responsible de l'exécution. Piège : une question « qui est ultimement responsable de la sécurité ? » attend le senior management / CEO, pas le RSSI ni l'administrateur. Et une acceptation de risque par un opérateur est invalide.

Piège d'examen

ISO 27001 vs ISO 27002

On se certifie sur ISO 27001 (les exigences de l'ISMS), JAMAIS sur ISO 27002 (le recueil de bonnes pratiques de contrôles). Piège d'examen : « notre organisation est certifiée ISO 27002 » est une formulation incorrecte. 27001 = quoi exiger et certifier ; 27002 = comment mettre en oeuvre les contrôles.

Piège d'examen

Due care vs due diligence

Due care = METTRE EN PLACE les contrôles qui préviennent les threat events (le "faire ce qu'il faut"). Due diligence = SURVEILLER en continu, lire les alarmes, réviser, réorienter ("constant vigilance"). Piège : "publier une policy" relève au mieux d'un début de due care - ce n'est PAS de la due diligence, qui exige monitoring et enforcement actifs. Autre repère du manuel : revoir la sécurité d'un vendor avant de l'utiliser, ou faire des background checks, sont des actes de due diligence.

Piège d'examen

FIPS vs SP, et certification

Une FIPS est une EXIGENCE (mandatory pour le fédéral US) ; une SP (Special Publication) est une GUIDELINE qui aide à la satisfaire. Enchaînement : FIPS 199 catégorise -> FIPS 200 exige des contrôles minimaux -> NIST SP 800-53 fournit le catalogue -> NIST SP 800-37 (RMF) orchestre. Piège : ni le NIST RMF, ni 800-53, ni SABSA n'offrent de certification privée comme ISO 27001 - ce sont des référentiels/méthodologies, pas des schémas de certification.

Point de contrôle — Point de contrôle - Module 3

  1. Qui est ultimement accountable de la sécurité de l'information dans l'organisation ?

    • A L'administrateur système
    • B Le Senior Manager / top management
    • C Le Data Custodian
    • D L'Auditor interne
    Réponse & justification

    Réponse : B — Le Senior Manager / top management

    L'accountability ne se délègue pas : elle remonte au senior management, qui signe les policies et porte le risque. Le RSSI est responsible de l'exécution, pas ultimement accountable.

  2. Laquelle de ces normes est certifiable ?

    • A ISO 27002
    • B NIST SP 800-53
    • C ISO 27001
    • D ITIL
    Réponse & justification

    Réponse : C — ISO 27001

    ISO 27001 énonce les exigences d'un ISMS et permet une certification auditée. ISO 27002 est un recueil de bonnes pratiques non certifiable ; NIST 800-53 est un catalogue ; ITIL des bonnes pratiques de services.

  3. Dans la hiérarchie documentaire, quel document est FACULTATIF ?

    • A Standard
    • B Baseline
    • C Procedure
    • D Guideline
    Réponse & justification

    Réponse : D — Guideline

    Seule la Guideline est une recommandation flexible et facultative. Standard, Baseline et Procedure sont obligatoires.

  4. Qui classifie une donnée et décide qui peut y accéder ?

    • A Le Data Custodian
    • B Le Data Owner
    • C L'Operator
    • D Le Data Processor
    Réponse & justification

    Réponse : B — Le Data Owner

    Le Data Owner classifie la donnée et définit les accès. Le Custodian préserve la CIA au quotidien mais applique les décisions de l'owner ; le Processor traite sur instruction du controller.

  5. Lors d'une acquisition, quelle est la mesure de sécurité prioritaire ?

    • A Connecter immédiatement les réseaux pour les synergies
    • B Mener une due diligence de sécurité avant l'interconnexion
    • C Supprimer toute la documentation de la cible
    • D Attendre le prochain audit annuel
    Réponse & justification

    Réponse : B — Mener une due diligence de sécurité avant l'interconnexion

    L'acquéreur hérite des vulnérabilités de la cible (cas Marriott/Starwood). La due diligence et l'isolation doivent précéder toute interconnexion pour ne pas importer des compromissions.

  6. Votre organisation a publié et diffusé une security policy signée par la direction, mais ne contrôle ni n'applique son respect. Au regard du manuel ISC2, cela constitue :

    • A Une due diligence suffisante
    • B Une due diligence INSUFFISANTE (il manque monitoring et enforcement)
    • C Une violation de séparation des tâches
    • D Une preuve de risk acceptance valide
    Réponse & justification

    Réponse : B — Une due diligence INSUFFISANTE (il manque monitoring et enforcement)

    Le manuel est explicite : publier une policy est une forme insuffisante de due diligence. Le devoir légal exige en plus une capacité documentée et active de monitoring et d'enforcement.

  7. Dans l'écosystème NIST/FIPS, quel document FOURNIT le catalogue de contrôles satisfaisant les exigences minimales de FIPS 200 ?

    • A FIPS 199
    • B NIST SP 800-60
    • C NIST SP 800-53
    • D NIST SP 800-37 (RMF)
    Réponse & justification

    Réponse : C — NIST SP 800-53

    FIPS 199 catégorise, SP 800-60 explique la catégorisation, FIPS 200 impose des contrôles minimaux, et NIST SP 800-53 fournit le catalogue de contrôles. SP 800-37 est le RMF qui orchestre le tout.

  8. Une organisation veut une architecture de sécurité business-driven, risk- et opportunity-focused, traçable jusqu'aux objectifs métier. Quel framework correspond ?

    • A SABSA
    • B PCI DSS
    • C CSA STAR
    • D FedRAMP
    Réponse & justification

    Réponse : A — SABSA

    SABSA (Sherwood Applied Business Security Architecture) est précisément une méthodologie d'architecture business-driven et traçable. PCI DSS protège les données de cartes, CSA STAR cible le cloud, FedRAMP autorise les CSP pour le fédéral US.

Points essentiels à retenir

  • La sécurité existe pour servir le métier : Governance (QUOI/accountable), Management (COMMENT/responsible), Operations (FAIRE).
  • Le risk appetite et l'acceptation du risque relèvent du senior management, jamais de l'opérationnel.
  • Accountable (un seul, en haut) ne se délègue pas ; responsible (l'exécution) se délègue.
  • ISO 27001 est certifiable (ISMS), ISO 27002 non ; NIST 800-53 est un catalogue (scoping & tailoring) ; COBIT gouverne l'IT.
  • M&A et divestitures : due diligence de sécurité AVANT intégration, on hérite des risques de la cible.
  • Hiérarchie documentaire : Policy > Standard/Baseline > Procedure (obligatoires) > Guideline (facultative).
  • Due care = mettre en place les contrôles ; due diligence = surveiller, lire les alarmes et réorienter en continu ("constant vigilance").
  • Publier une policy ne suffit JAMAIS comme due diligence : il faut monitoring et enforcement documentés et actifs.
  • Chaîne NIST/FIPS : 199 catégorise -> 200 exige -> 800-53 catalogue -> 800-37 RMF (6 étapes) ; FedRAMP applique le RMF au cloud (JAB, 3PAO).
  • Aligner la sécurité au métier = ajuster plans et ressources aux goals ; la BIA capture cet alignment.
Module 4 Objectif D Objectif E Objectif F 180 min Intermédiaire

Conformité, droit et enquêtes

Prérequis : Module 3 (gouvernance, hiérarchie documentaire).

Le module 4 couvre la dimension juridique et réglementaire du métier de la sécurité. Un CISSP n'est pas avocat, mais il doit savoir traduire des obligations légales en exigences de contrôle, distinguer une loi d'un standard contractuel, et orchestrer une enquête sans détruire la valeur probante des éléments collectés.

Nous parcourons trois axes complémentaires. D'abord, la conformité : comment déterminer ce qui s'impose à l'organisation (lois, regulations, contrats, standards) et le panorama des grands régimes (SOX, PCI-DSS, SOC, HIPAA, GDPR, FISMA). Ensuite, le cadre du droit : systèmes juridiques, catégories de droit et burden of proof associés, cybercrime, propriété intellectuelle, import/export et privacy. Enfin, les enquêtes : types d'investigation, standards forensiques et chain of custody.

Le fil conducteur de l'examen est la nuance. La question piège ne demande pas « qu'est-ce que le GDPR » mais « qui est accountable » ou « quel burden of proof s'applique ». Travaillez les distinctions, pas seulement les définitions.

Objectifs pédagogiques

  • Distinguer lois, regulations, contrats et standards et savoir lequel s'applique
  • Identifier les grands régimes de conformité (SOX, PCI-DSS, SOC, HIPAA, GDPR, FISMA) et leur portée
  • Associer chaque catégorie de droit à son burden of proof
  • Classer les types de propriété intellectuelle et leurs durées de protection
  • Énoncer les 8 principes OECD et identifier le data controller accountable
  • Choisir le type d'investigation adapté et préserver la chain of custody

Critères de réussite

  • Je sais expliquer pourquoi PCI-DSS est un standard contractuel et non une loi
  • Je cite le burden of proof du criminal, du civil et du regulatory
  • Je distingue patent et trade secret sur la durée et la divulgation
  • Je nomme qui reste accountable même quand le traitement est sous-traité
  • Je décris la chain of custody et son rôle dans l'admissibilité

4.1 Déterminer la conformité - lois, regulations, contrats, standards

Panorama des régimes de conformité classés en lois, regulations, contrats et standards
Figure 4.1 · Panorama des régimes de conformité classés en lois, regulations, contrats et standards

La première compétence est de classer une obligation. Une loi (law) est votée par un législateur et a force contraignante sur tous. Une regulation est édictée par une agence sous l'autorité d'une loi et a aussi force de loi. Un contrat est un engagement entre parties (ex : adhérer à PCI-DSS pour traiter des cartes). Un standard est un référentiel technique ou de bonnes pratiques, contraignant seulement s'il est imposé par une loi ou un contrat.

Panorama des régimes majeurs. SOX (Sarbanes-Oxley) : loi US visant l'intégrité du reporting financier des sociétés cotées, après les scandales comptables. PCI-DSS : standard privé du PCI Security Standards Council imposé par contrat à quiconque stocke, traite ou transmet des données de carte. SOC 1/2/3 (AICPA, sous SSAE 18) : rapports d'attestation - SOC 1 sur le contrôle interne lié au reporting financier (ICFR), SOC 2 sur les Trust Services Criteria (security, availability, confidentiality, processing integrity, privacy), SOC 3 version publique allégée du SOC 2.

HIPAA : loi US protégeant les données de santé (PHI). GDPR/RGPD : règlement UE, droits étendus des personnes, notification de breach sous 72 heures, sanctions jusqu'à 4 % du chiffre d'affaires mondial annuel. FISMA : loi imposant un programme de sécurité aux agences fédérales US et à leurs sous-traitants, articulé avec le NIST RMF.

Piège d'examen : ne confondez pas la nature des instruments. PCI-DSS n'est pas une loi - sa force vient du contrat avec les réseaux de paiement. Un rapport SOC n'est pas une certification de sécurité absolue mais une attestation d'un auditeur sur des contrôles à une date ou sur une période donnée.

Mots-clés EN SOX PCI-DSS SOC 1/2/3 GDPR FISMA
Points clés
  • Law et regulation ont force de loi ; un standard n'est contraignant que via loi ou contrat
  • PCI-DSS = standard imposé par contrat, pas une loi
  • SOC 1 = reporting financier ; SOC 2/3 = Trust Services Criteria
  • GDPR : notification 72 h, sanction jusqu'à 4 % du CA mondial annuel
  • FISMA s'applique aux agences fédérales US et à leurs sous-traitants

4.2 Systèmes et catégories de droit

Les systèmes juridiques diffèrent selon les pays. Le common law (anglo-saxon) s'appuie sur la jurisprudence et le précédent. Le civil law (droit continental) repose sur des codes écrits exhaustifs. Le customary law découle des coutumes et traditions, et le religious law tire ses règles d'un texte sacré. Beaucoup de pays sont hybrides.

Au sein du common law, on distingue trois catégories utiles à l'examen. Le droit criminel (criminal law) protège la société : l'État poursuit, le burden of proof est « au-delà du doute raisonnable » (beyond a reasonable doubt), la sanction peut être l'emprisonnement. Le droit civil (civil law au sens « tort ») règle les litiges entre parties privées : le standard est la « prépondérance de la preuve » (preponderance of the evidence), la sanction est financière (dommages-intérêts). Le droit administratif/réglementaire (administrative/regulatory law) est édicté par les agences : il a force de loi, son burden of proof est généralement bas.

Exemple : un employé détourne des fonds. L'État peut le poursuivre au pénal (prison) ; l'entreprise peut aussi le poursuivre au civil pour récupérer l'argent (dommages). Les deux actions coexistent avec des standards de preuve différents.

Piège d'examen : le burden of proof le plus élevé est celui du criminel (beyond a reasonable doubt). Le civil et le regulatory se contentent de la preponderance of evidence, donc plus faible. Ne mémorisez pas seulement les noms, mais l'ordre de sévérité.

Mots-clés EN Common law Beyond a reasonable doubt Preponderance of evidence Administrative/regulatory law
Points clés
  • Common law = précédent ; civil law = codes écrits
  • Criminal : État poursuit, beyond a reasonable doubt, prison possible
  • Civil : litige entre parties, preponderance of evidence, dommages
  • Regulatory : agence, force de loi, burden of proof bas
  • Une même conduite peut déclencher pénal ET civil simultanément

4.3 Cybercrime et data breaches

Le cybercrime désigne tout délit où l'ordinateur intervient comme outil de l'infraction (ex : fraude, phishing) ou comme cible de l'infraction (ex : intrusion, déni de service). Cette distinction outil/cible structure la qualification juridique et le type d'enquête.

Il faut distinguer breach et data disclosure. Un breach (violation de sécurité) est la perte de contrôle, de confidentialité ou d'intégrité d'un système ou d'une donnée. Une data disclosure est la divulgation effective de données à une partie non autorisée. Tout breach n'entraîne pas nécessairement une disclosure, mais une disclosure traduit presque toujours un breach. Les lois de notification (GDPR, lois d'État US) imposent souvent d'alerter régulateurs et personnes concernées sous délai.

Lois emblématiques. Aux US, le Computer Fraud and Abuse Act (CFAA) criminalise l'accès non autorisé ou excédant l'autorisation à un système protégé. De nombreux pays ont des textes équivalents ; le défi est l'extraterritorialité, car une attaque traverse souvent plusieurs juridictions.

Piège d'examen : un breach n'est pas synonyme de divulgation de données. Le scénario peut décrire un système compromis sans exfiltration prouvée ; la bonne réponse parle de breach (perte de contrôle) et non de disclosure. Attention aussi à ne pas confondre l'obligation de notification (déclencheur juridique) avec la simple détection technique.

Mots-clés EN Computer as tool vs target Breach Data disclosure CFAA
Points clés
  • Cybercrime : ordinateur comme outil OU comme cible
  • Breach (perte de contrôle) n'implique pas toujours disclosure (divulgation)
  • Une disclosure traduit presque toujours un breach sous-jacent
  • CFAA = texte US de référence sur l'accès non autorisé
  • Les lois de notification imposent un délai d'alerte

4.4 Propriété intellectuelle, import/export et transborder

Les 4 régimes de propriété intellectuelle et leurs durées
Figure 4.4 · Les 4 régimes de propriété intellectuelle et leurs durées

Quatre régimes de propriété intellectuelle sont à maîtriser. Le trademark (marque) protège un signe distinctif (nom, logo, slogan) identifiant l'origine d'un produit ; renouvelable indéfiniment tant qu'il est utilisé. Le patent (brevet) protège une invention nouvelle, utile et non évidente ; durée typique de 20 ans en échange d'une divulgation publique. Le copyright protège l'expression d'une oeuvre (code, texte, image), pas l'idée ; durée généralement de la vie de l'auteur plus 70 ans. Le trade secret protège une information confidentielle ayant une valeur économique (formule, algorithme) ; durée illimitée tant que le secret est maintenu, mais aucune protection si le secret fuite.

L'infringement (contrefaçon) est l'usage non autorisé : utiliser une marque protégée, fabriquer un produit breveté, copier une oeuvre, ou s'approprier un secret. Le DRM (Digital Rights Management) ajoute des contrôles techniques pour faire respecter les licences (ex : verrou empêchant la copie).

Les contrôles import/export limitent la circulation de biens sensibles. Le Wassenaar Arrangement coordonne le contrôle des dual-use goods (biens à double usage civil/militaire), dont certaines technologies de chiffrement. Le transborder data flow désigne le transfert de données à travers les frontières ; il est encadré par des régimes comme le GDPR qui restreignent les transferts vers des pays sans protection adéquate.

Piège d'examen : pour protéger un algorithme secret, le trade secret peut surpasser le patent. Le brevet exige une divulgation publique et expire après 20 ans ; le trade secret reste protégé indéfiniment tant qu'il n'est pas révélé. Le choix dépend du risque de rétro-ingénierie et de la durée de l'avantage recherché.

Mots-clés EN Trademark Patent Copyright Trade secret Wassenaar Arrangement EULA ITAR / EAR
Points clés
  • Trademark = signe distinctif, renouvelable indéfiniment
  • Patent = ~20 ans, exige une divulgation publique
  • Copyright = expression (pas l'idée), vie + 70 ans
  • Trade secret = illimité mais aucune protection après une fuite
  • Wassenaar = dual-use goods et contrôle de la crypto à l'export

4.5 Vie privée et principes OECD

La privacy concerne la protection des PII (Personally Identifiable Information), toute donnée permettant d'identifier une personne. L'organisation qui collecte des PII assume des obligations : minimiser la collecte, sécuriser, informer, et permettre l'exercice des droits des personnes.

Les huit principes OECD (1980, révisés) constituent le socle international le plus cité. 1) Collection Limitation : collecter de façon licite et loyale, idéalement avec le consentement. 2) Data Quality : données pertinentes, exactes, à jour. 3) Purpose Specification : finalité annoncée avant la collecte. 4) Use Limitation : ne pas utiliser au-delà de la finalité déclarée sans consentement ou base légale. 5) Security Safeguards : protéger par des mesures raisonnables. 6) Openness : transparence sur les pratiques. 7) Individual Participation : la personne peut consulter, contester, corriger ses données. 8) Accountability : le data controller répond du respect de tous ces principes.

Point clé : c'est le data controller qui reste accountable, même lorsqu'il sous-traite le traitement à un data processor. Externaliser une activité n'externalise pas la responsabilité légale.

Piège d'examen : la question oppose souvent data controller et data processor. Le processor agit pour le compte du controller, mais l'accountability finale - et donc la sanction - vise le controller. Ne choisissez pas le sous-traitant comme responsable du respect des principes OECD ou du GDPR.

Mots-clés EN PII OECD 8 principles Data controller Data processor
Points clés
  • PII = toute donnée identifiant une personne
  • Les 8 principes OECD vont de Collection Limitation à Accountability
  • Purpose Specification + Use Limitation lient l'usage à la finalité déclarée
  • Le data controller reste accountable, pas le processor
  • Externaliser le traitement n'externalise pas la responsabilité

4.6 Types d'investigation, forensique et chain of custody

Cycle d'investigation reliant collecte, préservation et chain of custody
Figure 4.6 · Cycle d'investigation reliant collecte, préservation et chain of custody

Quatre types d'investigation se distinguent par leurs acteurs, leur burden of proof et leur finalité. L'administrative investigation est interne à l'organisation, vise à éclairer une décision de gestion (RH, conformité interne) et a un burden of proof faible. La criminal investigation est menée avec les forces de l'ordre, vise une condamnation pénale et exige le burden of proof le plus élevé (beyond a reasonable doubt). La civil investigation soutient un litige entre parties privées et repose sur la preponderance of evidence. La regulatory investigation est conduite par un régulateur pour vérifier la conformité à une réglementation, avec un burden of proof généralement bas.

Le choix du type oriente la rigueur de collecte. Une enquête susceptible de devenir criminelle doit dès le départ respecter les standards forensiques les plus stricts, car on ne peut pas reconstituer la rigueur après coup. Standards de référence : ISO/IEC 27037 (identification, collecte, acquisition, préservation des preuves numériques), ISO/IEC 27043 (principes des processus d'investigation), et NIST SP 800-86 (intégration du forensique à la réponse à incident).

L'admissibilité des preuves dépend de leur pertinence, leur fiabilité et leur légalité d'obtention. La chain of custody documente qui a manipulé chaque élément, quand, où et pourquoi, depuis la collecte jusqu'au tribunal. Une chain of custody rompue peut rendre une preuve irrecevable, même si elle est techniquement valable.

Piège d'examen : après un incident, si une criminal investigation démarre, traitez immédiatement la scène selon les standards les plus élevés. Le piège classique propose de « commencer en interne puis voir » - mais une collecte bâclée détruit la valeur probante. Quand le pénal est plausible, alignez-vous sur son exigence.

Mots-clés EN Administrative investigation Criminal investigation Chain of custody ISO/IEC 27037 NIST SP 800-86 eDiscovery (EDRM) Admissibilite (relevant, reliable, material) Subpoena vs search warrant
Points clés
  • 4 types : administrative, criminal, civil, regulatory
  • Criminal = burden of proof le plus élevé, forces de l'ordre
  • Si le pénal est plausible, appliquer les standards forensiques les plus stricts
  • ISO 27037/27043 et NIST SP 800-86 cadrent le forensique
  • Une chain of custody rompue rend la preuve irrecevable

4.7 Licences logicielles et controles import/export (ITAR, EAR, Wassenaar)

Le logiciel est une forme de propriete intellectuelle : l'acheteur n'acquiert pas une copie mais un droit d'usage encadre par une licence. Le CISSP doit reconnaitre quatre grands modeles. La licence contractual (negociee) est un accord ecrit signe entre les parties, avec des clauses sur mesure (perimetre, duree, nombre de postes) ; c'est la forme la plus solide juridiquement. La licence shrink-wrap tire son nom de l'emballage plastique : l'acceptation des termes est reputee acquise des l'ouverture du paquet, sans signature. La licence click-through (aussi click-wrap) demande a l'utilisateur de cliquer "J'accepte" avant d'installer ou d'utiliser le logiciel ; le consentement est l'acte du clic. Enfin, l'EULA (End-User License Agreement), notamment pour les services cloud, definit les limites d'usage : qui peut utiliser, comment, pour combien de temps, et si l'oeuvre derivee est autorisee et protegee.

Le point d'examen est que le EULA fait payer le droit d'usage, pas la propriete de la copie. Definir clairement use limitations (qui, comment, combien de temps) est essentiel ; dans certains pays de l'UE, l'accord de licence doit etre enregistre aupres d'un office national de la propriete intellectuelle. Le DRM ajoute des controles techniques (verrous, geolocalisation, "phone home") pour faire respecter la licence, ce qui souleve des debats sur le fair use.

Les controles import/export limitent la circulation des technologies sensibles, en particulier la cryptographie. Au-dela du Wassenaar Arrangement (deja vu : 42 pays, dual-use goods et chiffrement), deux regimes US sont incontournables. L'ITAR (International Traffic in Arms Regulations), administre par le Department of State, encadre les articles et services strictement militaires inscrits sur l'US Munitions List. L'EAR (Export Administration Regulations), administre par le Department of Commerce (BIS), couvre les biens commerciaux et dual-use, dont une grande partie du chiffrement, via la Commerce Control List. La Militarily Critical Technologies List (MCTL) detaille en outre des technologies exigeant une autorisation d'export specifique.

Piege d'examen : ne reduisez pas l'import/export au seul Wassenaar. Distinguez ITAR (militaire pur, Department of State) de l'EAR (commercial et dual-use, Department of Commerce). Des pays comme la Russie, la Chine et la Coree du Nord imposent en plus de fortes restrictions sur l'usage de la cryptographie par leurs citoyens, ce qui peut rendre illegale l'introduction d'un simple appareil chiffrant en voyage.

Mots-clés EN Shrink-wrap license Click-through (click-wrap) EULA ITAR EAR MCTL
Points clés
  • Licences : contractual (signee), shrink-wrap (a l'ouverture), click-through (au clic), EULA (cloud)
  • Un EULA fait payer le droit d'usage, jamais la propriete de la copie
  • ITAR = militaire pur, Department of State, US Munitions List
  • EAR = commercial et dual-use, Department of Commerce (BIS), Commerce Control List
  • Wassenaar et MCTL completent le dispositif ; le chiffrement est l'enjeu central
  • Certains pays interdisent a leurs citoyens l'usage de la crypto (Russie, Chine, Coree du Nord)

4.8 Panorama des lois de privacy (US et international)

La privacy americaine est dite sectorielle : il n'existe pas de loi federale unique, mais un patchwork de textes par secteur, complete par des lois d'Etat et supervise pour le commerce general par la FTC (Federal Trade Commission). Trois textes federaux reviennent a l'examen. HIPAA protege les donnees de sante (PHI). Le GLBA (Gramm-Leach-Bliley Act) protege les donnees financieres des clients des institutions financieres. COPPA (Children's Online Privacy Protection Act) protege les donnees des enfants de moins de 13 ans en ligne. Au niveau des Etats, la CCPA (California Consumer Privacy Act, 2018) est la protection la plus forte des US, sans toutefois etre jugee adequate au sens du GDPR ; CalOPPA imposait deja la publication d'une politique de confidentialite.

Deux textes encadrent la surveillance. L'ECPA (Electronic Communications Privacy Act) protege les communications electroniques contre l'interception. Le Fourth Amendment protege contre les fouilles et saisies abusives, mais uniquement face au gouvernement : il ne contraint pas ce qu'une organisation privee fait de ses propres donnees, et celle-ci peut remettre volontairement des informations a l'Etat sur simple demande. L'USA PATRIOT Act (2001) a etendu les pouvoirs de search and seizure, en autorisant des national security letters servies sans intervention d'un juge ni subpoena, et interdit souvent de divulguer au data subject qu'une telle lettre a ete recue.

A l'international, les transferts hors UE dependent des adequacy decisions du GDPR (Japon, Nouvelle-Zelande, Argentine, Canada sont approuves ; les US ne le sont pas). Les dispositifs US successifs - Safe Harbor puis Privacy Shield - ont ete invalides par la CJEU (Schrems II, 2020) car n'offrant pas une protection suffisante face a la surveillance US. Restent les Standard Contractual Clauses (SCC, petites entreprises) et les Binding Corporate Rules (BCR, grands groupes, approuvees par une autorite de controle), eux-memes fragilises par Schrems II. L'EU Digital Markets Act vise les "gatekeepers" (Amazon, Apple, Meta, Microsoft) avec des amendes jusqu'a 10 % du CA mondial (20 % en recidive).

De nombreux pays ont des lois GDPR-like : Bresil (LGPD), Argentine, Chili (privacy declaree droit constitutionnel), Colombie, Australie (Notifiable Data Breaches : breach a declarer sous 30 jours au-dela de AU 3 M de CA), Afrique du Sud (POPIA). La data localization impose de stocker certaines donnees sur le territoire national : la Russie exige que toute donnee relative a un citoyen russe reside physiquement sur des serveurs en Russie, ce qui force des data centers locaux. Les Cross-Border Privacy Rules (CBPR) de l'APEC et le right to be forgotten (droit a l'effacement, GDPR) completent ce paysage mouvant.

Piege d'examen : ne confondez pas les regimes US sectoriels (HIPAA = sante, GLBA = finance, COPPA = enfants) et ne dites jamais que les US disposent d'une loi federale generale equivalente au GDPR. Sachez que Safe Harbor et Privacy Shield ont ete invalides (Schrems), que les US n'ont pas d'adequacy decision, et que le data controller reste accountable des transferts internationaux.

Au Canada, la loi-cadre est le PIPEDA (2000). Dans l'UE, la vie privée des communications électroniques relève aussi de l'ePrivacy Directive (2002/58/EC), antérieure et complémentaire au RGPD.

Mots-clés EN GLBA COPPA CCPA Schrems II Adequacy decision SCC / BCR USA PATRIOT Act Fourth Amendment Data localization POPIA PIPEDA (Canada) ePrivacy Directive (2002/58/EC) WIPO
Points clés
  • Privacy US sectorielle : HIPAA (sante), GLBA (finance), COPPA (enfants), pas de loi federale generale
  • CCPA = protection d'Etat la plus forte des US, mais non adequate GDPR
  • Safe Harbor puis Privacy Shield invalides par la CJEU (Schrems II) ; les US n'ont pas d'adequacy decision
  • Transferts hors UE via adequacy decision, SCC ou BCR
  • Fourth Amendment vise le gouvernement, pas le prive ; PATRIOT Act = national security letters sans juge
  • Data localization (Russie), POPIA, LGPD, lois GDPR-like : le controller reste accountable

Cas d'étude

Cas · Étude de cas

Choisir le type d'investigation après un incident

Contexte : Une entreprise détecte qu'un administrateur a copié une base clients vers un disque externe avant de démissionner. Les indices suggèrent une possible revente à un concurrent, ce qui pourrait constituer un délit. Le DSI propose de « regarder ça en interne d'abord, sans formaliser, pour ne pas alarmer ».

Question : Quel type d'investigation privilégier et avec quelles précautions de collecte ?

Voir l'analyse et la correction

Le scénario présente un fait potentiellement criminel (vol de données, possible violation du CFAA et de secrets d'affaires). Même si l'organisation lance d'abord une administrative investigation pour éclairer sa décision, elle doit anticiper une bascule vers le criminal.

La règle de prudence est d'appliquer immédiatement les standards forensiques les plus élevés (ISO/IEC 27037, NIST SP 800-86) : imager le disque, documenter chaque manipulation, et établir une chain of custody dès la première saisie. Une collecte informelle « pour voir » détruirait la valeur probante si l'affaire devient pénale.

Le piège est de croire qu'on peut « formaliser plus tard ». La rigueur perdue au départ ne se rattrape pas. La bonne posture est : traiter la scène comme criminelle par défaut quand le pénal est plausible, tout en menant l'analyse de gestion.

À retenir : Quand le pénal est plausible, collectez d'emblée selon les standards forensiques les plus stricts et tenez une chain of custody.

Cas · Étude de cas

Quel régime IP pour protéger un algorithme

Contexte : Une start-up a développé un algorithme de scoring qui constitue son avantage concurrentiel. La direction hésite : déposer un patent pour une protection officielle, ou garder l'algorithme en trade secret. L'algorithme est difficile à rétro-ingénier à partir du produit final.

Question : Quel régime de propriété intellectuelle recommander, et pourquoi ?

Voir l'analyse et la correction

Le patent offre une protection forte mais exige une divulgation publique complète de l'invention et expire après environ 20 ans. Passé ce délai, l'algorithme tombe dans le domaine public et tout concurrent peut l'exploiter.

Le trade secret protège l'information de façon illimitée tant qu'elle reste confidentielle et qu'on prend des mesures raisonnables pour la garder secrète (NDA, cloisonnement, contrôle d'accès). Comme l'algorithme est difficile à rétro-ingénier, le risque de fuite par le produit est faible, ce qui rend le trade secret particulièrement adapté.

La recommandation est le trade secret : pas de divulgation, protection potentiellement perpétuelle, et avantage concurrentiel préservé. Le patent serait préférable si le risque de rétro-ingénierie ou de réinvention indépendante était élevé, car il fournirait alors un droit exclusif opposable malgré la divulgation.

À retenir : Trade secret quand la rétro-ingénierie est improbable ; patent quand le risque de réinvention justifie une exclusivité opposable malgré la divulgation.

Cas · Etude de cas

Transferer des donnees RH de l'UE vers les Etats-Unis

Contexte : Un groupe multinational veut centraliser toutes les donnees RH de ses filiales, dont plusieurs en UE, sur un data center unique aux Etats-Unis pour reduire ses couts. Le DPO rappelle que les US n'ont pas d'adequacy decision et que le Privacy Shield a ete invalide.

Question : Le transfert est-il possible, et sous quelles conditions juridiques ?

Voir l'analyse et la correction

Le GDPR interdit le transfert vers un pays sans protection adequate, sauf mecanisme autorise. Les US n'ayant pas d'adequacy decision, et Safe Harbor puis Privacy Shield ayant ete invalides par la CJEU (Schrems II) en raison de la surveillance US, le groupe ne peut pas s'appuyer sur ces dispositifs.

Les voies restantes sont les Standard Contractual Clauses (SCC) pour des entites de taille modeste et les Binding Corporate Rules (BCR), approuvees par une autorite de controle, pour un grand groupe intra-organisation. Schrems II a toutefois fragilise les SCC : l'exportateur doit verifier au cas par cas que le droit du pays destinataire n'empeche pas leur respect, et prevoir des mesures supplementaires (chiffrement, pseudonymisation), le traitement pouvant etre suspendu a tout stade.

La bonne reponse n'est donc pas "impossible" ni "libre", mais : transfert possible via BCR (adaptees a un groupe) assorties de garanties techniques, apres analyse d'impact. Surtout, le data controller reste accountable du respect du GDPR malgre la localisation US et l'externalisation eventuelle du traitement.

À retenir : Hors adequacy decision, un transfert UE vers US passe par SCC ou BCR avec garanties supplementaires (post-Schrems II) ; le controller reste accountable.

Cas · Activité guidée (exemples nationaux/régionaux du manuel)

Transferts internationaux face à des lois de privacy hétérogènes

Contexte : Une entreprise multinationale traite des données de résidents de l'UE, du Canada, du Brésil et de Californie. Chaque juridiction a sa propre loi (GDPR, PIPEDA, LGPD, CCPA) et certaines, comme l'UE, restreignent les transferts vers des pays sans protection adéquate.

Question : Comment l'entreprise peut-elle rester conforme alors que les lois divergent et que les transferts transfrontaliers sont encadrés ?

Voir l'analyse et la correction

D'abord cartographier les données par juridiction et identifier la loi applicable à chaque flux. Pour les transferts hors UE, s'appuyer sur des mécanismes reconnus : Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR) ou une décision d'adéquation - le Privacy Shield ayant été invalidé (arrêt Schrems II).

Appliquer le plus haut dénominateur commun quand c'est possible (souvent le GDPR), tout en respectant les spécificités locales (droit à l'oubli en UE, opt-out de vente sous CCPA, etc.). Le data controller reste accountable même si le traitement est sous-traité.

La data localization peut imposer de garder certaines données dans le pays d'origine (ex : Russie). En cas de conflit entre lois, documenter l'analyse et arbitrer avec le juridique.

À retenir : Cartographier par juridiction, transférer via SCC/BCR/adéquation, viser le plus haut standard ; le controller reste accountable.

Piège d'examen

Criminal vs civil : ne pas inverser le burden of proof

Le burden of proof le plus exigeant est celui du criminal : beyond a reasonable doubt. Le civil et le regulatory se contentent de la preponderance of evidence, plus facile à atteindre. L'erreur classique est d'attribuer le standard élevé au civil. Mémorisez l'ordre : criminel (le plus haut) > civil et regulatory (preponderance).

Piège d'examen

Patent vs trade secret et SOC 1 vs SOC 2

Deux confusions fréquentes. Côté IP : le patent exige une divulgation publique et expire (~20 ans), alors que le trade secret est illimité mais s'effondre dès qu'il fuite. Côté attestation : le SOC 1 porte sur le contrôle interne lié au reporting financier (ICFR), tandis que le SOC 2 porte sur les Trust Services Criteria (security, availability, confidentiality, processing integrity, privacy). Ne choisissez pas le SOC 1 pour évaluer la sécurité d'un fournisseur cloud.

Piège d'examen

ITAR vs EAR et Wassenaar : ne pas tout confondre

Le piege est de croire que tout l'export passe par le seul Wassenaar Arrangement. Distinguez : ITAR (International Traffic in Arms Regulations) = articles strictement militaires (US Munitions List), administre par le Department of State ; EAR (Export Administration Regulations) = biens commerciaux et dual-use, dont beaucoup de chiffrement (Commerce Control List), administre par le Department of Commerce/BIS ; Wassenaar = accord multilateral coordonnant les dual-use goods et la crypto. Un produit de chiffrement commercial releve typiquement de l'EAR, pas de l'ITAR.

Piège d'examen

Pas d'ordre impose entre les types d'investigation

Erreur classique : croire qu'une administrative investigation doit toujours preceder, ou qu'une criminal investigation suspend automatiquement les autres. En realite, un meme acte peut declencher plusieurs investigations (administrative, civil, regulatory, criminal, industry standard) qui se deroulent en serie ET en parallele, chaque corps enquetant librement sauf restriction judiciaire. Notez aussi le cinquieme type souvent oublie : Industry Standards.

Point de contrôle — Vérification - Module 4

  1. Pourquoi PCI-DSS n'est-il pas considéré comme une loi ?

    • A C'est un standard privé dont la force vient d'obligations contractuelles
    • B C'est une regulation édictée par une agence fédérale
    • C C'est une loi mais seulement aux États-Unis
    • D C'est une recommandation OECD sans portée contraignante
    Réponse & justification

    Réponse : A — C'est un standard privé dont la force vient d'obligations contractuelles

    PCI-DSS est un standard du PCI Security Standards Council ; il s'impose par contrat aux entités traitant des données de carte, pas par voie législative.

  2. Quel burden of proof s'applique à une criminal investigation ?

    • A Preponderance of evidence
    • B Beyond a reasonable doubt
    • C Clear and convincing evidence uniquement
    • D Aucun, l'aveu suffit
    Réponse & justification

    Réponse : B — Beyond a reasonable doubt

    Le criminel exige le standard le plus élevé, beyond a reasonable doubt ; le civil et le regulatory se contentent de la preponderance of evidence.

  3. Pour protéger un algorithme secret difficile à rétro-ingénier sur le long terme, quel régime privilégier ?

    • A Patent, pour la divulgation publique
    • B Copyright, qui couvre les idées
    • C Trade secret, protection illimitée tant qu'il reste confidentiel
    • D Trademark, pour identifier le produit
    Réponse & justification

    Réponse : C — Trade secret, protection illimitée tant qu'il reste confidentiel

    Le trade secret évite la divulgation imposée par le patent et reste protégé indéfiniment si la confidentialité est maintenue ; le copyright ne protège pas les idées.

  4. Sous le GDPR, qui reste accountable de la conformité lorsque le traitement est sous-traité ?

    • A Le data processor
    • B Le data controller
    • C L'autorité de régulation
    • D La personne concernée
    Réponse & justification

    Réponse : B — Le data controller

    Le data controller décide des finalités et reste accountable ; externaliser le traitement à un processor n'externalise pas la responsabilité légale.

  5. Quel est le rôle de la chain of custody dans une enquête ?

    • A Chiffrer les preuves pour les rendre confidentielles
    • B Documenter qui a manipulé chaque preuve, quand et pourquoi, pour préserver l'admissibilité
    • C Déterminer le burden of proof applicable
    • D Notifier le breach au régulateur sous 72 heures
    Réponse & justification

    Réponse : B — Documenter qui a manipulé chaque preuve, quand et pourquoi, pour préserver l'admissibilité

    La chain of custody trace la manipulation des preuves de la collecte au tribunal ; une chaîne rompue peut rendre une preuve irrecevable même si elle est valable techniquement.

  6. Une licence ou l'utilisateur accepte les termes en cliquant "J'accepte" avant d'installer le logiciel est dite :

    • A Shrink-wrap
    • B Click-through (click-wrap)
    • C Contractual negociee
    • D Binding Corporate Rule
    Réponse & justification

    Réponse : B — Click-through (click-wrap)

    La click-through (ou click-wrap) tire le consentement de l'acte du clic. La shrink-wrap repose sur l'ouverture de l'emballage ; la contractual est signee.

  7. Quel regime US encadre l'export des biens commerciaux et dual-use, dont une grande partie du chiffrement ?

    • A ITAR (Department of State)
    • B EAR (Department of Commerce / BIS)
    • C HIPAA
    • D Wassenaar Arrangement uniquement
    Réponse & justification

    Réponse : B — EAR (Department of Commerce / BIS)

    L'EAR, administre par le Department of Commerce (BIS), couvre le commercial et le dual-use ; l'ITAR vise les articles strictement militaires (US Munitions List).

  8. Pourquoi un transfert de PII de l'UE vers les Etats-Unis ne peut-il pas s'appuyer sur le Privacy Shield ?

    • A Parce que les US ont obtenu une adequacy decision
    • B Parce que la CJEU l'a invalide (Schrems II) faute de protection suffisante
    • C Parce que le GDPR interdit tout transfert international
    • D Parce que la CCPA le remplace automatiquement
    Réponse & justification

    Réponse : B — Parce que la CJEU l'a invalide (Schrems II) faute de protection suffisante

    La CJEU a invalide Safe Harbor puis Privacy Shield (Schrems II) en raison de la surveillance US ; restent les SCC et les BCR avec garanties supplementaires.

  9. Pour qu'une preuve numerique soit admissible, elle doit notamment etre :

    • A Chiffree, anonymisee et horodatee
    • B Relevant, reliable/competent et material (pertinente, fiable, substantielle)
    • C Approuvee par le regulateur sectoriel
    • D Issue d'une administrative investigation prealable
    Réponse & justification

    Réponse : B — Relevant, reliable/competent et material (pertinente, fiable, substantielle)

    L'admissibilite repose sur la pertinence (relevant), la fiabilite/competence (reliable) et le caractere substantiel (material) de la preuve, sa collecte legale et une chain of custody intacte.

Points essentiels à retenir

  • Une obligation se classe en loi, regulation, contrat ou standard ; PCI-DSS est un standard contractuel
  • SOC 1 = reporting financier, SOC 2/3 = Trust Services Criteria ; GDPR = 72 h et jusqu'à 4 % du CA
  • Criminal = beyond a reasonable doubt (le plus élevé) ; civil et regulatory = preponderance of evidence
  • Patent (~20 ans, divulgation) vs trade secret (illimité, mais nul si fuite) ; copyright protège l'expression, pas l'idée
  • Le data controller reste accountable des 8 principes OECD, même en cas de sous-traitance
  • Quand le pénal est plausible, appliquez ISO 27037/NIST SP 800-86 et tenez une chain of custody dès la collecte
  • Licences : contractual (signee), shrink-wrap (ouverture), click-through (clic), EULA (cloud) - on paie l'usage, pas la copie
  • Export US : ITAR (militaire, State) vs EAR (commercial/dual-use, Commerce) ; Wassenaar et MCTL completent
  • Privacy US sectorielle : HIPAA (sante), GLBA (finance), COPPA (enfants), CCPA (Etat le plus protecteur), pas de loi federale generale
  • Safe Harbor et Privacy Shield invalides (Schrems II) ; transferts hors UE via adequacy decision, SCC ou BCR
  • Fourth Amendment et PATRIOT Act/ECPA : le prive peut remettre des donnees, les national security letters se passent de juge
  • Investigations : 5 types (dont Industry Standards), serielles ET paralleles sans ordre impose ; admissibilite = relevant, reliable, material + eDiscovery (EDRM)
Module 5 Objectif J 165 min Avancé

Gestion des risques

Prérequis : Module 1 (risk triad) et module 3 (gouvernance, risk appetite).

La gestion des risques (risk management) est le cœur du Domaine 1 et la zone la plus rentable en points d'examen. Tout part d'une equation simple : un risk n'existe que lorsqu'une threat exploite une vulnerability sur un asset qui a de la valeur. Supprimez n'importe lequel des trois et le risk tombe a zero. Ce module vous fait passer de la terminologie (asset value, exposure factor, inherent vs residual risk) au processus structure du NIST SP 800-30, puis aux deux familles d'analyse - qualitative (matrice Probability x Impact) et quantitative (SLE/ALE/ARO) - avant d'aborder le traitement (Avoid, Transfer, Mitigate, Accept) et la taxonomie des controls.

Le piege recurrent de l'examen : confondre des concepts proches mais distincts. SLE n'est pas ALE ; risk transfer n'elimine pas le risk ; un control type (administrative/technical/physical) n'est pas une control category (preventive/detective...). Et surtout, c'est le risk owner (senior management), jamais l'analyste securite, qui signe l'acceptation d'un risk. Gardez ces distinctions en tete tout au long du module - elles valent des points directs.

Objectifs pédagogiques

  • Definir asset value, threat, vulnerability, exposure factor et distinguer inherent risk de residual risk via la notion de control gap
  • Derouler les 6 etapes du processus NIST SP 800-30 d'analyse de risque
  • Conduire une analyse qualitative avec une matrice Probability x Impact et reconnaitre sa nature subjective
  • Calculer SLE, ALE et ARO, puis comparer l'ALE au cout d'une safeguard pour decider
  • Choisir le traitement adapte parmi Avoid, Transfer, Mitigate, Accept et savoir qui valide l'acceptation
  • Classer les controls par type (administrative/technical/physical) et par categorie fonctionnelle sur la timeline d'incident
  • Mettre en place la surveillance continue : Security Control Assessment, KPI, RMM et frameworks de reference

Critères de réussite

  • Je calcule un ALE complet (AV -> EF -> SLE -> ARO -> ALE) et je decide d'une safeguard
  • Je distingue sans hesiter inherent risk et residual risk, control type et control category
  • J'identifie le bon risk treatment et le bon signataire pour un scenario donne
  • Je situe chaque control sur la timeline d'incident (avant/pendant/apres)

5.1 Fondamentaux et terminologie du risque

Le risk repose sur un triad : asset, threat, vulnerability. Un asset est tout ce qui a de la valeur pour l'organisation (donnees, systemes, personnes, reputation), et c'est sa valeur (asset value, AV) qui dicte le niveau de protection raisonnable. Une threat est un evenement potentiellement nuisible - naturel (seisme, inondation), technique (panne electrique, malware) ou humain (employe mecontent). Une vulnerability est une faiblesse qui permet a une threat de causer un dommage (datacenter sans onduleur, OS non patche). Retenez le principe d'exclusion : un systeme Linux n'a aucune vulnerability au ver Conficker, donc aucun risk associe - pas de vulnerability, pas de risk.

La formule conceptuelle de l'inherent risk est : Threat x Vulnerability x Asset value. C'est le risk brut, AVANT tout control. Aucun control n'elimine totalement le risk : il subsiste toujours un control gap (la part que le control ne couvre pas). Le residual risk est donc : (Threat x Vulnerability x Asset value) x control gap, autrement dit ce qui reste APRES l'application des controls. Piege classique : ne confondez pas residual risk et risk acceptance. Le residual risk est une quantite ; l'acceptance est une decision (l'organisation choisit de ne rien faire de plus).

L'exposure factor (EF) est la fraction de valeur d'un asset detruite par une occurrence d'un risk event : un asset totalement detruit a un EF de 1.0, un systeme triple-redondant qui perd un nud a un EF d'environ 1/3. Cote tolerance, distinguez risk appetite (le niveau de risk que l'organisation est prete a rechercher pour atteindre ses objectifs) et risk tolerance (l'ecart acceptable autour de ce niveau pour un risk donne). L'acceptable risk est le minimum de risk que l'organisation accepte de porter. Tous ces risks identifies, evalues et traites sont consignes dans le risk register, le registre central qui trace chaque risk, son owner, son traitement et son statut.

Mots-clés EN Asset value (AV) Inherent risk Residual risk Control gap Risk appetite vs risk tolerance Risk register
Points clés
  • Pas de vulnerability OU pas de threat OU pas de valeur d'asset => pas de risk.
  • Inherent risk = avant controls ; residual risk = apres controls ; le control gap explique l'ecart.
  • Residual risk (quantite) n'est pas risk acceptance (decision).
  • Risk appetite (niveau recherche) se distingue de risk tolerance (ecart accepte).

5.2 Le processus d'analyse de risque NIST SP 800-30

Schema des 6 etapes du processus d'analyse de risque NIST SP 800-30.
Figure 5.2 · Schema des 6 etapes du processus d'analyse de risque NIST SP 800-30.

Le NIST SP 800-30, Risk Management Guide for Information Technology Systems, decrit un processus d'analyse de risque structure en six etapes. Le suivre garantit que l'analyse est repetable et defendable devant la direction.

Etape 1 - System Characterization : delimiter le perimetre (scope) de l'effort et decrire les systemes analyses (donnees, interfaces, frontieres). Etape 2 - Threat Identification : recenser les sources de menace pertinentes. Etape 3 - Vulnerability Identification : recenser les faiblesses exploitables. Ces deux etapes alimentent la formule Risk = Threat x Vulnerability x Asset.

Etape 4, en trois temps : 4a Control Analysis (analyser les controls/safeguards deja en place ou planifies pour reduire le risk), puis 4b Likelihood Determination et Impact Analysis (croiser probabilite et impact pour faire ressortir les risks critiques : haute probabilite x fort impact). Etape 5 - Countermeasure Recommendations : recommander des controls selon des criteres de cout (achat, conception, implementation, modifications d'environnement, compatibilite avec les autres countermeasures, maintenance, support, effet sur la productivite). Etape 6 - Document results : rapporter les constats au senior management et aux sponsors. Piege : l'analyste recommande (etape 5), mais la decision de traitement et la documentation finale remontent au management (etape 6) - l'analyste ne decide pas seul.

Mots-clés EN System Characterization Control Analysis Likelihood / Impact Countermeasure Recommendations
Points clés
  • 6 etapes : Characterization -> Threat ID -> Vulnerability ID -> Control/Likelihood/Impact -> Countermeasure -> Document.
  • La formule Risk = Threat x Vulnerability x Asset structure les etapes 2-3.
  • L'analyste recommande ; le management decide et valide la documentation finale.

5.3 Analyse qualitative et matrice Probability x Impact

Matrice de risque Probability x Impact avec zones Low a Very High.
Figure 5.3 · Matrice de risque Probability x Impact avec zones Low a Very High.

L'analyse qualitative est scenario-based : pour chaque menace majeure pesant sur un asset, l'equipe construit un scenario What if ? et evalue l'exposure et le potentiel de perte si la menace se realisait. Elle n'assigne aucun montant en dollars ; elle produit un classement relatif a partir d'echelles subjectives. C'est sa force (rapide, peu de donnees, facile a communiquer) et sa faiblesse (subjectivite).

L'outil central est la matrice Probability x Impact. Une echelle de probabilite type va de Frequent (A) -> Probable (B) -> Occasional (C) -> Remote (D) -> Improbable (E). Une echelle d'impact type va de Negligible (1) -> Marginal (2) -> Important/Critical (3-4) -> Catastrophic (5). Le croisement classe chaque scenario en Low / Medium / High / Very High risk. Exemple : un scenario Frequent x Catastrophic tombe en Very High risk et exige une action immediate ; un scenario Improbable x Negligible tombe en Low risk et peut souvent etre accepte.

Piege d'examen majeur : on n'additionne ni ne moyenne jamais des cotations qualitatives. Une echelle 1-10 trompe l'utilisateur en laissant croire qu'un risk note 8 est quatre fois plus grave qu'un risk note 2, ce qui est faux - ce sont des ordinaux, pas des grandeurs arithmetiques. Pour faire de l'arithmetique (comparer une perte attendue au cout d'un control), il faut basculer en quantitatif.

Mots-clés EN Scenario-based Probability x Impact matrix Subjective FAIR Newness / Uniqueness
Points clés
  • Qualitatif = scenarios + echelles relatives, subjectif, pas de dollars.
  • Matrice P x I : Frequent..Improbable x Negligible..Catastrophic -> Low..Very High.
  • Interdit d'additionner ou moyenner des cotations qualitatives (ce sont des ordinaux).

5.4 Analyse quantitative : SLE, ALE, ARO

Enchainement AV x EF = SLE puis SLE x ARO = ALE.
Figure 5.4 · Enchainement AV x EF = SLE puis SLE x ARO = ALE.

L'analyse quantitative assigne des valeurs monetaires reelles, ce qui permet de faire de l'arithmetique et de comparer directement une perte attendue au cout d'une safeguard - le langage que comprend la direction. Trois grandeurs cles s'enchainent.

Le single loss expectancy (SLE) est la perte attendue d'UNE occurrence : SLE = AV x EF, ou AV est l'asset value et EF l'exposure factor (fraction <1 detruite par l'evenement). L'annual rate of occurrence (ARO) est le nombre de fois par an ou l'evenement est attendu. L'annual loss expectancy (ALE) est la perte attendue sur un an : ALE = SLE x ARO.

Exemple chiffre. Un vehicule vaut AV = 5 000 $. En cas de collision, le dommage attendu est EF = 20 % (0,2). Ce type de collision survient une fois tous les 4 ans, soit ARO = 0,25. On calcule : SLE = 5 000 x 0,2 = 1 000 $ ; ALE = SLE x ARO = 1 000 x 0,25 = 250 $. Decision : la regle est de comparer l'ALE au cout annuel de la safeguard. Si une assurance coute 200 $/an (< ALE de 250 $), la transferer est rationnel ; si elle coute 400 $/an (> ALE), payer la safeguard reviendrait a depenser plus que la perte attendue - mieux vaut accepter ou chercher moins cher. Regle d'or : ne jamais depenser plus pour traiter un risk que le cout du risk lui-meme. Piege : EF s'exprime en fraction, ARO peut etre < 1 (evenement plus rare qu'annuel), et l'ARO n'est PAS le SLE.

Mots-clés EN SLE = AV x EF ARO ALE = SLE x ARO Exposure factor (EF) Echantillon statistiquement significatif
Points clés
  • Chaine : AV x EF = SLE ; SLE x ARO = ALE.
  • Decider : si cout annuel de la safeguard < ALE => traiter ; sinon accepter.
  • Ne jamais depenser plus pour un control que la valeur du risk traite.

5.5 Traitement du risque : Avoid, Transfer, Mitigate, Accept

Les quatre options de traitement du risque : Mitigate, Avoid, Reduce/Transfer, Transfer.
Figure 5.5 · Les quatre options de traitement du risque : Mitigate, Avoid, Reduce/Transfer, Transfer.

Une fois un risk priorise, l'organisation choisit un traitement parmi quatre options (mnemo MART : Mitigate, Avoid, Reduce/Transfer, Transfer). Risk avoidance : cesser l'activite exposee (fermer un magasin en zone a haute criminalite, deplacer une usine hors d'une zone d'ouragans). On y recourt quand l'impact potentiel est trop eleve pour etre compense par les benefices. Risk mitigation (reduce, renommee Modify par ISO 27005) : prendre des mesures de remediation ou deployer des controls (technical, physical, administrative) pour reduire la probabilite ou l'impact. Quoi qu'on fasse, il reste toujours du residual risk.

Risk transference (renommee Sharing par ISO 27005) : payer un tiers pour absorber l'impact financier - typiquement une assurance, dont la prime depend de la probabilite/impact, des controls en place et de l'historique de sinistres. Point capital : le transfert deplace l'impact financier, il n'elimine PAS le risk. L'organisation reste exposee operationnellement et garde sa responsabilite legale et reputationnelle ; l'assureur paie une fraction, pas la totalite, et exige souvent la preuve d'un programme de securite raisonnable. Risk acceptance : conduire l'activite sans action supplementaire, parce que l'impact ou la probabilite est negligeable, ou que le benefice depasse le risk. Attention : acceptance signifie que l'organisation ne fait rien de plus - a ne pas confondre avec residual risk.

Decision et signature : prioriser et choisir le traitement sont des decisions metier qui relevent du senior management (le risk owner). Le professionnel securite conseille, mais c'est le risk owner qui signe formellement l'acceptation d'un risk. Piege recurrent : si une question demande qui accepte le risk, la reponse est le business/senior management, jamais l'analyste ou le CISO seul.

Mots-clés EN Avoid Transfer / Share Mitigate / Reduce / Modify Accept
Points clés
  • Quatre options : Avoid, Transfer/Share, Mitigate/Reduce, Accept.
  • Risk transfer deplace l'impact financier mais n'elimine pas le risk (responsabilite legale conservee).
  • C'est le risk owner / senior management qui signe l'acceptation, pas l'analyste.

5.6 Types et categories de controls sur la timeline d'incident

Comment les contrôles se répartissent : types (admin/technique/physique) × catégories fonctionnelles
Figure 5.6 · Comment les contrôles se répartissent : types (admin/technique/physique) × catégories fonctionnelles

Deux axes orthogonaux classent les controls. D'abord le control TYPE - comment il est implemente : administrative (politiques, separation of duties, job rotation), technical/logical (firewalls, IDS, ACL, biometrie), physical (cloture, eclairage, suppression incendie). Ensuite la control CATEGORY - quelle fonction il remplit, repartie en sept categories situees sur la timeline d'un incident.

Avant l'incident (planification et defense) : Directive (oriente le comportement attendu - politique, panneaux Personnel autorise uniquement), Deterrent (decourage l'attaquant - cloture electrifiee, banniere d'avertissement), Preventive (empeche l'evenement - controle de changement, login par mot de passe, cloture de 8 pieds), Compensating (control alternatif quand le control prevu ne satisfait pas l'exigence - defense in depth en couches). Pendant/apres detection : Detective (signale qu'un evenement s'est produit - detecteur de mouvement, antivirus, supervision). Apres l'incident : Corrective (corrige - un IDS qui modifie dynamiquement l'ACL d'un routeur, reboot, extincteur), Recovery (ramene a la normale - restauration de backups, serveur redondant).

Piege central de l'examen : ne confondez JAMAIS type et category. Un firewall est de type technical et de categorie preventive ; une politique est de type administrative et de categorie directive ; un extincteur est de type physical et de categorie corrective. Une meme cellule combine donc toujours un type ET une categorie. Autre piege : Compensating n'est pas une categorie temporelle mais un control de substitution, choisi quand on ne peut pas implementer le control primaire.

Mots-clés EN Control type Directive / Deterrent / Preventive Detective / Corrective / Recovery Compensating
Points clés
  • Type (comment) et category (quelle fonction) sont deux axes independants a combiner.
  • Sept categories sur la timeline : Directive, Deterrent, Preventive, Detective, Corrective, Recovery, Compensating.
  • Compensating = control alternatif, pas une position temporelle.

5.7 Surveillance continue, SCA, KPI et frameworks

Operationnaliser les frameworks : des cadres aux opérations, métriques et reporting de conformité
Figure 5.7 · Operationnaliser les frameworks : des cadres aux opérations, métriques et reporting de conformité

Selectionner et implementer des controls ne suffit pas : il faut les surveiller dans la duree. Le Security Control Assessment (SCA) est l'evaluation periodique de l'efficacite des controls et comporte trois methodes complementaires : Examine (revoir documents, configurations, politiques), Interview (questionner le personnel) et Test (eprouver le control en conditions reelles). On retient souvent le triptyque Examine / Interview / Test.

La surveillance s'appuie sur des key performance indicators (KPI) qui quantifient la performance des controls dans la duree et alimentent le reporting vers la direction, les regulateurs et les parties prenantes. L'objectif est l'amelioration continue : verifier en permanence que l'organisation ameliore sa gestion du risk et le return on investment (ROI) des controls. Le Risk Maturity Model (RMM) evalue la robustesse du programme de securite et trace un plan d'amelioration continue selon le niveau de maturite atteint.

Cote referentiels, plusieurs risk frameworks structurent la demarche : ISO 31000:2018 (gestion du risque generale, tous domaines), ISO 27005:2018 (gestion du risque specifique a la securite de l'information, alignee sur ISO 27001), et cote NIST, le NIST RMF (Risk Management Framework, decrit par SP 800-37) qui s'appuie notamment sur SP 800-30 pour l'analyse de risque. ISO Guide 73:2009 fournit le vocabulaire commun. Piege : ISO 31000 est generaliste (entreprise), tandis qu'ISO 27005 est dedie a la securite de l'information ; ne les confondez pas, et ne confondez pas SP 800-30 (guide d'analyse de risque) avec SP 800-37 (le processus RMF complet).

Mots-clés EN Security Control Assessment (SCA) KPI Risk Maturity Model (RMM) ISO 31000 / ISO 27005 / NIST RMF NIST SP 800-39 / COBIT / SABSA / PCI Reporting (deux timelines)
Points clés
  • SCA = Examine / Interview / Test.
  • KPI + RMM alimentent l'amelioration continue et le ROI des controls.
  • ISO 31000 (generale) != ISO 27005 (securite info) ; SP 800-30 (analyse) != SP 800-37 (RMF).

5.8 Choix qualitatif/quantitatif, FAIR, cost-benefit d'une safeguard et frameworks

Valeur d'une safeguard = ALE avant - ALE après - coût annuel
Figure 5.8 · Valeur d'une safeguard = ALE avant - ALE après - coût annuel

Savoir calculer un ALE ne dit pas QUAND choisir l'approche quantitative plutot que qualitative. Le manuel ISC2 tranche par contexte. Le qualitatif convient face a la Newness (activite, marche ou organisation trop neufs pour disposer d'un historique mesurable), a l'Uniqueness (produits ou facon de faire si singuliers qu'aucune comparaison sectorielle n'existe), au manque de temps, d'argent ou de talent pour mener les mesures, et a l'absence de methode de mesure fiable. Le quantitatif convient quand les processus metier lies au risk sont bien compris, que des techniques de mesure d'une precision et fiabilite suffisantes existent, et que l'experience produit un echantillon assez grand pour etre statistiquement significatif. Piege : cette derniere exigence (echantillon significatif) est aussi l'argument contre le quantitatif a outrance - sans donnees suffisantes, le resultat n'est pas significatif ; les partisans du quantitatif repliquent que meme deux ou trois mesures a un chiffre significatif en disent plus que des estimations qualitatives anecdotiques.

L'alternative quantitative mise en avant par le manuel est la methode FAIR (Factor Analysis of Information Risk) : elle rend la plupart des taches d'evaluation quantitatives des le depart et le reste, de facon numeriquement simple et geree simplement. FAIR est integree au NIST CSF et a HITRUST, et compatible avec ISO 31000, COBIT et COSO. C'est l'antidote au defaut logique du qualitatif (impossible de moyenner cinq High, trois Medium et un Low pour obtenir une note de portefeuille).

Le terme risk exposure a trois sens a distinguer. L'exposure window mesure dans le temps la probabilite d'occurrence d'un risk event (on n'est pas expose au risk d'accident de la route en dormant chez soi ; une entreprise soutenant des causes politiques voit sa probabilite de menace grimper a l'approche d'une election) - utile aux systemes de risk-based access control. L'exposure factor (EF) est la fraction (<1) de valeur d'un asset reduite par une seule occurrence (deja vu : 1.0 = destruction totale). L'exposure estimate decrit qu'un risk est categoriquement bien plus bas ou plus haut qu'un autre pour une organisation donnee (une societe sans lien avec un pays a une exposure faible aux risks de ce pays).

Cote selection des controls, le NIST RMF (etape Select) offre deux approches. Le baseline control selection part de control baselines (jeux de controls predefinis pour un groupe ou une communaute) puis taille par retrait (top-down) - cela donne de la consistance a large echelle. L'organization-generated control selection ne part d'aucun jeu predefini : l'organisation choisit ses controls par son propre processus (bottom-up), pertinent pour un systeme tres specialise (arme, dispositif medical, smart meter). Les deux derivent ensuite des exigences via un processus d'ingenierie systeme cycle de vie (ISO 15288, NIST SP 800-160 Vol 1).

La selection se decide par cost-benefit analysis. Distinction cle du manuel : un safeguard reduit l'impact/probabilite AVANT la realisation du risk, un countermeasure les reduit APRES. On compare le cout d'acquisition, de deploiement et de maintenance du control a sa capacite a reduire l'impact/probabilite ET au cout du risk s'il se realise. Tout control a un impact negatif (cout monetaire ou perte de capacite/confort utilisateur) : il faut peser cet operational impact contre le benefice. Regle d'or elargie : dans la plupart des cas, ne pas depenser bien plus a mitiger, transferer ou eviter un risk que le pire impact possible - meme une decision d'acceptation se prend a la lumiere de ce trade-off. Pratiquement, la valeur d'une safeguard sur un an se mesure : ALE avant safeguard - ALE apres safeguard - cout annuel de la safeguard ; un resultat positif justifie le control.

Enfin, deployer des controls de plusieurs types ET categories qui se chevauchent constitue la defense in depth (layered defense), pour deux raisons : eviter qu'une seule defaillance (ex. coupure de courant neutralisant tous les controls technical, ou une vulnerability nouvelle sur l'unique control) n'expose totalement ; et forcer l'attaquant a preparer plusieurs moyens d'attaque, ce qui en reduit le nombre. Le tout doit etre reporte : le reporting sert deux finalites sur deux timelines - en temps quasi reel il informe les managers de la posture et emet alertes/alarmes lors d'un incident ; periodiquement il rend des comptes (accountability) a la direction, et parfois aux regulateurs voire aux law enforcement, avec l'accord de l'organisation. Au-dela des risk frameworks deja vus (ISO 31000, ISO 27005, NIST SP 800-30/800-37), le manuel cite aussi NIST SP 800-39, COBIT, SABSA et PCI ; ISO Guide 73 fournit le vocabulaire et COSO/COBIT encadrent la gouvernance.

Mots-clés EN FAIR Newness / Uniqueness Exposure window Safeguard vs countermeasure Cost-benefit analysis Baseline vs organization-generated selection Defense in depth
Points clés
  • Qualitatif si Newness/Uniqueness/manque de donnees ou de methode ; quantitatif si processus compris, mesures fiables, echantillon significatif.
  • FAIR = alternative quantitative integree au NIST CSF/HITRUST, compatible ISO 31000/COBIT/COSO.
  • Risk exposure a 3 sens : exposure window (proba dans le temps), exposure factor (fraction <1), exposure estimate (comparaison categorielle).
  • Safeguard = avant la realisation ; countermeasure = apres. Valeur safeguard = ALE avant - ALE apres - cout annuel.
  • NIST RMF Select : baseline (top-down) vs organization-generated (bottom-up).
  • Frameworks : ISO 31000, ISO 27005, SP 800-30/37/39, COBIT, SABSA, PCI, COSO, ISO Guide 73, FAIR.

Cas d'étude

Cas · Calcul ALE et decision safeguard

Faut-il acheter l'assurance ecran ?

Contexte : Vous possedez un smartphone d'une valeur AV = 200 $. Vous cassez l'ecran environ une fois tous les neuf mois, avec un dommage estime a 30 % du prix du telephone. Un assureur propose une couverture ecran a 4,99 $/mois.

Question : Calculez SLE, ARO et ALE, puis decidez : mitigation (2e telephone a 200 $), transfert (assurance) ou autre ?

Voir l'analyse et la correction

EF = 30 % = 0,30, donc SLE = AV x EF = 200 x 0,30 = 60 $ par incident. Une casse tous les 9 mois donne ARO = 1 / 0,75 = 1,33 par an. Donc ALE = SLE x ARO = 60 x 1,33 = 80 $/an.

Comparons les options au regard de l'ALE de 80 $. Mitigation par un second telephone : environ 200 $, soit bien plus que l'ALE de 80 $ - non rentable, ecartee. Transfert par assurance : 4,99 x 12 = 59,88 $/an, soit moins que l'ALE de 80 $ - rationnel, on depense moins que la perte attendue. Avoidance (ne pas avoir de telephone) supprimerait le risk mais detruirait l'usage recherche - non pertinent ici.

À retenir : Le transfert (assurance a 59,88 $) est le choix rationnel car son cout annuel est inferieur a l'ALE (80 $). Regle : ne traiter que si le cout du control < ALE.

Cas · Choix de traitement

Accept, Mitigate ou Transfer pour un portail e-commerce ?

Contexte : Une PME exploite un portail e-commerce. Trois risks ressortent de l'analyse : (1) interruption de service liee a une panne electrique recurrente, ALE = 50 000 $ ; (2) fraude a la carte bancaire en cas de breach, impact potentiel eleve mais probabilite faible ; (3) un bug cosmetique d'affichage sans impact mesurable, ALE quasi nul.

Question : Quel traitement (Accept, Mitigate, Transfer) pour chacun, et qui valide la decision d'acceptation ?

Voir l'analyse et la correction

Risk 1 (panne electrique, ALE 50 000 $) : si un onduleur + groupe electrogene coute nettement moins que 50 000 $/an, on mitige (control technical/physical preventif) car le control est moins cher que la perte attendue. Risk 2 (fraude post-breach, fort impact / faible probabilite) : profil typique du transfert - une cyber-assurance absorbe l'impact financier, mais attention, elle n'elimine pas le risk (responsabilite legale et reputationnelle conservees, et l'assureur exige un programme de securite raisonnable). On peut combiner transfert + mitigation (tokenisation, conformite PCI DSS). Risk 3 (bug cosmetique, ALE ~ 0) : acceptation - le cout d'un traitement depasserait la perte ; l'organisation ne fait rien de plus.

Dans tous les cas d'acceptation ou de transfert avec residual risk significatif, c'est le risk owner / senior management qui signe formellement la decision, pas l'analyste securite ni le CISO seul.

À retenir : Le bon traitement depend du profil cout/impact/probabilite : mitiger quand le control < ALE, transferer un fort impact peu probable (sans illusion d'elimination), accepter un risk negligeable. La signature revient toujours au risk owner.

Cas · Cost-benefit chiffre d'une safeguard

La safeguard rapporte-t-elle plus qu'elle ne coute ?

Contexte : Un serveur de facturation vaut AV = 120 000 $. Une attaque ransomware en detruirait EF = 60 % et survient en moyenne deux fois par an (ARO = 2). Un fournisseur propose une solution EDR + sauvegardes immuables a 25 000 $/an, qui ferait tomber la frequence a une fois tous les deux ans (ARO = 0,5) sans changer l'exposure factor.

Question : Calculez l'ALE avant et apres la safeguard, puis la valeur annuelle de la safeguard. Faut-il l'acheter ?

Voir l'analyse et la correction

SLE = AV x EF = 120 000 x 0,60 = 72 000 $ par incident (inchange, l'EDR ne reduit pas l'EF mais la frequence).

ALE avant = SLE x ARO = 72 000 x 2 = 144 000 $/an. ALE apres = SLE x ARO = 72 000 x 0,5 = 36 000 $/an.

Valeur de la safeguard = ALE avant - ALE apres - cout annuel = 144 000 - 36 000 - 25 000 = 83 000 $/an. Le resultat est largement positif : la safeguard fait economiser 108 000 $ de pertes attendues pour 25 000 $ de cout, soit un benefice net de 83 000 $/an. C'est une mitigation rationnelle. Il faut neanmoins peser l'operational impact (un EDR peut alourdir les postes ou generer des faux positifs) contre ce benefice, et se rappeler que l'EDR est un safeguard (il agit AVANT la realisation pour reduire la probabilite), pas un simple countermeasure post-incident.

À retenir : Valeur d'une safeguard = ALE avant - ALE apres - cout annuel. Positive (+83 000 $ ici) => mitigation justifiee. Toujours soustraire le cout du control ET considerer l'operational impact.

Cas · Cas d'école de synthèse

Arbitrer un investissement de sécurité sous contrainte budgétaire

Contexte : Un e-commerçant subit en moyenne 3 incidents par an de fraude sur paiements ; chaque incident coûte environ 40 000 € (pertes + remboursements). Un dispositif anti-fraude (moteur de scoring + 3-D Secure) coûte 60 000 €/an et réduirait la fréquence à 0,5 incident/an. La direction, prudente, hésite entre déployer, transférer le risque à une assurance, ou l'accepter.

Question : Calculez l'ALE avant et après, la valeur de la safeguard, et recommandez un traitement du risque justifié.

Topics traités Analyse quantitative (SLE, ARO, ALE)Valeur d'une safeguard / cost-benefitTraitement du risque : mitigate vs transfer vs acceptRisque résiduel et risk owner
Voir l'analyse et la correction

ALE avant = SLE × ARO = 40 000 € × 3 = 120 000 €/an. ALE après = 40 000 € × 0,5 = 20 000 €/an. Réduction d'ALE = 100 000 €/an.

Valeur de la safeguard = (ALE avant - ALE après) - coût annuel = (120 000 - 20 000) - 60 000 = +40 000 €/an. La safeguard est rentable : on mitige (reduce).

Transférer à une assurance transfère l'impact financier mais pas la responsabilité légale ni le préjudice réputationnel, et reste probablement plus cher que la réduction d'ALE obtenue. Accepter laisse un risque (120 000 €/an) très au-dessus de l'appétit raisonnable. L'acceptation du risque résiduel (20 000 €/an) doit être signée par le risk owner, pas par l'opérationnel.

À retenir : Quand (ALE avant - ALE après) > coût annuel, la mitigation est rentable ; le risque résiduel s'accepte formellement par le risk owner.

Éléments d'apprentissage clés
  • SLE = AV × EF ; ALE = SLE × ARO ; raisonner en €/an.
  • Valeur safeguard = (ALE avant - ALE après) - coût annuel ; positive = rentable.
  • L'assurance transfère le financier, pas la responsabilité ni la réputation.
  • Le risque résiduel est accepté par le risk owner, jamais par l'opérationnel.
Piège d'examen

SLE, ALE et ARO ne sont pas interchangeables

SLE = perte d'UNE occurrence (AV x EF) ; ARO = frequence annuelle (un nombre, parfois < 1) ; ALE = perte sur un an (SLE x ARO). L'examen melange ces termes pour piéger : si la question donne un montant par incident, c'est le SLE ; si elle parle d'un nombre d'evenements par an, c'est l'ARO ; le montant annuel a comparer au cout d'un control est l'ALE. N'oubliez jamais de multiplier le SLE par l'ARO.

Piège d'examen

Risk transfer n'elimine pas le risk

Souscrire une assurance (transfer/share) deplace l'IMPACT FINANCIER vers un tiers, mais le risk operationnel demeure et la responsabilite legale et reputationnelle reste a l'organisation. L'assureur ne paie qu'une fraction et exige souvent la preuve d'un programme de securite raisonnable. Si une question presente le transfert comme une suppression du risk, c'est faux : seule l'avoidance supprime le risk en cessant l'activite exposee.

Piège d'examen

Control type vs control category, et qui accepte le risk

Le type dit COMMENT le control est implemente (administrative, technical/logical, physical) ; la category dit QUELLE FONCTION il remplit (directive, deterrent, preventive, detective, corrective, recovery, compensating). Un firewall = technical + preventive ; une politique = administrative + directive. L'examen demande souvent l'un en esperant l'autre. Corollaire : la decision d'accepter un residual risk est une decision metier signee par le risk owner / senior management, jamais par l'analyste securite ou le CISO agissant seul.

Piège d'examen

Safeguard vs countermeasure : avant ou apres la realisation

Le manuel ISC2 distingue les deux par la TIMELINE : un safeguard reduit l'impact ou la probabilite AVANT que le risk ne se realise (preventif au sens large), un countermeasure les reduit APRES la realisation. Un firewall ou un EDR qui empeche l'incident est un safeguard ; une equipe de reponse a incident ou une restauration de backup qui agit une fois l'attaque survenue est un countermeasure. Si une question oppose les deux, c'est le moment (avant/apres) qui tranche, pas le type technique du control.

Piège d'examen

Quantitatif n'est pas toujours superieur : la question de l'echantillon

Le quantitatif n'est legitime que si les processus sont bien compris, qu'il existe des mesures precises et fiables, et qu'on dispose d'un echantillon statistiquement significatif. Le piege est de croire qu'on doit toujours quantifier : face a la Newness ou a l'Uniqueness, sans historique ni methode de mesure, le qualitatif (ou FAIR avec peu de points) est plus honnete. Inversement, ne pas conclure qu'un faible nombre de mesures interdit toute quantification - deux ou trois mesures a un chiffre significatif peuvent etre plus informatives que des estimations qualitatives anecdotiques.

Point de contrôle — Checkpoint - Gestion des risques

  1. Un asset vaut 80 000 $. Un incendie en detruirait 25 % et survient en moyenne une fois tous les 5 ans. Quel est l'ALE ?

    • A 20 000 $
    • B 4 000 $
    • C 100 000 $
    • D 16 000 $
    Réponse & justification

    Réponse : B — 4 000 $

    SLE = AV x EF = 80 000 x 0,25 = 20 000 $. ARO = 1/5 = 0,2. ALE = SLE x ARO = 20 000 x 0,2 = 4 000 $. Le piege 20 000 $ est le SLE, pas l'ALE.

  2. Une entreprise souscrit une cyber-assurance contre les ransomwares. Quel type de risk treatment, et que reste-t-il a l'organisation ?

    • A Avoidance ; plus aucun risk
    • B Transfer/Share ; le risk operationnel et la responsabilite legale demeurent
    • C Mitigation ; le residual risk tombe a zero
    • D Acceptance ; l'organisation ne fait rien
    Réponse & justification

    Réponse : B — Transfer/Share ; le risk operationnel et la responsabilite legale demeurent

    L'assurance est un transfer (share) : elle deplace l'impact financier mais n'elimine pas le risk. La responsabilite legale, reputationnelle et le risk operationnel restent a l'organisation.

  3. Dans le NIST SP 800-30, a quelle etape recommande-t-on des countermeasures ?

    • A Etape 1 - System Characterization
    • B Etape 3 - Vulnerability Identification
    • C Etape 5 - Countermeasure Recommendations
    • D Etape 6 - Document results
    Réponse & justification

    Réponse : C — Etape 5 - Countermeasure Recommendations

    L'etape 5 recommande des controls selon des criteres de cout, apres l'analyse Control/Likelihood/Impact de l'etape 4. L'etape 6 ne fait que documenter et reporter au management.

  4. Un extincteur d'incendie est classe comment selon les deux axes type/category ?

    • A Type administrative, category directive
    • B Type physical, category corrective
    • C Type technical, category preventive
    • D Type physical, category deterrent
    Réponse & justification

    Réponse : B — Type physical, category corrective

    Un extincteur est un dispositif physique (type physical) qui agit apres le debut de l'incendie pour corriger la situation (category corrective). Type et category sont deux axes distincts a combiner.

  5. Quelles sont les trois methodes d'un Security Control Assessment (SCA) ?

    • A Plan, Do, Check
    • B Examine, Interview, Test
    • C Identify, Protect, Detect
    • D Mitigate, Avoid, Accept
    Réponse & justification

    Réponse : B — Examine, Interview, Test

    Le SCA evalue periodiquement l'efficacite des controls via Examine (revue de documents/config), Interview (entretiens avec le personnel) et Test (mise a l'epreuve reelle). Les autres listes appartiennent a PDCA, au NIST CSF ou au risk treatment.

  6. Un asset vaut 120 000 $, EF = 60 %, ARO = 2/an. Une safeguard a 25 000 $/an ramene l'ARO a 0,5. Quelle est la valeur annuelle de la safeguard ?

    • A 108 000 $
    • B 83 000 $
    • C 36 000 $
    • D 144 000 $
    Réponse & justification

    Réponse : B — 83 000 $

    SLE = 120 000 x 0,60 = 72 000 $. ALE avant = 72 000 x 2 = 144 000 $ ; ALE apres = 72 000 x 0,5 = 36 000 $. Valeur = 144 000 - 36 000 - 25 000 = 83 000 $. Le piege 108 000 $ oublie de soustraire le cout annuel de la safeguard ; 36 000 $ est l'ALE residuel.

  7. Une organisation lance un produit totalement nouveau, sans aucun historique de sinistres ni methode de mesure fiable. Quelle approche d'evaluation du risk est la plus adaptee ?

    • A Quantitative, car elle est toujours plus rigoureuse
    • B Qualitative, en raison de la Newness et de l'absence de donnees mesurables
    • C Aucune evaluation tant qu'on n'a pas une precision six nines
    • D Transfert automatique du risk a un assureur
    Réponse & justification

    Réponse : B — Qualitative, en raison de la Newness et de l'absence de donnees mesurables

    Le manuel range la Newness (et l'Uniqueness) parmi les situations ou le qualitatif convient : sans historique ni methode de mesure fiable, le quantitatif ne serait pas statistiquement significatif. Le quantitatif n'est pas toujours superieur, et exiger six nines pour quantifier est l'argument-epouvantail rejete par les partisans du quantitatif.

  8. Selon le manuel ISC2, quelle est la difference entre un safeguard et un countermeasure ?

    • A Le safeguard est technical, le countermeasure est physical
    • B Le safeguard reduit impact/probabilite AVANT la realisation du risk, le countermeasure APRES
    • C Le safeguard est gratuit, le countermeasure est payant
    • D Le safeguard est signe par l'analyste, le countermeasure par le risk owner
    Réponse & justification

    Réponse : B — Le safeguard reduit impact/probabilite AVANT la realisation du risk, le countermeasure APRES

    Le manuel distingue les deux par la timeline : safeguard avant la realisation (reduit la probabilite/impact en amont), countermeasure apres. Le type technique (technical/physical) et le cout ne sont pas le critere de distinction.

  9. Un même contrôle (ex : une caméra de surveillance) peut-il appartenir à la fois à un type et à une catégorie de contrôle ?

    • A Oui : type physical (nature) ET catégorie detective (fonction)
    • B Non : un contrôle a un seul attribut
    • C Oui, mais seulement pour les contrôles techniques
    • D Non : type et catégorie sont synonymes
    Réponse & justification

    Réponse : A — Oui : type physical (nature) ET catégorie detective (fonction)

    Tout contrôle se classe sur DEUX axes : son type/nature (administrative, technical, physical) et sa catégorie/fonction (preventive, detective, corrective, deterrent, compensating, directive, recovery). Une caméra est physical (nature) et detective (fonction).

Points essentiels à retenir

  • Pas de vulnerability, de threat ou de valeur d'asset => pas de risk ; inherent risk x control gap = residual risk.
  • Le NIST SP 800-30 structure l'analyse en 6 etapes, de System Characterization a Document results.
  • Qualitatif = scenarios subjectifs sur matrice P x I, sans arithmetique ; quantitatif = SLE/ALE/ARO pour decider.
  • Chaine quantitative : AV x EF = SLE ; SLE x ARO = ALE ; ne traiter que si cout du control < ALE.
  • Quatre traitements (Avoid, Transfer, Mitigate, Accept) ; le transfert n'elimine pas le risk ; le risk owner signe l'acceptation.
  • Type (administrative/technical/physical) et category (7 fonctions sur la timeline) sont deux axes distincts a combiner.
  • Choisir l'approche : qualitatif si Newness/Uniqueness/manque de donnees ; quantitatif (dont FAIR) si processus compris, mesures fiables et echantillon significatif.
  • Risk exposure a 3 sens : exposure window (proba dans le temps), exposure factor (fraction <1), exposure estimate (comparaison categorielle).
  • Safeguard agit avant la realisation, countermeasure apres ; valeur d'une safeguard = ALE avant - ALE apres - cout annuel, a peser contre l'operational impact.
  • NIST RMF Select : baseline (top-down) pour la consistance, organization-generated (bottom-up) pour les systemes specialises ; defense in depth empile types et categories.
  • Frameworks de risk au programme : ISO 31000, ISO 27005, NIST SP 800-30/37/39, COBIT, SABSA, PCI, COSO, ISO Guide 73 et FAIR.
Module 6 Objectif K Objectif L 105 min Avancé

Threat Modeling & Supply Chain Risk Management (SCRM)

Prérequis : Module 5 (gestion des risques).

Ce module couvre deux Key Areas du Domaine 1 souvent sous-estimées et pourtant fortement représentées à l'examen : le threat modeling (Key Area K) et le Supply Chain Risk Management ou SCRM (Key Area L).

Le threat modeling consiste à examiner un système, une application ou une organisation du point de vue de l'attaquant afin d'identifier les vulnérabilities qu'il chercherait à exploiter, puis d'y associer des countermeasures adaptées. C'est une forme de testing : il révèle un problème, il ne le corrige pas. Le SCRM, lui, étend la discipline du risk management aux fournisseurs, sous-traitants et prestataires. Des incidents comme Target (2013), XCodeGhost (2015) ou SolarWinds/Sunburst (2020) montrent qu'un attaquant compromet souvent une organisation via un tiers plus faible plutôt que de l'attaquer frontalement.

Vous apprendrez à distinguer les approches attacker-centric, asset-centric et software-centric, à dérouler le processus de threat modeling, à comparer STRIDE, DREAD et PASTA, puis à évaluer un tiers via due diligence, minimum security requirements, SLR et SLA.

Objectifs pédagogiques

  • Définir le threat modeling et l'attack surface, et différencier les approches attacker-centric, asset-centric et software/system-centric.
  • Dérouler le processus de threat modeling en reliant la définition du scope aux priorités du BIA.
  • Comparer les méthodologies STRIDE, DREAD et PASTA et savoir laquelle catégorise, score ou structure une analyse risk-centric.
  • Appliquer les concepts de SCRM aux risques hardware, software et cloud, y compris OEM, revendeurs autorisés et 4th parties.
  • Évaluer un tiers via due diligence (on-site, document exchange, process/policy review), minimum security requirements, SLR et SLA.

Critères de réussite

  • Je sais expliquer pourquoi le threat modeling identifie un problème sans le corriger.
  • Je sais associer une catégorie STRIDE à un scénario d'attaque donné.
  • Je distingue DREAD (scoring) de STRIDE (catégorisation) et PASTA (processus risk-centric en 7 étapes).
  • Je sais ce qu'apporte la due diligence avant la signature d'un contrat fournisseur.
  • Je distingue clairement un SLR (besoin exprimé côté client) d'un SLA (accord contractuel signé).

6.1 Concepts du threat modeling

Data flow diagram et trust boundaries
Figure 6.1 · Data flow diagram et trust boundaries

Le threat modeling est une technique qui consiste à examiner un environnement, un système ou une application du point de vue d'un attaquant afin de déterminer les vulnerabilities qu'il est susceptible d'exploiter, puis d'identifier les countermeasures adaptées. L'attack surface est l'ensemble des zones où un attaquant peut potentiellement déclencher une compromission : plus elle est large, plus le risque est élevé. Réduire l'attack surface (désactiver des services, fermer des ports, retirer des comptes) est une stratégie défensive de premier ordre.

Le threat modeling exige une abstraction non technique de la cible avant d'entrer dans le détail. On utilise pour cela un data flow diagram (ou dataflow diagram / workflow diagram) : une vue conceptuelle de la façon dont les données et les processus circulent dans la cible, du début à la fin. Cette abstraction permet à l'équipe de repérer où (dans le temps, l'espace et le processus) un attaquant pourrait agir.

Trois approches structurent l'analyse. L'approche attacker-centric part des acteurs susceptibles de nuire (ex : analyse AML, profilage des menaces) et déroule leurs objectifs et capacités. L'approche asset-centric part des actifs de valeur à protéger (ex : PHI, PII) et remonte vers les menaces qui les ciblent. L'approche software-centric (ou system-centric) représente le système comme un ensemble de processus interconnectés via des diagrammes d'architecture, que les analystes évaluent composant par composant ; c'est la plus utile pour la plupart des environnements de systèmes d'information.

Piège d'examen : le threat modeling est une forme de testing ; il identifie qu'un problème existe mais ne le corrige pas. La remédiation est une étape ultérieure, distincte.

Mots-clés EN Attack surface Attacker-centric Asset-centric Software-centric Data flow diagram
Points clés
  • Le threat modeling adopte le point de vue de l'attaquant pour révéler les vulnerabilities exploitables.
  • L'attack surface doit être réduite ; c'est la somme des points d'entrée exposés.
  • Trois approches : attacker-centric (acteurs), asset-centric (actifs), software/system-centric (processus).
  • Le data flow diagram fournit l'abstraction non technique préalable à l'analyse.
  • Le threat modeling identifie le problème mais ne le corrige pas.

6.2 Le processus de threat modeling

Schéma en six étapes du processus de threat modeling, du scope aligné sur le BIA jusqu'à l'identification des countermeasures.
Figure 6.2 · Schéma en six étapes du processus de threat modeling, du scope aligné sur le BIA jusqu'à l'identification des countermeasures.

Le threat modeling suit un processus ordonné. Première étape, l'assessment scope : on identifie les actifs critiques à protéger. Cette étape est étroitement liée aux priorités du BIA (Business Impact Analysis) ; ce qui est critique pour la continuité d'activité l'est aussi pour la protection. On ne modélise pas tout indistinctement : le scope cadre l'effort.

Deuxième étape, identifier les threat agents et les attaques possibles : qui ou quoi veut attaquer ? On considère les insiders comme les outsiders, et les menaces malveillantes comme accidentelles. Troisième étape, comprendre les countermeasures existantes : un audit de ce qui est déjà en place et de son efficacité réelle. Sans cet état des lieux, on risque de proposer des contrôles redondants ou de surestimer la protection.

Quatrième étape, identifier les vulnerabilities exploitables, en priorité celles qui touchent le chemin critique défini par le BIA. Cinquième étape, prioriser les risques identifiés : le threat modeling fonctionne par priorités, car on ne peut pas tout protéger. Tout residual risk laissé en l'état doit être justifié et accepté formellement. Sixième étape, identifier les countermeasures pour réduire le risque : on complète la posture défensive en déployant des contrôles contre les vulnerabilities priorisées (IDS/IPS, firewalls, access control, biometrics, etc.).

Piège d'examen : le scope et la priorisation s'appuient sur le BIA. Une question qui demande "par quoi commencer" dans le threat modeling attend généralement l'identification/priorisation des actifs critiques, pas le déploiement immédiat de countermeasures.

Mots-clés EN Assessment scope Threat agent Existing countermeasures Residual risk
Points clés
  • Le scope identifie les actifs critiques et s'aligne sur les priorités du BIA.
  • On identifie threat agents et attaques (insiders/outsiders, malveillants/accidentels).
  • On audite les countermeasures existantes avant d'en ajouter.
  • On priorise les risques : impossible de tout protéger, le residual risk se justifie.
  • On déploie ensuite les countermeasures contre les vulnerabilities priorisées.

6.3 Méthodologies : STRIDE, DREAD, PASTA

Tableau des six catégories STRIDE avec leur correspondance à la triade CIA.
Figure 6.3 · Tableau des six catégories STRIDE avec leur correspondance à la triade CIA.

STRIDE est un système de classification des menaces issu du Microsoft Security Development Lifecycle (SDLC), utilisé pour informer les développeurs des menaces pendant le développement. Ses six catégories : Spoofing identity (usurpation d'identité), Tampering with data (altération non autorisée des données), Repudiation (l'attaquant peut nier ou dissimuler sa participation), Information disclosure (divulgation accidentelle ou malveillante de données), Denial of service (atteinte à la disponibilité, axe A de la triade CIA) et Elevation of privilege (l'attaquant gagne un niveau de contrôle pour désactiver ou détruire la cible). STRIDE catégorise : il dit de quel type de menace il s'agit.

DREAD est un modèle de scoring : Damage, Reproducibility, Exploitability, Affected users, Discoverability. On note chaque dimension pour obtenir un score relatif qui aide à prioriser les menaces. STRIDE et DREAD sont complémentaires : l'un classe, l'autre quantifie.

PASTA (Process for Attack Simulation and Threat Analysis) est une méthodologie en sept étapes, dite risk-centric, qui aligne les objectifs métier sur l'analyse technique des menaces et simule des attaques pour évaluer le risque réel. Elle va de la définition des objectifs jusqu'à l'analyse de risque et de l'impact.

À connaître aussi (au moins par leur nom) : OCTAVE (vue du risque global des systèmes IT à l'échelle de l'organisation, variantes OCTAVE et OCTAVE-S), TRIKE, VAST, CORAS, LINDDUN (orienté privacy) et NIST SP 800-154 (guide de data-centric threat modeling). ATASM (Architecture, Threats, Attack Surfaces, Mitigations) est une autre approche citée.

Piège d'examen : ne confondez pas STRIDE (catégorisation des menaces) et DREAD (scoring/priorisation). PASTA se distingue par son caractère risk-centric et ses 7 étapes.

Mots-clés EN STRIDE DREAD PASTA NIST SP 800-154 OCTAVE VAST Trike
Points clés
  • STRIDE catégorise 6 types de menaces : Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege.
  • DREAD score 5 dimensions pour prioriser ; il ne catégorise pas.
  • PASTA est risk-centric et compte 7 étapes alignant métier et menaces.
  • Autres modèles à reconnaître : OCTAVE, TRIKE, VAST, LINDDUN, NIST 800-154.
  • STRIDE classe, DREAD quantifie : ne pas confondre les deux rôles.

6.4 Supply Chain Risk Management (SCRM)

Schéma d'une supply chain montrant les niveaux fournisseur, sous-traitant (4th party) et les risques hardware, software et cloud.
Figure 6.4 · Schéma d'une supply chain montrant les niveaux fournisseur, sous-traitant (4th party) et les risques hardware, software et cloud.

Aucune organisation ne fonctionne seule : elle dépend de suppliers, vendors, contractors et customers. Le SCRM applique à cette chaîne les mêmes méthodologies de risk management que l'organisation applique à ses opérations internes. Historiquement, les supply chain risks visaient des actifs tangibles (incendies, catastrophes naturelles), mais les technologies de l'information et de la communication sont tout aussi vulnérables, accidentellement comme malicieusement, en particulier pour les critical systems.

Les risques se répartissent en trois familles. Hardware : matériel acheté (serveurs, postes, caméras, systèmes legacy d'usine) pouvant être contrefait ou altéré ; un Silicon Root of Trust et un Software Bill of Materials (SBOM) aident à en vérifier l'intégrité. Software : logiciels du commerce comportant bugs ou fonctions mal conçues, exploitables ; un défaut inconnu du vendeur exploité par un attaquant est un zero-day. Services / Cloud : attaquer un petit fournisseur partagé par de grandes entreprises est souvent plus facile que d'attaquer ces grandes entreprises directement.

Les bonnes pratiques d'acquisition imposent des exigences de cybersécurité comme condition d'attribution du contrat, et privilégient l'achat auprès des OEM (Original Equipment Manufacturers), de leurs sources de confiance et de leurs revendeurs autorisés (authorized resellers), pour éviter le matériel contrefait. Attention aux 4th parties : les sous-traitants de vos propres fournisseurs élargissent la chaîne et le risque au-delà de votre visibilité directe.

Exemples types : Target (2013, accès via un tiers HVAC vers les terminaux de paiement), XCodeGhost (2015, compilateur XCode contrefait), et surtout SolarWinds/Sunburst (2020) : un outil de supervision réseau légitime, infecté à la source, a distribué le malware Sunburst à des milliers d'organisations - illustration parfaite du software supply chain attack.

Piège d'examen : compromettre un seul fournisseur de services pour atteindre tous ses clients (SolarWinds) est l'argument central du SCRM. Le tiers le plus faible définit souvent le niveau de sécurité réel.

Mots-clés EN SCRM OEM 4th party SBOM Zero-day
Points clés
  • Le SCRM applique le risk management à toute la chaîne : suppliers, vendors, contractors, customers.
  • Trois familles de risques : hardware (contrefaçon/altération), software (bugs, zero-day), services/cloud.
  • Acheter auprès des OEM et de leurs revendeurs autorisés réduit le risque de matériel contrefait.
  • Les 4th parties (sous-traitants de vos fournisseurs) étendent le risque hors de votre visibilité.
  • SolarWinds/Sunburst : compromettre un fournisseur unique atteint des milliers de clients.

6.5 Évaluation des tiers et due diligence

Responsabilité partagée dans le cloud (évaluation des tiers)
Figure 6.5 · Responsabilité partagée dans le cloud (évaluation des tiers)

Avant toute supply chain agreement contraignante, le security professional doit conduire une due diligence sur le tiers. Elle combine trois activités : l'on-site assessment (visite et inspection des lieux du fournisseur), le document exchange (échange de documentation : politiques, certifications, rapports d'audit) et le process/policy review (revue des processus et politiques pour vérifier que le fournisseur suit un cadre de contrôles de sécurité acceptable). Le security professional doit s'impliquer dans les trois afin de comprendre les risques de la transaction. Des assurances externes complètent l'évaluation : audits ISO, CSA STAR pour le cloud, ou attestations AICPA (SOC).

Les minimum security requirements se définissent dès la phase de requirements gathering du projet. Une bonne pratique est de rédiger un Statement of Requirements couvrant : une spécification synthétique des besoins pour le management, un énoncé des objectifs clés, une description de l'environnement d'exploitation, le contexte et les références, ainsi que les contraintes majeures de conception.

Deux documents structurent la relation. Le SLR (Service Level Requirements) décrit le service attendu du point de vue du client : c'est l'expression du besoin, en amont. Le SLA (Service Level Agreement) est l'accord signé entre le tiers et le client, documentant le service IT fourni, les service level targets (cibles mesurables) et les responsabilités respectives du fournisseur et du client. En clair : le SLR exprime ce que l'on veut, le SLA engage contractuellement sur ce qui sera fourni et mesuré.

Les clauses contractuelles renforcent la gouvernance : droit d'audit (right to audit) permettant de vérifier la conformité du fournisseur, obligation de notification en cas d'incident ou de breach, exigences de sous-traitance (encadrer les 4th parties) et clauses de jurisdiction quand le tiers opère sous une réglementation différente.

Piège d'examen : la due diligence se fait AVANT la signature du contrat ; le right to audit et le SLA encadrent la phase d'exécution. Et ne confondez jamais SLR (besoin, côté client) et SLA (accord signé, bilatéral, mesurable).

Mots-clés EN Due diligence Minimum security requirements SLR SLA Right to audit Service level target / metric SLA payment discriminator Formal periodic review
Points clés
  • La due diligence combine on-site assessment, document exchange et process/policy review.
  • Les minimum security requirements se fixent dès le requirements gathering (Statement of Requirements).
  • SLR = besoin exprimé côté client ; SLA = accord signé, mesurable, bilatéral.
  • Clauses clés : right to audit, notification d'incident, encadrement des 4th parties, jurisdiction.
  • La due diligence précède le contrat ; le SLA et le right to audit encadrent l'exécution.

6.6 Reduction analysis (decomposition) et prioritisation

Reduction analysis : trust boundaries, data flows, input points
Figure 6.6 · Reduction analysis : trust boundaries, data flows, input points

Une fois le data flow diagram dessine, l'etape decisive du threat modeling software-centric est la reduction analysis, aussi appelee decomposition. Decomposer signifie casser le systeme en ses elements constitutifs pour rendre visibles les endroits exacts ou un attaquant peut agir. Cinq elements sont a identifier systematiquement.

D'abord les trust boundaries : toute frontiere ou le niveau de confiance ou de privilege change (entre Internet et le DMZ, entre le DMZ et le reseau interne, entre l'application et la base de donnees). C'est a ces frontieres que se concentrent les menaces, car les donnees y passent d'une zone de confiance a une autre. Ensuite les data flow paths : le chemin que suivent les donnees a travers le systeme, d'un point a un autre. Puis les input points (ou entry points) : tout endroit ou des donnees externes entrent dans le systeme (formulaires, API, uploads, parametres) ; ce sont les portes par lesquelles l'attaquant injecte. Ensuite les privileged operations : les actions qui exigent des droits eleves (changer une config, creer un compte admin, acceder a une cle) et qui sont des cibles de choix pour l'elevation of privilege. Enfin la description de la security stance / approach : la posture de securite et les hypotheses de l'application (politiques, dependances, controles supposes en place), qu'il faut expliciter pour ne pas la prendre pour acquise.

La decomposition alimente directement la prioritisation, car le threat modeling fonctionne par priorites : on ne peut pas tout traiter. Deux methodes simples et frequemment testees. La premiere : Probability x Damage Potential, qui combine la probabilite qu'une menace se concretise et l'ampleur du dommage si elle se concretise, pour obtenir un risk ranking. La seconde : un classement qualitatif High / Medium / Low, plus rapide quand les donnees chiffrees manquent. DREAD est une variante de scoring plus fine de cette logique.

Deux methodologies completent le paysage au-dela de STRIDE/DREAD/PASTA. VAST (Visual, Agile, and Simple Threat modeling) est concu pour passer a l'echelle dans des organisations agiles : il distingue application threat models (orientes developpeurs, via process flow diagrams) et operational threat models (orientes infrastructure et architectes), et s'integre dans les pipelines DevOps. Trike est une methodologie orientee risk management et audit, qui s'appuie sur un requirements model assignant un niveau de risque acceptable a chaque actif et genere des threat models a partir de ce modele.

Piege d'examen : rappelez-vous que le threat modeling, decomposition incluse, est une forme de testing. Il revele ou se trouvent les trust boundaries faibles, les input points exposes et les privileged operations a risque, mais il ne corrige rien : la remediation est une etape ulterieure et distincte.

Mots-clés EN Reduction analysis / decomposition Trust boundary Input point Privileged operation Probability x Damage VAST Trike
Points clés
  • La decomposition identifie trust boundaries, data flow paths, input points, privileged operations et security stance.
  • Les menaces se concentrent aux trust boundaries, ou les donnees changent de zone de confiance.
  • Les input points sont les portes d'injection ; les privileged operations, les cibles d'elevation of privilege.
  • Prioritiser via Probability x Damage Potential ou un classement High/Medium/Low.
  • VAST scale en agile/DevOps (app vs operational models) ; Trike est oriente risk management/audit.
  • La decomposition reste du testing : elle localise les faiblesses mais ne les corrige pas.

Cas d'étude

Cas · Étude de cas - application web

Appliquer STRIDE à un portail client

Contexte : Une banque déploie un portail web où les clients consultent leurs comptes et initient des virements. L'équipe sécurité dessine un data flow diagram (navigateur -> API -> base de données) et applique STRIDE composant par composant.

Question : À quelles catégories STRIDE rattacher : (1) un attaquant qui rejoue le jeton de session d'un autre client, (2) un client qui nie avoir ordonné un virement, (3) une saturation de l'API empêchant l'accès ?

Voir l'analyse et la correction

(1) Rejouer le jeton d'un autre client pour se faire passer pour lui relève de Spoofing identity : l'attaquant pose comme une entité qu'il n'est pas. La countermeasure : jetons liés à la session, expiration courte, re-authentification forte.

(2) Un client qui nie avoir ordonné un virement relève de Repudiation : il dissimule sa participation à une transaction. La countermeasure : logs signés, horodatage, et idéalement non-repudiation via signatures et MFA traçable.

(3) Saturer l'API pour bloquer l'accès est un Denial of service, atteinte à la disponibilité (axe A de la triade CIA). Countermeasure : rate limiting, WAF, scaling et filtrage anti-DDoS.

Noter qu'un même scénario peut toucher plusieurs catégories : l'approche software-centric, en suivant le data flow diagram, garantit qu'on n'oublie aucun composant.

À retenir : STRIDE catégorise chaque menace par type et oriente directement vers la bonne famille de countermeasures ; suivre le data flow diagram évite les angles morts.

Cas · Étude de cas - fournisseur cloud

Évaluer un fournisseur cloud critique

Contexte : Une entreprise de santé veut externaliser le stockage de dossiers patients (PHI) vers un fournisseur SaaS. Le service est critique et soumis à des exigences réglementaires fortes. Le security professional est sollicité avant la signature.

Question : Quelle démarche structurée mener avant de contractualiser, et comment cadrer ensuite la relation ?

Voir l'analyse et la correction

Avant le contrat, conduire une due diligence en trois volets : on-site assessment du datacenter du fournisseur, document exchange (politiques, certifications, rapports), et process/policy review pour vérifier un cadre de contrôles acceptable. Pour le cloud, exiger une évaluation CSA STAR et/ou une attestation AICPA SOC 2 comme assurance externe ; vérifier aussi la jurisdiction (où résident les PHI).

Définir des minimum security requirements dès le requirements gathering : chiffrement at-rest et in-transit, gestion des accès, notification de breach. Exprimer le besoin dans un SLR (disponibilité, RTO/RPO, support), puis le formaliser dans un SLA signé avec service level targets mesurables et responsabilités partagées.

Inscrire au contrat : right to audit, obligation de notification en cas d'incident, et encadrement des 4th parties (sous-traitants du fournisseur). Cette approche asset-centric (les PHI sont l'actif) garantit que le tiers le plus faible ne devienne pas le maillon qui dégrade le niveau de sécurité réel.

À retenir : Due diligence (on-site + documents + process) avant le contrat, puis SLR/SLA, right to audit et encadrement des 4th parties : on sécurise la relation de bout en bout autour de l'actif PHI.

Cas · Cas capstone - projet drone (UAV)

Le projet Waxbill : threat modeling, export controls et SCRM d'un drone

Contexte : Un industriel d'Albuquerque est lead contractor pour un drone (UAV) de surveillance environnementale longue distance, baptise Waxbill. Le client commanditaire est un comite de gestion de catastrophes, mais l'industriel veut aussi vendre l'appareil a d'autres clients gouvernementaux dans le monde. Le drone embarque un systeme d'imagerie capable d'identifier des individus, un uplink satellite et une transmission fortement chiffree par une technologie proprietaire. Vous endossez successivement plusieurs roles de securite : interlocuteur du board pour le budget legal, responsable de la confidentialite des designs, et point de contact d'un auditeur interne.

Question : Comment articuler privacy, transferts cross-border, export controls de dual-use goods, SCRM et CIA pour secuiser le projet Waxbill du design a la livraison ?

Voir l'analyse et la correction

Privacy. L'imagerie identifiant des individus declenche les regimes de protection des donnees personnelles. La strategie la plus sure est d'adopter le standard le plus exigeant comme principe directeur (un niveau de protection adequat de type GDPR) : si l'appareil satisfait cette barre, il couvre largement les juridictions moins strictes. Pour les clients etrangers, la conformite locale incombe ensuite a chaque acquereur, mais le constructeur conserve une responsabilite de manufacturer (privacy by design, minimisation, chiffrement).

Transferts cross-border. Transmettre des donnees a travers le globe pose la question de la juridiction traversee. Ici un point d'architecture change l'analyse : l'uplink satellite va du drone au satellite puis revient, sans franchir directement des frontieres nationales terrestres, ce qui attenue une partie de l'exposition cross-border. Il faut neanmoins documenter ou les donnees sont stockees et traitees in fine.

Export controls / dual-use. Le systeme de surveillance et surtout le chiffrement fort sont des dual-use goods : civils mais detournables a des fins militaires/surveillance. Le chiffrement releve typiquement du Wassenaar Arrangement. Si l'acheteur est un pays signataire, l'usage du chiffrement fort ne pose pas de probleme. Sinon, deux options : livrer un algorithme plus faible, ou ne pas fournir de chiffrement et reporter la responsabilite sur l'acquereur. Point cle : l'acheteur ne doit pas pouvoir modifier ce parametrage sans violer les terms of service.

SCRM. Waxbill agrege des composants hardware et software de multiples fournisseurs (capteurs, modules satellite, firmware). Chaque composant introduit un risque hardware (contrefacon/altartion - d'ou l'interet d'OEM, revendeurs autorises, Silicon Root of Trust et SBOM), software (bugs, zero-day) et services (4th parties hors visibilite). Le lead contractor doit appliquer la meme rigueur de risk management a sa supply chain qu'a ses operations internes.

Threat modeling et CIA dans le lifecycle. Face a l'auditeur interne, on demontre la maitrise de la triade : Confidentiality des designs proprietaires (strict access control, need-to-know, chiffrement at-rest et in-transit), Integrity du software et du hardware (version control, validation rigoureuse avant integration, integrity checks contre toute modification non autorisee), Availability des systemes critiques (redondance, failover, plans de contingency/BCDR). Un data flow diagram du drone, suivi d'une reduction analysis (trust boundary drone/satellite/sol, input points capteurs, privileged operations de mise a jour firmware), permet d'identifier puis prioriser les menaces - sachant que ce threat modeling identifie les problemes sans les corriger, la remediation venant ensuite.

À retenir : Un seul produit (un drone) concentre tout le Domaine 1 : privacy (adequacy/GDPR), cross-border (uplink satellite), export controls de dual-use goods (Wassenaar pour le chiffrement), SCRM multi-fournisseurs, et threat modeling + CIA tout au long du lifecycle. La reponse gagnante adopte le standard le plus strict, encadre le chiffrement par les terms of service, et applique au supply chain la rigueur des operations internes.

Cas · Activité guidée (d'après l'Activity SLR du manuel)

Définir les Service Level Requirements par secteur

Contexte : Une banque révise ses contrats de service et veut s'inspirer d'autres secteurs pour formuler ses Service Level Requirements (SLR) avant de négocier des SLA. Entre entreprises, c'est le client qui définit les SLR ; pour un particulier (ex : forfait mobile), c'est le fournisseur qui impose ses conditions, à prendre ou à laisser.

Question : Quels SLR seraient pertinents pour : une compagnie aérienne, un hôtel, un groupe d'investissement et un fournisseur cloud ?

Voir l'analyse et la correction

Aérien/hôtel : disponibilité de la place ou de la chambre une fois réservée et payée, repas adaptés aux régimes signalés à temps, et surtout sécurité/safety des passagers (inscrite au Contract of Carriage).

Groupe d'investissement : garantie que les titres achetés proviennent d'entités réelles, et conformité aux régulateurs (ex : SEC) - généralement inscrite dans le SLA des conditions client.

Fournisseur cloud : localisation et disponibilité des données et des services, solution BCDR en mode normal ET en crise, sécurité physique du datacenter, fiabilité du personnel et contrôles d'audit internes.

Pour tous : protections de privacy conformes aux régulations applicables et protection des données sensibles (si chiffrement : bon algorithme, génération, stockage et distribution des clés). Distinction clé : le SLR exprime le besoin (côté client), le SLA l'engage et le mesure.

À retenir : Le SLR exprime le besoin client en amont ; chaque secteur a ses SLR propres, mais privacy, disponibilité et protection des données reviennent partout.

Piège d'examen

STRIDE catégorise, DREAD score

Un piège classique : croire que STRIDE et DREAD font la même chose. STRIDE est un système de classification (6 catégories : Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege) qui répond à "de quel type de menace s'agit-il ?". DREAD est un modèle de scoring (Damage, Reproducibility, Exploitability, Affected users, Discoverability) qui répond à "quelle menace traiter en priorité ?". L'un classe, l'autre quantifie pour prioriser. PASTA, encore différent, est une méthodologie risk-centric en 7 étapes. Si la question demande de catégoriser une menace, pensez STRIDE ; si elle demande de prioriser ou noter, pensez DREAD.

Piège d'examen

SLR vs SLA et le timing de la due diligence

Deux confusions fréquentes. D'abord SLR contre SLA : le SLR (Service Level Requirements) est l'expression du besoin du point de vue du client, en amont ; le SLA (Service Level Agreement) est l'accord signé, bilatéral, avec des service level targets mesurables et des responsabilités définies. Le SLR précède et alimente le SLA. Ensuite le timing : la due diligence (on-site, document exchange, process/policy review) se fait AVANT la signature du contrat, pour décider d'engager ou non la relation. Le right to audit et le monitoring continu encadrent la phase d'exécution, APRÈS. Si une question situe la due diligence après la signature, c'est un distracteur.

Piège d'examen

Un SLA sans metrique chiffree est inapplicable

Piege classique : un SLA redige en termes vagues. Une clause comme "excellent uptime pour la duree du service" est inutilisable, car les juristes peuvent debattre indefiniment du sens d'"excellent". Chaque element d'un SLA doit comporter une metrique discrete, objective et numerique (ex : "toute interruption de plus de 5 secondes par periode constitue un echec"). La force du SLA tient a son role de payment discriminator : un element echoue declenche un credit ou des free periods, ce qui incite le fournisseur a tenir. Autre nuance testee : les SLA conviennent aux exigences recurrentes et continues (un rapport hebdomadaire), pas aux evenements singuliers ou rares ; un objectif de disaster recovery / BCDR a plutot sa place dans le contrat que dans le SLA lui-meme.

Point de contrôle — Checkpoint - Module 6

  1. Dans le processus de threat modeling, sur quoi s'aligne en priorité la définition de l'assessment scope ?

    • A Les priorités du BIA (actifs critiques)
    • B Le budget annuel de sécurité
    • C Le nombre de threat agents externes
    • D La liste des firewalls déjà déployés
    Réponse & justification

    Réponse : A — Les priorités du BIA (actifs critiques)

    Le scope identifie les actifs critiques à protéger et s'aligne étroitement sur les priorités du BIA : on ne peut pas tout protéger, on cible ce qui compte pour la continuité.

  2. Un attaquant obtient un niveau de contrôle lui permettant de désactiver tout le système. À quelle catégorie STRIDE cela correspond-il ?

    • A Elevation of privilege
    • B Repudiation
    • C Information disclosure
    • D Spoofing identity
    Réponse & justification

    Réponse : A — Elevation of privilege

    Elevation of privilege désigne le cas où l'attaquant ne fait pas qu'accéder à la cible mais gagne un niveau de contrôle permettant de la désactiver ou la détruire.

  3. Quelle affirmation distingue correctement DREAD de STRIDE ?

    • A DREAD attribue un score pour prioriser ; STRIDE catégorise les types de menaces
    • B DREAD catégorise les menaces ; STRIDE leur attribue un score
    • C Les deux sont des méthodologies en 7 étapes risk-centric
    • D DREAD est un standard ISO et STRIDE un standard NIST
    Réponse & justification

    Réponse : A — DREAD attribue un score pour prioriser ; STRIDE catégorise les types de menaces

    STRIDE classe les menaces en 6 catégories ; DREAD note 5 dimensions (Damage, Reproducibility, Exploitability, Affected users, Discoverability) pour prioriser. La méthodologie risk-centric en 7 étapes est PASTA.

  4. Quelle activité doit être réalisée AVANT de signer un contrat avec un fournisseur cloud critique ?

    • A La due diligence (on-site, document exchange, process/policy review)
    • B L'exercice du right to audit annuel
    • C La mesure des service level targets du SLA
    • D La résiliation pour non-conformité
    Réponse & justification

    Réponse : A — La due diligence (on-site, document exchange, process/policy review)

    La due diligence précède toute supply chain agreement contraignante : elle combine on-site assessment, document exchange et process/policy review. Le right to audit et les service level targets relèvent de l'exécution, après signature.

  5. Lors de la reduction analysis d'une application, ou les menaces se concentrent-elles principalement ?

    • A Aux trust boundaries, ou le niveau de confiance ou de privilege change
    • B Dans le code source compile, jamais expose
    • C Uniquement dans la documentation utilisateur
    • D Sur les postes des administrateurs uniquement
    Réponse & justification

    Réponse : A — Aux trust boundaries, ou le niveau de confiance ou de privilege change

    La decomposition identifie trust boundaries, data flow paths, input points, privileged operations et security stance. Les trust boundaries sont les frontieres ou les donnees passent d'une zone de confiance a une autre : c'est la que se concentrent les menaces.

  6. Pour le drone Waxbill vendu a un pays non signataire d'un accord de controle, quel cadre regit l'export du chiffrement fort, considere comme dual-use good ?

    • A Le Wassenaar Arrangement
    • B Le standard SOC 2 de l'AICPA
    • C La norme ISO 27001
    • D Le cadre CSA STAR
    Réponse & justification

    Réponse : A — Le Wassenaar Arrangement

    Le chiffrement est un dual-use good dont l'export est encadre par le Wassenaar Arrangement. Si l'acheteur est signataire, le chiffrement fort est admis ; sinon, il faut livrer un algorithme plus faible ou aucun, sans que l'acheteur puisse modifier ce parametrage sans violer les terms of service.

Points essentiels à retenir

  • Le threat modeling adopte le point de vue de l'attaquant et réduit l'attack surface, via les approches attacker-centric, asset-centric ou software/system-centric ; il identifie le problème sans le corriger.
  • Le processus s'ancre dans le BIA : scope -> threat agents -> countermeasures existantes -> vulnerabilities exploitables -> priorisation -> nouvelles countermeasures.
  • STRIDE catégorise (6 types), DREAD score (5 dimensions), PASTA est risk-centric en 7 étapes ; connaître aussi OCTAVE, TRIKE, VAST, LINDDUN, NIST 800-154.
  • Le SCRM couvre hardware, software et cloud ; acheter auprès des OEM et revendeurs autorisés, surveiller les 4th parties ; SolarWinds illustre l'attaque via un fournisseur unique.
  • Évaluer un tiers par due diligence avant contrat (on-site, documents, process), fixer des minimum security requirements, et ne pas confondre SLR (besoin client) et SLA (accord signé mesurable).
  • La reduction analysis (decomposition) decoupe le systeme en trust boundaries, data flow paths, input points, privileged operations et security stance pour localiser les menaces, puis priorise via Probability x Damage ou High/Medium/Low.
  • Au-dela de STRIDE/DREAD/PASTA, connaitre VAST (scalable, agile/DevOps, app vs operational models) et Trike (risk management/audit, requirements model par actif).
  • Un SLA n'a de valeur que si chaque element porte une metrique numerique objective ; il agit comme payment discriminator (credits/penalites) et convient aux exigences recurrentes, pas aux evenements rares (BCDR -> contrat).
  • Le Third-Party Assessment combine governance review, site security survey, formal security audit et penetration testing, soutenu par des assurances externes (ISO, CSA STAR, AICPA SOC) et des formal periodic reviews / annual lightweight assessments.
  • Le cas Waxbill montre qu'un drone agrege tout le Domaine 1 : privacy (adequacy/GDPR), cross-border (uplink satellite), export controls dual-use (Wassenaar), SCRM multi-fournisseurs et threat modeling + CIA sur tout le lifecycle.
Module 7 Objectif H Objectif I Objectif M 135 min Intermédiaire

Continuité, sécurité du personnel et sensibilisation

Prérequis : Module 1 (concepts) et module 5 (risques) pour le BIA.

La résilience d'une organisation ne dépend pas seulement de sa technologie : elle repose sur trois piliers humains et organisationnels que le Domaine 1 traite ensemble. D'abord, la continuité d'activité (Business Continuity / Disaster Recovery, BCDR), dont tout part du Business Impact Analysis (BIA) : sans connaître le critical path et la valeur des assets, impossible de planifier une reprise crédible. Ensuite, la sécurité du personnel, car l'humain est à la fois le maillon faible et la meilleure défense : on adresse l'insider threat avant même l'embauche (candidate screening) et tout au long du cycle de vie joiner-mover-leaver.

Enfin, le programme de sensibilisation, qui transforme des règles écrites en comportements réels. Ce module insiste sur les distinctions que l'examen aime piéger : MTD vs RTO vs RPO, termination friendly vs unfriendly, et surtout Awareness vs Training vs Education. À chaque fois, retenez la définition exacte, un exemple concret, puis le piège associé. La logique transverse reste celle de la due care (faire ce qu'un professionnel prudent ferait) et de la due diligence (vérifier que cela fonctionne, notamment via les métriques).

Objectifs pédagogiques

  • Expliquer le rôle du BIA dans le BCDR et l'importance du senior leadership support et de la priorisation des Critical Business Functions.
  • Définir et distinguer MTD, RTO et RPO, et appliquer la contrainte RTO <= MTD.
  • Décrire le cycle de vie de la sécurité du personnel : screening, employment agreements, termination friendly et unfriendly.
  • Identifier les contrôles applicables aux tiers internes (vendor, consultant, contractor).
  • Différencier Awareness, Training et Education et choisir des métriques pertinentes pour évaluer le programme.

Critères de réussite

  • Je classe correctement une fonction métier en Critical, Essential, Supporting ou Nonessential.
  • Je place MTD, RTO et RPO sur une timeline de reprise et je justifie RTO <= MTD.
  • Je distingue une termination friendly d'une unfriendly et j'ordonne les actions d'offboarding d'un administrateur.
  • Je sais quels contrôles imposer à un consultant accédant aux systèmes.
  • Je rattache une métrique (taux de clic phishing, complétion, attestation) au bon objectif de programme.

7.1 Continuité d'activité et BIA

Le BIA : priorisation des fonctions critiques et 3 sorties (MTD, RTO, RPO)
Figure 7.1 · Le BIA : priorisation des fonctions critiques et 3 sorties (MTD, RTO, RPO)

La business continuity (BC) regroupe les actions, processus et outils qui permettent à l'organisation de poursuivre ses critical operations pendant une contingence ; la disaster recovery (DR) couvre la remise en état pour revenir aux opérations normales. On les traite ensemble sous le terme BCDR. Tout part du Business Impact Analysis (BIA), l'effort qui détermine la valeur de chaque asset, les menaces probables et le potentiel de réalisation de ces menaces. Le BIA révèle le critical path : l'ensemble des activités sans lesquelles l'organisation ne peut survivre. Exemple : un assureur dont les systèmes tombent peut continuer à émettre des polices manuellement - workaround coûteux mais viable.

Le BIA est avant tout un management process. Il exige le senior leadership support, car ce sont les dirigeants qui fixent le niveau de risque tolérable (risk appetite / risk tolerance) et arbitrent les coûts. Les risques à évaluer dépassent le technique : impact financial (perte de revenu), reputational (perte de confiance client), et regulatory (HIPAA impose un data backup plan et un emergency operations mode ; non-conformité = pénalités). Plusieurs méthodes alimentent le BIA : survey des asset owners (proche du terrain mais biaisé), financial audit (exhaustif mais valeur variable dans le temps), retours clients, benchmarks sectoriels.

Le BIA priorise ensuite les Critical Business Functions. Une grille classique distingue : Critical (l'arrêt menace immédiatement la survie - ex : moteur de paiement), Essential (nécessaire à court terme mais tolère une brève interruption), Supporting (assiste les fonctions critiques sans être vital - ex : reporting interne), Nonessential (peut être suspendu longtemps - ex : audit interne, recrutement). Piège d'examen : le BIA n'est pas un plan de reprise ; il fournit les données (critical path, valeurs, dépendances) qui alimentent le BCP/DRP. Confondre BIA et BCP est une erreur classique.

Mots-clés EN BIA Critical path Critical Business Functions Senior leadership support
Points clés
  • Le BIA est un management process qui exige le senior leadership support.
  • Il révèle le critical path et la valeur des assets avant toute planification BCDR.
  • Risques à évaluer : Financial, Reputational, Regulatory.
  • Priorisation : Critical > Essential > Supporting > Nonessential.
  • Le BIA n'est pas le BCP : il fournit les données d'entrée du plan.

7.2 Les trois sorties clés du BIA : MTD, RTO, RPO

Timeline de reprise : RPO, RTO, WRT et MTD/MAD sur les 4 stades du sinistre
Figure 7.2 · Timeline de reprise : RPO, RTO, WRT et MTD/MAD sur les 4 stades du sinistre

Le BIA produit trois paramètres de contrôle que le senior management transmet aux concepteurs du BCDR. Le Maximum Tolerable Downtime (MTD), aussi appelé Maximum Allowable Downtime (MAD) ou Maximum Allowable Outage (MAO), est la durée maximale pendant laquelle un processus métier peut être interrompu sans causer un dommage significatif ou inacceptable à la mission. C'est un plafond : au-delà, l'organisation subit un préjudice grave. Exemple : pour une plateforme de trading, le MTD peut être de quelques heures ; pour un site vitrine, plusieurs jours.

Le Recovery Time Objective (RTO) est la durée cible pour rétablir la disponibilité du critical path après une interruption. Contrainte fondamentale : RTO <= MTD. Régler le RTO égal ou supérieur au MTD vide l'objectif de son sens, car on dépasserait le seuil de dommage. Attention : « recovery » ici n'est pas le retour aux opérations normales, mais le retour à une disponibilité fonctionnelle temporaire du critical path. Plus le RTO est court, plus la solution BCDR coûte cher : c'est un arbitrage coût/rapidité.

Le Recovery Point Objective (RPO) mesure la quantité de données que l'organisation peut perdre sans préjudice inacceptable. Il s'exprime en unités de temps (minutes, heures, jours), généralement l'écart entre le dernier bon backup et l'instant de l'incident - pas en gigaoctets. Pour une banque, le RPO tend vers zéro (aucune transaction perdue) ; pour d'autres secteurs, plus de tolérance. Sur la timeline : RPO regarde vers le passé (données perdues avant l'incident), RTO regarde vers le futur (temps pour se rétablir après). À noter aussi le Work Recovery Time (WRT), période de rattrapage des transactions accumulées. Piège d'examen : RTO = temps, RPO = données (exprimées en temps). Confondre les deux est l'erreur la plus fréquente.

Mots-clés EN MTD / MAO RTO RPO WRT
Points clés
  • MTD = plafond de downtime tolérable ; synonymes MAD / MAO.
  • RTO = temps de reprise cible ; contrainte RTO <= MTD.
  • RPO = perte de données tolérable, mesurée en temps, regarde vers le passé.
  • Plus le RTO est court, plus le coût de la solution est élevé.
  • RTO et RPO sont deux axes distincts sur la timeline de reprise.

7.3 Sécurité du personnel : le cycle de vie

Cycle de vie joiner-mover-leaver : screening, onboarding, transfert, termination friendly et unfriendly.
Figure 7.3 · Cycle de vie joiner-mover-leaver : screening, onboarding, transfert, termination friendly et unfriendly.

L'humain est un double tranchant : source d'erreurs et de malveillance, mais aussi première ligne de défense. On adresse l'insider threat le plus tôt possible, avant même l'accès aux données. Le candidate screening précède l'embauche : job description précise (référence pour évaluer la performance et fonder un éventuel licenciement), vérification des references, de l'employment history, background check (criminel, diplômes, certifications) et, pour les postes très sensibles, financial profile (révèle une instabilité exploitable). Une fois embauché, l'accès suit le least privilege et idéalement un modèle RBAC où les droits découlent du rôle décrit.

À l'embauche, on fait signer les employment agreements : employee handbook (politiques et standards, réception confirmée), employment contract (termes, paie, performance), Nondisclosure Agreement (NDA, non-divulgation pendant et après l'emploi), Acceptable Use Policy (AUP, usage approuvé des assets) et Code of Conduct. Ces documents sont signés au plus tard à l'onboarding, idéalement en présence d'un représentant, chaque partie en conservant copie. L'onboarding inclut la revue du contrat et de la job description, la formation initiale de sécurité et la remise sécurisée des accès (ID/mot de passe, badges, tokens).

La termination doit être tout aussi codifiée. On distingue le friendly (départ amiable, ex : démission, retraite) - on peut mener un exit interview pour comprendre les raisons et rappeler les obligations NDA - et l'unfriendly (licenciement, départ conflictuel) qui exige des contrôles renforcés et rapides. Dans tous les cas : verrouiller immédiatement les comptes IT pour empêcher toute modification de dernière minute, récupérer le matériel et les access control items (badge, clés, tokens), revoir les termes du NDA, et escorter la personne hors des locaux si le poste n'est pas distant. Piège d'examen : pour un administrateur licencié sans préavis (unfriendly), la révocation des accès doit précéder ou accompagner l'annonce, jamais l'inverse ; un admin prévenu trop tôt peut saboter ou exfiltrer.

Mots-clés EN Candidate screening NDA AUP Unfriendly termination Multilateral NDA NCA (noncompete) Privacy policy attestation
Points clés
  • L'insider threat s'adresse avant l'embauche via le candidate screening.
  • NDA, AUP, Code of Conduct et contrat sont signés à l'onboarding.
  • Friendly = départ amiable avec exit interview ; unfriendly = révocation immédiate.
  • Toujours : verrouiller comptes, récupérer matériel/badges/tokens, escorter.
  • Pour un admin unfriendly, révoquer les accès avant ou pendant l'annonce.

7.4 Contrôles des tiers internes : vendor, consultant, contractor

Les tiers internes - vendor, consultant, contractor, sous-traitants, visiteurs - obtiennent un accès physique ou logique sans relever du même contrôle RH que les employés. Ils représentent un vecteur d'insider threat souvent sous-estimé. Le principe directeur reste le least privilege : l'accès est limité au strict nécessaire, pour la durée strictement requise, et révoqué dès la fin de mission. Avant tout accès, on procède à une vérification d'identité fiable et, selon la sensibilité, à un background check, qui peut être exigé du tiers ou de son employeur.

Sur le plan contractuel, le tiers signe un NDA spécifique (souvent distinct de celui des employés, parfois mutual NDA / two-way NDA quand l'échange d'informations sensibles est bilatéral) et accepte une AUP couvrant l'usage des assets auxquels il accède. Le contrat doit codifier les obligations de sécurité, la propriété des livrables et les conditions de fin d'accès. Pour les sous-traitants accédant aux systèmes, l'organisation peut imposer des people-facing instructions explicites et des activités de monitoring et surveillance.

Les contrôles opérationnels typiques : escorte physique pour les visiteurs et intervenants dans les zones sensibles, monitoring de l'activité (screen sharing supervisé, enregistrement de session, journalisation), et restriction d'accès aux seuls systèmes concernés. Toute surveillance doit respecter strictement les lois applicables, qui varient fortement selon les juridictions. Piège d'examen : un consultant n'est pas un employé ; ne lui appliquez pas par défaut les mêmes contrôles d'onboarding, mais un dispositif dédié (NDA spécifique, escorte, monitoring renforcé, accès temporaire) - et n'oubliez pas de révoquer ses accès à la fin de la prestation, faute de quoi vous laissez des comptes orphelins exploitables.

Mots-clés EN Vendor/Consultant/Contractor Mutual NDA Escort Monitoring
Points clés
  • Les tiers internes sont un vecteur d'insider threat à part entière.
  • Least privilege : accès minimal, temporaire, révoqué en fin de mission.
  • Vérification d'identité, background check, NDA spécifique (parfois mutual).
  • Contrôles : escorte, monitoring (screen sharing, enregistrement), accès restreint.
  • Le monitoring doit respecter les lois locales sur la surveillance.

7.5 Programme de sensibilisation : Awareness, Training, Education

Trois niveaux empilés : Awareness (tous), Training (rôle), Education (profond), avec leurs métriques.
Figure 7.5 · Trois niveaux empilés : Awareness (tous), Training (rôle), Education (profond), avec leurs métriques.

Un programme de sécurité humaine relève de la due care (fournir une formation efficace) et de la due diligence (vérifier qu'elle fonctionne). L'examen distingue trois types d'activités d'apprentissage. Awareness (« le pourquoi », pour tous) attire et engage l'attention en faisant prendre conscience d'un enjeu ; elle façonne croyances et comportements (signalétique, écrans de veille, newsletters, rappels). Training (compétences liées au rôle) construit la proficiency sur un ensemble de tâches précises : reconnaître un phishing et appliquer la bonne réponse. Education (compréhension profonde) explique les causes et concepts pour un public ciblé, souvent associée aux certifications. Mnémonique : Awareness change ce que l'on remarque, Training ce que l'on sait faire, Education ce que l'on comprend.

Le programme cible particulièrement le social engineering (phishing, vishing, smishing). Méthodes : Computer-Based Training (CBT, à son rythme, standardisé, mais risque de click-through - efficace couplé à de faux phishing tests), formation live (contre le click-through, crée du rapport), communications régulières, reward mechanisms (récompenser le bon comportement plutôt que punir), gamification (engagement et rétention accrus, ex : OWASP Cornucopia) et Security Champions (volontaires de chaque métier diffusant les bons réflexes). Le contenu doit être revu périodiquement (lois, politique, nouvelles attaques, nouveaux outils).

La due diligence impose de mesurer l'efficacité via des métriques liées aux objectifs. Exemples : taux de clic sur les campagnes de phishing simulé (baisse attendue dans le temps), taux de complétion des modules, attestation signée (preuve d'acknowledgement), nombre de signalements d'incidents, résultats aux évaluations. Piège d'examen : ne confondez pas les trois niveaux. Un module CBT obligatoire sur « comment reconnaître un phishing » est du Training, pas de l'Education ; une affiche rappelant de verrouiller son écran est de l'Awareness. La question type donne un exemple et demande de nommer le niveau - la bonne réponse dépend du verbe : sensibiliser (Awareness), rendre capable (Training), faire comprendre en profondeur (Education).

Mots-clés EN Awareness Training Education Security Champions JIT / microtraining Log reviews
Points clés
  • Awareness = pourquoi (tous) ; Training = savoir-faire (rôle) ; Education = comprendre (profond).
  • Le programme adresse surtout le social engineering (phishing, vishing, smishing).
  • Méthodes : CBT, live, reward, gamification, Security Champions.
  • Due care = fournir la formation ; due diligence = mesurer son efficacité.
  • Métriques : taux de clic phishing, complétion, attestation signée.

7.6 Contrôles anti-fraude RH : SoD, least privilege, job rotation, mandatory vacation, dual control

Separation of duties : un saisit, un autre approuve
Figure 7.6 · Separation of duties : un saisit, un autre approuve

Au-delà du cycle joiner-mover-leaver, la sécurité du personnel repose sur une famille de contrôles administratifs qui réduisent l'insider threat et la fraude. On les classe en préventifs (ils empêchent l'abus de survenir) et détectifs (ils le révèlent après coup). Le manuel ouvre d'ailleurs le sujet sur le two-person integrity control, preuve que ces mécanismes sont au cœur du Domaine 1.

Les contrôles préventifs. La separation of duties (SoD) découpe une transaction sensible en plusieurs étapes confiées à des personnes distinctes, de sorte qu'aucun individu seul ne puisse la mener de bout en bout (ex : qui crée un fournisseur ne peut pas approuver son paiement). Le least privilege accorde le minimum de droits nécessaires à la fonction, idéalement via RBAC. Le need-to-know va plus loin : même habilité, on n'accède qu'aux informations strictement requises pour la tâche du moment (least privilege porte sur les permissions système, need-to-know sur la connaissance). Le dual control / two-person control (parfois nommé two-person integrity ou règle des deux personnes) exige l'action simultanée de deux personnes pour une opération critique (ex : deux clés pour un coffre, double validation d'un virement). Attention : SoD répartit des étapes différentes entre des personnes ; dual control exige deux personnes pour la même étape.

Les contrôles détectifs et hybrides. La job rotation (rotation des postes) fait tourner les personnes entre fonctions ; elle complique la fraude durable (un complot devient instable) et révèle des malversations quand un remplaçant découvre les anomalies, tout en réduisant le single point of knowledge. La mandatory vacation (congé imposé) force un employé à s'absenter une période continue pendant laquelle un tiers occupe son poste : une fraude qui exige une présence quotidienne pour être maintenue (falsification de comptes, lapping) finit par se révéler. Job rotation et mandatory vacation sont surtout détectifs (et dissuasifs), tandis que SoD, least privilege, need-to-know et dual control sont préventifs. Piège d'examen : ne confondez pas les trois. SoD = découper une tâche entre plusieurs personnes (préventif) ; job rotation = changer les gens de poste dans le temps (détectif) ; mandatory vacation = éloigner la personne pour qu'un autre découvre la fraude (détectif). Si la question demande "quel contrôle révèle une fraude qu'un employé dissimule en restant à son poste", la réponse est mandatory vacation.

Mots-clés EN Separation of duties (SoD) Need-to-know Dual control Job rotation Mandatory vacation
Points clés
  • Préventifs : SoD, least privilege, need-to-know, dual control.
  • Détectifs/dissuasifs : job rotation, mandatory vacation.
  • SoD répartit des étapes différentes ; dual control exige deux personnes pour la même étape.
  • Least privilege = permissions système ; need-to-know = accès à la connaissance.
  • Mandatory vacation démasque une fraude qui exige la présence quotidienne du fraudeur.

7.7 BCMS et standards de continuité : ISO 22301, NIST SP 800-34, BC vs DR

Sites de reprise et continuité (BCMS)
Figure 7.7 · Sites de reprise et continuité (BCMS)

Une organisation qui veut formaliser sa continuité peut construire son Business Continuity Plan (BCP) de zéro ou s'appuyer sur des standards reconnus, soit en référence, soit en les adoptant intégralement. Connaître ces référentiels et la notion de Business Continuity Management System (BCMS) - le système de management qui pilote la continuité comme un processus permanent, et non comme un document figé - est attendu à l'examen.

Les standards à retenir. NIST SP 800-34 (Contingency Planning Guide for Federal Information Systems) fournit instructions et recommandations pour la planification de contingence des systèmes fédéraux. La série ISO 22300 définit les exigences et lignes directrices d'un BCMS : ISO 22300 (vocabulary, le glossaire), ISO 22301 (requirements, la norme certifiable qui fixe les exigences d'un BCMS), ISO 22313 (guidance, l'aide à la mise en oeuvre de 22301) et ISO/TS 22315 (guidelines for business impact analysis, le BIA). Mnémonique : 22301 = ce qu'il faut faire (requirements, certifiable) ; 22313 = comment le faire (guidance). L'organisation peut en plus devoir satisfaire des exigences de continuité d'origine légale, réglementaire ou contractuelle (ex : HIPAA impose data backup plan et emergency operations mode ; certaines places financières imposent un BCP).

BC vs DR : la distinction que l'examen teste. Ce sont deux éléments séparés. La Business Continuity (BC) est la capacité de l'organisation à maintenir ses core functions et à continuer de délivrer produits et services pendant une disruption majeure - c'est le volet métier et organisationnel. La Disaster Recovery (DR) est la manière dont cette continuité est techniquement réalisée et restaurée : technologies, infrastructure, outils nécessaires ; le DR fait partie du BCP. En clair : BC = rester opérationnel côté métier ; DR = remettre en état les systèmes et revenir à la normale. Les deux partent d'une policy et s'appuient sur le BIA, qui fixe le scope et l'ampleur des plans. Enfin, après avoir identifié le critical path, on capture toutes les external dependencies (supply chain, prestataires, cloud) et on construit un stakeholder map alimentant un communications plan ; pour une opération dans le cloud, le plan doit prévoir les failure modes de perte d'un data center local, d'une région, voire du provider SaaS global (le plus difficile à récupérer). Piège d'examen : ne pas réduire la BC à la DR. Si la question oppose "continuer à fonctionner" (BC) à "restaurer les systèmes" (DR), ou demande quelle norme est certifiable (ISO 22301), gardez la distinction nette.

Mots-clés EN BCMS ISO 22301 ISO 22313 NIST SP 800-34 BC vs DR
Points clés
  • Le BCP peut être construit ou s'appuyer sur des standards (build vs adopt).
  • Série ISO 22300 : 22300 vocab, 22301 requirements (certifiable), 22313 guidance, 22315 BIA.
  • NIST SP 800-34 = contingency planning fédéral.
  • BC = rester opérationnel (métier) ; DR = restaurer les systèmes (technique), inclus dans le BCP.
  • Capturer external dependencies et stakeholder map ; prévoir les failure modes cloud (data center, région, SaaS global).

Cas d'étude

Cas · Étude de cas

Fixer RTO et RPO d'un système de paiement

Contexte : Une fintech exploite un moteur de paiement classé Critical par le BIA. Le senior management estime qu'au-delà de 4 heures d'indisponibilité, les pénalités contractuelles et la perte de confiance deviennent inacceptables. L'équipe propose un RTO de 6 heures et un RPO de 1 heure pour réduire les coûts d'infrastructure.

Question : La proposition de l'équipe est-elle acceptable ? Quels paramètres corriger et pourquoi ?

Voir l'analyse et la correction

Le seuil de 4 heures correspond au MTD (Maximum Tolerable Downtime) : au-delà, le dommage est inacceptable. La règle fondamentale est RTO <= MTD. Un RTO de 6 heures dépasse le MTD de 4 heures : l'organisation atteindrait son seuil de dommage avant même d'être rétablie. La proposition est donc invalide ; le RTO doit être ramené sous 4 heures (par ex. 2 à 3 heures pour conserver une marge de sécurité avant le seuil).

Le RPO de 1 heure pose un problème distinct : pour un système de paiement, perdre jusqu'à une heure de transactions est généralement inacceptable, car chaque transaction perdue représente une perte financière directe et un litige client. Le secteur financier vise typiquement un RPO proche de zéro (réplication synchrone). Réduire les coûts en relâchant le RPO est un faux calcul ici. Leçon : on ne fixe jamais RTO et RPO pour minimiser le coût d'abord ; on part des contraintes métier (MTD, tolérance à la perte de données) puis on dimensionne et finance la solution en conséquence.

À retenir : RTO <= MTD est non négociable ; pour un système de paiement, viser un RPO proche de zéro.

Cas · Étude de cas

Offboarding d'un administrateur licencié

Contexte : Un administrateur système disposant de droits privilégiés (RBAC : accès domaine, sauvegardes, comptes de service) est licencié pour faute. La direction veut le convoquer en entretien à 9h pour lui annoncer la décision, puis « gérer les accès plus tard dans la journée » par l'équipe IT.

Question : Quel est le défaut majeur de ce plan et comment ordonner correctement les actions ?

Voir l'analyse et la correction

Il s'agit d'une termination unfriendly impliquant un compte hautement privilégié - le scénario le plus risqué. Le défaut majeur est temporel : annoncer le licenciement avant de révoquer les accès laisse une fenêtre pendant laquelle un administrateur, désormais hostile, peut saboter (suppression de sauvegardes, portes dérobées via comptes de service), exfiltrer des données ou verrouiller d'autres comptes. La règle : pour un unfriendly, la révocation des accès précède ou accompagne l'annonce, jamais l'inverse.

Séquence correcte : (1) préparer en amont, de façon confidentielle, la désactivation de tous ses comptes (interactifs et de service liés à lui), la rotation des secrets qu'il connaît et la revue des sauvegardes ; (2) au moment de l'entretien, désactiver les accès en temps réel (idéalement pendant qu'il est en salle, coupé de ses terminaux) ; (3) mener l'annonce ; (4) récupérer le matériel et les access control items (badge, clés, tokens), rappeler les obligations du NDA ; (5) escorter la personne hors des locaux ; (6) auditer a posteriori les actions récentes du compte. L'exit interview formel a surtout du sens en départ friendly ; ici la priorité est le confinement du risque.

À retenir : En unfriendly termination, on révoque les accès avant ou pendant l'annonce, surtout pour un privileged account.

Cas · Étude de cas

Une fraude démasquée par le congé imposé

Contexte : Dans une PME, le même comptable saisit les factures fournisseurs, approuve les paiements et rapproche les relevés bancaires. Il ne prend jamais de congés prolongés et insiste pour gérer seul ces tâches "sensibles". La direction le juge dévoué. L'auditeur interne s'inquiète d'un risque de fraude.

Question : Quels contrôles anti-fraude RH font défaut, et lequel est le plus susceptible de révéler une fraude déjà en cours ?

Voir l'analyse et la correction

Le cumul saisie + approbation + rapprochement viole la separation of duties (SoD) : une seule personne maîtrise la transaction de bout en bout, ce qui permet de créer un faux fournisseur, de l'approuver et de masquer la trace au rapprochement. Premier correctif préventif : répartir ces trois étapes entre des personnes distinctes (et appliquer least privilege / need-to-know sur les accès). Un dual control sur les virements au-dessus d'un seuil renforcerait encore la prévention.

Mais ces correctifs préviennent les fraudes futures ; ils ne révèlent pas nécessairement celle qui est peut-être déjà en place. Le contrôle détectif décisif ici est la mandatory vacation : forcer le comptable à s'absenter une période continue pendant laquelle un remplaçant occupe son poste. Une fraude de type lapping ou faux fournisseur exige une intervention quotidienne pour rester invisible (rapprochements truqués en continu) ; dès que le fraudeur est éloigné, le remplaçant tombe sur les anomalies. Le refus systématique de congés est d'ailleurs un signal d'alerte classique. La job rotation produirait un effet détectif comparable à plus long terme. Leçon : les contrôles préventifs (SoD, dual control, least privilege) et détectifs (mandatory vacation, job rotation) sont complémentaires ; pour démasquer une fraude que l'auteur entretient par sa présence, on mise sur le congé imposé.

À retenir : SoD et dual control préviennent la fraude ; mandatory vacation (et job rotation) la révèlent quand l'auteur l'entretient par sa présence.

Piège d'examen

RTO <= MTD : la contrainte oubliée

Le RTO doit toujours être strictement inférieur (ou au plus égal) au MTD/MAD. Régler un RTO supérieur ou égal au MTD vide l'objectif de son sens : on dépasserait le seuil de dommage avant d'être rétabli. Aux questions « le RTO doit toujours être inférieur à... », la bonne réponse est le MTD/MAD, pas une durée fixe (12h) ni la deadline réglementaire (qui doit elle-même rester au-dessus du RTO, avec marge).

Piège d'examen

RTO vs RPO : temps de reprise contre perte de données

RTO et RPO sont deux axes distincts. Le RTO mesure le temps pour rétablir le service après l'incident (regarde vers le futur). Le RPO mesure la quantité de données perdue tolérable, exprimée en temps - l'écart jusqu'au dernier bon backup (regarde vers le passé). Piège : croire que le RPO se mesure en gigaoctets, ou inverser les deux. « Combien de temps pour reprendre » = RTO ; « combien de données perdues » = RPO.

Piège d'examen

Awareness vs Training vs Education

Trois niveaux à ne pas confondre. Awareness sensibilise tout le monde au « pourquoi » (affiche, rappel). Training rend capable d'exécuter des tâches liées au rôle (module « reconnaître un phishing »). Education fait comprendre en profondeur causes et concepts (cursus, certification). Piège classique : qualifier d'« Education » un module CBT obligatoire qui n'est que du Training. Identifiez le verbe : sensibiliser, rendre capable, ou faire comprendre.

Piège d'examen

SoD vs job rotation vs mandatory vacation

Trois contrôles anti-fraude souvent confondus. Separation of duties (SoD) découpe une même transaction en étapes confiées à des personnes différentes - préventif, agit dans l'instant. Job rotation fait tourner les personnes entre postes dans le temps - détectif/dissuasif, casse les collusions durables. Mandatory vacation éloigne une personne pour qu'un remplaçant découvre une fraude qu'elle dissimulait par sa présence quotidienne - détectif. Piège : qualifier le mandatory vacation de "préventif" ou confondre SoD (deux personnes, étapes différentes) avec dual control (deux personnes, même étape). Si la question parle de "révéler" une fraude existante, pensez détectif (mandatory vacation / job rotation), pas SoD.

Piège d'examen

BC vs DR : continuité métier contre restauration technique

BC et DR sont deux éléments séparés. La Business Continuity (BC) est la capacité à maintenir les core functions et à continuer de livrer produits et services pendant la disruption - volet métier/organisationnel. La Disaster Recovery (DR) est la manière technique de restaurer le service (technologies, infrastructure, outils) et fait partie du BCP. Piège : assimiler la BC à la simple bascule technique sur site de secours (ça, c'est du DR), ou croire que le DR englobe la BC. Côté normes : la norme certifiable d'un BCMS est ISO 22301 (requirements), pas ISO 22313 (qui n'est que la guidance).

Point de contrôle — Vérifiez votre compréhension

  1. Le recovery time objective (RTO) d'une organisation doit toujours être inférieur à :

    • A 12 heures
    • B La deadline imposée par les régulateurs
    • C Le maximum allowable downtime (MAD/MTD)
    • D Le temps nécessaire pour alerter le public
    Réponse & justification

    Réponse : C — Le maximum allowable downtime (MAD/MTD)

    Le MTD/MAD est le point au-delà duquel l'organisation subit un dommage inacceptable ; fixer le RTO égal ou supérieur au MTD vide l'objectif de son sens. 12h est arbitraire et la deadline réglementaire ne doit pas servir de RTO (pas de marge).

  2. Lequel de ces éléments le BIA fournit-il, plutôt que d'être lui-même un plan de reprise ?

    • A La procédure détaillée de bascule vers le site de secours
    • B Le critical path, la valeur des assets et les dépendances
    • C Le script de communication de crise
    • D La configuration technique des sauvegardes
    Réponse & justification

    Réponse : B — Le critical path, la valeur des assets et les dépendances

    Le BIA est un management process qui identifie le critical path, la valeur des assets et les dépendances, puis priorise les Critical Business Functions. Ces données alimentent le BCP/DRP, qui contient les procédures opérationnelles. Confondre BIA et plan est un piège fréquent.

  3. Un administrateur privilégié est licencié pour faute (unfriendly termination). Quelle action est prioritaire ?

    • A Programmer un exit interview détaillé avant tout
    • B Révoquer immédiatement ses accès, idéalement avant ou pendant l'annonce
    • C Lui laisser 48h pour transférer ses dossiers
    • D Mettre à jour le job description du poste
    Réponse & justification

    Réponse : B — Révoquer immédiatement ses accès, idéalement avant ou pendant l'annonce

    Un compte privilégié hostile peut saboter ou exfiltrer si l'annonce précède la révocation. En unfriendly, on désactive les accès avant ou pendant l'annonce, on récupère matériel et badges, puis on escorte. L'exit interview formel concerne surtout les départs friendly.

  4. Une affiche dans les couloirs rappelle de verrouiller son écran en s'absentant. À quel niveau d'apprentissage correspond-elle ?

    • A Education
    • B Training
    • C Awareness
    • D Certification
    Réponse & justification

    Réponse : C — Awareness

    L'affiche attire l'attention et façonne le comportement sans enseigner une compétence ni des concepts profonds : c'est de l'Awareness. Le Training rendrait capable d'exécuter une tâche (ex : reconnaître un phishing) ; l'Education ferait comprendre causes et concepts en profondeur.

  5. Un employé occupe seul un poste sensible et refuse toujours de prendre de longues absences. Quel contrôle est le plus à même de révéler une fraude qu'il dissimulerait par sa présence quotidienne ?

    • A Separation of duties
    • B Mandatory vacation
    • C Least privilege
    • D Background check
    Réponse & justification

    Réponse : B — Mandatory vacation

    La mandatory vacation force une absence continue pendant laquelle un remplaçant découvre les anomalies qu'une fraude (lapping, faux fournisseur) exige d'entretenir au quotidien : c'est un contrôle détectif. SoD et least privilege sont préventifs (ils empêchent, ne révèlent pas) ; le background check intervient avant l'embauche.

  6. Quelle différence sépare la separation of duties (SoD) du dual control (two-person control) ?

    • A Aucune, ce sont des synonymes
    • B SoD confie des étapes différentes à des personnes différentes ; le dual control exige deux personnes pour la même étape
    • C SoD est détectif, le dual control est préventif
    • D Le dual control ne concerne que les accès physiques
    Réponse & justification

    Réponse : B — SoD confie des étapes différentes à des personnes différentes ; le dual control exige deux personnes pour la même étape

    La SoD répartit les étapes distinctes d'une transaction entre plusieurs personnes pour qu'aucune ne la mène seule. Le dual control impose la présence simultanée de deux personnes sur une même action critique (ex : double validation d'un virement, deux clés). Les deux sont préventifs ; ce ne sont pas des synonymes.

  7. Une organisation veut faire certifier son Business Continuity Management System (BCMS). Quel standard fixe les exigences certifiables ?

    • A ISO 22313
    • B NIST SP 800-34
    • C ISO 22301
    • D ISO 22300
    Réponse & justification

    Réponse : C — ISO 22301

    ISO 22301 est la norme de requirements certifiable d'un BCMS. ISO 22313 n'est que la guidance (comment mettre en oeuvre 22301), ISO 22300 est le vocabulary, et NIST SP 800-34 est un guide de contingency planning fédéral, non une norme certifiable de BCMS.

  8. Sur la timeline de reprise, quelle grandeur mesure la quantité de données perdue, et où se situe-t-elle par rapport au sinistre ?

    • A Le RPO, situé AVANT le sinistre (jusqu'au dernier bon backup)
    • B Le RTO, situé APRÈS le sinistre
    • C Le WRT, situé APRÈS la reprise
    • D Le MTD, qui équivaut au RPO
    Réponse & justification

    Réponse : A — Le RPO, situé AVANT le sinistre (jusqu'au dernier bon backup)

    Le RPO mesure la perte de données tolérable et se situe avant le sinistre (écart jusqu'au dernier bon backup). Le RTO (reprise) et le WRT (rattrapage des transactions) sont après. Le MTD n'est pas le RPO ; on a RTO ≤ MTD.

Points essentiels à retenir

  • Le BIA est un management process qui exige le senior leadership support et révèle le critical path et la valeur des assets avant tout BCDR.
  • Trois sorties clés du BIA : MTD (plafond), RTO (temps de reprise, RTO <= MTD), RPO (perte de données tolérable, en temps).
  • L'insider threat s'adresse dès le candidate screening ; NDA, AUP et Code of Conduct se signent à l'onboarding.
  • En unfriendly termination, révoquer les accès avant ou pendant l'annonce, surtout pour un compte privilégié, puis récupérer matériel/badges et escorter.
  • Les tiers internes (vendor, consultant, contractor) relèvent du least privilege : NDA spécifique, escorte, monitoring, accès temporaire révoqué en fin de mission.
  • Awareness (pourquoi, tous) vs Training (compétence, rôle) vs Education (compréhension profonde) ; due diligence = mesurer via taux de clic phishing, complétion, attestation signée.
  • Contrôles anti-fraude RH préventifs : separation of duties (SoD), least privilege, need-to-know, dual control (two-person) ; détectifs : job rotation et mandatory vacation, qui révèlent une fraude entretenue par la présence de l'auteur.
  • SoD répartit des étapes différentes entre plusieurs personnes ; dual control exige deux personnes pour la même étape critique.
  • Standards de continuité : NIST SP 800-34 (fédéral) et série ISO 22300 - 22301 requirements (certifiable), 22313 guidance, 22315 BIA, le tout pilotant un BCMS.
  • BC = maintenir les core functions côté métier ; DR = restaurer techniquement les systèmes et fait partie du BCP ; ne pas réduire la BC à la DR.
  • Après le critical path, capturer les external dependencies et un stakeholder map, et prévoir les failure modes cloud (data center, région, provider SaaS global).

Synthèse du domaine

L'éthique et le droit façonnent l'environnement de la sécurité de l'information : les principes éthiques fondent la confiance et la fiabilité, et beaucoup se sont cristallisés en lois civiles et pénales. ISC2 impose à ses membres de comprendre et respecter son Code of Ethics.

Ces constructs alimentent les attributs fondamentaux de la sécurité : confidentiality, integrity, availability, auxquels s'ajoutent non-repudiation, authenticity, privacy et safety. Le droit et l'éthique définissent deux devoirs complémentaires : la due care (agir de façon raisonnable et prudente) et la due diligence (surveiller, gérer et, au besoin, intervenir pour vérifier que les contrôles atteignent leur but).

Les organisations s'appuient sur la gouvernance pour planifier, organiser et contrôler leurs décisions ; la sécurité joue un rôle de soutien et doit s'aligner sur les objectifs métier. La privacy et la protection des données sont devenues une préoccupation majeure, reflétée par des lois nouvelles et parfois contradictoires d'une juridiction à l'autre. Enfin, la gestion des risques relie tout : on identifie, évalue et traite les risques en choisissant des contrôles proportionnés, la due care guidant ce choix et la due diligence en vérifiant l'efficacité.

Glossaire (Terms & Definitions)

Les termes-clés du Domaine 1, à maîtriser en anglais pour l'examen.

TermeDéfinition
Audit / AuditingOutils, processus et activités servant à mener les revues de conformité.
AvailabilityAccès et usage fiables et opportuns de l'information par les utilisateurs autorisés.
Business continuity (BC)Actions, processus et outils pour maintenir les opérations critiques pendant une contingence.
Business impact analysis (BIA)Inventaire des actifs annoté de la criticité de chacun pour l'organisation.
ComplianceAdhésion à un mandat : les actions qui la démontrent et les outils/documents qui la soutiennent.
ConfidentialityPréservation des restrictions autorisées d'accès et de divulgation, incluant la privacy et l'information propriétaire.
Data subjectL'individu humain rattaché à un ensemble de données personnelles.
Disaster recovery (DR)Tâches ramenant l'organisation des opérations de contingence aux opérations normales.
Due careConcept juridique : le devoir dû par un prestataire à son client (agir raisonnablement).
Due diligenceActions menées pour démontrer et fournir la due care (enquêter, surveiller, vérifier).
GovernanceProcessus de gestion de l'organisation : décisions, policies, rôles et procédures.
Governance committeeCorps formel qui décide du mode de décision et approuve changements et exceptions.
GuidelinesPratiques suggérées (non obligatoires) pour accomplir au mieux une tâche.
IntegrityProtection contre la modification ou la destruction impropre ; inclut non-répudiation et authenticité.
Intellectual propertyActifs intangibles (notamment logiciels et données).
Maximum allowable downtime (MAD / MTD)Durée pendant laquelle l'organisation survit à l'interruption de fonctions critiques.
Personally identifiable information (PII)Toute donnée sur une personne permettant de l'identifier.
PolicyDocument publié par le senior management dictant les objectifs stratégiques.
PrivacyDroit de l'individu de contrôler la distribution des informations le concernant.
ProceduresActivités explicites et répétables pour accomplir une tâche précise.
Recovery point objective (RPO)Quantité de données que l'organisation peut perdre avant de ne plus être viable.
Recovery time objective (RTO)Temps cible fixé pour se rétablir d'une interruption.
Residual riskRisque qui demeure après la mise en place des contrôles (risk mitigation).
RiskPossibilité de dommage et probabilité que ce dommage se réalise.
Risk acceptanceDécider que les bénéfices l'emportent sur l'impact/probabilité et agir sans mesure supplémentaire.
Risk avoidanceNe pas réaliser une fonction car son risque est jugé trop grand.
Risk mitigationMettre en place des contrôles pour atténuer l'impact et/ou la probabilité d'un risque.
Risk transferencePayer un tiers pour qu'il accepte l'impact financier d'un risque (ex : assurance).
Security control frameworkConstruction décrivant l'approche de sécurité de l'organisation (processus, procédures, solutions).
Security governanceEnsemble des policies, rôles et processus servant à prendre les décisions de sécurité.
StandardsMandats spécifiques énonçant explicitement les attentes de performance ou de conformité.

Points essentiels du domaine

Ce qu'il faut absolument retenir

  • La security governance est le socle d'une gestion efficace de la sécurité : policies, standards et procedures guident les contrôles et l'allocation des ressources.
  • La gestion des risques est critique : identifier, évaluer, traiter, puis sélectionner et implémenter les contrôles adaptés.
  • Les security controls (administrative, technical/logical, physical) protègent contre l'accès, la divulgation et la destruction non autorisés.
  • La conformité légale et réglementaire est essentielle : connaître les lois applicables et savoir s'y conformer.
  • Les principes fondamentaux (confidentiality, integrity, availability, plus authenticity, non-repudiation, privacy, safety) sont la fondation de toute décision.
  • Due care et due diligence définissent les devoirs du professionnel et le protègent, avec son organisation, d'une accusation de negligence.
  • L'éthique (4 canons ISC2, ordre prescriptif) est une condition de la certification, pas une option.

Pour aller plus loin