À la fin de ce cours, vous saurez
- Appliquer les principes de conception sécurisée (least privilege, separation of duties, secure defaults, fail securely, defense in depth) dès la phase de design.
- Distinguer et comparer les principaux modèles de sécurité et leurs cas d'usage.
- Interpréter les critères et méthodes d'évaluation de la sécurité des systèmes.
- Évaluer les capacités de sécurité du matériel et des systèmes d'information.
- Identifier les vulnérabilités propres aux architectures cloud, virtualisées, embarquées et IoT, y compris le modèle de responsabilité partagée.
- Sélectionner et combiner des mécanismes cryptographiques (symétrique, asymétrique, hybride, hachage) selon le risque.
- Reconnaître les principales attaques cryptanalytiques et apprécier leur efficacité réelle.
- Concevoir des contrôles de sécurité physique et environnementale (CPTED, détection précoce de fumée, redondance) intégrés au cycle de vie.
Prérequis : Une bonne maîtrise du Domaine 1 (Security & Risk Management) est recommandée : les principes de gestion du risque et les concepts fondamentaux de sécurité y sont posés et conditionnent les choix de conception abordés ici. Des bases en informatique et en réseaux facilitent la compréhension des aspects cryptographiques et architecturaux.
Parcours conseillé
Ce plan d'étude répartit les 9 modules du Domaine 3 en 5 sessions progressives, des fondations de conception jusqu'à la cryptographie et la sécurité physique. Comptez une session par bloc thématique cohérent.
-
Session 1 - Principes & modèles de sécurité
MODULE 1 · MODULE 2
Principes de conception sécurisée (least privilege, SoD, secure defaults, fail securely, defense in depth) et modèles de sécurité formels.
-
Session 2 - Évaluation & capacités système
MODULE 3 · MODULE 4
Critères et méthodes d'évaluation de la sécurité, puis capacités de sécurité du matériel et des systèmes d'information.
-
Session 3 - Vulnérabilités d'architecture
MODULE 5
Vulnérabilités des architectures (cloud avec responsabilité partagée, virtualisation, embarqué, IoT) et contre-mesures.
-
Session 4 - Cryptographie
MODULE 6 · MODULE 7
Chiffrement symétrique, asymétrique, systèmes hybrides, hachage, gestion des clés et cycle de vie cryptographique.
-
Session 5 - Attaques crypto & sécurité physique/cycle de vie
MODULE 8 · MODULE 9
Attaques cryptanalytiques (et le poids du facteur humain), puis sécurité physique/environnementale (CPTED, VESDA) et fin de cycle de vie.
Principes de conception sécurisée
Prérequis : Connaître le cycle de vie de développement (SDLC) et les notions de menace, vulnérabilité et contrôle vues au Domaine 1.
Le Domaine 3 commence par une idée directrice : la sécurité doit être prise en compte le plus tôt possible dans le processus de conception, idéalement dès la phase d'initiation (initiation phase), et non ajoutée après coup. Intégrer la sécurité au niveau de la conception évite des retouches coûteuses, préserve les performances et réduit les risques inutiles. Ajouter la sécurité tardivement oblige souvent à modifier une conception existante, ce qui dégrade les performances et augmente les coûts.
Ce module couvre les principes de conception sécurisée que l'objectif 3.1 demande d'expliquer (Key Area A). On part du threat modeling - une forme de test qui adopte la mentalité de l'attaquant pour localiser les vulnérabilités sans les corriger lui-même - puis on déroule least privilege, defense in depth, secure defaults, fail securely, separation of duties, keep it simple, trust but verify, zero trust, privacy by design et shared responsibility (cloud).
Ces principes ne sont pas des contrôles techniques isolés : ce sont des règles de raisonnement que le professionnel applique pour qu'un système "operate as efficiently as possible while not taking any unnecessary risks". L'examen teste votre capacité à choisir LE bon principe face à un scénario, et à distinguer des concepts proches (par exemple trust but verify vs zero trust).
1.1 Threat modeling et la mentalité de conception sécurisée
Le point de départ du Domaine 3 est une posture : intégrer la sécurité aussi tôt que possible dans tout processus de conception, de préférence dès la phase d'initiation (initiation phase). Concevoir la sécurité "at the design level and not as an afterthought" permet au système d'opérer aussi efficacement que possible sans prendre de risques inutiles. À l'inverse, ajouter la sécurité aux étapes tardives oblige à modifier la conception existante, ce qui pénalise les performances et fait grimper les coûts.
Le threat modeling (revu au Domaine 1.10) a un rôle à jouer dans chaque phase du cycle de vie, de l'analyse des exigences jusqu'à la détection et la réponse aux attaques en temps réel. Il offre une vue conceptuelle du fonctionnement de la cible en posant deux questions : "What needs protection and what does it need protection from?". En décomposant l'organisation en ses parties (chaque business unit ayant ses propres standards, systèmes et technologies, donc ses propres vulnérabilités), on aligne les menaces possibles sur ces éléments et on identifie plus vite les menaces existantes.
L'idée centrale est d'adopter la mentalité de l'attaquant. Le manuel l'illustre : donnez un téléphone neuf à un utilisateur ordinaire, il pense "What can it do?" ; donnez-le à un acteur malveillant, il pense "What can I make it do?". Comme nous testons spontanément dans notre propre cadre mental, il est essentiel de tester avec d'autres mentalités - malveillantes, mais aussi non averties (uninformed).
Point crucial pour l'examen : le threat modeling est une forme de test qui identifie les systèmes et services critiques et révèle où des vulnérabilités pourraient exister, mais il ne corrige PAS le problème. L'organisation doit ensuite intégrer les résultats dans son processus de remédiation. STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege) est la méthodologie de référence pour catégoriser les menaces lors de cet exercice.
- Sécurité intégrée dès l'initiation phase : moins de coûts, meilleures performances.
- Le threat modeling intervient à chaque phase du cycle de vie, des exigences à la réponse temps réel.
- Deux questions clés : que faut-il protéger, et contre quoi ?
- Il identifie les vulnérabilités mais ne les corrige pas : la remédiation reste à faire.
- STRIDE catégorise les menaces ; il faut adopter des mentalités alternatives, y compris non averties.
1.2 Least privilege, separation of duties et defense in depth
Least privilege consiste à accorder à un utilisateur le minimum de permissions nécessaires pour accomplir sa fonction explicite. Attention au piège : cela ne signifie PAS "peu de permissions". Un administrateur système a besoin d'un compte privilégié pour faire son travail et l'obtient ; un senior VP, pourtant individu de confiance, n'a pas besoin d'un compte privilégié pour faire le sien et ne l'obtient donc pas. Le critère est la fonction, pas le rang ni le degré de confiance.
Separation of duties (SoD) exige qu'une seule personne, un seul processus ou un seul système ne puisse pas accomplir à lui seul un processus sensible. Il faut des checks and balances : au moins deux moyens indépendants de vérifier l'autorisation de l'action et des acteurs. L'objectif est de réduire les possibilités de corruption et de vol. Exemple de la procurement : sans SoD, un manager peut obtenir un devis, créer un bon de commande, émettre un chèque et acheter seul - il peut facilement abuser de la confiance. Avec SoD, un purchasing manager signe le bon de commande, puis seul un comptable peut émettre le chèque après réception de ce bon signé. SoD dégrade nécessairement l'efficacité opérationnelle, mais renforce la sécurité ; elle est souvent efficace, peu coûteuse, et pourtant sous-utilisée.
Defense in depth (DiD), introduit par la NSA, est une approche en couches de la posture de sécurité, parfois appelée castle model : les joyaux de la couronne sont au cœur du château, protégés par des couches successives (gardes, murs, douve). Multiplier les couches dissuade l'attaquant et le pousse vers des cibles plus faciles. Le modèle original définit les couches : Data, Application, Host, Internal network, Perimeter, Physical, et Policies/procedures/awareness (contrôles administratifs contre les menaces internes).
Nuance d'examen : DiD est parfois jugé dépassé à l'ère du cloud, du BYOD et de l'edge/fog computing, et historiquement très vulnérable aux insider threats (au point que certains disent "defense in depth is dead" car trop statique). Comme concept de protection des actifs les plus précieux par couches, il reste utile, mais doit être re-rationalisé pour couvrir tous les types de contrôles - administratifs, techniques et physiques.
- Least privilege = minimum nécessaire à la fonction, pas un faible privilège par défaut.
- Un sysadmin peut légitimement avoir un compte privilégié ; un VP de confiance, non.
- SoD : au moins deux acteurs indépendants pour un processus sensible (ex : procurement).
- SoD réduit corruption/vol mais dégrade l'efficacité ; sous-utilisée car perçue comme coûteuse.
- DiD = couches (Data, App, Host, Internal network, Perimeter, Physical, Policy) ; faible contre les insiders, à re-rationaliser.
1.3 Secure defaults, fail securely et keep it simple
Secure defaults (secure by default) signifie que les paramètres de configuration par défaut du système doivent être les plus sécurisés possibles, même si cela dégrade l'expérience utilisateur. Sécurité et convivialité s'évaluent sur la base d'une analyse de risque et de tests d'utilisabilité, et un équilibre est nécessaire pour préserver les exigences de sécurité tout en atteignant les objectifs métier. Le professionnel doit conseiller et insister sur des secure defaults, qu'il soit du côté du fournisseur (vendor) ou du client (customer).
Fail securely : un système conçu pour échouer de façon sécurisée (fail-secure) basculera par défaut dans un état sécurisé en cas de plantage, réduisant l'exposition potentielle des données et les autres risques. L'approche fail-secure s'impose pour un système à fort potentiel d'exposition. Attention : la sécurité humaine doit être prise en compte. Exemple du manuel : pour les procédures d'évacuation incendie d'un site sensible, la sécurité des personnes prime, même au prix de l'exposition de données sensibles au personnel évacué. C'est l'arbitrage classique fail-secure vs fail-safe à connaître pour l'examen : la vie humaine d'abord.
Keep it simple (KISS) : la sécurité n'a pas à être complexe. Des procédures claires, courtes, directes et faciles à suivre clarifient ce qui est un comportement acceptable et ce qui ne l'est pas ; elles sont plus faciles à exécuter correctement et il est plus difficile de s'y tromper. Les conceptions simples sont aussi plus faciles à tester, valider et dont on peut démontrer l'exactitude (demonstrate correctness), bien davantage que des conceptions complexes et sophistiquées. La complexité est une ennemie de la sécurité.
- Secure defaults : le réglage par défaut est le plus sûr, quitte à gêner l'utilisateur.
- Équilibre sécurité/usabilité via analyse de risque et tests d'utilisabilité.
- Fail-secure = état sécurisé après crash ; mais la sécurité humaine passe avant les données.
- KISS : simplicité = moins d'erreurs, plus facile à tester et valider.
- Insister sur les secure defaults côté vendor ET côté customer.
1.4 Trust but verify, zero trust, privacy by design et shared responsibility
Trust but verify est la posture traditionnelle héritée du DiD : on authentifie l'utilisateur (humain ou non) une seule fois à son entrée dans l'environnement. Une fois authentifié, il peut circuler librement dans le bâtiment, le campus ou les réseaux internes. Les ressources sensibles restent protégées par des permissions et des contrôles d'autorisation, mais sans firewalls ni frontières supplémentaires, aucune nouvelle vérification d'authentification (pour confirmer que l'ID est bien ce qu'il prétend être) n'est effectuée. Beaucoup de petits LAN fonctionnent ainsi.
Zero trust part du constat que, dans un environnement trust but verify, un utilisateur a une fois entré une capacité quasi illimitée de se déplacer, de repérer les actifs et de trouver des vulnérabilités exploitables. En multipliant firewalls et dispositifs de contrôle de frontière à travers le réseau, on augmente le nombre d'occasions de détecter un fauteur de trouble avant qu'il ne nuise. Beaucoup d'architectures poussent cela à l'extrême par la microsegmentation des réseaux internes, qui impose une réauthentification fréquente de l'identifiant utilisateur. C'est la distinction d'examen : trust but verify = une authentification à l'entrée ; zero trust = vérification continue et frontières internes multipliées.
Privacy by design est une approche de conception publiée en 2009 par Ann Cavoukian, alors commissaire à l'information et à la vie privée de l'Ontario (Canada). Elle vise à garantir que le respect de la vie privée est pris en compte tout au long des phases de conception et de développement d'un système. Le concept a été adopté par le GDPR, la FTC américaine, le CPDP et d'autres régulateurs, en phase avec la montée des exigences de confidentialité dans la législation mondiale. Corollaire : privacy by default - les réglages les plus protecteurs de la vie privée sont actifs sans action de l'utilisateur.
Shared responsibility découle de l'essor du cloud : maintenir sécurité et conformité devient une responsabilité partagée entre le fournisseur et le client. Le client ne contrôle pas tout ce qui se passe dans le cloud ; mais on ne peut pas non plus tout mettre sur le fournisseur, car il ne contrôle ni les données stockées ni leur usage. Les deux parties doivent donc faire leur part selon des termes définis. Le contrat (souvent un service-level agreement, SLA) précise quelles responsabilités sont exclusives à chaque partie et lesquelles sont partagées.
- Trust but verify : une seule authentification à l'entrée, circulation libre ensuite.
- Zero trust : vérification continue, microsegmentation, réauthentification fréquente.
- Privacy by design (Cavoukian, 2009) : vie privée intégrée tout au long de la conception.
- Privacy by default : réglages les plus protecteurs actifs sans action de l'utilisateur.
- Shared responsibility : provider et customer partagent la sécurité ; le SLA répartit les rôles.
1.5 Synthèse : choisir le bon principe de conception
L'objectif 3.1 demande d'expliquer l'importance des principes de conception sécurisée de base. Le "Check Your Understanding" du manuel les liste ensemble : least privilege, defense in depth, secure defaults, fail securely, separation of duties, keep it simple, trust but verify, zero trust, privacy by design et shared responsibility. À l'examen, on vous présente un scénario et vous devez désigner LE principe qui s'applique, pas réciter une définition.
Quelques repères de discrimination. Un utilisateur a trop de droits "au cas où" : least privilege. Un seul acteur peut lancer ET valider un paiement : separation of duties. Un nouvel équipement arrive avec tous les services activés : secure defaults. Un système doit basculer en état sûr en cas de crash, mais sans piéger les personnes : fail securely (avec arbitrage human safety). Une procédure est si alambiquée que les utilisateurs la contournent : keep it simple. L'utilisateur authentifié une fois circule partout : trust but verify ; on veut au contraire le revérifier en permanence et segmenter : zero trust. On veut intégrer la confidentialité dès la conception : privacy by design. Une donnée part chez un fournisseur cloud et il faut clarifier qui sécurise quoi : shared responsibility via le SLA.
Deux idées transverses unifient ces principes. D'abord, la sécurité s'intègre tôt (initiation phase) et par couches : defense in depth donne le cadre, les autres principes en sont des facettes. Ensuite, chaque principe est un compromis assumé : SoD et secure defaults dégradent l'efficacité ou l'expérience utilisateur, mais réduisent le risque - le rôle du professionnel est d'arbitrer ce compromis en connaissance de cause.
- Le 3.1 regroupe 10 principes ; l'examen teste le choix du bon principe par scénario.
- Defense in depth est le cadre ; les autres principes en sont des facettes.
- Repère SoD vs least privilege : qui complète un processus vs qui a trop de droits.
- Repère trust but verify vs zero trust : une auth à l'entrée vs vérification continue.
- Chaque principe est un compromis assumé efficacité/sécurité à arbitrer.
Cas d'étude
WLDR University : un réseau segmenté en defense in depth
Contexte : WLDR University est une institution de recherche canadienne multi-campus, avec environ 40 000 étudiants, 2 500 employés et une équipe IT de 40 personnes. Terry, le nouveau CISO, doit concevoir et gérer un nouveau réseau sécurisé. L'infrastructure globale doit inclure des réseaux distincts : Guest, Student, Employee, Development, Research, PCI, Gaming et Athletics. Ces réseaux doivent être isolés les uns des autres tout en accédant aux services critiques. C'est précisément le scénario "Defense in Depth Strategy" du manuel (3.1.3) : comment firewalls, systèmes de détection/prévention d'intrusion (IDS/IPS) et segmentation réseau créent-ils des barrières contre l'accès non autorisé et le mouvement latéral ?
Question : Comment décririez-vous une mise en oeuvre de la stratégie defense in depth sur le réseau de l'université, et quels autres principes du 3.1 renforcent l'isolation des segments comme PCI et Research ?
Voir l'analyse et la correction
La segmentation réseau matérialise le DiD à la couche Internal network : chaque population (Guest, Student, PCI, Research...) vit dans son propre segment, ce qui limite le mouvement latéral - un attaquant qui compromet le Guest n'atteint pas directement le segment PCI. Des firewalls internes filtrent les flux entre segments selon le moindre privilège réseau (seuls les flux nécessaires vers les services critiques sont autorisés), tandis que des IDS/IPS surveillent et bloquent les tentatives d'accès non autorisé. On retrouve les couches du modèle : Perimeter (gateway firewalls, DMZ), Internal network (firewalls internes, NAC, IDS/IPS), Host (endpoint), jusqu'aux Data.
Le segment PCI illustre le besoin de secure defaults et de least privilege : il doit n'exposer que le strict nécessaire, avec des règles par défaut restrictives (default-deny). La multiplication de frontières internes entre segments pousse vers une logique zero trust : plutôt que de faire confiance à tout ce qui est "interne", on revérifie aux frontières et on microsegmente. Le scénario montre bien que DiD n'est pas un produit unique mais une combinaison de contrôles techniques (firewalls, IDS/IPS, segmentation) et administratifs (politiques d'accès par réseau).
Limite à garder en tête : DiD est historiquement faible face aux insider threats. Avec 2 500 employés et une équipe de 40, Terry doit compléter la segmentation par des contrôles internes (SoD pour les actions sensibles, awareness) et une surveillance, car un initié légitime traverse déjà la première couche d'authentification.
À retenir : DiD se concrétise par la segmentation, les firewalls internes et les IDS/IPS qui freinent le mouvement latéral ; il se combine à least privilege, secure defaults et zero trust, mais reste à compléter contre les menaces internes.
Least privilege n'est pas "faible privilège"
Piège classique : croire que least privilege signifie donner peu de droits à tout le monde. Le critère est la fonction explicite, pas le rang ni la confiance. Un administrateur système reçoit légitimement un compte privilégié parce que sa fonction l'exige ; un senior VP, individu de confiance, ne l'obtient pas car sa fonction ne le requiert pas. Si une réponse oppose "confiance" et "privilège", c'est un leurre.
Trust but verify vs zero trust
Ne confondez pas les deux. Trust but verify = une seule authentification à l'entrée, puis libre circulation interne (modèle de beaucoup de petits LAN). Zero trust = on ne fait plus confiance à l'intérieur ; frontières internes multipliées, microsegmentation et réauthentification fréquente de l'ID. Mot-clé déclencheur de zero trust dans un stem : "réauthentification", "microsegmentation", "vérification continue".
Fail securely : la sécurité humaine d'abord
Un système fail-secure bascule en état sécurisé au crash pour réduire l'exposition des données. Mais l'exception piège est la sécurité humaine : pour une évacuation incendie d'un site sensible, on privilégie la vie des personnes, même si cela expose des données sensibles. Si un scénario oppose protection des données et vie humaine, la vie humaine prime (fail-safe).
Le threat modeling ne corrige rien
Le threat modeling identifie les systèmes critiques et révèle où des vulnérabilités pourraient exister, mais il ne corrige PAS le problème. Une réponse affirmant qu'il "remédie" ou "élimine" les vulnérabilités est fausse : l'organisation doit ensuite intégrer les résultats dans son processus de remédiation distinct.
Point de contrôle — Point de contrôle
-
Lors d'une revue d'architecture, l'équipe constate qu'un seul comptable peut, à lui seul, créer un bon de commande, l'approuver et émettre le chèque correspondant. Quel principe de conception est violé ?
- A Least privilege
- B Separation of duties
- C Secure defaults
- D Keep it simple
Réponse & justification
Réponse : B — Separation of duties
Separation of duties (B) : un seul acteur ne doit pas pouvoir compléter un processus sensible ; c'est l'exemple même de la procurement du manuel, où il faut au moins deux acteurs indépendants. Least privilege (A) concerne le volume de droits accordés à une fonction, pas le découpage d'un processus. Secure defaults (C) vise la configuration par défaut. Keep it simple (D) vise la simplicité des procédures, sans rapport avec le contrôle croisé exigé ici.
-
Un fournisseur livre un équipement réseau dont tous les services de gestion sont activés et exposés par défaut. Le professionnel de sécurité insiste pour que la configuration livrée soit la plus restrictive possible, même au prix d'un confort moindre. Quel principe applique-t-il ?
- A Fail securely
- B Privacy by design
- C Secure defaults
- D Trust but verify
Réponse & justification
Réponse : C — Secure defaults
Secure defaults (C) : les réglages par défaut doivent être les plus sécurisés possibles, même au détriment de l'expérience utilisateur, et le professionnel doit insister là-dessus côté vendor comme côté customer. Fail securely (A) concerne le comportement lors d'un crash, pas la configuration livrée. Privacy by design (B) vise la vie privée, pas la dureté de la config. Trust but verify (D) est une posture d'authentification, hors sujet ici.
-
Une architecte propose de microsegmenter le réseau interne et d'imposer une réauthentification fréquente de chaque identifiant, plutôt que de se fier à une seule authentification à l'entrée. Vers quel modèle évolue-t-elle ?
- A Trust but verify
- B Zero trust
- C Defense in depth (castle model)
- D Shared responsibility
Réponse & justification
Réponse : B — Zero trust
Zero trust (B) : microsegmentation et réauthentification fréquente de l'ID en sont les marqueurs exacts. Trust but verify (A) est justement la posture qu'elle abandonne (une seule auth à l'entrée). Defense in depth / castle model (C) est le cadre en couches plus large, mais le détail microsegmentation + réauth pointe spécifiquement vers zero trust. Shared responsibility (D) concerne le partage de sécurité dans le cloud, sans rapport avec la réauthentification interne.
-
Après un exercice de threat modeling, un manager affirme : "Bien, nos vulnérabilités sont désormais corrigées." Pourquoi cette affirmation est-elle incorrecte ?
- A Le threat modeling ne s'applique qu'à la phase d'exploitation, pas à la conception
- B Le threat modeling identifie où sont les vulnérabilités mais ne les corrige pas ; la remédiation reste à faire
- C Le threat modeling corrige uniquement les vulnérabilités réseau, pas applicatives
- D Le threat modeling remplace la remédiation par de la détection temps réel
Réponse & justification
Réponse : B — Le threat modeling identifie où sont les vulnérabilités mais ne les corrige pas ; la remédiation reste à faire
Réponse B : le threat modeling est une forme de test qui identifie les systèmes critiques et révèle où des vulnérabilités pourraient exister, mais il ne corrige pas le problème ; l'organisation doit intégrer les résultats dans son processus de remédiation. A est faux : il a un rôle à chaque phase du cycle de vie, des exigences à la réponse temps réel. C invente une limitation inexistante. D est faux : il ne remplace pas la remédiation, il l'alimente.
Points essentiels à retenir
- Intégrer la sécurité dès l'initiation phase ; le threat modeling identifie les vulnérabilités mais ne les corrige pas.
- Least privilege = minimum nécessaire à la fonction (pas faible privilège) ; SoD = au moins deux acteurs indépendants pour un processus sensible.
- Defense in depth = protection en couches (castle model) ; faible face aux insiders, à compléter et re-rationaliser.
- Secure defaults (config la plus sûre par défaut), fail securely (état sûr au crash, mais vie humaine d'abord), keep it simple (simplicité = moins d'erreurs).
- Trust but verify (une auth à l'entrée) vs zero trust (microsegmentation, réauth) ; privacy by design dès la conception ; shared responsibility répartie par le SLA dans le cloud.
Modèles de sécurité fondamentaux
Prérequis : Maîtriser les notions de sujet, objet, classification, clearance et de mandatory access control (MAC) vues dans les principes de conception sécurisée.
Un modèle de sécurité définit des règles de comportement qu'un système d'information doit appliquer pour faire respecter une politique de sécurité, le plus souvent une politique de confidentiality, d'integrity, ou les deux. Le modèle décrit ce qui est permis ; la technologie, une fois le modèle implémenté, fait respecter ces règles pour atteindre les objectifs de sécurité. C'est le coeur du Key Area B du Domaine 3 : savoir comparer et contraster les caractéristiques clés des grands modèles académiques.
Ce module couvre les modèles les plus testés à l'examen. Bell-LaPadula (BLP) protège la confidentiality dans un système multilevel security (MLS) avec ses règles no read up / no write down. Biba est son miroir pour l'integrity : no read down / no write up. Clark-Wilson va plus loin sur l'integrity au niveau transactionnel avec les well-formed transactions, la separation of duties et le triple sujet-programme-objet. Brewer and Nash (Chinese Wall) prévient les conflits d'intérêt en faisant varier les droits selon le comportement passé du sujet. Graham-Denning et Harrison-Ruzzo-Ullman (HRU) décrivent, eux, comment sujets, objets et droits sont créés, attribués et révoqués.
Le piège récurrent de l'examen est de confondre les règles de BLP et de Biba, ou d'inverser simple property et star property. La discipline à acquérir : pour chaque modèle, savoir s'il vise la confidentiality ou l'integrity, et réciter ses règles exactes sans hésitation.
2.1 Ce qu'est un modèle de sécurité
Un modèle de sécurité définit des règles de comportement pour un système d'information afin de faire respecter des politiques de sécurité, qui portent typiquement sur la confidentiality, l'integrity, ou les deux. Le modèle fixe le comportement autorisé pour un ou plusieurs aspects du fonctionnement du système. Une fois implémenté, c'est la technologie qui applique ces règles pour garantir l'atteinte des objectifs de sécurité.
Il faut distinguer le modèle de son implémentation. Le modèle est un cadre conceptuel, mathématique : BLP, par exemple, ne définit aucune construction ou solution technique. Il se contente d'énoncer un ensemble de règles de haut niveau qui, correctement implémentées, empêchent l'exposition ou la divulgation non autorisée d'informations dans un système traitant plusieurs niveaux de classification. C'est pourquoi le manuel précise que les systèmes d'exploitation modernes implémentent des éléments de ces modèles, mais jamais de façon parfaite : ils visent une mise en oeuvre pratique cohérente avec un ou plusieurs modèles.
Deux familles structurent ce module. La première regroupe les modèles fondés sur un treillis (lattice-based) à plusieurs niveaux, qui contrôlent les flux d'information entre niveaux de classification ou d'integrity : BLP et Biba en sont les archétypes. La seconde regroupe les modèles qui décrivent comment les sujets, les objets et les droits sont créés, attribués et révoqués au niveau le plus élémentaire, là où les autres modèles supposaient simplement ce contrôle acquis : Graham-Denning et HRU.
À l'examen, la première question à se poser devant un modèle est toujours la même : vise-t-il la confidentiality ou l'integrity ? Cette boussole évite la plupart des erreurs.
- Un modèle énonce des règles ; la technologie les fait respecter une fois implémentées.
- Le modèle est conceptuel : BLP ne définit aucune solution technique.
- Les OS modernes implémentent des éléments des modèles, jamais à la perfection.
- Première question d'examen : confidentiality ou integrity ?
2.2 Bell-LaPadula : la confidentiality
Le modèle Bell-LaPadula (BLP) traite la confidentiality dans un système multilevel security (MLS). Il définit deux constructions primaires : les sujets (parties actives) et les objets (parties passives). Les sujets reçoivent des clearances qui définissent les modes d'accès (read, write) qu'ils peuvent employer face aux objets. Le système BLP utilise des labels pour suivre clearances et classifications, et applique un jeu de règles limitant les interactions sujet-objet. C'était un modèle précoce : il ne fournit pas de correspondance un-à-un entre sujets et objets individuels, ce qui est pourtant un prérequis pour bâtir un système d'exploitation pratique.
BLP définit trois propriétés. La Simple Security property (SS) : un sujet ne peut pas lire ou accéder à un objet de classification supérieure, soit no read up. La Star property (notée *) : un sujet ne peut sauvegarder ou écrire que vers un objet de classification égale ou supérieure, soit no write down. La Strong Star property : un sujet ne peut écrire que vers des objets de même niveau de classification que lui, soit écriture latérale uniquement (no write down ET no write up).
La logique est intuitive une fois la confidentiality posée comme objectif. Interdire le no read up empêche un sujet peu habilité de lire un secret au-dessus de son niveau. Interdire le no write down empêche un sujet habilité de recopier un secret vers un niveau inférieur où des sujets moins habilités le liraient. BLP ne définit pas de constructions techniques : il énonce des règles de haut niveau qui, bien implémentées, préviennent l'exposition ou la divulgation non autorisée d'informations dans un système à niveaux multiples.
Les noms de ces propriétés, comme la Star (*), viennent du calcul des prédicats et de la théorie des ensembles, où ils s'appliquent à des ensembles comme des opérateurs mathématiques. À l'examen, retenez le couple BLP = confidentiality = no read up / no write down.
- BLP = confidentiality dans un système MLS.
- Simple Security = no read up ; Star = no write down.
- Strong Star = écriture latérale uniquement (ni up ni down).
- BLP n'offre pas de mapping un-à-un, limite pour un OS pratique.
2.3 Biba : l'integrity, miroir de BLP
Le modèle Biba traite l'integrity des données ; il ne traite pas la confidentiality. Comme BLP, c'est un modèle lattice-based à niveaux multiples, qui décrit des interactions entre sujets et objets. Une différence de vocabulaire : Biba parle d'observe et modify là où BLP parle de read et write. Surtout, Biba assigne des niveaux d'integrity aux sujets et objets selon leur degré de confiance (trustworthiness), au lieu des niveaux de confidentiality de BLP. Le coeur du modèle est une approche multiniveau de l'integrity destinée à empêcher des sujets non autorisés de modifier des objets, et à maintenir l'état d'integrity courant des objets quand les sujets interagissent avec eux.
Biba définit trois propriétés. La Simple Integrity property (simple integrity axiom) : un sujet ne peut lire ou observer un objet d'integrity inférieure, soit no read down. La Star property (*) : un sujet ne peut modifier un objet d'integrity supérieure, soit no write up. La Invocation property : un sujet de niveau d'integrity inférieur ne peut demander l'accès à un objet d'integrity supérieure ; il ne peut s'adresser qu'à des objets de niveau égal ou inférieur.
Le contraste avec BLP est l'élément le plus testé. BLP protège la confidentiality : no read up, no write down. Biba protège l'integrity : no read down, no write up. Les règles sont inversées parce que les objectifs le sont. En integrity, lire vers le bas (no read down) éviterait qu'un sujet de haute integrity se contamine avec une donnée peu fiable ; écrire vers le haut (no write up) éviterait qu'un sujet peu fiable corrompe un objet de haute integrity. La Strong Star de BLP n'existe pas dans Biba, et l'Invocation property n'existe pas dans BLP.
Mnémonique : pour l'integrity, on ne lit pas plus bas que soi (on ne se salit pas) et on n'écrit pas plus haut que soi (on ne salit pas les autres).
- Biba = integrity, pas confidentiality.
- Simple Integrity = no read down ; Star = no write up.
- Invocation property propre à Biba (absente de BLP).
- Règles miroir de BLP car objectifs inversés.
2.4 Clark-Wilson et Brewer-Nash
Biba ne couvre qu'un seul des trois objectifs clés de l'integrity. Le modèle Clark-Wilson l'améliore en visant l'integrity au niveau transactionnel et en adressant trois grands objectifs d'integrity en environnement commercial. Pour le deuxième objectif, Clark et Wilson ont compris qu'il fallait empêcher des sujets autorisés de faire des modifications indésirables. Cela imposait que les transactions d'un sujet autorisé soient évaluées par une autre partie avant d'être validées dans le système : c'est la separation of duties, le pouvoir du sujet autorisé étant limité par un autre sujet habilité à évaluer et finaliser la transaction.
Pour la cohérence interne du système, Clark et Wilson recommandent une définition stricte des well-formed transactions : l'ensemble des étapes d'une transaction doit être soigneusement conçu et appliqué, et toute déviation du chemin attendu provoque l'échec de la transaction afin que l'integrity ne soit pas compromise. Pour contrôler toutes les interactions sujet-objet, le modèle établit un système de liens sujet-programme-objet (l'access triple) : le sujet n'a plus d'accès direct à l'objet ; il passe par un programme qui arbitre tous les accès, authentifie et identifie le sujet, et limite l'accès aux objets sous son contrôle. Chaque interaction suit alors un ensemble de règles défini.
Le modèle Brewer and Nash, ou Chinese Wall, vise un autre problème : prévenir le conflit d'intérêt quand un sujet accède à des objets d'informations sensibles appartenant à deux parties concurrentes. Le principe est qu'un utilisateur ne doit pas accéder aux informations confidentielles d'un client ET d'un de ses concurrents. Au départ, le sujet peut accéder à l'un ou l'autre ensemble d'objets ; mais dès qu'il accède à un objet lié à un concurrent, il est instantanément empêché d'accéder à tout objet du camp opposé, pour éviter qu'il ne partage l'information de façon inappropriée, même involontairement.
Ces murs éthiques (ethical walls) sont fréquents dans les services financiers, par exemple pour isoler le conseil d'entreprise du courtage et réduire l'opportunité comme la tentation d'abuser d'informations privilégiées. Brewer-Nash est inhabituel : ses règles de contrôle d'accès changent selon le comportement du sujet (les accès déjà effectués).
- Clark-Wilson : integrity au niveau transactionnel, 3 objectifs commerciaux.
- Access triple : sujet -> programme -> objet, jamais d'accès direct.
- Well-formed transactions + separation of duties au coeur du modèle.
- Brewer-Nash : anti-conflit d'intérêt, règles variant selon le comportement du sujet.
2.5 Graham-Denning et HRU : la gestion des droits
Là où BLP et Biba supposent que le contrôle des sujets et objets est acquis, le modèle Graham-Denning s'intéresse précisément à la façon dont les sujets et objets sont créés, dont les droits (rights ou privileges) sont attribués aux sujets, et dont la propriété (ownership) des objets est gérée. Il décrit le contrôle des sujets et objets au niveau le plus élémentaire.
Le modèle Graham-Denning comporte trois parties : un ensemble d'objets, un ensemble de sujets et un ensemble de droits. Un sujet se compose de deux choses : un processus et un domaine ; le domaine est l'ensemble des contraintes contrôlant comment les sujets peuvent accéder aux objets. Un sujet peut aussi être un objet à certains moments. L'ensemble des droits gouverne comment les sujets manipulent les objets passifs. Le modèle décrit huit droits de protection primitifs, appelés commandes, que les sujets exécutent pour influencer d'autres sujets ou objets. Les huit règles de base sont : créer des objets de façon sûre, supprimer des objets de façon sûre, créer des sujets de façon sûre, supprimer des sujets de façon sûre, provisionner les droits de read de façon sûre, provisionner les droits de grant access de façon sûre, provisionner les droits de delete access de façon sûre, et provisionner les droits de transfer access de façon sûre.
Le terme primitive protection rights y joue le rôle des permissions ou privileges d'autres modèles. Exemple : la suppression d'un objet est une action réalisée par un sujet (souvent via une tâche, un processus ou une autre entité logicielle) ; le système de contrôle d'accès ne doit pas l'autoriser sauf si le sujet en a le droit. Que ce droit soit accordé pour tous les objets, un sous-ensemble, ou objet par objet, dépend du modèle de contrôle d'accès choisi (DAC ou MAC, vus en Domaine 5).
Le modèle Harrison-Ruzzo-Ullman (HRU) est très proche de Graham-Denning : il comprend un ensemble de droits génériques et un ensemble fini de commandes, et s'intéresse aussi aux situations où l'on doit empêcher un sujet d'obtenir des privilèges particuliers, en l'empêchant d'accéder aux programmes ou sous-routines qui exécutent une commande donnée (par exemple accorder un accès en read).
- Graham-Denning : comment créer/attribuer/gérer sujets, objets, droits.
- Huit primitive protection rights (commandes) sécurisées.
- HRU très proche : droits génériques + ensemble fini de commandes.
- Ni l'un ni l'autre ne porte sur confidentiality ou integrity directement.
Cas d'étude
Un cabinet de conseil et deux banques concurrentes
Contexte : Un cabinet de conseil mandate une analyste qui peut accéder aux dossiers confidentiels de plusieurs clients. Deux de ces clients, la banque Alpha et la banque Beta, sont des concurrents directs sur le même marché. La direction craint qu'un même consultant, en travaillant pour les deux, ne fasse fuiter, même involontairement, des informations stratégiques d'un client vers l'autre. L'équipe sécurité doit choisir un modèle de sécurité dont les règles empêchent structurellement ce conflit d'intérêt, sans interdire à l'analyste de travailler pour des clients non concurrents.
Question : Quel modèle répond au besoin, et comment ses règles se comportent-elles dès le premier accès de l'analyste ?
Voir l'analyse et la correction
Le modèle adapté est Brewer and Nash, dit Chinese Wall, conçu précisément pour prévenir le conflit d'intérêt entre deux parties concurrentes. Au départ, l'analyste peut accéder à l'un ou l'autre ensemble d'objets : rien n'est encore figé. La barrière se construit dynamiquement.
Dès que l'analyste accède à un objet lié à la banque Alpha, le modèle l'empêche instantanément d'accéder à tout objet de la banque Beta. C'est la propriété singulière de Brewer-Nash : les règles de contrôle d'accès changent en fonction du comportement passé du sujet, et non d'une simple étiquette statique. L'analyste reste libre de servir d'autres clients non concurrents, car le mur ne se dresse qu'entre objets en conflit.
Ni BLP ni Biba ne conviendraient : ils raisonnent par niveaux de classification (confidentiality) ou d'integrity, pas par conflit d'intérêt entre pairs de même niveau. C'est le scénario type des ethical walls en services financiers, où l'on isole le conseil d'entreprise du courtage.
À retenir : Conflit d'intérêt entre concurrents = Brewer-Nash ; ses règles dépendent des accès déjà effectués par le sujet.
Ne pas inverser BLP et Biba
Le piège le plus fréquent : confondre les règles. BLP vise la confidentiality : no read up, no write down. Biba vise l'integrity : no read down, no write up. Les directions de lecture et d'écriture sont inversées entre les deux modèles parce que les objectifs le sont. Ancre la confidentiality (BLP) sur le no read up et l'integrity (Biba) sur le no write up, puis déduis le reste.
Simple property vs Star property
La Simple property concerne toujours la LECTURE (read/observe) ; la Star property (*) concerne toujours l'ÉCRITURE (write/modify). Dans BLP : Simple = no read up, Star = no write down. Dans Biba : Simple = no read down, Star = no write up. La Strong Star (écriture latérale seulement) n'existe que dans BLP ; l'Invocation property n'existe que dans Biba. Ne mélange pas ces propriétés entre les deux modèles.
Biba ne fait pas tout l'integrity
Piège classique : croire que Biba couvre toute l'integrity. Le manuel précise que Biba n'adresse qu'un seul des trois objectifs clés de l'integrity. C'est Clark-Wilson qui adresse les trois objectifs en environnement commercial, via les well-formed transactions, la separation of duties et le triple sujet-programme-objet. Si la question parle de transactions, de separation of duties ou d'accès indirect via un programme, la réponse est Clark-Wilson, pas Biba.
Point de contrôle — Point de contrôle
-
Un système MLS doit empêcher qu'un sujet habilité « Confidentiel » lise un objet « Secret ». Quelle propriété de quel modèle applique cette règle ?
- A Simple Security property de Bell-LaPadula (no read up)
- B Star property de Biba (no write up)
- C Simple Integrity property de Biba (no read down)
- D Invocation property de Biba
Réponse & justification
Réponse : A — Simple Security property de Bell-LaPadula (no read up)
Lire un objet plus classifié = read up, interdit par la Simple Security property de BLP (confidentiality). La Star de Biba concerne l'écriture, pas la lecture. La Simple Integrity de Biba interdit le no read down, pas le read up, et vise l'integrity. L'Invocation property concerne les requêtes de service vers un objet de plus haute integrity.
-
Pour préserver l'integrity, un sujet de faible integrity ne doit pas pouvoir corrompre un objet de haute integrity. Quelle règle de Biba l'empêche ?
- A No read up
- B No write up (Star property)
- C No write down
- D No read down (Simple Integrity)
Réponse & justification
Réponse : B — No write up (Star property)
Corrompre un objet plus intègre = écrire vers le haut : la Star property de Biba interdit le no write up. No read up et no write down sont des règles de BLP (confidentiality). No read down est la Simple Integrity de Biba mais concerne la lecture, pas l'écriture de corruption décrite ici.
-
Une application bancaire doit garantir que les sujets autorisés n'accèdent jamais directement aux enregistrements, mais toujours via un programme qui authentifie et arbitre chaque accès. Quel modèle décrit ce mécanisme ?
- A Bell-LaPadula
- B Graham-Denning
- C Clark-Wilson (triple sujet-programme-objet)
- D Brewer-Nash
Réponse & justification
Réponse : C — Clark-Wilson (triple sujet-programme-objet)
Le triple sujet-programme-objet de Clark-Wilson interpose un programme arbitre entre sujet et objet, supprimant l'accès direct. BLP traite la confidentiality par niveaux. Graham-Denning porte sur la création/attribution des droits. Brewer-Nash traite le conflit d'intérêt entre concurrents, pas l'accès indirect.
-
Quelle affirmation décrit correctement la portée du modèle Graham-Denning ?
- A Il définit des niveaux de confidentiality avec no read up / no write down.
- B Il décrit comment sujets et objets sont créés et comment les droits sont attribués et gérés.
- C Il empêche le conflit d'intérêt entre deux parties concurrentes.
- D Il garantit l'integrity transactionnelle via des well-formed transactions.
Réponse & justification
Réponse : B — Il décrit comment sujets et objets sont créés et comment les droits sont attribués et gérés.
Graham-Denning porte sur la création des sujets/objets, l'attribution des droits et la gestion de l'ownership, via huit primitive protection rights. La confidentiality par niveaux est BLP. Le conflit d'intérêt est Brewer-Nash. Les well-formed transactions sont Clark-Wilson.
-
Une analyste accède d'abord aux dossiers d'un client, puis tente d'ouvrir ceux d'un concurrent direct ; le système le refuse instantanément. Quel modèle, et quelle particularité, sont en jeu ?
- A Biba, car l'integrity du concurrent serait compromise
- B Brewer-Nash, dont les règles d'accès changent selon le comportement passé du sujet
- C Bell-LaPadula, car le concurrent est à un niveau de classification supérieur
- D HRU, car le sujet n'a pas la commande requise
Réponse & justification
Réponse : B — Brewer-Nash, dont les règles d'accès changent selon le comportement passé du sujet
Brewer-Nash (Chinese Wall) prévient le conflit d'intérêt : dès l'accès à un objet d'un camp, l'accès au camp opposé est bloqué. Sa particularité est que les règles d'accès dépendent des accès déjà effectués par le sujet. Biba et BLP raisonnent par niveaux, pas par conflit. HRU porte sur les droits/commandes, pas sur ce blocage dynamique.
Points essentiels à retenir
- Un modèle énonce des règles ; pour chaque modèle, demande-toi d'abord : confidentiality ou integrity ?
- BLP = confidentiality = no read up (Simple Security) / no write down (Star) ; Strong Star = écriture latérale.
- Biba = integrity = no read down (Simple Integrity) / no write up (Star) ; plus l'Invocation property.
- Clark-Wilson : integrity transactionnelle via well-formed transactions, separation of duties et triple sujet-programme-objet.
- Brewer-Nash = conflit d'intérêt (règles dynamiques) ; Graham-Denning et HRU = création et gestion des droits.
Sélection des contrôles et critères d'évaluation
Prérequis : Connaître les notions de risque, de politique de sécurité et de cycle de vie système (SDLC) vues dans les modules précédents du Domaine 3.
Sélectionner des contrôles n'est pas piocher des mesures au hasard : c'est partir d'un ensemble de standards d'ingénierie reconnus, puis les adapter (tailoring) au contexte de l'organisation pour servir sa mission. Le CISSP choisit des contrôles d'ingénierie système qui servent le contexte de l'organisation ; choisir des standards appropriés comme point de départ, puis les ajuster, donne confiance que l'organisation suit un chemin mature aligné sur sa mission.
Ce module couvre trois piliers issus de la section 3.3 du manuel ISC2. D'abord la security engineering comme discipline et ses sources de standards (INCOSE Systems Engineering Handbook, NIST SP800-160, ISO/IEC 15026, ISO/IEC/IEEE 15288). Ensuite les processus d'ingénierie de sécurité définis par NIST SP800-160, regroupés en quatre familles : Technical, Technical Management, Enabling et Agreement processes. Enfin la place du change management et du configuration management, et l'articulation entre security policies, models et architecture.
Point d'attention examen : NIST SP800-160 est engineering-driven, c'est-à-dire qu'il infuse des techniques de systems security engineering dans les activités d'ingénierie système et logicielle, plutôt que d'ajouter la sécurité après coup.
Une fois un système conçu et construit, encore faut-il pouvoir mesurer objectivement la confiance qu'on peut lui accorder. C'est le rôle des critères d'évaluation de sécurité (security evaluation criteria) : des référentiels formels qui notent un produit selon des fonctions et un niveau d'assurance. Le module ajoute donc les critères historiques TCSEC (Orange Book) et ITSEC, leur successeur international Common Criteria (ISO/IEC 15408), et enfin le couple certification et accreditation qui mène à l'Authorization to Operate (ATO). Ces concepts, au programme officiel, complètent la logique sélection puis tailoring par une logique d'évaluation et d'acceptation formelle du risque.
3.1 Sélectionner et adapter les standards au contexte
La section 3.3 part d'une idée simple : on sélectionne des contrôles d'ingénierie système qui servent le contexte de l'organisation. Le mécanisme tient en deux temps. D'abord, on choisit des standards appropriés comme point de départ ; ensuite, on les adapte (tailoring) au contexte propre de l'organisation. Ce double mouvement donne confiance que l'organisation suit un chemin mature qui sert sa mission, plutôt que d'appliquer aveuglément un catalogue générique.
La security engineering elle-même est définie comme l'usage de méthodes d'ingénierie généralement acceptées pour appliquer des théories de sécurité système à des situations, problèmes ou besoins spécifiques, de façon pratique et efficace. Deux autorités la reconnaissent comme une specialty engineering discipline du systems engineering : l'International Council on Systems Engineering (INCOSE) et le NIST.
Le piège classique : penser qu'un standard se déploie tel quel. Non - le standard est un point de départ, le tailoring le rend pertinent pour le contexte (mission, contraintes, risque). C'est exactement la même logique que scoping/tailoring vue ailleurs dans le cursus : on part d'une baseline reconnue, puis on ajuste.
- Sélection = standard reconnu comme point de départ, puis tailoring au contexte.
- Le but du tailoring : suivre un chemin mature qui sert la mission.
- Security engineering = appliquer les théories de sécurité système de façon pratique.
- INCOSE et NIST reconnaissent la security engineering comme specialty engineering discipline.
3.2 Sources de standards d'ingénierie de sécurité
La section 3.3 énumère des sources communément acceptées d'ingénierie et d'ingénierie de sécurité. Le INCOSE Systems Engineering Handbook présente les principes du systems engineering en termes d'affordability et de performance, dans le contexte de structures de gestion de projet formelles et informelles.
NIST SP800-160 (Systems Security Engineering) traite des actions engineering-driven nécessaires pour développer des systèmes plus sûrs et survivables, y compris les composants qui les composent et les services qui en dépendent. Il part d'un ensemble de standards internationaux établis pour le systems and software engineering (publiés par l'ISO, l'IEC et l'IEEE) et y infuse des techniques, méthodes et pratiques de systems security engineering. C'est le sens précis de engineering-driven : la sécurité est intégrée dans les activités d'ingénierie, pas ajoutée après.
Deux familles ISO complètent le tableau. ISO/IEC 15026 (série Systems and Software Engineering) se concentre sur l'assurance, l'intégrité et les concepts de sécurité des systèmes et logiciels. ISO/IEC/IEEE 15288 fournit un modèle global de cycle de vie d'ingénierie système ; c'est un prolongement de modèles antérieurs issus de divers standards militaires américains. Piège d'examen : ne pas confondre 15026 (assurance/intégrité/sécurité) et 15288 (modèle de cycle de vie global).
- INCOSE Handbook : principes SE (affordability, performance, gestion de projet).
- SP800-160 : engineering-driven, systèmes plus sûrs et survivables, part de standards ISO/IEC/IEEE.
- ISO/IEC 15026 : assurance, intégrité, sécurité des systèmes/logiciels.
- ISO/IEC/IEEE 15288 : modèle global de cycle de vie d'ingénierie système.
3.3 Les processus d'ingénierie de sécurité selon SP800-160
NIST SP800-160 définit des processus généraux d'ingénierie de sécurité, cohérents avec le INCOSE Systems Engineering Handbook et facilement reliables aux standards ISO, à quelques différences mineures près. Ils se rangent en quatre familles.
Les Technical Processes traitent le système lui-même : business and mission analysis (comprendre le scope et les conséquences de perte d'actifs), stakeholder needs and requirements definition, system requirements definition, architecture definition, design definition, system analysis, implementation, integration et verification (produire des preuves que le système satisfait ses exigences de sécurité avec le niveau d'assurance qui s'applique). Les Technical Management Processes pilotent le projet : project planning, project assessment and control, decision management, risk management (identifier, analyser, traiter et surveiller les risques de sécurité), configuration management, information management, measurement et quality assurance.
Les Enabling Processes soutiennent l'organisation : life cycle model management, infrastructure management, portfolio management, human resources management, quality management et knowledge management. Enfin, les Agreement Processes encadrent les relations contractuelles : l'acquisition process garantit que les besoins de protection de l'acquéreur sont couverts par ses exigences ; le supply process garantit que le produit ou service fourni offre les fonctions de sécurité tout en respectant les contraintes exprimées par l'acquéreur. Piège : reconnaître à quelle famille appartient un processus donné (ex : configuration management = Technical Management ; acquisition = Agreement).
- Quatre familles : Technical, Technical Management, Enabling, Agreement.
- Verification = preuves que les exigences de sécurité sont satisfaites au bon niveau d'assurance.
- Risk management et configuration management sont des Technical Management Processes.
- Acquisition (côté acquéreur) et supply (côté fournisseur) sont des Agreement Processes.
3.4 Change management, configuration management, policies et models
Le manuel insiste d'emblée : l'ingénierie, comme discipline, embrasse le change management et le configuration control. Quelle que soit l'activité d'ingénierie, elle tourne autour de la gestion de l'information sur le système qu'on fait advenir. Les besoins de mission ou métier en matière de safety, security, reliability et performance dictent (ou devraient dicter) le degré de détail et de formalisme de ces processus de change management. Le management doit déterminer le bon dosage entre change management formel et flexibilité/réactivité, selon la stratégie globale de gestion du risque.
Dans le cas WLDR University présenté par le manuel, le configuration management est ad-hoc entre les groupes IT du campus : pas de configuration standard, ni de capacité à déployer rapidement des contrôles en cas d'incident. La réponse attendue est d'implémenter des processus de configuration management pour garantir la configuration sécurisée de tous les systèmes et équipements réseau selon leurs exigences propres.
Enfin, security policies, models et architecture s'articulent dans le développement. Les systèmes démarrent en général par des énoncés de besoins métier ou de mission, souvent exprimés sous forme de policies. Une security policy définit ce que « sécurité » signifie pour un système donné, ce qui reflète presque toujours un compromis entre sécurité, opérabilité, coût et impact de risque. Les models représentent l'expérience acquise en construisant des systèmes similaires (équations, diagrammes de flux, séquences de tâches) ; les ingénieurs s'en servent comme points de départ pour élaborer itérativement une architecture du système désiré.
- L'ingénierie embrasse intrinsèquement change management et configuration control.
- Le formalisme du change management dépend des besoins de mission (safety, security, reliability, performance).
- Configuration management ad-hoc = pas de baseline ni de réaction rapide aux incidents (cas WLDR).
- Policy → models → architecture : la policy exprime le compromis, les models guident l'architecture.
3.5 Critères d'évaluation historiques : TCSEC et ITSEC
Avant les standards internationaux actuels, deux familles de critères d'évaluation ont structuré la façon de noter la confiance d'un produit de sécurité. Le Trusted Computer System Evaluation Criteria (TCSEC), surnommé Orange Book, a été publié par le département de la Défense américain. Il repose sur le modèle de confidentialité Bell-LaPadula et évalue avant tout la protection de la confidentialité d'un système d'exploitation multi-utilisateurs. Son défaut majeur : il mélange fonctionnalité et assurance dans une même note, et n'aborde ni l'intégrité ni la disponibilité.
Le TCSEC classe les systèmes en divisions hiérarchiques. La division D désigne une protection minimale (échec à l'évaluation). La division C couvre la protection discrétionnaire avec C1 (discretionary security protection) et C2 (controlled access protection). La division B couvre la protection obligatoire (mandatory) avec B1 (labeled security protection), B2 (structured protection) et B3 (security domains). La division A, avec A1 (verified design), exige une conception vérifiée formellement. Le Red Book, ou Trusted Network Interpretation (TNI), étend ces idées aux réseaux, là où l'Orange Book ne couvrait que les systèmes isolés.
L'Information Technology Security Evaluation Criteria (ITSEC) est la réponse européenne. Son apport décisif est de séparer ce que le TCSEC confondait : d'un côté la fonctionnalité (functionality), notée F1 à F10, qui décrit ce que le produit fait ; de l'autre l'assurance (assurance), notée E0 à E6, qui décrit la confiance dans le fait qu'il le fait correctement. ITSEC traite aussi la confidentialité, l'intégrité et la disponibilité, là où le TCSEC se limitait à la confidentialité.
Piège d'examen : retenir que TCSEC = confidentialité seule, fonction et assurance mélangées, basé sur Bell-LaPadula ; ITSEC = fonction (F) ET assurance (E) séparées, européen, CIA complet. Le Red Book n'est pas un niveau mais l'extension réseau du TCSEC.
- TCSEC (Orange Book) = DoD, basé sur Bell-LaPadula, confidentialité, fonction et assurance mélangées.
- Divisions TCSEC : D, C1/C2, B1/B2/B3, A1 (du minimal au verified design).
- Red Book = Trusted Network Interpretation, extension réseau du TCSEC.
- ITSEC = européen, sépare functionality (F1-F10) et assurance (E0-E6), couvre CIA.
3.6 Common Criteria (ISO/IEC 15408)
Le Common Criteria (CC), standardisé sous ISO/IEC 15408, remplace et unifie les approches nationales antérieures, dont le TCSEC américain et l'ITSEC européen. Son objectif est de fournir un langage commun et reproductible pour évaluer la sécurité des produits IT, et de permettre une reconnaissance mutuelle des évaluations entre pays signataires via le Common Criteria Recognition Arrangement (CCRA) : un produit évalué dans un pays est reconnu dans les autres, ce qui évite de répéter l'évaluation.
Le vocabulaire du CC est central pour l'examen. La Target of Evaluation (TOE) est le produit ou système soumis à évaluation. Le Protection Profile (PP) exprime des besoins de sécurité génériques, indépendants d'un produit, formulés côté client ou côté communauté d'utilisateurs : c'est la demande (« voici ce dont une classe de produits a besoin »). Le Security Target (ST) est rédigé côté vendeur : il contient les revendications de sécurité d'un produit précis et explique comment celui-ci satisfait, le cas échéant, un ou plusieurs PP. C'est l'offre (« voici ce que mon produit fait »).
Le contenu des revendications se décompose en deux types d'exigences. Les Security Functional Requirements (SFR) décrivent les fonctions de sécurité attendues (ce que fait le produit). Les Security Assurance Requirements (SAR) décrivent les activités de vérification menées pour gagner confiance dans ces fonctions (à quel point on a vérifié). Cette séparation fonction/assurance hérite directement de l'esprit d'ITSEC.
Le niveau d'assurance global est résumé par un Evaluation Assurance Level (EAL), sur sept échelons : EAL1 (functionally tested), EAL2 (structurally tested), EAL3 (methodically tested and checked), EAL4 (methodically designed, tested, and reviewed), EAL5 (semiformally designed and tested), EAL6 (semiformally verified design and tested) et EAL7 (formally verified design and tested). Piège central : un EAL mesure la RIGUEUR de l'évaluation (l'assurance), pas la quantité de fonctionnalités ni une sécurité absolue. Un EAL élevé sur un PP faible ne garantit pas un produit sûr en valeur absolue.
- Common Criteria = ISO/IEC 15408, remplace TCSEC et ITSEC, reconnaissance mutuelle via CCRA.
- TOE = produit évalué ; PP = besoins génériques (client) ; ST = revendications (vendeur).
- SFR = fonctions de sécurité ; SAR = activités d'assurance/vérification.
- EAL1 (functionally tested) à EAL7 (formally verified design and tested) : l'EAL mesure l'assurance, pas la fonctionnalité.
3.7 Certification, accréditation et Authorization to Operate (ATO)
Évaluer un produit avec le Common Criteria ne suffit pas à autoriser sa mise en service dans une organisation : il faut un processus de décision. Ce processus repose sur deux étapes que l'examen oppose souvent. La certification est l'évaluation technique : on vérifie de façon détaillée que les contrôles de sécurité d'un système satisfont un ensemble d'exigences donné, dans un contexte d'exploitation précis. La certification produit des preuves, pas une décision.
L'accreditation (ou authorization) est l'acte managérial qui suit : une autorité désignée, l'Authorizing Official (AO), examine les résultats de certification et le risque résiduel, puis accepte formellement ce risque au nom de l'organisation. C'est une décision de gestion du risque, pas une analyse technique. Le piège classique inverse les deux : la certification regarde la technique, l'accreditation accepte le risque. Sans accreditation, un système certifié n'est pas autorisé.
Le NIST Risk Management Framework (RMF) encadre aujourd'hui cette logique pour les systèmes fédéraux américains, avec ses étapes (catégoriser, sélectionner, implémenter, évaluer, autoriser, surveiller). L'étape « autoriser » débouche sur une décision formelle de l'AO appelée Authorization to Operate (ATO). Trois issues sont possibles : un ATO accordé (le système peut être mis en service), un ATO conditionnel (autorisation accordée sous réserve de corriger certaines faiblesses dans un délai défini, parfois via un plan d'action), ou un denial of authorization to operate (refus : le risque résiduel est jugé inacceptable et le système ne doit pas opérer).
Enfin, une autorisation n'est jamais éternelle. Le RMF impose une surveillance continue (continuous monitoring) et une réévaluation périodique : changements significatifs du système, de l'environnement de menace ou expiration de l'autorisation déclenchent une nouvelle évaluation et une nouvelle décision de l'AO. Piège : l'ATO n'est pas un blanc-seing permanent ; il est conditionné dans le temps et révisable.
- Certification = évaluation technique (preuves) ; accreditation = acceptation formelle du risque résiduel par l'AO.
- L'Authorizing Official accepte le risque au nom de l'organisation, ce n'est pas une décision technique.
- RMF NIST : catégoriser, sélectionner, implémenter, évaluer, autoriser, surveiller ; l'étape autoriser donne l'ATO.
- Issues : ATO accordé, ATO conditionnel (corrections sous délai), denial ; réévaluation périodique obligatoire.
Cas d'étude
WLDR University : configuration management ad-hoc
Contexte : Chez WLDR University, le configuration management est implémenté de façon ad-hoc entre les groupes IT du campus et des bâtiments. Conséquence : il n'existe pas de configuration standard pour les ordinateurs de l'université, ni de capacité à déployer rapidement des contrôles de sécurité en cas d'incident.
Question : Comment l'université pourrait-elle implémenter des processus de configuration management pour garantir la configuration sécurisée de tous les systèmes et équipements réseau selon leurs exigences propres ?
Voir l'analyse et la correction
La racine du problème est l'absence de baseline : sans configuration standard, chaque groupe IT improvise, et l'organisation perd la capacité de réagir vite. Le configuration management est, dans SP800-160, un Technical Management Process qui assure que les considérations de sécurité sont prises en compte dans la gestion et le contrôle des éléments du système, des configurations et des données associées sur tout le cycle de vie.
La démarche attendue applique la logique de sélection puis tailoring : partir d'un standard reconnu comme point de départ, définir des baselines de configuration sécurisées par type d'équipement, puis adapter chaque baseline aux exigences propres des systèmes concernés. Le degré de formalisme du change management associé doit être calibré sur les besoins de mission (safety, security, reliability, performance) et sur la stratégie de gestion du risque de l'université.
L'effet recherché est double : une configuration sécurisée et homogène, et la capacité de déployer rapidement des contrôles lors d'un incident grâce à des baselines connues et maîtrisées.
À retenir : Configuration management = baselines sécurisées par type d'équipement, adaptées aux exigences propres, sous un change management dont le formalisme suit les besoins de mission.
Engineering-driven n'est pas add-on de sécurité
NIST SP800-160 est qualifié de engineering-driven : il infuse les techniques de systems security engineering DANS les activités d'ingénierie système et logicielle. Le piège est de le voir comme une couche de sécurité ajoutée après coup. Non : la sécurité est intégrée dès l'ingénierie, à partir de standards ISO/IEC/IEEE existants.
ISO/IEC 15026 vs ISO/IEC/IEEE 15288
15026 (série Systems and Software Engineering) porte sur l'assurance, l'intégrité et les concepts de sécurité. 15288 fournit un modèle global de cycle de vie d'ingénierie système, prolongement de standards militaires américains. Ne pas inverser les deux : l'un cible assurance/intégrité/sécurité, l'autre le cycle de vie global.
Ranger le bon processus dans la bonne famille
Les questions d'examen testent souvent l'appartenance d'un processus à sa famille SP800-160. Repères : configuration management et risk management = Technical Management ; verification, architecture definition, implementation = Technical ; acquisition et supply = Agreement ; portfolio, RH, knowledge = Enabling.
Le standard n'est qu'un point de départ
Sélectionner un standard reconnu ne suffit pas : sans tailoring au contexte (mission, contraintes, risque), le contrôle reste générique. La maturité vient de l'ajustement, pas de l'adoption brute du catalogue.
Protection Profile vs Security Target, et ce que mesure un EAL
Deux confusions classiques sur le Common Criteria. Premièrement, le Protection Profile (PP) exprime des besoins de sécurité génériques côté client ou communauté (la demande), tandis que le Security Target (ST) contient les revendications d'un produit précis côté vendeur (l'offre) : ne pas les inverser. Deuxièmement, un Evaluation Assurance Level mesure le niveau d'ASSURANCE, c'est-à-dire la rigueur de la vérification (EAL1 functionally tested jusqu'à EAL7 formally verified design and tested), et non la quantité de fonctionnalités ni une « sécurité absolue ». Un EAL élevé contre un PP faible ne prouve pas qu'un produit est sûr dans l'absolu.
Certification n'est pas accreditation
La certification est l'évaluation technique des contrôles d'un système face à des exigences ; elle produit des preuves. L'accreditation est l'acte managérial par lequel l'Authorizing Official accepte formellement le risque résiduel et autorise l'exploitation (ATO). Le piège est de croire qu'un système certifié est automatiquement autorisé : sans décision d'accreditation de l'AO, il ne l'est pas. Et l'ATO n'est pas permanent : il peut être conditionnel, refusé (denial), et doit être réévalué périodiquement.
Point de contrôle — Point de contrôle
-
Une RSSI veut intégrer la sécurité dès la conception de systèmes plus survivables, en s'appuyant sur des standards ISO/IEC/IEEE existants plutôt qu'en ajoutant la sécurité a posteriori. Quelle publication décrit le mieux cette approche engineering-driven ?
- A NIST SP800-160 (Systems Security Engineering)
- B INCOSE Systems Engineering Handbook
- C ISO/IEC/IEEE 15288 seul
- D Une security policy d'organisation
Réponse & justification
Réponse : A — NIST SP800-160 (Systems Security Engineering)
SP800-160 traite des actions engineering-driven pour des systèmes plus sûrs et survivables, en infusant la security engineering dans les standards ISO/IEC/IEEE existants. L'INCOSE Handbook expose des principes SE généraux (affordability, performance) sans être engineering-driven en matière de sécurité. 15288 fournit le modèle de cycle de vie mais pas l'infusion de sécurité décrite. Une security policy définit ce que sécurité signifie, elle ne décrit pas une approche d'ingénierie.
-
Un architecte doit produire les preuves démontrant que le système satisfait ses exigences de sécurité au niveau d'assurance applicable. Quel processus SP800-160 correspond, et à quelle famille appartient-il ?
- A Verification process, famille Technical Processes
- B Risk management process, famille Technical Management
- C Acquisition process, famille Agreement
- D Knowledge management process, famille Enabling
Réponse & justification
Réponse : A — Verification process, famille Technical Processes
Le verification process produit des preuves suffisantes que le système satisfait ses exigences de sécurité avec le niveau d'assurance qui s'applique : c'est un Technical Process. Risk management (Technical Management) identifie et traite les risques, il ne produit pas la preuve de conformité. Acquisition (Agreement) concerne les besoins de l'acquéreur. Knowledge management (Enabling) gère les connaissances de sécurité.
-
Une organisation adopte un standard d'ingénierie de sécurité reconnu et le déploie tel quel sur tous ses systèmes, sans adaptation. Quel est le défaut principal de cette démarche selon la section 3.3 ?
- A Le standard doit être adapté (tailoring) au contexte pour servir la mission de façon mature
- B Les standards reconnus sont interdits comme point de départ
- C Seuls les models, jamais les standards, doivent guider la sélection
- D Le configuration management remplace tout besoin de standard
Réponse & justification
Réponse : A — Le standard doit être adapté (tailoring) au contexte pour servir la mission de façon mature
La section décrit la sélection comme standard reconnu en point de départ PUIS tailoring au contexte : c'est l'ajustement qui assure un chemin mature servant la mission. Les standards reconnus sont au contraire recommandés comme point de départ. Models et standards coexistent. Le configuration management est un processus de maîtrise, il ne remplace pas le choix d'un standard.
-
Sur le campus WLDR, le configuration management est ad-hoc : pas de configuration standard ni de déploiement rapide de contrôles en incident. Quelle action corrige la cause racine ?
- A Définir des baselines de configuration sécurisées par type d'équipement, adaptées aux exigences propres, sous un change management formalisé
- B Confier chaque configuration au jugement de chaque groupe IT local
- C Supprimer le change management pour gagner en réactivité
- D Attendre un incident pour décider de la configuration au cas par cas
Réponse & justification
Réponse : A — Définir des baselines de configuration sécurisées par type d'équipement, adaptées aux exigences propres, sous un change management formalisé
La cause racine est l'absence de baseline. La correction est d'établir des baselines sécurisées par type d'équipement, adaptées aux exigences propres, sous un change management dont le formalisme suit les besoins de mission. Laisser le jugement local perpétue le problème. Supprimer le change management aggrave le risque. Attendre l'incident est exactement le défaut décrit.
-
Un fournisseur affiche que son pare-feu est certifié EAL4 selon le Common Criteria. Un acheteur en conclut que le produit offre plus de fonctionnalités de sécurité qu'un produit EAL2 et qu'il est « absolument sûr ». Que faut-il lui répondre ?
- A L'EAL mesure la rigueur de la vérification (assurance), pas la quantité de fonctionnalités ni une sécurité absolue
- B Un EAL4 garantit plus de fonctionnalités qu'un EAL2
- C Un EAL élevé prouve que le produit est sûr en valeur absolue
- D L'EAL remplace le besoin de définir un Security Target
Réponse & justification
Réponse : A — L'EAL mesure la rigueur de la vérification (assurance), pas la quantité de fonctionnalités ni une sécurité absolue
Un EAL note le niveau d'assurance, c'est-à-dire la rigueur avec laquelle le produit a été vérifié (EAL1 functionally tested à EAL7 formally verified design and tested). Il ne dit rien du nombre de fonctions : les fonctions relèvent des SFR du Security Target. Un EAL élevé contre des revendications faibles ne prouve aucune sécurité absolue. L'EAL ne remplace pas le ST : il résume justement le résultat de l'évaluation du ST/PP.
-
Un consortium d'hôpitaux rédige un document décrivant les besoins de sécurité génériques que doit satisfaire tout système de dossier patient, sans viser un produit précis. Un éditeur répond avec un document décrivant comment SON logiciel satisfait ces besoins. Quels artefacts Common Criteria correspondent respectivement ?
- A Le consortium produit un Protection Profile (PP), l'éditeur un Security Target (ST)
- B Le consortium produit un Security Target (ST), l'éditeur un Protection Profile (PP)
- C Les deux documents sont des Targets of Evaluation (TOE)
- D Le consortium définit l'EAL, l'éditeur définit le PP
Réponse & justification
Réponse : A — Le consortium produit un Protection Profile (PP), l'éditeur un Security Target (ST)
Le PP exprime des besoins génériques côté client/communauté, indépendants d'un produit : c'est exactement ce que rédige le consortium d'hôpitaux. Le ST contient les revendications d'un produit précis côté vendeur et explique comment il satisfait un PP : c'est le document de l'éditeur. Inverser PP et ST est l'erreur classique. La TOE est le produit évalué lui-même, pas ces documents. L'EAL est un niveau d'assurance résultant de l'évaluation, pas un artefact rédigé par le client.
-
Une équipe technique a terminé l'évaluation détaillée des contrôles d'un nouveau système et a documenté un risque résiduel. Le système ne peut pas encore être mis en service. Quelle étape manque et qui en est responsable ?
- A L'accreditation : l'Authorizing Official doit accepter formellement le risque résiduel et délivrer l'ATO
- B Une nouvelle certification technique par la même équipe
- C Rien : un système certifié est automatiquement autorisé à opérer
- D La rédaction d'un Protection Profile par l'équipe technique
Réponse & justification
Réponse : A — L'accreditation : l'Authorizing Official doit accepter formellement le risque résiduel et délivrer l'ATO
La certification (évaluation technique) est faite, mais l'autorisation relève de l'accreditation : l'Authorizing Official examine le risque résiduel et l'accepte formellement, ce qui produit l'ATO (accordé, conditionnel ou denial). Refaire une certification ne change rien à l'absence de décision managériale. Un système certifié n'est pas automatiquement autorisé : c'est précisément le piège. Le Protection Profile relève du Common Criteria côté besoins produit, sans rapport avec l'autorisation d'exploitation de ce système.
Points essentiels à retenir
- Sélectionner = partir d'un standard reconnu, puis le tailorer au contexte pour servir la mission.
- Sources clés : INCOSE Handbook, NIST SP800-160, ISO/IEC 15026 (assurance/intégrité/sécurité), ISO/IEC/IEEE 15288 (cycle de vie).
- SP800-160 est engineering-driven : la sécurité est infusée dans l'ingénierie, pas ajoutée après.
- Quatre familles de processus : Technical, Technical Management, Enabling, Agreement.
- Change management et configuration management sont intrinsèques à l'ingénierie ; leur formalisme suit les besoins de mission.
- Critères historiques : TCSEC (Orange Book, confidentialité, Bell-LaPadula, fonction+assurance mélangées) et ITSEC (européen, F1-F10 et E0-E6 séparés).
- Common Criteria (ISO/IEC 15408) : TOE, PP (besoins client), ST (revendications vendeur), SFR/SAR, EAL1 à EAL7 ; l'EAL mesure l'assurance, pas la fonctionnalité.
- Certification (technique) vs accreditation (acceptation du risque par l'AO) ; l'ATO peut être accordé, conditionnel ou refusé et doit être réévalué.
Capacités de sécurité des systèmes d'information
Prérequis : Connaître les notions de subject/object, de security policy et de trusted computing base abordées dans les modules précédents du Domaine 3.
Tout système sécurisé repose sur des fondations matérielles et système d'exploitation que le CISSP doit comprendre (Key Area D). Le principe directeur du manuel est simple : la compromission de n'importe quelle couche peut entraîner la compromission du système entier. Déployer des configurations sécurisées qui réalisent concrètement ces constructions théoriques est donc la clé pour bâtir et exploiter des systèmes sûrs.
Ce module commence par les modèles de sécurité conceptuels que les concepteurs ont utilisés au fil du temps - state machine model, information flow model, noninterference model et ring model - qui mettent l'accent sur des propriétés de sécurité différentes en s'appuyant sur les concepts de subjects et d'objects. Il enchaîne sur la traduction matérielle de ces idées : processor states, privileged mode instructions et le modèle des protection rings (Ring 0 à Ring 3).
Le module aborde ensuite les fonctionnalités natives attendues de tout élément destiné à un système sécurisé : memory management, abstraction layers, isolation code/données, file system attributes et security kernel, puis leurs extensions (access control, virtual machines, sandbox, cryptographic systems). Il se termine par les racines de confiance matérielles : le Trusted Platform Module (TPM) et la famille plus large des hardware security modules (HSM).
Deux piliers classiques de l'examen complètent ce tableau : la trusted computing base (TCB), le reference monitor et le security kernel qui formalisent qui médie les accès, ainsi que la chaîne secure boot, measured boot et trusted execution qui établit une racine de confiance matérielle au démarrage.
4.1 Modèles de sécurité conceptuels : state machine, information flow, noninterference
Au fil du temps, les concepteurs ont employé différents security models qui mettent l'accent sur des propriétés de sécurité distinctes. Beaucoup s'appuient sur les concepts de subjects et d'objects : un subject est un processus qui exécute des actions sur un object, et un object peut être un ensemble de données, une ressource matérielle ou logicielle, ou une personne - ce qui signifie qu'un object peut lui-même être un subject.
Le state machine model identifie l'état initial du système et l'état final dans lequel il doit se trouver une fois un processus terminé. Exemple du manuel : une security policy peut exiger que la copie d'un object n'introduise aucune déviation par rapport à l'original ; comparer un secure hash de l'original et de la copie démontre que l'opération a respecté cette policy.
L'information flow model étend le state machine model en se concentrant sur le mouvement de l'information à travers le système. Il décrit comment les privileges accordés aux subjects contraignent leur accès aux objects et les transformations qu'ils peuvent appliquer à ces objects. La sécurité s'évalue donc en termes de flux autorisés ou interdits, pas seulement d'états.
Le noninterference model garantit que les objects et subjects d'un niveau de sensibilité n'interagissent pas de façon inappropriée avec ceux d'autres niveaux. Chaque tentative d'accès aux données est indépendante des autres et approuvée, le cas échéant, par la security architecture. Surtout, les outputs du système ne doivent pas divulguer les security decisions ni les inputs qui les ont générés : un processus de login ne doit pas révéler les valeurs saisies (login ID, password) dans l'authentification qui résulte d'un login réussi.
- State machine : sécurité vérifiée par comparaison d'états (ex. hash original vs copie).
- Information flow : sécurité vue comme contrôle des flux d'information entre subjects et objects.
- Noninterference : un niveau ne doit pas influer sur un autre ; les outputs ne divulguent pas les inputs.
- Les trois modèles reposent sur la relation subjects/objects, base commune des security models.
4.2 Protection rings et processor states (Ring 0 à Ring 3)
Le ring model met l'accent sur les interactions entre les capacités de sécurité du matériel sous-jacent et leur usage par les couches logicielles. Selon le matériel, le logiciel et la conception du système, un nombre différent de rings peut être nécessaire ; dans beaucoup de cas, quatre rings suffisent. La figure du manuel présente le ring model du point de vue logiciel : les couches matérielles et leur firmware gravé sont contenues dans le Ring 0.
L'isolation des processus augmente à mesure que le logiciel s'exécute loin du Ring 0. De plus, chaque fois qu'une service request franchit une frontière de ring, la requête doit être évaluée au regard de la security policy pour déterminer si elle est appropriée. Ainsi, la demande d'une application de sauvegarder un fichier en stockage reçoit plus de scrutin de l'OS et du security kernel qu'une décision de l'OS de récupérer des emplacements mémoire inutilisés.
Ring 0 héberge les fonctions les plus sensibles de l'OS, typiquement des fonctions « trusted » soumises à une supervision limitée ; le security kernel surveille l'opération globale de l'OS et peut terminer le traitement en cas de compromission suspectée (l'écran bleu de Windows en est une manifestation). Ring 1 héberge les device drivers à accès direct au matériel, souvent soumis à une certification pour répondre aux exigences de sécurité de l'OS. Ring 2 offre de meilleures performances et capacités que les applications de Ring 3, pour des tâches réservées aux utilisateurs à privilèges étendus (formater des disques, établir des connexions réseau) ou pour des services rendus aux applications (par exemple des API de messagerie).
Ring 3 est l'endroit où s'exécutent les applications ; une isolation stricte des processus et une autorisation rigoureuse des service requests doivent y être imposées. L'échec d'une application en Ring 3 n'affecte pas les autres processus ni les fonctions système, et le système peut se rétablir proprement. Attention : ces exemples ne sont qu'illustratifs - certaines implémentations supportent quatre rings mais n'utilisent pas les Rings 1 et 2, ou réservent le Ring 1 aux tâches d'hyperviseur. Le modèle théorique ne décrit pas toujours pleinement un environnement donné, et en tirer parti exige une implémentation à la fois matérielle et logicielle. Ces niveaux reposent sur les processor states : des privileged mode instructions peuvent altérer directement l'état du matériel ou d'une tâche, via des flag bits spéciaux du CPU indiquant le niveau de privilège de la tâche courante.
- L'isolation des processus croît du Ring 0 vers le Ring 3.
- Tout franchissement de frontière de ring est évalué contre la security policy.
- Ring 0 = OS sensible + security kernel + matériel/firmware ; Ring 3 = applications.
- Le modèle est une métaphore : certaines implémentations n'utilisent pas les Rings 1 et 2.
- Les rings reposent sur les processor states et les privileged mode instructions du CPU.
4.3 Fondations système : memory management, isolation, virtualisation et sandboxing
Dès les années 1960, les ingénieurs sécurité avaient identifié une liste de fonctionnalités critiques pour bâtir des systèmes capables de respecter leur security policy. Ces éléments d'architecture ont une double nature : ils représentent des security policies de bas niveau que les composants doivent posséder, et ils offrent des design templates de haut niveau pour atteindre le comportement requis.
Les capacités natives attendues de tout élément destiné à un système sécurisé incluent : le memory management (usage efficace de la RAM, support de la mémoire virtuelle et ségrégation des espaces code/données d'une tâche) ; les abstraction layers, qui empêchent la logique d'une couche d'interférer avec ou d'observer le détail d'une autre, découplant la conception et facilitant la maintenance ; l'isolation et la ségrégation code/données, imposées par le matériel et l'OS, qui empêchent un processus de lire ou écrire dans l'espace code ou données d'un autre, empêchent l'exécution d'instructions chargées en espace données et l'écriture d'instructions dans un espace code (même le leur) ; les file systems attributes (read-only, execute-only) associant des permissions protectrices aux objects (sous Unix/Linux, tout device est traité comme un fichier) ; et le security kernel, qui surveille tous les programmes en exécution, y compris les OS, pour détecter erreurs ou alarmes annonçant une brèche, et peut forcer le programme dans un état sûr, l'arrêter, voire éteindre le système.
Une fois ces fonctionnalités présentes, des extensions vitales s'ajoutent. L'access control authentifie les requêtes de connexion d'un subject ou autorise l'accès aux objects, avec un accounting détaillé des actions tentées. Les virtual machines encapsulent un système opérationnel entier, interfaces vers périphériques et réseaux comprises ; les fonctionnalités de sécurité et de virtualisation du matériel et de l'OS imposent alors l'isolation requise des processus, données et devices.
Les sandbox environments tirent parti de la virtualisation pour un test et une évaluation isolés, qu'il s'agisse de systèmes en développement ou de malware suspecté. Enfin, les cryptographic systems renforcent l'isolation code/données, fournissent des digital signatures pour le code et les données, et protègent code et données at rest, in transit ou in use, via une combinaison d'éléments matériels et logiciels. Chacun de ces éléments d'architecture se rattache à un ou plusieurs security models.
- Les fonctionnalités de base ont une double nature : policy de bas niveau et design template de haut niveau.
- L'isolation code/données empêche l'exécution en espace données et la corruption d'un espace code.
- Le security kernel peut forcer un état sûr, stopper un programme ou éteindre le système.
- VM et sandbox reposent sur la virtualisation pour encapsuler et isoler.
- Chaque élément d'architecture se rattache à un ou plusieurs security models.
4.4 Racines de confiance matérielles : TPM et HSM
Le Trusted Platform Module (TPM) est un type particulier de hardware security module (HSM) conçu pour être intégré dans d'autres produits et conforme à un standard spécifique du Trusted Computing Group. La plupart des serveurs et des appareils utilisateur - mais pas tous - peuvent être obtenus avec une puce TPM.
La spécification TPM impose que le module inclue : une génération de clés sécurisée (secure key generation), un stockage sécurisé (secure storage), des algorithmes de hachage, un générateur de nombres aléatoires (random number generator) et un cryptoprocesseur embarqué (onboard cryptoprocessor) capable d'exécuter les fonctions définies par le standard. La désignation TPM nécessite en outre une clé d'identité unique au device (device-unique identity key) servant à l'identification de l'appareil.
Le terme TPM désigne strictement un module conforme au standard TPM. De nombreux autres fabricants créent des modules équivalents appelés secure elements, secure enclaves ou termes similaires. Exploiter les facilités de stockage de clés et les fonctions cryptographiques de la puce TPM permet d'accélérer les traitements et de renforcer la posture de sécurité d'un appareil. Le HSM est la catégorie plus large : un module matériel dédié à la sécurité cryptographique (génération, stockage et usage protégés des clés), dont le TPM est une variante normalisée et intégrée. Cette racine de confiance matérielle ancre les capacités cryptographiques évoquées dans les leçons précédentes et sera approfondie dans les sous-domaines consacrés à la cryptographie.
- Le TPM est un HSM intégré, conforme au standard du Trusted Computing Group.
- Fonctions imposées : génération de clés sécurisée, stockage sécurisé, hachage, RNG, cryptoprocesseur.
- La désignation TPM exige une device-unique identity key pour identifier l'appareil.
- Secure elements et secure enclaves sont des équivalents non normalisés sous d'autres noms.
- Exploiter le TPM accélère les traitements et renforce la posture de sécurité.
4.5 Trusted Computing Base, reference monitor et security kernel
La trusted computing base (TCB) regroupe l'ensemble des composants - matériels, logiciels et firmware - critiques pour la sécurité d'un système : ce sont eux qui font respecter la security policy. Tout ce qui se trouve dans la TCB est de confiance, car sa défaillance pourrait compromettre la policy entière ; tout ce qui est hors TCB n'a pas besoin de l'être. La frontière qui sépare la TCB du reste du système est le security perimeter. Garder la TCB petite et bien définie est un objectif de conception majeur : plus elle est réduite, plus on peut la vérifier et la protéger.
Le reference monitor est un concept abstrait : c'est la composante qui médie TOUS les accès des subjects vers les objects. Aucune référence à un object ne doit échapper à son contrôle. Trois propriétés classiques sont exigées de lui : complete mediation (il est toujours invoqué - always invoked - et ne peut être contourné), tamperproof (il est isolé et protégé contre toute modification non autorisée), et verifiable (il est suffisamment petit et simple pour être analysé, testé et démontré correct - small enough to test). Le mnémonique NEAT des Common Criteria, proche mais distinct, énumère pour sa part quatre exigences : Non-bypassable, Evaluable, Always invoked, Tamperproof.
Le security kernel est l'implémentation concrète du reference monitor au sein de la TCB : c'est l'ensemble des mécanismes matériels, firmware et logiciels qui appliquent effectivement la médiation des accès. Là où le reference monitor est l'idée, le security kernel est le code et le circuit. C'est lui qui, en Ring 0, surveille et fait respecter les décisions d'accès. La distinction est un piège d'examen récurrent.
Même un système doté d'une TCB bien conçue peut fuir de l'information par des covert channels : des canaux de communication non prévus par la conception. Un storage covert channel transmet de l'information en écrivant dans un emplacement de stockage (un attribut de fichier, un secteur disque) lu par un autre processus ; un timing covert channel module le timing d'un événement observable (temps de réponse, utilisation CPU) pour signaler des bits à un complice. Les covert channels contournent la médiation normale et sont un thème classique des modèles de confiance.
- La TCB = tous les composants de confiance qui font respecter la policy ; sa frontière est le security perimeter.
- Reference monitor = concept abstrait qui médie TOUS les accès subject->object.
- Propriétés du reference monitor : complete mediation (always invoked), tamperproof (isolé), verifiable (small enough to test) ; mnémonique NEAT des Common Criteria = Non-bypassable, Evaluable, Always invoked, Tamperproof.
- Security kernel = implémentation concrète du reference monitor dans la TCB - ne pas confondre concept et code.
- Covert channels : storage (via emplacement de stockage) vs timing (via timing observable) contournent la médiation.
4.6 Secure boot, measured boot et trusted execution
La sécurité d'un système commence avant même le chargement de l'OS : si la chaîne de démarrage est compromise (bootkit, firmware malveillant), toutes les protections logicielles bâties au-dessus deviennent caduques. D'où la notion de root of trust : un composant de confiance, idéalement ancré dans le matériel, à partir duquel la confiance se propage de proche en proche le long de la chaîne de démarrage (chain of trust).
Le secure boot vérifie la signature numérique de chaque composant de la chaîne de démarrage avant de l'exécuter. Dans l'écosystème UEFI, le firmware ne charge un bootloader, puis un noyau, que si leur signature correspond à une clé de confiance enregistrée dans le firmware. Un composant non signé ou modifié est refusé : secure boot empêche l'exécution de code non approuvé. Point clé : secure boot VÉRIFIE des SIGNATURES et bloque ce qui ne correspond pas ; il ne conserve pas nécessairement une trace de ce qui a été chargé.
Le measured boot, lui, MESURE : il calcule le hash de chaque étape (firmware, bootloader, noyau, drivers) et étend les Platform Configuration Registers (PCR) du TPM avec ces mesures. Le measured boot ne bloque rien en soi ; il produit un enregistrement cryptographique fiable de l'état de démarrage. Cet enregistrement permet la remote attestation : la machine peut prouver à un tiers (serveur d'attestation, contrôle d'accès réseau) que sa chaîne de démarrage est dans un état connu et approuvé, en présentant les valeurs des PCR signées par le TPM. C'est le lien direct avec le TPM vu à la leçon précédente.
Le trusted execution environment (TEE) prolonge l'idée au temps d'exécution : c'est une enclave isolée du reste du système, où code et données sensibles s'exécutent à l'abri même d'un OS compromis. Intel SGX (enclaves applicatives) et ARM TrustZone (mondes secure/normal) en sont les exemples canoniques. Le TEE s'appuie sur une root of trust matérielle pour garantir confidentialité et intégrité du code qui s'y exécute. Ensemble, root of trust, secure boot, measured boot et TEE forment une chaîne de confiance continue, du démarrage à l'exécution.
- Root of trust : ancre matérielle d'où part la chain of trust du démarrage.
- Secure boot VÉRIFIE des signatures (UEFI) et bloque le code non approuvé.
- Measured boot MESURE/hash chaque étape et étend les PCR du TPM ; ne bloque pas, atteste.
- Remote attestation : prouver à un tiers un état de démarrage connu via les PCR signés.
- TEE : enclave isolée à l'exécution (Intel SGX, ARM TrustZone) reposant sur une root of trust matérielle.
Cas d'étude
Activité Ring Model : les questions de l'équipe junior
Contexte : En réunion, Terry utilise le ring model comme métaphore pour discuter de l'équilibre entre performance et sécurité des systèmes de l'université WLDR. Un membre junior, qui vient de lire sur le modèle, vient poser quelques questions de clarification sur l'emplacement des composants logiciels dans les rings.
Question : Où s'exécute l'application elle-même dans un système de base de données ? Où opère un type 1 hypervisor ? Et un rootkit en user mode tournerait-il dans quel ring ?
Voir l'analyse et la correction
L'application elle-même opère en Ring 3 : c'est le ring responsable de l'isolation des applications. Toute logique applicative, y compris la couche applicative d'un système de base de données, s'y exécute avec une isolation stricte des processus.
Un type 1 hypervisor (dit bare metal) contrôle directement le matériel du système hôte et opère donc en Ring 0, au sein du noyau : il pilote l'allocation des ressources et de la mémoire des machines virtuelles et fournit l'interface de supervision et de gestion des VM. Attention au piège : ce n'est pas dans les device drivers ni dans les utilitaires système.
Un rootkit en user mode tournerait en Ring 3. Un rootkit user mode n'a pas besoin d'accéder aux processus système de bas niveau et s'exécute dans le ring des applications. À l'inverse, un rootkit kernel mode viserait le Ring 0 - d'où sa dangerosité supérieure et sa difficulté de détection.
À retenir : Applications et code user mode = Ring 3 ; type 1 hypervisor et fonctions OS les plus sensibles = Ring 0. Le ring détermine le privilège, l'isolation et la gravité d'une compromission.
Noninterference vs information flow
Ne confondez pas les deux. L'information flow model porte sur le mouvement de l'information et les flux autorisés entre subjects et objects. Le noninterference model porte sur l'isolation entre niveaux de sensibilité : un niveau ne doit pas influer sur un autre, et surtout les outputs ne doivent pas divulguer les inputs ni les security decisions (ex. un login ne révèle pas le password saisi). Si l'énoncé parle d'outputs trahissant des inputs, pensez noninterference.
Le modèle des rings est une métaphore, pas une vérité d'implémentation
À l'examen comme en pratique, retenez que le théorique ne décrit pas toujours pleinement un système réel. Certains matériels supportent quatre rings mais n'utilisent pas les Rings 1 et 2 ; d'autres réservent le Ring 1 aux tâches d'hyperviseur. Beaucoup d'OS se limitent à user mode (Rings 1-2-3 dans le découpage du manuel) et kernel mode (Ring 0). Ne supposez pas que les quatre rings sont toujours utilisés.
TPM n'est pas un synonyme générique de HSM
Le TPM est un type particulier de HSM : intégré, conforme au standard du Trusted Computing Group, et doté d'une device-unique identity key. Tout HSM n'est pas un TPM. Et le terme TPM désigne strictement un module conforme au standard ; les modules équivalents d'autres fabricants s'appellent secure elements ou secure enclaves, pas TPM. Si l'énoncé insiste sur l'identité unique de l'appareil et la conformité au standard, c'est le TPM.
Reference monitor (concept) vs security kernel (implémentation), et TCB petite
Piège classique : le reference monitor est un concept abstrait - l'idée qu'une composante médie TOUS les accès subject->object. Le security kernel en est l'implémentation concrète (matériel + firmware + logiciel) au sein de la TCB. Si l'énoncé parle d'un concept ou d'exigences (complete mediation/always invoked, tamperproof/isolé, verifiable/small enough to test), c'est le reference monitor ; s'il parle des mécanismes qui appliquent réellement la médiation, c'est le security kernel. Retenez aussi pourquoi la TCB doit rester petite : seule une TCB réduite est suffisamment vérifiable et testable - c'est la propriété verifiable du reference monitor appliquée à l'ensemble de confiance.
Secure boot VÉRIFIE des signatures, measured boot MESURE et atteste
Ne confondez pas les deux étages du démarrage de confiance. Secure boot vérifie la signature numérique de chaque composant et BLOQUE l'exécution de code non approuvé (UEFI) ; son but est la prévention. Measured boot ne bloque rien : il MESURE (hash) chaque étape et étend les PCR du TPM, produisant un enregistrement servant à la remote attestation (prouver un état de démarrage connu). Si l'énoncé évoque le blocage d'un bootloader non signé, c'est secure boot ; s'il évoque la preuve à un serveur d'attestation via les PCR du TPM, c'est measured boot.
Point de contrôle — Point de contrôle
-
Lors d'un audit, un analyste constate que le processus de login d'une application affiche un message différent selon que le login ID existe ou non, révélant ainsi des informations sur les inputs. Quel modèle de sécurité est violé ?
- A State machine model
- B Information flow model
- C Noninterference model
- D Ring model
Réponse & justification
Réponse : C — Noninterference model
Le noninterference model exige que les outputs du système ne divulguent pas les security decisions ni les inputs qui les génèrent : un login ne doit pas révéler les valeurs saisies. Le state machine compare des états (ex. hash) ; l'information flow porte sur le mouvement de l'information entre subjects/objects ; le ring model traite des niveaux de privilège matériel/logiciel, pas de la divulgation d'inputs.
-
Une application demande à sauvegarder un fichier en stockage. Selon le ring model, pourquoi cette requête reçoit-elle plus de scrutin que la décision de l'OS de récupérer des emplacements mémoire inutilisés ?
- A Parce que l'application s'exécute en Ring 0 et l'OS en Ring 3
- B Parce que la requête franchit une frontière de ring et doit être évaluée contre la security policy
- C Parce que le security kernel ignore les opérations internes de l'OS
- D Parce que la sauvegarde de fichier est toujours une privileged mode instruction
Réponse & justification
Réponse : B — Parce que la requête franchit une frontière de ring et doit être évaluée contre la security policy
Chaque fois qu'une service request franchit une frontière de ring, elle doit être évaluée contre la security policy ; une demande venant d'une application (Ring 3) vers le stockage traverse plusieurs frontières et reçoit donc plus de scrutin qu'une opération interne de l'OS proche du Ring 0. A inverse les rings. C est faux : le security kernel surveille justement l'OS. D généralise à tort.
-
Un fournisseur affirme que sa puce inclut génération de clés sécurisée, stockage sécurisé, hachage, RNG, un cryptoprocesseur embarqué, est conforme au standard du Trusted Computing Group et porte une clé d'identité unique au device. De quel composant s'agit-il ?
- A Un security kernel
- B Un Trusted Platform Module (TPM)
- C Une abstraction layer
- D Un type 1 hypervisor
Réponse & justification
Réponse : B — Un Trusted Platform Module (TPM)
C'est la définition exacte du TPM : un HSM intégré conforme au standard du Trusted Computing Group, imposant secure key generation, secure storage, hachage, RNG, cryptoprocesseur embarqué et une device-unique identity key. Le security kernel est logiciel et surveille les programmes ; l'abstraction layer est un principe de conception ; le type 1 hypervisor virtualise le matériel.
-
Une équipe veut analyser un échantillon de malware suspecté et tester un système en développement sans risque pour la production. Quelle capacité native, reposant sur la virtualisation, répond le mieux à ce besoin ?
- A Un sandbox environment
- B Une file system attribute en read-only
- C Une privileged mode instruction
- D Un security kernel
Réponse & justification
Réponse : A — Un sandbox environment
Le sandbox environment tire parti de la virtualisation pour un test et une évaluation isolés, qu'il s'agisse de systèmes en développement ou de malware suspecté : c'est exactement l'usage décrit. Une file system attribute read-only ne fournit pas d'environnement d'exécution isolé ; une privileged mode instruction altère l'état matériel/tâche ; le security kernel surveille les programmes mais n'est pas l'environnement de test isolé.
-
Un architecte décrit la composante théorique qui doit médier TOUS les accès des subjects aux objects, ne jamais pouvoir être contournée, être protégée contre toute altération, et rester assez petite pour être testée et démontrée correcte. De quoi parle-t-il, et comment cette composante est-elle réalisée dans un système ?
- A Le security kernel ; il est réalisé par le reference monitor au sein de la TCB
- B Le reference monitor ; il est réalisé concrètement par le security kernel au sein de la TCB
- C Le security perimeter ; il est réalisé par un covert channel
- D Le TPM ; il est réalisé par un type 1 hypervisor
Réponse & justification
Réponse : B — Le reference monitor ; il est réalisé concrètement par le security kernel au sein de la TCB
La description correspond au reference monitor et à ses trois propriétés : complete mediation (médie tous les accès, always invoked/non contournable), tamperproof (protégé contre l'altération), verifiable (assez petit pour être testé et prouvé correct). Son implémentation concrète au sein de la TCB est le security kernel. A inverse concept et implémentation. Le security perimeter n'est que la frontière de la TCB, et un covert channel est une fuite, pas une réalisation. Le TPM est une racine de confiance matérielle, sans rapport avec la médiation des accès, et un type 1 hypervisor virtualise le matériel.
-
Avant d'admettre un poste sur le réseau, un serveur de contrôle d'accès exige que la machine prouve que son firmware, son bootloader et son noyau sont dans un état connu et approuvé, en présentant des mesures signées par sa puce TPM. Quel mécanisme fournit cette preuve, et en quoi diffère-t-il de secure boot ?
- A Secure boot ; il étend les PCR du TPM pour permettre l'attestation
- B Measured boot ; il mesure/hash chaque étape et étend les PCR du TPM pour la remote attestation, là où secure boot vérifie des signatures et bloque le code non approuvé
- C Un trusted execution environment ; il bloque tout bootloader non signé
- D Un security kernel ; il signe les PCR pour le serveur
Réponse & justification
Réponse : B — Measured boot ; il mesure/hash chaque étape et étend les PCR du TPM pour la remote attestation, là où secure boot vérifie des signatures et bloque le code non approuvé
C'est le measured boot : il mesure (hash) chaque étape du démarrage et étend les PCR du TPM, ce qui permet la remote attestation - prouver à un tiers un état de démarrage connu via des valeurs signées par le TPM. Secure boot, lui, vérifie la signature de chaque composant et bloque le code non approuvé ; il ne fournit pas par lui-même l'enregistrement attestable (A confond les deux rôles). Un TEE est une enclave d'exécution isolée, il ne bloque pas les bootloaders (C). Le security kernel applique la médiation des accès et ne signe pas les PCR (D).
Points essentiels à retenir
- Trois modèles conceptuels à distinguer : state machine (états), information flow (flux), noninterference (les outputs ne révèlent pas les inputs entre niveaux).
- Le ring model traduit les capacités matérielles : Ring 0 (OS sensible, security kernel, matériel) à Ring 3 (applications) ; chaque franchissement de frontière est évalué contre la security policy.
- Les fondations système (memory management, isolation code/données, security kernel) sont à la fois des policies de bas niveau et des design templates.
- Virtualisation : VM pour encapsuler des systèmes entiers, sandbox pour tester en isolation ; access control et cryptographic systems étendent l'architecture.
- Le TPM est un HSM intégré, conforme au Trusted Computing Group, avec device-unique identity key, secure key generation/storage, hachage, RNG et cryptoprocesseur.
- TCB = composants de confiance qui font respecter la policy (frontière = security perimeter) ; reference monitor (concept, NEAT) implémenté par le security kernel ; attention aux covert channels storage/timing.
- Démarrage de confiance : secure boot VÉRIFIE des signatures (UEFI), measured boot MESURE et étend les PCR du TPM (remote attestation), TEE isole l'exécution (SGX/TrustZone), le tout ancré sur une root of trust.
Vulnérabilités des architectures de sécurité
Prérequis : Connaître les modèles de sécurité (Bell-LaPadula, Biba) et les principes de conception sécurisée, ainsi que les notions de base sur virtualisation et hyperviseurs.
Chaque architecture de système hérite des vulnérabilités déjà présentes dans son matériel, son firmware, ses logiciels et ses usages opérationnels. Le matériel peut tomber en panne, les liaisons de communication peuvent subir bruit, interférence ou interruption, et les utilisateurs comme les concepteurs peuvent commettre des erreurs. Évaluer puis atténuer ces vulnérabilités (Key Area E) suppose de comprendre les caractéristiques propres de chaque type d'architecture pour y appliquer les bons contrôles.
Ce module passe en revue les grandes familles d'architectures décrites par le manuel ISC2 : systèmes client/serveur et systèmes distribués ; bases de données et leurs attaques par aggregation, inference et polyinstantiation ; ICS/SCADA, IoT et systèmes embarqués ; le cloud (modèles IaaS/PaaS/SaaS, caractéristiques essentielles NIST vs ISO/IEC 17788, VM sprawl) ; conteneurs, microservices et serverless ; enfin edge vs fog computing, HPC et systèmes distribués.
Pour chaque architecture, la démarche reste la même : identifier la caractéristique distinctive, en déduire la surface d'attaque, puis sélectionner les mitigations adaptées. Les stratégies générales (contrôle d'accès logique et physique robuste, segmentation réseau, application rapide des correctifs, configuration management, formation des utilisateurs) s'appliquent partout, mais chaque architecture impose ses propres pièges d'examen.
5.1 Systèmes client, serveur et distribués
Les systèmes client-based sont traditionnellement les endpoints par lesquels les utilisateurs accèdent aux services centralisés : postes de travail, ordinateurs portables, terminaux de point de vente ou appareils personnels. On les qualifie de thick ou thin selon la complexité des applications et de l'OS qu'ils exécutent localement ; un thick client dispose de stockage et de connectivité propres. La ligne entre thick et thin est floue et mouvante. Ces clients héritent des vulnérabilités de leur matériel, OS et applications (malware, mauvais usage, accidents) et sont exposés au vol ou à la perte, mettant en danger les données résiduelles. Leur exploitation peut servir de tremplin pour attaquer les serveurs auxquels ils se connectent. Les mitigations relèvent de la gestion d'endpoints : anti-malware et IDS/IPS sur l'hôte, endpoint management combiné au MDM pour gérer correctifs et perte/vol, et protections réseau (segmentation, firewalls, IDS) qui isolent client et réseau l'un de l'autre.
Les systèmes server-based remplissent une fonction précise (serveurs d'application, de fichiers, d'impression, DNS). Ils sont centralisés, à accès limité, et traitent un débit de données bien supérieur à un poste de travail, ce qui génère des volumes de logs massifs à analyser. Un piège majeur : on les laisse souvent en service de longues années, parfois avec des logiciels hors support, faute de redondance permettant de les arrêter pour appliquer les correctifs - même critiques. Être connecté au réseau les expose à des attaques distantes ; l'accès physique au serveur et à son fabric d'interconnexion ouvre une gamme quasi illimitée d'attaques, tout comme la chaîne logistique. La mitigation clé pour les serveurs non migrés vers le cloud est l'ajout de redondance abordable, qui supprime le besoin de différer les arrêts de maintenance et réduit donc le délai entre réception et application d'un correctif.
Dans un environnement distribué, nœuds et processeurs opèrent indépendamment ; stockage et traitement sont répartis sur plusieurs composants qui se synchronisent par messagerie. Presque toutes les formes de cloud sont des systèmes distribués, tout comme le peer-to-peer. Ils offrent souvent une forte redondance (réplication géographique des données) et un load balancing dynamique procurant une dégradation gracieuse en cas de panne. Leurs vulnérabilités : les systèmes distribués simples peuvent manquer de capacités de monitoring et de contrôle pour détecter à temps les pannes ou compromissions, et de contrôle d'accès suffisant pour gérer plusieurs niveaux de classification. La mitigation consiste à renforcer contrôle d'accès, monitoring de santé et IDS si l'infrastructure le permet ; sinon, à isoler physiquement, logiquement et administrativement le système distribué.
- Un client exploité sert de tremplin pour attaquer les serveurs connectés.
- Le piège serveur : maintien en service hors support faute de redondance pour patcher.
- L'accès physique au serveur ouvre une gamme quasi illimitée d'attaques.
- Les systèmes distribués manquent souvent de monitoring et de contrôle d'accès multi-niveaux.
5.2 Bases de données : aggregation, inference, polyinstantiation
Un système de base de données s'articule autour d'un DBMS (database management system) et des ressources de calcul et de stockage qui l'hébergent. Il peut tourner sur un endpoint, un thick client, des serveurs ou des clusters, et la plupart fonctionnent aujourd'hui en environnement cloud ou distribué. Une base hérite des vulnérabilités de sa plateforme et y ajoute des vulnérabilités propres : entrées malformées (malformed inputs), déni de service, et contournement des contrôles d'accès. Comme elles contiennent de grandes quantités d'informations de valeur et exigent un débit transactionnel élevé, les bases sont des cibles de très haute valeur.
L'aggregation est l'assemblage de plusieurs éléments d'information, chacun non sensible pris isolément, dont la combinaison révèle une information sensible. Un utilisateur ayant un accès légitime à plusieurs champs anodins peut, en les agrégeant, reconstituer un secret auquel il n'aurait pas droit. L'inference est plus subtile : le sujet déduit une information sensible à partir d'informations auxquelles il a accès, par raisonnement, sans jamais y accéder directement. Le piège classique d'examen est de confondre les deux : l'aggregation combine des données pour atteindre un total sensible ; l'inference déduit ce qui n'est pas explicitement présent.
La polyinstantiation est la contre-mesure phare contre l'inference (et l'aggregation déductive). Elle consiste à autoriser plusieurs instances (versions) d'un même enregistrement, différenciées par le niveau de classification du sujet qui le consulte. Un utilisateur de bas niveau voit une version plausible mais factice, tandis que l'enregistrement réel reste réservé au niveau habilité. En présentant des valeurs divergentes selon l'habilitation, la polyinstantiation empêche le sujet de bas niveau de déduire l'existence ou la valeur de la donnée classifiée, et de détecter une incohérence qui trahirait un secret.
- Vulnérabilités propres aux bases : malformed inputs, DoS, contournement des contrôles d'accès.
- Aggregation = combiner ; inference = déduire. Ne pas confondre.
- La polyinstantiation contre l'inference en exposant des versions différentes par habilitation.
- Les bases sont des cibles de très haute valeur (volume et valeur des données).
5.3 ICS/SCADA, systèmes embarqués et IoT
Les industrial control systems (ICS) surveillent et contrôlent les machines industrielles et les infrastructures critiques. Pour eux, les exigences de sûreté (safety) priment souvent sur celles de sécurité (security). Vus du haut vers le bas, ils comportent trois composants : le SCADA (supervisory control and data acquisition), assemblages d'équipements event-driven qui automatisent des processus géographiquement distribués (réseau électrique, oléoducs, traitement de l'eau, rail) ; les DCS (distributed control systems), confinés à une zone ou usine et orientés processus ; et les PLC (programmable logic controllers), contrôleurs industriels durcis temps réel pilotant capteurs et actionneurs. Les vulnérabilités propres aux composants embarqués des ICS : fonctionnalité et protection limitées, longue durée de vie (10 à 20 ans), forte sensibilité au DoS et aux mauvaises entrées, et surtout des attaques pouvant produire des effets physiques sur le monde réel. Ils sont souvent non surveillés en sites distants. Mitigations : infrastructure réseau isolée (air gaps ou firewalls), restrictions de connexion et monitoring, réseaux fortement segmentés ou microsegmentés (zero trust), canaux protégés et contrôle de configuration robuste.
Les systèmes embarqués sont des microcontrôleurs intégrés directement dans des dispositifs mécaniques, électriques ou hydrauliques (automobiles, avions, appareils médicaux, électroménager). La frontière avec les ICS est floue : un ICS contient souvent des systèmes embarqués, et l'ICS lui-même peut être embarqué. Leur risque opérationnel est élevé : leur défaillance peut rendre le système hôte inopérant, et leur code réside parfois en mémoire morte non mise à jour. Vulnérabilités : erreurs de programmation, interfaces web exposées, authentification faible ou credentials codés en dur, mauvaise cryptographie, reverse engineering, malware et eavesdropping. Stuxnet a démontré la capacité d'attaquants sophistiqués à cibler ces systèmes. Mitigations : intégration au cadre de gestion des risques avec inventaire complet, patching dans la limite du support, secure coding, et third-party risk management car ils proviennent souvent de produits fournisseurs.
L'IoT prolonge la miniaturisation des systèmes embarqués couplée à la connectivité sans fil ubiquitaire. Ces appareils, du simple capteur d'état au dispositif calibré avec implications safety-of-life, ne sont plus isolés sur leurs propres réseaux et présentent donc une surface d'attaque élargie. Vulnérabilités : DoS aggravé par la dépendance aux protocoles sans fil (standards faibles ou propriétaires) et le transit multi-infrastructures ; sécurité physique du dispositif (vol, data remanence, reverse engineering, manipulation de l'environnement surveillé) ; et limites cryptographiques, tous les appareils n'ayant pas la puissance de calcul nécessaire.
- ICS = SCADA (supervision) + DCS (processus) + PLC (contrôle temps réel).
- Pour les ICS, la safety prime souvent sur la security.
- Attaques ICS/embarqué = effets physiques réels ; mitigation phare = air gap / microsegmentation.
- Embarqué : code souvent non patchable, credentials en dur, surface aggravée par l'IoT sans fil.
5.4 Cloud : modèles de service, caractéristiques essentielles, VM sprawl
Assurer la sécurité d'un service cloud suppose d'évaluer chaque élément de l'organisation et de la technologie du fournisseur (CSP). Pour rester efficient, on s'appuie sur des audits standards menés par des tiers accrédités, en complétant selon les besoins propres. NIST définit le cloud comme un modèle d'accès réseau à la demande à un pool partagé de ressources configurables, provisionnables et libérables rapidement avec un effort de gestion minimal ; la définition ISO/IEC 17788 est similaire. NIST énonce cinq caractéristiques essentielles : on-demand self-service, broad network access, resource pooling (multi-tenant), rapid elasticity et measured service. ISO/IEC 17788 reprend les cinq et ajoute une sixième : multi-tenancy, où ressources physiques ou virtuelles sont allouées et contrôlées de sorte que le traitement et les données de différents tenants soient isolés et inaccessibles entre eux. C'est ce point que vise le Quiz Q3.
Les modèles de service décrivent la part de gestion entre CSP et consommateur. NIST identifie trois modèles, ISO/IEC 17789 quatre catégories ; les trois premiers coïncident. En SaaS, le consommateur utilise l'application du fournisseur sans gérer l'infrastructure sous-jacente. En PaaS, il déploie ses propres applications créées avec les langages et outils du fournisseur, sans gérer l'infra mais en contrôlant ses applications. En IaaS, il provisionne calcul, stockage et réseau pour exécuter un logiciel arbitraire (y compris les OS), avec contrôle sur OS, stockage et applications. Cette gradation définit la responsabilité partagée : plus on descend vers IaaS, plus la part du consommateur grandit. ISO/IEC 17789 ajoute NaaS (Network as a Service), et l'offre s'étend à IDaaS, SECaaS, CaaS, CompaaS, DSaaS. Les modèles de déploiement (private, community, public, hybrid, plus GovCloud) décrivent quant à eux les relations métier.
Trois vulnérabilités cloud méritent l'attention : l'exposition accrue aux communications externes ; la misconfiguration, car beaucoup d'organisations manquent de compétences et présument à tort que le CSP couvre toute la sécurité, alors que le consommateur reste responsable de son propre stockage et traitement ; et le fait de devenir outdated, le SLA devant clarifier ce que le CSP maintient et ce qui revient au consommateur. Côté virtualisation, le VM sprawl (image management) est un piège classique : sans mécanismes de contrôle et politiques, des images VM peuvent être chargées et laissées actives, copiées vers d'autres zones ou exfiltrées (Quiz Q2). Autres vulnérabilités : VM escape (un acteur exploite des credentials d'une VM pour attaquer l'environnement), faiblesses matérielles de l'hyperviseur (type Meltdown/Spectre) et knowledge gap. Mitigations : change management appliqué aux VM et IAM granulaire (RBAC/ABAC) protégeant l'hyperviseur des workloads de production.
- NIST = 5 caractéristiques ; ISO/IEC 17788 ajoute la 6e : multi-tenancy.
- SaaS -> PaaS -> IaaS : la part de sécurité du consommateur augmente.
- Misconfiguration : le consommateur reste responsable de son stockage/traitement, pas le CSP de tout.
- VM sprawl : images laissées actives, copiées ou exfiltrées faute de contrôle.
5.5 Conteneurs, microservices et serverless
La conteneurisation fournit une couche de services OS partagés pour réduire la taille et la complexité des VM individuelles en environnement cloud. Elle diminue les ressources nécessaires, raccourcit le temps de démarrage d'un processus et standardise les OS. Des technologies open-source comme Docker et Kubernetes côtoient des approches propriétaires ; l'adoption a été rapide grâce à la portabilité des conteneurs entre clouds. Vulnérabilités : images non sécurisées (une image de base vulnérable rend le conteneur vulnérable), conteneurs au privilège excessif (flag privileged), communication non restreinte entre conteneurs, processus malveillants et isolation insuffisante vis-à-vis de l'hôte. Mitigations : image management (limiter le nombre et la configuration des images contre l'image sprawl), immutable infrastructure (ne jamais patcher une instance en cours d'exécution mais régénérer depuis une master image), granular security (privilèges minimaux par conteneur), microsegmentation et firewalls, et configuration correcte par du personnel formé, d'autant que les plateformes évoluent constamment.
Les microservices sont une implémentation de l'architecture orientée services (SOA) pour le cloud : des protocoles légers transportent l'information entre applications très isolées. Convertir une application en microservices revient à découper un gros programme en objets gérés comme threads d'exécution séparés, selon le principe « faire une seule chose et bien la faire ». Avantages : maintenance simplifiée (périmètre limité par service), conversion de traitements batch en temps réel sans refonte totale, et scaling dynamique bien plus aisé que sur des systèmes monolithiques. Vulnérabilités : authorization (un microservice mal développé tourne souvent à privilège élevé par commodité, dangereux s'il est compromis), quality of service (un microservice mal structuré consomme plus de ressources, ex. lancer une VM entière pour un service éphémère) et DoS (la dépendance aux protocoles légers comme REST expose toute faiblesse du protocole). Mitigations : services d'authentification/autorisation (OAuth 2.0, SAML) avec least privilege sur les comptes de service, exécution en conteneurs ou serverless, et API gateways pour protéger l'accès.
L'architecture serverless étend les responsabilités du CSP pour abstraire entièrement l'infrastructure physique et logique. Souvent appelée Function as a Service (FaaS), elle rend le CSP responsable de l'élasticité, réallouant les ressources selon la charge. Les services sont accédés comme des fonctions réagissant à des événements (autres fonctions, requêtes externes, mise à jour de fichier, entrée de log, transaction BDD), souvent via une API gateway. Newcomer du cloud, beaucoup de ses schémas d'attaque rejoignent ceux des autres architectures (le sujet est détaillé par la Cloud Security Alliance). Vulnérabilités spécifiques : injection malveillante dans la fonction (entrées malformées causant DoS ou divulgation), configuration non sécurisée (options multipliées par les fournisseurs pour se différencier) et cross-execution data persistency (données conservées entre exécutions non protégées ni purgées). Mitigations : former le personnel à la configuration de l'environnement fournisseur et appliquer un secure coding avec tests statiques, dynamiques et interactifs.
- Conteneurs : OS partagé, attention aux images non sécurisées et au flag privileged.
- Immutable infrastructure : régénérer depuis la master image, ne pas patcher en vol.
- Microservices : risque clé = privilège excessif des services compromis.
- Serverless (FaaS) : injection dans la fonction et cross-execution data persistency.
5.6 Edge vs fog computing, HPC et systèmes distribués
Pour que le cloud offre des ressources virtualisées à coût réduit, l'information doit migrer vers le data center, ce qui impose une forte latence et soulève des enjeux de confidentialité. Le edge et le fog computing rapprochent le traitement des sources de données pour y répondre. Le fog computing place une couche de ressources de calcul plus près des sources d'entrée, fournissant hébergement applicatif et gestion des dispositifs, et optimise ainsi le déplacement de l'information vers le cloud. Le edge computing englobe aussi les endpoints, souvent des systèmes embarqués, au bord du réseau ; d'abord à emplacements fixes, il intègre désormais des appareils mobiles via le sans-fil.
La distinction, formalisée par NIST SP 500-325, porte sur le niveau de traitement. Le fog est hiérarchique : il exécute des applications dans une architecture multi-couches qui découple et maille les fonctions matérielles et logicielles, permettant des reconfigurations dynamiques, et il adresse en plus du calcul et du réseau le stockage, le contrôle et l'accélération du traitement. Le edge, lui, exécute des applications spécifiques en un emplacement logique fixe et fournit un service de transmission directe, limité à un petit nombre de dispositifs périphériques. Le piège d'examen (Quiz Q5) : fog = hiérarchique et multi-couches ; edge = local, fixe, peu de dispositifs. Leurs vulnérabilités : compromission réseau (le edge dépend fortement du réseau ; DoS et coupure physique de connectivité) et surface d'attaque accrue (multiplier les dispositifs augmente le risque qu'un seul mal configuré serve de tête de pont). Mitigations : monitoring réseau et réponse à incident renforcés, et inventaire/responsabilité durcis pour limiter le sprawl et les dispositifs rogue ou obsolètes.
Le high-performance computing (HPC) répond aux problèmes exigeant bien plus de ressources que la normale : modélisation d'explosions nucléaires, du changement climatique ou de séismes, via un nombre massif de processeurs travaillant simultanément. Longtemps réservé aux agences gouvernementales, il est désormais offert commercialement, souvent couplé au cloud, en maximisant l'usage productif des ressources - ce qui peut conduire à compromettre certains contrôles de sécurité traditionnels pour gagner en performance. Les défis particuliers portent sur l'intégrité et la disponibilité. Vulnérabilités : contraintes de latence (les outils traditionnels IDS/IPS ou firewalls imposeraient un coût de latence inacceptable aux processus parallèles) et improper workloads (un HPC compromis peut voir son temps consommé par des charges non autorisées, comme le supercalculateur russe détourné pour miner du Bitcoin en 2018). Mitigations : conception architecturale appropriée (enclaves de calcul sécurisées, détection au périmètre pour compenser des contrôles internes réduits) et monitoring/logging adaptés malgré leur coût en calcul. Enfin, les systèmes distribués (vus en L1) sous-tendent presque toutes ces architectures cloud et restent un fil conducteur transverse.
- Fog = hiérarchique, multi-couches, calcul + stockage + contrôle.
- Edge = local, fixe, petit nombre de dispositifs, transmission directe.
- HPC : la quête de performance peut affaiblir les contrôles ; enjeux intégrité/disponibilité.
- Edge/fog : surface accrue, un dispositif mal configuré devient une tête de pont.
Cas d'étude
Stuxnet : l'attaque qui a franchi le monde physique
Contexte : Stuxnet est cité par le manuel ISC2 comme la démonstration des capacités d'attaquants sophistiqués contre les systèmes embarqués. Le ver ciblait des PLC pilotant des processus industriels précis, exploitant le fait que ces systèmes sont des cibles lucratives quand on cherche à perturber un processus métier. L'installation visée était isolée du réseau (air gap), ce qui était censé la protéger. Le ver a pourtant atteint les automates : transporté par support amovible, il a franchi l'isolement, puis manipulé les commandes envoyées aux équipements tout en renvoyant aux opérateurs des indications normales, illustrant l'eavesdropping et la manipulation de transactions sans détection.
Question : Si l'air gap n'a pas suffi, quelles caractéristiques des ICS/systèmes embarqués Stuxnet a-t-il exploitées, et quelles mitigations le manuel recommande-t-il au-delà de l'isolement ?
Voir l'analyse et la correction
Stuxnet exploite des traits structurels des ICS et systèmes embarqués décrits par le manuel : la possibilité que les attaques produisent des effets physiques, la sensibilité aux mauvaises entrées, et le fait que l'eavesdropping couplé à des protections cryptographiques faibles permet de manipuler les transactions sans détection. L'air gap est une mitigation réelle (infrastructure réseau isolée), mais il ne couvre pas le vecteur du support amovible ni la confiance accordée aux commandes internes.
Le manuel recommande une défense en profondeur : au-delà de l'isolement, des restrictions robustes de connexion réseau, du contrôle d'accès et du monitoring ; des réseaux fortement segmentés ou microsegmentés selon des principes zero trust ; des canaux de communication protégés contre l'interception et l'altération des flux de contrôle ; et un robust configuration control détectant les changements non autorisés du logiciel, des données de configuration et des paramètres de sécurité de l'ICS. Côté embarqué, s'ajoutent l'intégration au cadre de gestion des risques avec inventaire complet, le patching dans la limite du support, le secure coding et le third-party risk management.
Le cas montre que pour un ICS, safety et security se rejoignent : protéger l'intégrité des commandes, c'est aussi protéger des vies et des équipements. Aucun contrôle unique ne suffit ; c'est la combinaison segmentation + contrôle de configuration + canaux protégés qui réduit le risque.
À retenir : Un air gap ne suffit pas pour un ICS : il faut une défense en profondeur (segmentation/microsegmentation, contrôle de configuration, canaux protégés) car les attaques sur ces systèmes ont des effets physiques.
Aggregation vs inference
Piège récurrent. L'aggregation COMBINE plusieurs données anodines pour atteindre une information sensible explicitement reconstituable. L'inference DÉDUIT une information sensible par raisonnement, sans jamais y accéder ni la reconstituer directement. Repère le verbe du scénario : « assembler/combiner » oriente vers aggregation ; « déduire/conclure » oriente vers inference. La contre-mesure type contre l'inference est la polyinstantiation (versions différentes selon l'habilitation).
Edge vs fog computing
Souvent confondus (NIST SP 500-325 les distingue). Le FOG est HIÉRARCHIQUE et multi-couches, et adresse calcul, réseau, stockage, contrôle et accélération du traitement. Le EDGE est LOCAL et FIXE, exécute des applications spécifiques en un emplacement logique fixe avec transmission directe, et se limite à un petit nombre de dispositifs périphériques. Mnémonique : Fog = nuage en couches au-dessus ; Edge = bord, ponctuel.
Systèmes embarqués propriétaires = security through obscurity
L'évaluation des caractéristiques de sécurité des systèmes de contrôle propriétaires est souvent difficile, forçant l'organisation à se fier aux assurances du fournisseur. Compter sur le secret du design (security through obscurity) est un risque, pas un contrôle : credentials codés en dur, mauvaise cryptographie et reverse engineering du firmware exposent justement ces secrets. Le piège : croire qu'un système fermé est sûr parce qu'opaque. La bonne réponse passe par le third-party risk management et l'inventaire, pas par la confiance aveugle.
Point de contrôle — Point de contrôle
-
Un analyste sans habilitation consulte séparément l'effectif d'un site, son budget logistique et ses horaires de livraison - tous non classifiés. En les recoupant, il reconstitue le calendrier d'une opération classifiée. De quelle menace s'agit-il, et quelle contre-mesure la prévient le mieux ?
- A Inference, prévenue par le chiffrement au repos
- B Aggregation, prévenue par la polyinstantiation ou un contrôle d'accès au niveau agrégé
- C Polyinstantiation, prévenue par l'aggregation
- D Déni de service, prévenu par la redondance
Réponse & justification
Réponse : B — Aggregation, prévenue par la polyinstantiation ou un contrôle d'accès au niveau agrégé
C'est de l'aggregation : combiner plusieurs données anodines pour reconstituer une information sensible. La polyinstantiation ou un contrôle d'accès appliqué au niveau agrégé l'atténuent. A décrit l'inference (déduction), pas la combinaison ici présente. C inverse les concepts (la polyinstantiation est une défense, pas une menace). D ne traite pas la confidentialité.
-
Une équipe DevOps découvre des centaines d'images VM actives, certaines copiées dans des comptes inconnus, sans trace de qui les a lancées. Quel risque de virtualisation est en cause et quelle mitigation s'applique ?
- A VM escape, corrigé par un patch hyperviseur
- B VM sprawl (image management), corrigé par change management et politiques de contrôle d'images
- C Multi-tenancy, corrigé par le chiffrement
- D Knowledge gap, corrigé par un SLA
Réponse & justification
Réponse : B — VM sprawl (image management), corrigé par change management et politiques de contrôle d'images
Des images chargées, laissées actives, copiées ou exfiltrées sans contrôle décrivent le VM sprawl, atténué par le change management et des politiques de contrôle des images. A (VM escape) concerne la sortie d'une VM vers l'hyperviseur, pas la prolifération d'images. C (multi-tenancy) est une caractéristique du cloud, pas ce risque. D (knowledge gap) est un autre risque de virtualisation, non décrit ici.
-
Un architecte cherche la caractéristique essentielle du cloud qui figure dans ISO/IEC 17788 mais PAS dans la liste des cinq de NIST. Laquelle ?
- A Rapid elasticity
- B Measured service
- C Multi-tenancy
- D On-demand self-service
Réponse & justification
Réponse : C — Multi-tenancy
ISO/IEC 17788 reprend les cinq caractéristiques NIST et ajoute une sixième : la multi-tenancy (isolation des tenants partageant les ressources). A, B et D font partie des cinq caractéristiques essentielles définies par NIST, donc communes aux deux standards.
-
Un fabricant déploie des contrôleurs de processus propriétaires et affirme qu'ils sont sûrs car leur conception est secrète et indéchiffrable. Quel raisonnement de sécurité est erroné ?
- A Le secret du design (security through obscurity) constitue un contrôle suffisant
- B Les systèmes propriétaires doivent être intégrés au third-party risk management
- C Le reverse engineering du firmware peut exposer le design
- D Des credentials codés en dur sont un risque de backdoor
Réponse & justification
Réponse : A — Le secret du design (security through obscurity) constitue un contrôle suffisant
L'affirmation erronée est A : le secret du design (security through obscurity) n'est pas un contrôle suffisant. Le manuel souligne que le reverse engineering (C) expose le design et que les credentials en dur (D) ouvrent des backdoors ; ces deux points sont exacts. B est la bonne pratique : faute de pouvoir évaluer un système propriétaire, on s'appuie sur le third-party risk management plutôt que sur la confiance aveugle.
-
Une usine veut un traitement hiérarchique multi-couches près des sources, gérant calcul, réseau, stockage, contrôle et accélération, avec reconfiguration dynamique. Quel paradigme correspond, par opposition à celui limité à quelques dispositifs en emplacement fixe ?
- A Edge computing, par opposition au fog computing
- B Fog computing, par opposition à l'edge computing
- C HPC, par opposition au serverless
- D Conteneurisation, par opposition aux microservices
Réponse & justification
Réponse : B — Fog computing, par opposition à l'edge computing
Le fog computing est hiérarchique et multi-couches et adresse, au-delà du calcul et du réseau, le stockage, le contrôle et l'accélération du traitement, avec reconfiguration dynamique - c'est la définition NIST SP 500-325. L'edge (A) est local, fixe et limité à un petit nombre de dispositifs périphériques : c'est l'opposé décrit. C et D portent sur d'autres familles d'architectures sans rapport avec la proximité hiérarchique des sources.
Points essentiels à retenir
- Chaque architecture hérite des vulnérabilités de son matériel, firmware, logiciel et usage ; on identifie sa caractéristique distinctive avant de choisir les contrôles.
- Bases de données : aggregation = combiner, inference = déduire ; la polyinstantiation contre l'inference.
- ICS/embarqué : les attaques ont des effets physiques ; air gap, microsegmentation et contrôle de configuration en défense en profondeur (cf Stuxnet).
- Cloud : NIST = 5 caractéristiques, ISO/IEC 17788 ajoute la multi-tenancy ; la responsabilité de sécurité croît de SaaS vers IaaS ; attention au VM sprawl.
- Fog = hiérarchique multi-couches ; edge = local et fixe ; HPC sacrifie parfois des contrôles à la performance (enjeux intégrité/disponibilité).
Cryptographie : fondements et algorithmes
Prérequis : Connaître la triade CIA et les notions de base de la protection des données (data states, classification).
La cryptographie est au coeur de presque toute action numérique : elle protège la confidentialité, contribue à l'intégrité, à l'authenticité, à la non-répudiation et au contrôle d'accès. Le CISSP n'a pas besoin de connaître les mathématiques derrière les algorithmes, mais doit maîtriser solidement les concepts de base pour choisir, déployer et gérer des solutions cryptographiques (Key Area F).
Un avertissement structure tout le domaine : concevoir un système cryptographique correct exige une expertise théorique, mathématique et logicielle pointue. Les amateurs produisent des chiffrements facilement contournés et, pire, un faux sentiment de sécurité. La règle d'ingénierie est donc d'utiliser des systèmes éprouvés, testés et validés sur étagère (off-the-shelf), et de ne jamais concevoir soi-même son algorithme ni son schéma de gestion de clés.
Ce module pose les fondements : le vocabulaire (plaintext, ciphertext, algorithme, clé, work factor, cryptosystem, cryptovariable), la distinction entre encoding, encryption et hashing, puis les deux grandes familles d'algorithmes (symétrique et asymétrique), leur combinaison hybride, le problème du nombre de clés, le hachage et la génération de nombres aléatoires. Les certificats, signatures et le cycle de vie des clés sont traités au module suivant.
6.1 Vocabulaire et fondements : du plaintext au cryptosystem
Au coeur de tout système de chiffrement, on transforme un jeu de données original, le plaintext, en une forme inintelligible, le ciphertext. Le plaintext peut être n'importe quoi de représentable numériquement (fichiers exécutables, images, requêtes, enregistrements de base de données) : ce n'est pas forcément du texte humainement lisible. Attention à ne pas confondre plaintext avec cleartext, qui désigne une information laissée volontairement en clair (par exemple les en-têtes de paquets IP).
Un encryption system (ou cryptosystem) est l'ensemble du matériel, des logiciels, des algorithmes, des paramètres de contrôle et des méthodes opérationnelles qui fournissent les services de chiffrement. L'algorithm est la méthode de transformation ; la key (clé) est le paramètre secret qui paramètre cette méthode. Les anciens cryptographes appelaient ces paramètres les cryptovariables d'un système : la clé est la cryptovariable par excellence.
Le work factor est l'effort qu'un attaquant doit dépenser pour casser le chiffrement. Il est lié à la taille de la clé : une clé de 16 bits définit un key space de 65 536 valeurs, une clé de 256 bits un nombre à 78 chiffres en base 10. Mais la taille seule ne suffit pas : Elliptical curve cryptography fournit une force comparable avec une clé bien plus courte. La force de clé résulte donc de la combinaison de la longueur de clé ET de l'algorithme.
Deux principes fondateurs encadrent la discipline. Le principe de Kerckhoffs : un système bien conçu doit rester sûr même si tout, sauf la clé, est connu de l'adversaire ; la security by obscurity est par nature défaillante. Le corollaire de Claude Shannon (1949) le résume : the enemy knows your system. On ne peut protéger que les clés, et c'est précisément ce qu'il faut faire.
- Plaintext n'est pas forcément lisible ; ne pas le confondre avec cleartext (laissé en clair volontairement).
- Le cryptosystem englobe bien plus que l'algorithme : matériel, paramètres, méthodes opérationnelles.
- Le work factor croît avec la taille de clé, mais la force réelle = longueur de clé + algorithme.
- Kerckhoffs et Shannon : seule la clé doit être secrète ; la security by obscurity est défaillante.
6.2 Encoding vs encryption vs hashing
Ces trois transformations sont régulièrement confondues à l'examen, alors qu'elles répondent à des besoins distincts. L'encoding (encodage) est une simple correspondance de symboles vers des nombres ou un autre format : associer A=0, B=1 ... Z=25, ou utiliser un jeu de caractères comme Unicode-8 ou Unicode-16. L'encodage ne vise PAS le secret : il est réversible sans clé et n'apporte aucune confidentialité ni intégrité.
L'encryption (chiffrement) transforme le plaintext en ciphertext à l'aide d'un algorithme ET d'une clé. Elle vise la confidentialité (et, selon les schémas, contribue à l'authenticité ou à la non-répudiation). Elle est réversible UNIQUEMENT avec la bonne clé : c'est la possession de la clé qui distingue celui qui peut déchiffrer de celui qui ne le peut pas.
Le hashing (hachage) applique une fonction à sens unique qui produit, à partir d'un message de longueur quelconque, une sortie de longueur fixe appelée message digest. Le hachage ne utilise PAS de clé cryptographique (même si on parle de hachage cryptographique) et n'est pas réversible : il vise l'intégrité, pas la confidentialité. On vérifie l'intégrité en recalculant le digest et en le comparant : un seul bit modifié change le digest.
Deux propriétés sont essentielles. Le hachage doit être collision resistant : il doit être difficile de trouver deux entrées différentes produisant le même digest. Et il doit être deterministic : une même entrée produit toujours le même digest. De façon symétrique, le chiffrement doit garantir l'absence de collisions (deux plaintexts distincts donnent deux ciphertexts distincts) et un déchiffrement déterministe (un ciphertext ne donne qu'un seul plaintext).
- Encoding = format, pas de secret, réversible sans clé (ne protège rien).
- Encryption = confidentialité, réversible avec la clé.
- Hashing = intégrité, à sens unique, sans clé, sortie de longueur fixe.
- Piège d'examen classique : confondre ces trois transformations dans un scénario.
6.3 Chiffrement symétrique : DES, 3DES, AES, modes et one-time pad
Le chiffrement symétrique utilise la même clé pour chiffrer et déchiffrer ; le déchiffrement est simplement l'inverse exact du chiffrement. Tous les algorithmes classiques sont symétriques et combinent souvent substitution (remplacer des bits par d'autres selon une cryptovariable) et transposition (changer la position des bits). Deux caractéristiques d'architecture définissent ces systèmes : block versus stream. Un système stream chiffre un symbole à la fois ; un système block traite des groupes de longueur fixe (la taille de bloc se mesure typiquement en octets de 8 bits).
L'histoire des standards éclaire l'examen. Le Data Encryption Standard (DES), soumis par IBM, est adopté en 1977 comme standard fédéral pour les documents non classifiés. Sa clé trop courte (56 bits) l'a condamné : 3DES (Triple DES) a prolongé DES mais devait être retiré (vers 2023 selon NIST). NIST a lancé la compétition Advanced Encryption Standard (AES) en 2000 ; en novembre 2001, FIPS 197 approuve une variante de l'algorithme Rijndael. AES reste le seul algorithme cryptographique publié publiquement capable de protéger des données classifiées jusqu'au niveau top-secret aux États-Unis.
D'autres algorithmes symétriques sont à connaître : Blowfish et Twofish (Bruce Schneier), RC4 (stream, utilisé dans WEP et SSL/TLS, banni de TLS par la RFC 7465 en 2015), RC5 et RC6 (Ron Rivest, paramétrables), IDEA (clé 128 bits, blocs 64 bits), CAST et SAFER (variante utilisée comme block cipher dans Bluetooth). Le running key cipher illustre l'usage de l'arithmétique modulaire : Ciphertext = plaintext + key (modulo 26) pour l'alphabet latin.
Le one-time pad (chiffre de Vernam) est le seul système considéré incassable s'il est correctement implémenté : la clé est aussi longue que le message, parfaitement aléatoire et utilisée une seule fois. Les session keys utilisées sur internet sont une forme de one-time pad. Avantages du symétrique : rapide, léger, économe en mémoire. Inconvénients majeurs : il dépend totalement d'une infrastructure de génération et de distribution de clés, et il ne peut, seul, assurer ni l'intégrité ni la non-répudiation.
- Symétrique = une seule clé, rapide et léger, mais distribution de clés difficile à l'échelle.
- DES (56 bits) obsolète, 3DES en retrait, AES (Rijndael) est le standard actuel.
- Block traite des blocs ; stream traite symbole par symbole.
- Le one-time pad est incassable mais exige clé aléatoire, aussi longue que le message, à usage unique.
- Le symétrique seul n'assure ni intégrité ni non-répudiation.
6.4 Chiffrement asymétrique : RSA, ECC, Diffie-Hellman-Merkle, ElGamal
Le chiffrement asymétrique utilise un algorithme et une clé fondamentalement différents pour chiffrer et déchiffrer. Il repose sur des trapdoor functions (fonctions à trappe ou à sens unique) : faciles à calculer dans un sens, extrêmement coûteuses dans l'autre. Deux familles de problèmes mathématiques sous-tendent les algorithmes courants : les discrete logarithms (utilisés par ECC, ElGamal, Diffie-Hellman-Merkle et d'autres) et le prime factoring (factorisation de très grands nombres premiers, utilisé uniquement par RSA).
Chaque partie dispose d'une key pair : une private key gardée secrète et une public key diffusable librement. Le principe est celui du zéro connaissance préalable : deux parties sans secret commun peuvent malgré tout établir un secret partagé. Diffie, Hellman et Merkle publièrent en 1976 le premier algorithme d'échange de clés fondé sur ce principe (brevet 1977, désormais expiré). RSA (Rivest, Shamir, Adleman, 1977) offre chiffrement ET signatures, et fournit non-répudiation, intégrité et authentification de la source. ElGamal s'appuie sur Diffie-Hellman mais ajoute confidentialité et signatures.
Elliptic Curve Cryptography (ECC) possède la plus haute force par bit de longueur de clé de tous les algorithmes asymétriques. Cette propriété est centrale à l'examen : ECC obtient une sécurité équivalente avec des clés bien plus courtes. À titre d'exemple du manuel, une classification top-secret demande une clé ECC de 384 bits là où RSA exige 7680 bits. D'où l'intérêt d'ECC pour les smart cards, le sans-fil et tout contexte limité en puissance, bande passante ou stockage.
Avantages de l'asymétrique : il résout le problème de distribution des clés (échange sur un canal non fiable sans partage préalable), il passe bien à l'échelle (chaque partie n'a besoin que de sa key pair) et il apporte non-répudiation, contrôle d'accès et intégrité. Inconvénient majeur : il est très lent, donc impraticable pour chiffrer de grandes quantités de données (inefficace au-delà d'environ 64 Ko). On le réserve à l'intégrité, l'authentification et la non-répudiation.
- Asymétrique = clés différentes (private/public), fonctions à trappe.
- RSA = factorisation de premiers ; ECC, ElGamal, Diffie-Hellman = logarithmes discrets.
- ECC a la plus haute force par bit : 384 bits ECC equivalent à 7680 bits RSA (top-secret).
- Avantages : résout la distribution de clés et passe à l'échelle (une key pair par partie).
- Inconvénient : lent, impraticable pour de gros volumes (au-delà d'environ 64 Ko).
6.5 Chiffrement hybride et le problème du nombre de clés
Aucune des deux familles n'est idéale seule : le symétrique est rapide mais peine à distribuer ses clés, l'asymétrique distribue bien mais est lent. Le chiffrement hybride combine les forces des deux. Le schéma type : on utilise le chiffrement asymétrique pour produire et transporter une session key, qui sert ensuite à chiffrer symétriquement le contenu pour cette session uniquement. SSL et TLS sont des systèmes hybrides ; presque tout utilisateur d'internet en invoque les services à chaque page sécurisée.
Déroulé concret (Alice vers Bob) : Alice chiffre le message avec une clé symétrique, sans se soucier de la taille puisque le symétrique est rapide. Elle produit un ciphertext message (CTM). Pour transmettre la clé symétrique sur un canal non fiable, elle la chiffre avec la public key de Bob, produisant un ciphertext key (CTK). Bob déchiffre le CTK avec sa private key, récupère la clé symétrique, puis déchiffre le CTM. On obtient ainsi la rapidité du symétrique ET la sécurité de distribution de l'asymétrique.
Le problème du nombre de clés explique pourquoi le symétrique seul ne passe pas à l'échelle. Dans un système purement symétrique, chaque paire d'utilisateurs a besoin de sa propre clé unique. Pour N utilisateurs, le nombre de clés requis est N(N-1)/2. La croissance est quadratique : une organisation de 10 000 utilisateurs aurait besoin de près de 500 millions de clés, un cauchemar de gestion. L'asymétrique résout ce problème : chaque partie n'a besoin que de sa propre key pair, soit une croissance linéaire.
Un dernier point opérationnel : la distribution des clés se fait soit in-band (sur le même canal que le trafic chiffré), soit out-of-band (par un autre moyen). Historiquement, beaucoup de systèmes dits military-grade n'ont pas été cassés en attaquant les clés elles-mêmes, mais en subvertissant le processus de distribution. C'est un risque dans les deux cas, et cela rappelle que la sécurité réside dans la gestion des clés, pas dans le secret de l'algorithme.
- Hybride = asymétrique pour la session key + symétrique pour le contenu (SSL/TLS).
- Symétrique pur : N(N-1)/2 clés ; 10 000 utilisateurs = environ 500 millions de clés.
- Asymétrique : une key pair par partie, croissance linéaire.
- Distribution in-band vs out-of-band : le maillon faible est souvent la distribution, pas l'algorithme.
6.6 Hachage, collisions et génération de nombres aléatoires
Une fonction de hachage applique une opération à sens unique qui produit, à partir d'un message de longueur quelconque, un message digest de longueur fixe. Recalculer le digest sur une copie et le comparer permet de vérifier l'intégrité : si un seul bit a changé, le digest diffère. Les fonctions de hachage n'utilisent pas de clé cryptographique ; elles sont renforcées par des générateurs de nombres aléatoires via des seed values (graines) ou des salt values (sels).
Une fonction de hachage doit satisfaire cinq exigences : être uniformly distributed (sortie imprévisible), collision resistant (difficile de trouver deux entrées donnant le même digest), impossible to invert (irréversible), computed on the entire message (calculée sur tout le message), et deterministic (même entrée, même sortie). La collision est le risque central : deux messages produisant le même digest. Augmenter la taille du digest améliore la résistance aux collisions.
Exemples d'algorithmes à connaître : MD5 (Rivest, 1992, digest 128 bits) est désormais déconseillé car des collisions y sont calculables, ce qui le rend impropre aux communications sûres et aux signatures. SHA-1 (NIST, digest 160 bits) est plus robuste que MD5 mais a lui aussi subi des attaques en collision. La famille SHA-2 (SHA-224 à SHA-512) offre des digests de 224 à 512 bits ; SHA-3 (2015) a une structure très différente et peut se substituer à SHA-2 si nécessaire.
Les Random et Pseudorandom Number Generators (RNG/PRNG) sont une source récurrente de problèmes. La plupart des processus cryptographiques s'appuient sur des nombres aléatoires comme seeds, salts ou autres cryptovariables, pour la génération de clés comme pour les fonctions de hachage. Or un logiciel ne peut produire de vrai hasard : un PRNG ne fournit qu'une suite à probabilité d'occurrence raisonnablement aléatoire. Les vulnérabilités des PRNG (clumping, prévisibilité de la prochaine valeur) ont causé de nombreux exploits. Les implémentations matérielles exploitent des phénomènes physiques (bruit thermique, désintégration radioactive, impacts de rayons cosmiques) pour s'approcher du vrai aléatoire.
- Le hachage vise l'intégrité : à sens unique, sans clé, sortie de longueur fixe.
- Cinq exigences : uniforme, résistant aux collisions, irréversible, sur tout le message, déterministe.
- MD5 et SHA-1 sont affaiblis par des attaques en collision ; préférer SHA-2/SHA-3.
- Les PRNG ne sont pas vraiment aléatoires ; leurs faiblesses ont causé de nombreux exploits.
- Le matériel utilise des phénomènes physiques pour approcher le vrai aléatoire.
Cas d'étude
Choisir une architecture cryptographique pour une messagerie d'entreprise
Contexte : Une organisation de 20 000 employés veut chiffrer les messages internes échangés entre tous les utilisateurs. L'équipe propose d'abord un schéma purement symétrique : une clé unique par paire d'utilisateurs, distribuée à l'avance. L'architecte sécurité demande une estimation du nombre de clés à générer et à gérer, puis une recommandation d'architecture tenant compte de la rapidité, de la distribution des clés et du besoin de prouver l'origine des messages. Les utilisateurs envoient à la fois de courts messages texte et des pièces jointes volumineuses. Certains échanges contractuels exigent la non-répudiation.
Question : Combien de clés un schéma purement symétrique exigerait-il pour 20 000 utilisateurs, et quelle architecture recommander ?
Voir l'analyse et la correction
Pour N utilisateurs, le nombre de clés symétriques uniques est N(N-1)/2. Avec N = 20 000 : 20000 x 19999 / 2 = 199 990 000, soit près de 200 millions de clés à générer, distribuer, stocker et faire tourner. La croissance étant quadratique, le schéma purement symétrique est ingérable à cette échelle : c'est précisément le problème de distribution des clés qui a motivé l'invention de l'asymétrique.
La réponse n'est ni tout symétrique ni tout asymétrique, mais hybride. On utilise le chiffrement asymétrique pour transporter une session key symétrique : chaque utilisateur ne gère que sa propre key pair (croissance linéaire), tandis que le contenu, y compris les pièces jointes volumineuses, est chiffré rapidement en symétrique. L'asymétrique seul serait trop lent au-delà d'environ 64 Ko.
Pour la non-répudiation des échanges contractuels, le symétrique seul ne suffit pas : il faut un mécanisme asymétrique (le contenu sera traité au module suivant via signatures et PKI). Le besoin de prouver l'origine confirme qu'une composante asymétrique est indispensable. Côté algorithmes, AES pour le symétrique, et ECC si l'on veut des clés courtes (terminaux mobiles, smart cards) avec une force par bit élevée.
À retenir : À l'échelle, le symétrique pur explose en nombre de clés (N(N-1)/2) ; l'hybride combine la rapidité du symétrique et la distribution/non-répudiation de l'asymétrique.
Encoding, encryption et hashing ne sont pas interchangeables
Un piège récurrent oppose ces trois transformations. L'encoding (ex : Unicode, Base64) ne fournit AUCUN secret : il est réversible sans clé. L'encryption fournit la confidentialité et n'est réversible qu'avec la clé. Le hashing fournit l'intégrité, est à sens unique et n'utilise pas de clé. Si un scénario demande de protéger la confidentialité, l'encodage est un mauvais choix ; s'il demande de vérifier l'intégrité sans pouvoir reconstituer la donnée, c'est le hachage qu'il faut.
ECC : plus haute force par bit, donc clés plus courtes
Une question classique demande quel algorithme asymétrique offre la plus grande force par bit de clé : c'est ECC. Ne pas en déduire qu'ECC est plus faible parce que ses clés sont courtes : c'est l'inverse. Une clé ECC de 384 bits équivaut à une clé RSA de 7680 bits (acceptable top-secret par la NSA). Cette efficacité rend ECC idéal pour smart cards, sans-fil et environnements limités en puissance, bande passante ou stockage.
Calcul du nombre de clés symétriques : N(N-1)/2
Pour le nombre de clés symétriques uniques dans un groupe de N utilisateurs, appliquer N(N-1)/2 et non N au carré ou N(N-1). Exemple du manuel : 10 000 utilisateurs exigent environ 500 millions de clés ; 20 000 utilisateurs en exigent près de 200 millions de paires (20000 x 19999 / 2). La croissance quadratique illustre pourquoi le symétrique pur ne passe pas à l'échelle et pourquoi l'asymétrique (une key pair par personne) résout la scalabilité.
Point de contrôle — Point de contrôle
-
Une équipe doit vérifier qu'un fichier téléchargé n'a pas été altéré, sans avoir besoin de le reconstituer ni de partager de clé. Quelle transformation choisir ?
- A Encoding (ex : Base64)
- B Hashing (fonction à sens unique)
- C Chiffrement symétrique
- D Chiffrement asymétrique
Réponse & justification
Réponse : B — Hashing (fonction à sens unique)
Le hachage produit un message digest de longueur fixe à sens unique, sans clé : recalculer et comparer le digest prouve l'intégrité. L'encoding n'apporte aucune garantie de sécurité. Les chiffrements (symétrique et asymétrique) visent la confidentialité, exigent une clé et permettent de reconstituer la donnée, ce qui n'est pas le besoin ici.
-
Une organisation de 20 000 utilisateurs envisage un système purement symétrique où chaque paire d'utilisateurs partage une clé unique. Combien de clés devra-t-elle gérer ?
- A 20 000
- B Environ 400 millions (N au carré)
- C Environ 200 millions (N(N-1)/2)
- D 40 000 (2N)
Réponse & justification
Réponse : C — Environ 200 millions (N(N-1)/2)
Le nombre de clés symétriques uniques pour N utilisateurs est N(N-1)/2, soit 20000 x 19999 / 2 = 199 990 000, environ 200 millions. N au carré et 2N sont des erreurs de formule classiques ; 20 000 (un par utilisateur) correspond à l'asymétrique, pas au symétrique par paire. La croissance quadratique illustre pourquoi le symétrique pur ne passe pas à l'échelle.
-
Un concepteur doit déployer du chiffrement asymétrique sur des smart cards limitées en puissance et en stockage, tout en gardant une sécurité élevée. Quel algorithme offre la plus haute force par bit de clé ?
- A RSA
- B 3DES
- C ECC (Elliptic Curve Cryptography)
- D Diffie-Hellman-Merkle
Réponse & justification
Réponse : C — ECC (Elliptic Curve Cryptography)
ECC possède la plus haute force par bit de tous les algorithmes asymétriques : une clé de 384 bits équivaut à une clé RSA de 7680 bits, ce qui économise puissance, bande passante et stockage (idéal pour smart cards). RSA exige des clés bien plus longues. 3DES est symétrique, hors sujet ici. Diffie-Hellman-Merkle sert l'échange de clés mais n'a pas la force par bit d'ECC.
-
Alice veut envoyer à Bob une pièce jointe volumineuse sur un canal non fiable, rapidement et de façon confidentielle. Quelle approche est la plus adaptée ?
- A Chiffrer toute la pièce jointe en asymétrique avec la clé publique de Bob
- B Chiffrer la pièce jointe en symétrique, puis transmettre la session key chiffrée avec la clé publique de Bob (hybride)
- C Encoder la pièce jointe en Base64 avant l'envoi
- D Hacher la pièce jointe et envoyer seulement le digest
Réponse & justification
Réponse : B — Chiffrer la pièce jointe en symétrique, puis transmettre la session key chiffrée avec la clé publique de Bob (hybride)
Le chiffrement hybride répond exactement au besoin : symétrique rapide pour le gros contenu, asymétrique pour transporter la session key sur le canal non fiable. L'asymétrique seul est trop lent au-delà d'environ 64 Ko. L'encoding n'apporte aucune confidentialité. Le hachage ne permet pas à Bob de reconstituer la pièce jointe.
-
Lors d'un audit, on découvre que le générateur de nombres pseudo-aléatoires d'un cryptosystème produit des valeurs prévisibles. Quel est le risque principal ?
- A L'algorithme de chiffrement devient public
- B Les clés, seeds et salts deviennent prévisibles, réduisant le work factor de l'attaquant
- C Le message digest devient plus long que prévu
- D Le chiffrement passe automatiquement en mode block
Réponse & justification
Réponse : B — Les clés, seeds et salts deviennent prévisibles, réduisant le work factor de l'attaquant
Les processus cryptographiques s'appuient sur des nombres aléatoires comme seeds, salts et pour la génération de clés. Un PRNG prévisible (ou avec clumping) permet de deviner la prochaine valeur, donc de réduire l'espace de recherche et le work factor de l'attaquant : c'est une source majeure d'exploits. Le secret de l'algorithme n'est pas en cause (Kerckhoffs : seule la clé est secrète). La longueur du digest et le mode block/stream ne dépendent pas du PRNG.
Points essentiels à retenir
- Vocabulaire : plaintext vers ciphertext via algorithm + key ; le work factor mesure l'effort de l'attaquant ; la clé est la cryptovariable centrale.
- Encoding (format, pas de secret) vs encryption (confidentialité, avec clé) vs hashing (intégrité, sans clé, à sens unique).
- Symétrique : rapide, une seule clé, mais N(N-1)/2 clés à l'échelle ; AES remplace DES/3DES.
- Asymétrique : key pair, résout la distribution et la scalabilité, lent ; ECC a la plus haute force par bit, RSA repose sur la factorisation.
- Hybride (TLS) combine les deux ; la sécurité repose sur la gestion des clés (Kerckhoffs), pas sur le secret de l'algorithme.
PKI, signatures numériques et gestion des clés
Prérequis : Maîtriser les fondements du chiffrement symétrique/asymétrique et du hachage (modules précédents du Domaine 3).
Le chiffrement résout la confidentialité, mais il ne dit pas À QUI appartient une clé publique, ni comment garantir qu'un message n'a pas été altéré et que son émetteur ne peut pas le renier. Ce module couvre les services qui répondent à ces besoins (Key Area F) : signature numérique, public key infrastructure (PKI) et gestion du cycle de vie des clés.
Deux idées structurent l'ensemble. D'abord la signature numérique : on hache le message puis on chiffre le condensé (digest) avec la clé privée de l'émetteur, ce qui apporte simultanément intégrité, authentification de la source et non-répudiation. Ensuite la PKI : un ensemble de protocoles, de logiciels et d'autorités (CA, RA, VA) qui lie une clé publique à une identité au moyen d'un certificat X.509 signé.
Enfin, la sécurité réelle d'un cryptosystème ne tient pas à l'algorithme - supposé public selon Kerckhoffs - mais à la protection des clés. La gestion des clés (génération, stockage, distribution, expiration, révocation, destruction/archivage) est l'activité la plus critique, encadrée par NIST SP 800-57, ISO 11770 et ANSI X9.24. La plupart des compromissions réussies exploitent une mauvaise gestion des clés, pas une faiblesse algorithmique.
7.1 Signatures numériques et non-répudiation
Une signature numérique est un bloc de données produit en deux temps : on hache d'abord le message avec une fonction de hachage, ce qui donne un condensé (message digest) dépendant du contenu ; on chiffre ensuite ce condensé avec la clé privée de l'émetteur. C'est ce condensé chiffré qui constitue la signature. Elle est ajoutée au message en clair (non chiffré) et envoyée au destinataire.
À la réception, le vérificateur déchiffre la signature avec la clé publique de l'émetteur pour récupérer le condensé d'origine, puis recalcule lui-même le condensé du message reçu et compare bit à bit. S'ils correspondent, trois propriétés sont établies en même temps : l'intégrité (le message n'a pas été altéré, même d'un seul bit), l'authentification de la source (seul le détenteur de la clé privée a pu produire la signature) et la non-répudiation (l'émetteur ne peut pas nier avoir signé).
Il faut bien distinguer signer de chiffrer. Signer ne protège PAS la confidentialité : le message reste lisible, et n'importe qui possédant la clé publique de l'émetteur peut déchiffrer le condensé. Pour obtenir confidentialité ET preuve d'origine, on imbrique deux opérations (on signe avec sa clé privée, puis on chiffre le tout avec la clé publique du destinataire). La non-répudiation au sens strict exige des signatures numériques : le chiffrement symétrique seul ne peut pas la fournir, car la clé est partagée.
La non-répudiation rend trois services : empêcher l'émetteur de nier l'envoi, vérifier l'intégrité, et empêcher le destinataire de prétendre avoir reçu un message différent. Le NIST a publié FIPS 186-4 (Digital Signature Standard, DSS) qui normalise la terminologie et les algorithmes approuvés. Les usages sont nombreux : mises à jour logicielles signées par l'éditeur et validées par un trusted installer, pilotes signés, smart contracts, documents et contrats, processus apostille/notario, et préservation de la chain of custody en investigation numérique.
- Signer = hacher le message PUIS chiffrer le condensé avec la clé PRIVÉE de l'émetteur.
- La signature apporte intégrité + authentification de la source + non-répudiation, mais PAS la confidentialité.
- Vérifier = déchiffrer avec la clé PUBLIQUE de l'émetteur et comparer au condensé recalculé.
- Le chiffrement symétrique seul ne fournit pas la non-répudiation (clé partagée).
7.2 PKI : CA, RA, VA et chaîne de confiance
Une clé publique n'est qu'une chaîne de nombres : en soi, elle n'a aucun lien avec une personne ou une organisation. Le problème est donc d'assurer de façon fiable qu'une clé publique correspond bien à la clé privée du signataire et à son identité. La public key infrastructure (PKI) résout cela : elle publie les clés publiques liées à une entité, certifie qu'une clé publique est rattachée à un individu ou une organisation, et vérifie qu'une clé publique est valide et correcte. Le coeur de la PKI est son mécanisme de certificats.
L'autorité de certification (certificate authority, CA) est le tiers de confiance qui atteste qu'un propriétaire de certificat possède bien une clé publique donnée. Pour cela, la CA signe numériquement le certificat de l'entité avec sa propre clé privée. Il y a une root CA dans un système PKI ; elle peut déléguer son autorité à des CA subordonnées pour partager la charge d'émission et de validation. Cette délégation établit une hiérarchie de confiance : un utilisateur fait confiance à une CA subordonnée parce que cette confiance remonte, in fine, jusqu'à la root CA. C'est la chaîne de confiance.
L'autorité d'enregistrement (registration authority, RA) accepte et valide les informations d'identification soumises par un utilisateur qui demande une clé publique et un certificat. La RA peut faire partie de l'équipe de la CA ou être une organisation distincte ; elle ne signe pas les certificats. Une autre entité, l'autorité de validation (validation authority, VA), fournit l'authentification de la validité d'un certificat (qu'il n'a pas expiré ni été révoqué).
La PKI repose sur la confiance accordée à la CA. Le cas DigiNotar (2011) illustre le risque : un attaquant a émis des dizaines de faux certificats, utilisés pour des attaques man-in-the-middle contre des utilisateurs de Gmail en Iran. Quand une CA racine est compromise, c'est toute la confiance dérivée qui s'effondre, obligeant navigateurs et organisations à publier des correctifs d'urgence et à mettre à jour les listes de révocation. La PKI utilise l'algorithme de négociation de clés Diffie-Hellman-Merkle pour permettre à deux parties de dériver un secret partagé (session key) sans le transmettre.
- La CA signe le certificat avec sa clé privée ; la confiance remonte jusqu'à la root CA.
- La RA valide l'identité du demandeur ; elle ne signe pas les certificats.
- La VA confirme la validité (non expiré, non révoqué) d'un certificat.
- Compromettre une root CA effondre toute la chaîne de confiance (cf. DigiNotar).
7.3 Certificats X.509 v3 et révocation
Le standard X.509 de l'UIT, qui fait partie de la famille X.500 applicable aux annuaires, définit comment émettre des certificats, leur contenu, ainsi que leurs processus d'expiration et de révocation ; il définit aussi comment vérifier qu'une clé publique appartient bien au propriétaire du certificat. La version 3 de X.509 est la plus utilisée aujourd'hui.
Un certificat X.509 contient notamment : l'algorithme utilisé pour la signature, le nom de l'émetteur (nom X.500 de la CA), la période de validité (dates de début et de fin), le nom du sujet (propriétaire de la clé publique), les informations de clé publique du sujet (clé, algorithme, paramètres), des identifiants uniques optionnels d'émetteur et de sujet, un champ Extensions qui autorise des extensions définies par l'utilisateur (user-defined extensions) - caractéristique clé de la v3 - et enfin la signature numérique de la CA, c'est-à-dire le hash du certificat chiffré avec la clé privée de la CA.
Un certificat émis peut devenir non fiable : par exemple si le souscripteur a falsifié son identité auprès de la CA, ou si le titulaire pense que sa clé privée a été perdue ou compromise. Dans ce cas la CA révoque (invalide définitivement) le certificat et publie un avis de révocation. Les motifs typiques sont : clé compromise, changement de finalité, cessation d'activité ou changement de nom de l'organisation.
Deux mécanismes de révocation coexistent. La certificate revocation list (CRL) est une liste de certificats révoqués que le client télécharge périodiquement depuis la CA pour comparer les numéros de série ; son défaut est la taille croissante (bande passante, latence), si bien que de nombreux navigateurs ne la supportent plus par défaut. L'online certificate status protocol (OCSP) interroge la CA pour un seul certificat et renvoie un statut (good, revoked, unknown ou code d'erreur) ; plus efficace que la CRL, il n'est cependant pas pleinement sûr - vulnérable au man-in-the-middle et susceptible d'introduire des délais.
- X.509 v3 est le format dominant ; son champ Extensions autorise des user-defined extensions.
- La signature du certificat est le hash du certificat chiffré avec la clé privée de la CA.
- Motifs de révocation : clé compromise, finalité changée, cessation, changement de nom.
- CRL = liste téléchargée (lourde) ; OCSP = requête unitaire (efficace mais vulnérable au MITM).
7.4 Cycle de vie des clés, escrow et recovery
La gestion des clés (key management) couvre tout ce qui touche à la génération, l'enregistrement, la transcription, la distribution, l'installation, le stockage, le changement et l'usage des clés, jusqu'à l'élimination des matériels et des équipements qui en conservent des traces. C'est le contrôle total des clés cryptographiques. D'après le principe de Kerckhoffs, l'algorithme est public : ce sont les clés qui font la force du système. C'est pourquoi la gestion des clés est l'activité la plus critique - les attaques contre les clés sont bien plus probables et plus efficaces que celles contre les algorithmes. Trois corpus la cadrent : NIST SP 800-57 (pratiques de gestion, gouvernance, détails d'implémentation en Parties 1 à 3), ISO 11770 (génération, stockage, distribution, suppression, archivage du matériel de clés) et ANSI X9.24 pour les banques et institutions financières.
Le cycle de vie suit des étapes. Génération : de préférence par des systèmes automatisés qui garantissent des clés fortes et l'application de la politique ; la qualité des générateurs de nombres aléatoires (RNG/PRNG) est critique car des seeds ou salts prévisibles affaiblissent tout. Stockage : modules matériels (HSM) inviolables, smart cards protégées par passphrase, key wrapping des clés de session avec des KEK, fractionnement et stockage en lieux séparés, certains dispositifs s'autodétruisant en cas d'attaque. Distribution : il faut acheminer la clé sans qu'un tiers ne la déduise (key distribution problem) ; on protège la clé de session avec une key encrypting key (KEK) par key wrapping, in-band (même canal que le trafic chiffré) ou out-of-band (autre canal). Expiration : toute clé doit avoir une date d'expiration pour limiter le temps offert à la cryptanalyse. Révocation puis destruction : en fin de cycle, la clé doit être détruite de façon à empêcher sa reconstruction ; les archives chiffrées exigent toutefois que les clés restent disponibles et soutenues par des certificats valides tant que les données ont de la valeur.
La session key est une clé symétrique éphémère, à usage unique pour une session (une forme de one-time pad) ; on la génère de préférence automatiquement, par négociation entre points d'extrémité (Diffie-Hellman-Merkle, KINK). Réutiliser une session key trop longtemps la met en péril : trop de chiffrement avec la même clé facilite l'attaque. À la fin, les session keys doivent être détruites pour empêcher leur récupération.
Key recovery est un mécanisme de secours assurant à l'organisation un accès continu à ses propres données chiffrées si une clé est perdue ou endommagée. Le key escrow en est une forme : les clés sont déposées (vaulted) auprès d'un tiers de confiance ou d'une RA. La multiparty key recovery découpe une clé en plusieurs parts confiées à des entités distinctes (dual control). Attention : un mécanisme de récupération imposé par un gouvernement (backdoor ou lawful code breaking) signifie que l'algorithme n'est plus sûr pour tous, ce qui a été largement rejeté.
- La force du système tient aux clés (Kerckhoffs) : la gestion des clés est l'activité la plus critique.
- Standards : NIST SP 800-57, ISO 11770, ANSI X9.24 (banques).
- Toute clé a une date d'expiration ; en fin de cycle elle est détruite pour empêcher sa reconstruction.
- Escrow = dépôt chez un tiers ; recovery = restauration ; une backdoor de recovery rend l'algorithme non sûr.
Cas d'étude
Choisir et déployer une autorité de certification
Contexte : Terry anime une session SETA sur les autorités de certification. Son organisation doit décider entre une CA d'entreprise (interne) et une CA tierce, puis définir le modèle d'enrôlement. Pour les sites web exposés au public, déclarer soi-même que son site est sûr ne suffit pas : un utilisateur ne peut pas croire l'entreprise sur parole. L'équipe doit aussi répartir les rôles : la CA (types de certificats, exigences de la CSR), la RA (authentifier l'identité du demandeur) et l'équipe de révocation (motifs et méthode de vérification, CRL ou OCSP).
Question : Quand faut-il une CA tierce plutôt qu'une CA d'entreprise, quel modèle d'enrôlement convient aux certificats machine, et quelle méthode de vérification de révocation privilégier ?
Voir l'analyse et la correction
Pour un service exposé au public, la CA tierce apporte une vérification indépendante : elle atteste auprès de tous qu'un site est bien ce qu'il prétend être, ce qu'une CA interne ne peut pas faire de façon crédible vis-à-vis d'utilisateurs externes. En interne, le meilleur modèle est souvent un certificat généré par l'entreprise et auto-enrôlé. L'enrôlement automatique convient aux certificats machine (placés automatiquement dans le magasin de certificats), tandis que les certificats utilisateur sont plus souvent demandés manuellement.
La RA adapte le niveau de vérification au type de certificat : un certificat gratuit n'exige guère de contrôle, mais un certificat SSL/TLS impose des vérifications supplémentaires comme la preuve de propriété du domaine. Une CSR transmet de façon normalisée le common name, le type de clé (souvent RSA) et la taille de clé (2048 bits minimum).
Pour la révocation, OCSP est généralement préférable à la CRL : le navigateur n'a pas à télécharger une liste entière pour vérifier un seul site, ce qui réduit la latence. La CRL reste lourde et de moins en moins supportée par défaut. Selon le type et la fonction du certificat, il faut intégrer integrity checking, proof of origin, proof of destination et non-repudiation.
À retenir : CA tierce pour le public (confiance indépendante), CA d'entreprise auto-enrôlée en interne ; OCSP privilégié à la CRL ; la RA gradue ses vérifications selon la finalité du certificat.
Checklist de gestion du matériel cryptographique
Contexte : Une organisation de 10 000 utilisateurs prépare sa politique cryptographique. Pour N utilisateurs en chiffrement symétrique, le nombre de clés uniques est N(N-1)/2 : ici près de 500 millions de clés, un casse-tête de gestion. L'équipe veut aussi sécuriser des sauvegardes d'urgence (gold disks) chiffrées symétriquement et signées, qui devront rester accessibles des années plus tard.
Question : Comment encadrer le cycle de vie des clés pour maîtriser cette explosion combinatoire tout en garantissant l'accès futur aux archives chiffrées ?
Voir l'analyse et la correction
Il ne faut pas concevoir son propre schéma de gestion de clés : l'IETF et le NIST sont formels, c'est une affaire de spécialistes. On s'appuie sur NIST SP 800-57, ISO 11770 et, pour le secteur financier, ANSI X9.24. Des systèmes automatisés de génération assurent des clés fortes, l'application de la politique et une gestion à l'échelle ; ils traitent proprement la destruction des clés en fin de vie. Pour la distribution massive, les KEK et le key wrapping protègent les clés de session, et les certificats de clé publique rendent les clés portables et plus simples à gérer qu'un échange out-of-band.
Pour les archives, le piège est l'expiration : les sauvegardes sont chiffrées symétriquement et signées, mais les session keys de déchiffrement et les clés publiques/privées de vérification doivent rester disponibles et soutenues par des certificats valides quand les archives seront relues. Les HSM réduisent ce risque en garantissant que les copies d'urgence resteront déchiffrables et intactes.
Le stockage doit combiner HSM inviolables, smart cards à passphrase, fractionnement de clés en lieux séparés et expiration des clés. La multiparty key recovery (parts confiées à plusieurs entités, dual control) et l'exigence de deux administrateurs présents pour les tâches critiques fournissent un secours sans créer de point unique de compromission.
À retenir : On ne réinvente pas la gestion des clés : standards (SP 800-57, ISO 11770, X9.24), génération et distribution automatisées par KEK/certificats, et conservation des clés d'archive valides tant que les données ont de la valeur.
Signer, c'est chiffrer le condensé avec SA clé privée
Piège classique : croire qu'on signe en chiffrant le MESSAGE, ou en utilisant la clé publique. Une signature se fait en hachant le message puis en chiffrant le CONDENSÉ avec la clé PRIVÉE de l'émetteur. La vérification se fait avec la clé PUBLIQUE de l'émetteur. Signer n'apporte pas la confidentialité (le message reste lisible) ; confidentialité = chiffrer avec la clé publique du destinataire.
Key escrow n'est pas key recovery
Key recovery est le mécanisme global de secours qui restaure l'accès aux données si une clé est perdue. Key escrow en est une mise en oeuvre : déposer les clés (vaulting) chez un tiers de confiance ou une RA. Autrement dit, l'escrow est un MOYEN de la recovery, pas un synonyme. La multiparty key recovery (parts réparties, dual control) est une autre mise en oeuvre.
Une backdoor de recovery rend l'algorithme non sûr
Un mécanisme de récupération imposé (built-in lawful code breaking ou backdoor, souvent proposé par des gouvernements) implique que le chiffrement comporte une faiblesse exploitable. Cela rend le système non sûr pour TOUS, pas seulement pour les autorités, raison pour laquelle ce type de dispositif a été largement rejeté. À l'examen : recovery légitime = secours interne de l'organisation ; backdoor = compromission de la sûreté.
RA enregistre, CA signe, VA valide
Ne pas confondre les rôles PKI. La RA authentifie l'identité du demandeur mais ne signe PAS les certificats. La CA signe le certificat avec sa clé privée. La VA confirme la validité (non expiré, non révoqué). La révocation s'effectue via CRL (liste lourde téléchargée) ou OCSP (requête unitaire, plus efficace mais vulnérable au man-in-the-middle).
Point de contrôle — Point de contrôle
-
Alice veut que Bob puisse prouver qu'un contrat vient bien d'elle et n'a pas été modifié, sans chercher à le garder secret. Quelle opération réalise-t-elle ?
- A Elle chiffre le contrat avec la clé publique de Bob.
- B Elle hache le contrat et chiffre le condensé avec sa propre clé privée.
- C Elle chiffre le contrat avec une clé symétrique partagée.
- D Elle hache le contrat et chiffre le condensé avec la clé publique de Bob.
Réponse & justification
Réponse : B — Elle hache le contrat et chiffre le condensé avec sa propre clé privée.
Une signature numérique = hacher le message puis chiffrer le condensé avec la clé PRIVÉE de l'émetteur ; elle apporte intégrité + authentification + non-répudiation, sans confidentialité (ce qui correspond au besoin). A et D protègent la confidentialité (clé publique de Bob) mais ne signent pas. C (symétrique partagée) ne peut pas fournir la non-répudiation car la clé est commune.
-
Un auditeur examine un certificat X.509 v3 et demande où l'on peut ajouter des attributs propres à l'organisation. Quel champ ?
- A Le champ Subject's name.
- B Le champ Period of validity.
- C Le champ Extensions (extensions définies par l'utilisateur).
- D Le champ Digital signature of CA.
Réponse & justification
Réponse : C — Le champ Extensions (extensions définies par l'utilisateur).
Le champ Extensions de X.509 v3 autorise précisément des user-defined extensions, marque distinctive de la v3. Le Subject's name désigne le propriétaire de la clé ; Period of validity porte les dates ; Digital signature of CA est le hash du certificat chiffré par la clé privée de la CA - aucun de ces trois n'accueille des attributs personnalisés.
-
Une PKI déploie une root CA et plusieurs CA subordonnées. Une RA traite les demandes. Quelle affirmation est exacte ?
- A La RA signe les certificats à la place de la CA pour répartir la charge.
- B La confiance d'une CA subordonnée remonte jusqu'à la root CA (chaîne de confiance).
- C La VA émet les certificats et la root CA les révoque.
- D Compromettre une CA subordonnée n'affecte jamais la confiance globale.
Réponse & justification
Réponse : B — La confiance d'une CA subordonnée remonte jusqu'à la root CA (chaîne de confiance).
La délégation crée une hiérarchie : on fait confiance à une CA subordonnée parce que la confiance remonte à la root CA. A est faux : la RA valide l'identité mais ne signe jamais. C est faux : la CA émet et révoque, la VA atteste seulement la validité. D est faux : la compromission d'une CA (cf. DigiNotar) propage le risque le long de la chaîne.
-
Une organisation veut pouvoir récupérer ses propres données chiffrées si une clé est perdue, sans créer de point unique de défaillance. Quelle approche convient ?
- A Intégrer une backdoor de lawful code breaking dans son chiffrement.
- B Mettre en place une multiparty key recovery, chaque part confiée à une entité distincte (dual control).
- C Désactiver l'expiration des clés pour ne jamais les perdre.
- D Distribuer toutes les clés de session out-of-band par courriel.
Réponse & justification
Réponse : B — Mettre en place une multiparty key recovery, chaque part confiée à une entité distincte (dual control).
La multiparty key recovery découpe la clé en parts confiées à des entités distinctes : c'est du dual control, qui restaure l'accès sans point unique de compromission. A rend l'algorithme non sûr pour tous (backdoor rejetée). C supprime une protection essentielle (toute clé doit expirer pour limiter la cryptanalyse). D expose les clés et n'est pas un mécanisme de recovery.
Points essentiels à retenir
- Signature numérique = condensé chiffré avec la clé PRIVÉE de l'émetteur : intégrité + authentification + non-répudiation, jamais la confidentialité.
- PKI : la CA signe (root CA et subordonnées, chaîne de confiance), la RA enregistre l'identité, la VA valide.
- X.509 v3 est le format dominant ; son champ Extensions autorise des user-defined extensions ; révocation par CRL ou OCSP.
- La sécurité tient aux clés (Kerckhoffs) : le cycle de vie (génération, stockage, distribution, expiration, révocation, destruction) est encadré par NIST SP 800-57, ISO 11770, ANSI X9.24.
- Key escrow est un MOYEN de key recovery ; une session key est éphémère ; une backdoor de recovery rend l'algorithme non sûr.
Attaques cryptanalytiques
Prérequis : Connaître les bases du chiffrement symétrique et asymétrique, du hachage et de la notion de work factor.
La cryptanalyse est l'étude analytique des systèmes cryptographiques, des algorithmes et de leur usage opérationnel afin d'en comprendre forces, faiblesses et caractéristiques. Elle combine rétro-ingénierie, théorie des nombres et manipulations algébriques, mais aussi des observations physiques (side channel) comme le bruit mécanique, la chaleur ou les émissions électromagnétiques. Selon l'intention de l'analyste, cette discipline sert autant à concevoir des cryptosystèmes plus robustes qu'à développer des exploits contre des systèmes existants : c'est un outil, légal et éthique ou non.
Le Key Area G demande de décrire les défenses contre les attaques cryptanalytiques courantes. Pour cela, il faut savoir CLASSER chaque attaque selon ce qu'elle vise réellement : la clé ou l'algorithme (brute force, frequency analysis, attaques à clair/chiffré choisi, linear/differential), l'implémentation (side channel, fault injection, fichiers temporaires, RNG faible) ou le système et l'humain (social engineering, ransomware, MITM, replay, birthday attack).
Le piège central du domaine : la robustesse mathématique d'un algorithme ne protège ni l'implémentation ni les personnes. C'est pourquoi, en pratique, l'attaque la plus efficace n'est presque jamais la plus mathématique. L'exemple de la compromission de RSA Corporation en 2011 (deux courriels de phishing, un classeur Excel piégé, environ 66 millions de dollars pour remplacer tous les tokens SecurID) le démontre.
8.1 Attaques sur la clé et l'algorithme
Les attaques fondées sur le chiffré (ciphertext-based) commencent par collecter des copies de messages chiffrés interceptés en transit. La quasi-totalité des supports (radio, réseaux numériques, RTC, voire documents imprimés) se laisse intercepter et copier, souvent sans trace. Leurs deux buts : révéler le clair protégé et retrouver la clé.
Le ciphertext-only attack est l'un des plus difficiles car l'attaquant ne dispose que de données inintelligibles qu'il soupçonne d'être un message chiffré important. Il devient plus simple en accumulant assez de chiffré pour chercher des motifs et des statistiques. La frequency analysis est ici décisive : elle exploite les fréquences connues des lettres et des mots d'une langue (en anglais, le « e » domine, « the » est le trigramme le plus courant). Décrite dès le 9e siècle par Al-Kindi, elle reste l'arme de prédilection contre les chiffrements par substitution.
Le known plaintext attack suppose que l'attaquant possède à la fois le clair et le chiffré d'un même message. Comme l'algorithme est toujours réputé connu, le but est de trouver la relation entre les deux : la clé. Une clé trouvée déchiffre tous les messages chiffrés avec elle. Le chosen plaintext attack va plus loin : l'attaquant choisit le clair et obtient le chiffré correspondant, en connaissant l'algorithme ou en disposant du cryptosystème. Sa variante adaptative laisse modifier les entrées de façon répétée. L'exemple historique : la ruse de Midway en 1939-1945, où la Navy a fait émettre en clair un faux message (« Midway manque d'eau douce ») pour confirmer que « AF » désignait Midway.
Le chosen ciphertext attack est le symétrique : l'attaquant accède au dispositif de déchiffrement et soumet des chiffrés choisis pour observer les clairs et déduire la clé ; la version adaptative permet de modifier le chiffré avant chaque passage (lunchtime attacks, à très faible work factor). Enfin, linear cryptanalysis (un known plaintext utilisant une approximation linéaire du block cipher) et differential cryptanalysis (un chosen plaintext qui introduit de petites variations du clair pour observer les variations du chiffré) ciblent directement la structure de l'algorithme ; combinées, elles augmentent les chances de succès. L'algebraic attack exploite, elle, la structure mathématique de certains block ciphers.
- Le ciphertext-only est le plus difficile car l'attaquant part de presque rien.
- Frequency analysis appuie surtout les attaques ciphertext-only contre les substitutions.
- Known plaintext exige clair ET chiffré ; le but est toujours la clé.
- Chosen plaintext/ciphertext supposent l'accès au cryptosystème ; les variantes adaptatives sont itératives.
- Linear et differential cryptanalysis visent la structure du block cipher.
8.2 Attaques sur l'implémentation
Les implementation attacks sont aujourd'hui parmi les plus courantes et populaires, car elles sont faciles et s'appuient sur des éléments du système EXTÉRIEURS à l'algorithme. Souvent, la faiblesse n'est pas dans la mathématique mais dans la manière dont la cryptographie est mise en oeuvre.
Le brute force attack essaie une clé après l'autre dans le key space en espérant tomber sur la bonne avant d'y passer trop de temps. Plus la clé est longue, plus le key space (nombre de valeurs possibles) explose, et plus le work factor monte : au-delà de 128 bits, l'attaque devient souvent impraticable. Pourtant la sécurité d'une grande clé est trompeuse : des PRNG faibles qui agglutinent les clés, le cracking massif via VM/botnets dans le cloud, une mauvaise gestion des clés de session, des faiblesses connues des algorithmes, la chance pure, l'informatique quantique et le social engineering réduisent tous le work factor réel. La dictionary attack et la rainbow table (table de hachés précalculés et triés) accélèrent fortement l'attaque des fichiers de mots de passe hachés mal protégés. Le factoring attack vise spécifiquement RSA en factorisant le produit de grands nombres premiers, et les travaux de Shor (1994) suggèrent que le quantique le rendrait redoutable.
Les side channel attacks sont des attaques passives exploitant un attribut PHYSIQUE de l'implémentation (consommation électrique, émanations électromagnétiques). Le timing attack mesure les variations de durée des opérations pour deviner la structure interne et réduire l'espace de recherche ; sa défense type est de PADDER les messages à une longueur standard pour que toutes les opérations s'exécutent en temps constant, indépendamment du secret traité. Le probing attack observe (ou modifie) la circuiterie autour du module cryptographique pour en extraire des indices sur la clé ou l'algorithme.
La fault analysis attack force le système en état d'erreur, puis compare les résultats erronés aux résultats sains pour deviner la clé. La fault injection injecte des données fautives connues, ou, sur du matériel, du bruit sur les lignes d'entrée/sortie/alimentation, voire des ondes radio dans les circuits. L'attacking the random number generator exploite un RNG trop prévisible pour anticiper les vecteurs d'initialisation. Enfin, les temporary files : tout cryptosystème écrit des fichiers temporaires ; s'ils ne sont pas effacés et écrasés de façon sécurisée après chaque opération, ils peuvent être lus et compromettre la cryptanalyse.
- Une attaque sur l'implémentation vise ce qui entoure l'algorithme, pas l'algorithme lui-même.
- Brute force est le plus lent ; au-delà de 128 bits il est souvent impraticable.
- Une grande clé est trompeuse : RNG faible, quantique, social engineering réduisent le work factor.
- Side channel = passif et physique ; la défense d'un timing attack est le padding à temps constant.
- Fichiers temporaires et RNG faibles sont des vecteurs d'implémentation à part entière.
8.3 Attaques sur le système et l'humain
Tout cryptosystème, comme tout contrôle de sécurité, repose en dernier ressort sur des humains pour être implémenté et exploité correctement. C'est l'une des plus grandes vulnérabilités. Le social engineering est l'usage de la tromperie ou de l'intimidation (coercition, corruption, déception) pour obtenir d'une personne des informations qu'elle n'est pas autorisée à divulguer, sans moyen technique. Historiquement, c'est l'attaque la plus EFFICACE contre les systèmes cryptographiques, et elle reste centrale dans le plan d'une menace persistante avancée (APT). La compromission de RSA en 2011 le prouve : deux courriels de phishing, un classeur Excel exploitant une vulnérabilité zero-day d'Adobe Flash, un backdoor installé, puis le réseau de plusieurs sous-traitants de défense américains touché, et environ 66 millions de dollars pour remplacer tous les tokens SecurID. La seule défense est une vigilance permanente : awareness, education, training.
Le birthday attack s'appuie sur le paradoxe des anniversaires : dans un groupe de 23 personnes, la probabilité que deux partagent la même date dépasse 50%. Appliqué au hachage, il cherche deux messages produisant le MÊME message digest (une collision). L'idée clé : il est bien plus facile de trouver DEUX messages qui collisionnent que de trouver un message correspondant à un digest donné (préimage). Les experts le considèrent comme un type de brute force, car l'attaquant hache des messages jusqu'à obtenir une collision ; les bons algorithmes de hachage y résistent au maximum.
La man-in-the-middle (MITM) attack insère un tiers hostile dans le canal entre émetteur et destinataire pour intercepter, altérer les données, ou se faire passer pour l'un auprès de l'autre, en restant indétecté. Idéalement, l'attaquant s'insère AVANT le début de session : une demande de clé publique peut être détournée en renvoyant sa propre clé publique. Elle vise systèmes symétriques, asymétriques et hybrides. La replay attack rejoue des fichiers ou entrées capturés pour perturber le traitement ; sans horodatage, jetons à usage unique ou codes de séquence, le système traite des doublons et accorde un accès. Le pass the hash en est une déclinaison : NTLM/SMB passaient autrefois les identifiants en clair, puis des hachés moissonnés et rejoués lors d'un handshake challenge-réponse (TGS/TGT inclus).
Enfin, le ransomware et les ransom attacks : entre 2016 et 2018, ils ont augmenté de plus de 350% et sont reconnus comme la deuxième menace après les insiders. La réponse repose sur quatre familles de stratégies : Denial (sauvegardes saines et vérifiées, anti-malware, formation), Detection (surveillance comportementale, signatures, leurres), Containment (empêcher la propagation et la réinfection) et Response and recovery (la décision stratégique majeure : payer ou non, à décider AVEC le conseil juridique avant l'incident, car payer un acteur sous sanctions peut engager une strict liability). Certaines attaques sont « living off the land », sans malware dédié (par ex. Bitlocker détourné).
- Le social engineering est l'attaque la plus efficace en pratique : il vise l'humain, pas la math.
- Birthday attack = collision (deux messages, même digest), plus facile qu'une préimage.
- MITM s'insère idéalement AVANT la session et peut substituer une clé publique.
- Replay se contre par horodatage, jetons à usage unique et codes de séquence.
- Le ransomware se traite en Denial, Detection, Containment, Response/recovery ; payer engage la strict liability.
Cas d'étude
RSA 2011 : casser le 2FA sans casser la cryptographie
Contexte : Les tokens SecurID de RSA Corporation fournissent une authentification à deux facteurs : la possession du token est requise pour s'authentifier. Cette technologie ne tient que si le mécanisme 2FA reste sûr. En 2011, les attaquants n'ont pas attaqué l'algorithme : ils ont envoyé deux courriels de phishing incitant un employé à ouvrir un classeur Excel joint. Ce classeur exploitait une vulnérabilité zero-day d'Adobe Flash et installait un backdoor. Le résultat a compromis la sécurité réseau de plusieurs sous-traitants de défense américains. RSA a d'abord minimisé l'incident, puis a remplacé tous les tokens en service, pour un coût d'environ 66 millions de dollars.
Question : Quelle catégorie d'attaque a réellement été employée, et quelle défense aurait été la plus pertinente ?
Voir l'analyse et la correction
Aucune cryptanalyse mathématique n'a eu lieu : ni brute force, ni attaque à clair choisi, ni side channel. L'attaque relève du social engineering, donc de la catégorie système/humain. Le maillon visé n'est ni l'algorithme du token ni son implémentation, mais l'utilisateur, exploité par phishing puis par une vulnérabilité applicative.
C'est l'illustration directe du principe d'examen : un cryptosystème, comme tout contrôle, repose en dernier ressort sur des humains. La robustesse du SecurID n'a pas été contournée par les mathématiques mais par la confiance accordée à un courriel. C'est aussi pourquoi le quiz officiel retient le social engineering comme l'attaque la plus efficace en pratique.
La défense pertinente n'est pas une clé plus longue ni un meilleur algorithme : c'est un programme permanent d'awareness, education et training, complété par le patch management (la faille Flash) et le filtrage des pièces jointes. La technique seule ne suffit pas quand la cible est l'humain.
À retenir : Face à une cible humaine, aucune longueur de clé ne protège : la défense est awareness, education, training.
Concevoir une protection cryptographique robuste et anticiper les attaques
Contexte : Une équipe doit sécuriser l'échange de gros fichiers entre un client et un serveur. Un développeur propose de chiffrer chaque fichier directement avec la clé publique RSA du serveur, d'utiliser AES en mode ECB pour la rapidité, de réutiliser la même clé symétrique pour tous les échanges, et a même écrit son propre algorithme « maison » pour la signature.
Question : Quelles erreurs de conception cette proposition contient-elle, et quelle architecture cryptographique recommanderiez-vous ?
Voir l'analyse et la correction
Quatre erreurs classiques. (1) Chiffrer de gros fichiers directement en RSA (asymétrique) est lent et limité par la taille de la clé : on utilise un chiffrement HYBRIDE - AES (symétrique, rapide) pour les données, et RSA pour transporter uniquement la clé de session AES. (2) Le mode ECB révèle les motifs (des blocs identiques donnent un chiffré identique) : préférer un mode authentifié comme GCM (ou au minimum CBC avec IV aléatoire). (3) Réutiliser la même clé symétrique pour tous les échanges casse la confidentialité dans le temps et empêche la perfect forward secrecy : générer une clé de session unique par échange (idéalement via Diffie-Hellman éphémère). (4) « Rouler sa propre crypto » est à proscrire (don't roll your own crypto) : utiliser des primitives standard, éprouvées et correctement implémentées.
Architecture recommandée : échange de clé éphémère (ECDHE) pour la PFS, AES-256-GCM pour les données (confidentialité + intégrité), signatures avec un algorithme standard (RSA-PSS ou ECDSA) et un hachage robuste (SHA-256+) pour l'authenticité et la non-répudiation, le tout encadré par une PKI pour la confiance des clés.
Côté attaques : ce design résiste au MITM (authentification des clés via PKI), au downgrade (refuser les suites faibles), aux attaques par motif (mode GCM), et au brute force (clés suffisamment longues). On reste vigilant sur les attaques par canal auxiliaire (side-channel) au niveau de l'implémentation.
À retenir : Chiffrement hybride (AES pour les données, RSA/ECDHE pour la clé), mode authentifié, clé de session unique, primitives standard : ne jamais réinventer la crypto.
- Le chiffrement hybride combine la rapidité du symétrique et la distribution de clé de l'asymétrique.
- Le mode ECB révèle les motifs : utiliser un mode authentifié (GCM).
- Une clé de session unique par échange permet la perfect forward secrecy.
- Don't roll your own crypto : toujours des primitives standard et éprouvées.
- La PKI authentifie les clés et neutralise le MITM ; refuser les suites faibles bloque le downgrade.
Birthday attack n'est pas brute force pur
Le birthday attack vise les COLLISIONS de hachage : trouver deux messages au même digest, ce qui est bien plus facile que de retrouver un message correspondant à un digest donné. Les experts le rangent dans les brute force car on hache jusqu'à collision, mais à l'examen ne le confondez pas avec le brute force classique sur une clé : si la question demande l'attaque la plus LENTE, c'est le brute force (essai exhaustif des clés), pas le birthday.
Side channel attaque l'implémentation, pas l'algorithme
Un side channel attack (timing, consommation, émanations) est PASSIF et exploite un attribut physique de l'implémentation : l'algorithme peut être mathématiquement parfait. Si l'énoncé parle de mesure de durée, de puissance ou d'émissions électromagnétiques, classez l'attaque en implémentation, pas en attaque sur la clé/algorithme. Défense type d'un timing attack : padding à temps constant.
L'attaque la plus efficace en pratique : social engineering
Quand une question demande l'attaque la plus EFFICACE/réussie en pratique (et non la plus lente, la plus difficile ou la plus mathématique), la réponse est le social engineering : il contourne entièrement la cryptographie en visant l'humain. Ne choisissez pas brute force (le plus lent) ni une attaque mathématique sophistiquée.
Point de contrôle — Point de contrôle
-
Lors d'un débriefing post-incident, une analyste doit désigner l'attaque historiquement la plus efficace contre les systèmes cryptographiques. Laquelle retient-elle ?
- A Le brute force attack
- B Le social engineering
- C Le ciphertext-only attack
- D La differential cryptanalysis
Réponse & justification
Réponse : B — Le social engineering
Le social engineering est l'attaque la plus efficace en pratique car il vise l'humain, maillon ultime de tout cryptosystème, et contourne entièrement la cryptographie (cas RSA 2011). Le brute force est le plus LENT, pas le plus efficace. Le ciphertext-only est le plus DIFFICILE (peu d'information). La differential cryptanalysis est une attaque mathématique sophistiquée mais bien moins efficace en pratique que la manipulation humaine.
-
Un attaquant mesure de minuscules variations de la durée de déchiffrement d'un module matériel pour réduire l'espace de recherche de la clé. Comment qualifier cette attaque et quelle défense s'impose ?
- A Attaque sur l'algorithme ; corriger la primitive mathématique
- B Attaque sur l'implémentation (side channel/timing) ; padding à temps constant
- C Known plaintext attack ; allonger la clé
- D Replay attack ; ajouter des horodatages
Réponse & justification
Réponse : B — Attaque sur l'implémentation (side channel/timing) ; padding à temps constant
La mesure d'une durée d'exécution est un timing attack, sous-type de side channel : une attaque PASSIVE sur un attribut physique de l'implémentation, indépendante de la solidité de l'algorithme. La défense type est de padder les messages à une longueur standard pour un temps constant. Corriger l'algorithme est inutile car il n'est pas en cause ; allonger la clé ne masque pas la fuite temporelle ; le replay et le known plaintext décrivent d'autres mécanismes.
-
Un cryptanalyste cherche deux documents distincts produisant exactement le même condensat afin de falsifier une signature. De quelle attaque s'agit-il et sur quoi repose-t-elle ?
- A Un ciphertext-only attack reposant sur la frequency analysis
- B Un birthday attack reposant sur le paradoxe des anniversaires (collisions)
- C Un factoring attack reposant sur les grands nombres premiers
- D Un chosen plaintext attack reposant sur l'accès au cryptosystème
Réponse & justification
Réponse : B — Un birthday attack reposant sur le paradoxe des anniversaires (collisions)
Chercher deux messages au même digest est une collision : c'est le birthday attack, fondé sur le paradoxe des anniversaires (probabilité > 50% de collision dès 23 éléments). Trouver une collision est bien plus facile que de trouver une préimage. Le ciphertext-only et la frequency analysis attaquent du chiffré, pas des hachés. Le factoring vise RSA. Le chosen plaintext travaille sur la relation clair/chiffré, pas sur les collisions de hachage.
-
Quatre attaques sont citées dans un rapport. Laquelle est typiquement la plus LENTE à exécuter pour un attaquant ?
- A Un ciphertext-only attack
- B Un brute force attack
- C Un birthday attack
- D Un man-in-the-middle attack
Réponse & justification
Réponse : B — Un brute force attack
Le brute force essaie tour à tour toutes les permutations de la clé ; avec de grandes clés (au-delà de 128 bits) il devient extrêmement long et souvent impraticable, donc le plus lent. Le ciphertext-only cherche des motifs et reste très lent mais techniquement plus rapide que le brute force. Le birthday vise des collisions de hachage. Le MITM compromet les opérations en interceptant l'information, sans recherche exhaustive.
Points essentiels à retenir
- Classez d'abord l'attaque par cible : clé/algorithme, implémentation, ou système/humain.
- Social engineering = la plus efficace en pratique ; brute force = la plus lente ; ciphertext-only = la plus difficile.
- Side channel/timing attaquent l'implémentation (attribut physique), pas la solidité mathématique ; défense : padding à temps constant.
- Birthday attack vise les collisions de hachage ; trouver une collision est plus facile qu'une préimage.
- Une grande clé est trompeuse : RNG faible, cloud/quantique et social engineering réduisent le work factor réel.
Sécurité physique des sites et cycle de vie des systèmes
Prérequis : Connaître les notions de defense in depth, de confidentialité-intégrité-disponibilité, et avoir une idée générale d'un cycle de développement logiciel.
La sécurité de l'information dépend de fondations physiques que l'on oublie trop souvent : un site bien conçu, un datacenter alimenté et refroidi, protégé du feu, dont les accès sont contrôlés. Le Key Area H demande d'appliquer les principes de sécurité à la conception des sites et installations (3.8) puis de concevoir les contrôles de sécurité physiques et environnementaux (3.9). La protection de la vie humaine reste la priorité absolue : aucun plan de sécurité ne doit créer un risque indu pour les personnes, surtout en situation d'urgence.
Le fil conducteur du volet physique est le CPTED (Crime Prevention through Environmental Design) : prévenir le crime par des éléments de conception passifs et dissuasifs - la surveillance naturelle, le contrôle naturel des accès et le renforcement territorial - plutôt que par la seule technologie. Autour de ce socle viennent la conception du site et du site alternatif, les salles serveurs et datacenters (standards Uptime Tier, ANSI/TIA, EN 50600), le HVAC (plage ASHRAE), l'énergie (UPS, générateurs, redondance dual-feed), et la prévention-détection-suppression incendie (5 classes A-K, détection VESDA, agents eau ou gaz).
Le Key Area I bascule du béton vers le logiciel : gérer le cycle de vie du système d'information (3.10). De l'expression des besoins des parties prenantes à la mise hors service, en passant par l'analyse des exigences, la conception architecturale, le développement sécurisé, l'intégration, la vérification-validation, le déploiement sous change control via CI/CD, puis l'exploitation et la maintenance. Le CISSP veille à l'intégrité et à la sécurité du processus de bout en bout : le code qui arrive en production doit correspondre au code testé.
9.1 CPTED et conception du site
Le CPTED (Crime Prevention through Environmental Design) aborde le crime par des moyens organisationnels (les personnes), mécaniques (technologie et matériel) et naturels (architecture et flux de circulation). Sa logique est passive : en dirigeant le flux des personnes, en signalant par des indices discrets qui doit ou ne doit pas se trouver dans un espace, et en donnant de la visibilité aux zones autrement cachées, on réduit la probabilité qu'un délit y soit commis. Le CPTED s'associe au concept des broken windows : là où la négligence règne, le crime augmente ; à l'inverse, un espace ordonné et entretenu décourage les mauvais comportements.
Trois principes structurent l'approche. La surveillance naturelle (natural surveillance) rend les zones visibles - éclairage, surtout autour des portes, et lignes de vue dégagées - pour que tout comportement anormal soit détecté. Le contrôle naturel des accès (natural access control) canalise les visiteurs : on les dirige vers une entrée unique avec un accueil capable de déterminer l'objet de la visite et la destination ; arbustes et haies dissuadent d'emprunter certains chemins. Le renforcement territorial (territorial reinforcement), aussi appelé territorialité, distingue espaces publics et privés au moyen de portes et serrures, de signalétique, d'uniformes du personnel et du placement des accueils et postes de garde ; cette notion d'appropriation perçue indique que les propriétaires sont attentifs.
Les aménagements doivent rester accueillants sans transformer l'installation en forteresse : eau et végétation sont à la fois esthétiques et utiles à la sécurité. Les zones critiques (salles serveurs) doivent être isolées du trafic public et des employés, en les plaçant à l'écart des chemins fréquentés. Attention aux faux contrôles : une porte ouverte par un garde via un bouton peut être contournée par intimidation ou social engineering, et des alarmes de contact signalent une porte maintenue ouverte.
La planification du site couvre aussi le site alternatif : il doit être assez éloigné pour ne pas subir le même sinistre que le site primaire, mais assez proche pour que le personnel clé y accède en crise. Il doit être géographiquement distinct, fournir une capacité de traitement, et faire l'objet de sa propre évaluation des risques (catastrophes naturelles, défaillances structurelles, attaques). L'engagement de l'équipe sécurité doit avoir lieu dès la phase de conception (concept of operations), avant l'acquisition du bâtiment : plus la sécurité intervient tard, plus le coût de remédiation est élevé.
- CPTED = dissuasion passive par la conception, pas seulement par la technologie.
- Trois principes : surveillance naturelle, contrôle naturel des accès, renforcement territorial.
- La vie humaine prime : aucun contrôle ne doit créer un risque indu en urgence.
- Le site alternatif doit être géographiquement distinct et soumis à sa propre évaluation des risques.
- Engager la sécurité dès la conception réduit fortement le coût de remédiation.
9.2 Salle serveur et datacenter : HVAC et énergie
La salle serveur exige un niveau de protection physique supérieur au reste de l'installation. Son trafic humain est plus élevé : la sécurité des points d'accès et le suivi (monitoring/enregistrement) des entrées sont critiques. Quand l'espace est partagé entre unités ou entreprises, le verrouillage au niveau du rack ou de l'équipement devient essentiel. Attention au détournement d'usage : convertir un bureau en salle serveur sans renforcer les planchers ni dimensionner la climatisation met en danger le bâtiment et ses occupants. Le câblage (cable plant) doit être inventorié, repéré et protégé : un plan de câblage mal géré augmente la charge incendie et peut faire céder les chemins de câbles.
Les standards de datacenter permettent d'évaluer et comparer les installations. Le Uptime Institute Tier Classification System note de Tier I (infrastructure de base) à Tier IV (site tolérant aux pannes, fault-tolerant) ; c'est un standard de fait, non imposé par la loi. ANSI/TIA 942-A se concentre sur le câblage et la fiabilité réseau (note 1 à 4). ANSI/BICSI 002 couvre les corps de métier MEP (mécanique, électrique, plomberie) plus la protection incendie. La norme européenne EN 50600 évalue une Availability Class sur quatre niveaux, en plusieurs parties (construction, distribution électrique, contrôle environnemental, câblage, systèmes de sécurité).
Le HVAC maintient la plage de température recommandée par l'ASHRAE pour l'uptime et la durée de vie matérielle : entre 18 °C et 27 °C (64 °F à 81 °F). L'ASHRAE recommande trois capteurs de température par rack (haut, milieu, bas), car le refroidissement représente souvent plus de la moitié du coût d'exploitation d'un datacenter. Le flux d'air gère aussi les contaminants (poussières, fumées) et l'air respirable (capteurs de CO2, prises d'air frais).
L'énergie doit être livrée constamment et de qualité constante : les fluctuations réduisent la durée de vie des systèmes, les coupures les arrêtent. La résilience repose sur deux briques complémentaires. L'UPS (onduleur) fournit l'énergie batterie le temps que les générateurs démarrent et se stabilisent : c'est une couverture de COURT terme. Les générateurs de secours, dimensionnés pour la charge critique (les ressources de calcul) et l'infrastructure de support, assurent le LONG terme tant que le carburant est disponible. La redondance dual-feed (deux alimentations depuis des sous-stations distinctes, transfer switches) accroît encore la résilience. Comme pour les sauvegardes de données, le basculement vers l'alimentation de secours doit être testé.
- Salle serveur = protection et monitoring d'accès renforcés, verrouillage au rack si partagée.
- Uptime Tier (I-IV) note la disponibilité ; standard de fait, non légal.
- Plage ASHRAE : 18-27 °C, trois capteurs par rack ; le refroidissement domine les coûts.
- UPS = court terme (batterie), générateur = long terme (carburant) : ils sont complémentaires.
- Le basculement sur secours doit être testé comme une sauvegarde de données.
9.3 Incendie : classes, détection et suppression
La maîtrise du feu suit une approche en couches - prévention, détection, suppression - évaluée au niveau du bâtiment, de la salle et de l'enclos (rack). La prévention est la plus importante : respect des codes de construction, réduction de la charge incendie (papier, encombrement, matériaux inflammables), inspections régulières, interdiction de fumer. Les datacenters subissent des exigences additionnelles du fait de leurs dangers propres.
La détection commence par les détecteurs ponctuels (spot-type) : l'ionisation mesure le courant électrique entre deux plaques chargées quand la fumée passe, le photoélectrique mesure les variations de lumière dues aux particules. Les modèles récents combinent ionisation, photoélectrique, monoxyde de carbone, chaleur et flamme pour élargir la détection et réduire les fausses alarmes. Les détecteurs aspirants (aspirating) respirent en continu un échantillon d'air : ces systèmes VESDA (Very Early Smoke Detection Apparatus) sont intégrés aux reprises d'air et au plenum sous les planchers techniques ; leur extrême sensibilité permet plusieurs niveaux d'alarme - un seuil bas déclenche un avertisseur, un seuil haut lance la suppression complète.
Le feu se classe en cinq types (les lettres varient selon les pays) : Classe A (solides combustibles ordinaires : papier, bois, plastique), Classe B (liquides inflammables), Classe C (feux électriques), Classe D (métaux inflammables), Classe K (équipement de cuisine commerciale). Pour datacenters et bureaux, les préoccupations principales sont A, B et C. Choisir le bon agent selon la classe est crucial : un agent inadapté est inefficace ou dangereux.
Deux grandes familles de suppression. Les systèmes à base d'EAU, surtout efficaces sur la Classe A, sûrs pour les personnes et peu coûteux, mais ils endommagent les équipements : wet pipe (eau dans les tuyaux, têtes activées par la chaleur, le plus courant), dry pipe (gaz pressurisé, eau libérée après activation d'une tête, utile contre le gel), pre-action (combine wet et dry, exige souvent un capteur ET une tête), deluge (têtes ouvertes, toutes activées simultanément), et la mousse AFFF. Les systèmes à base de GAZ sont efficaces contre les Classes A, B et C : ils inhibent la réaction chimique, réduisent la chaleur ou surtout abaissent l'oxygène ; ils exigent l'évacuation des personnes et la fermeture des portes (risque d'asphyxie). Exemples : FM-200, CO2, Argonite, Inergen, hydrofluorocarbures et l'ancien Halon (retiré du commerce). Pour les espaces équipés occupés, les liquides non conducteurs et non toxiques comme le Novec 1230 protègent les Classes A, B et C sans danger d'eau ni d'asphyxie. Les systèmes pré-équipés dans les racks localisent la source et concentrent la suppression sur la zone touchée.
- Approche en couches : prévention (la plus importante), détection, suppression.
- 5 classes : A solides, B liquides, C électrique, D métaux, K cuisine.
- VESDA = détection aspirante très précoce avec niveaux d'alarme gradués.
- Eau = Classe A, sûre pour l'humain mais endommage les équipements.
- Gaz/clean agent = A, B, C ; clean agent (Novec, FM-200) pour locaux équipés occupés.
9.4 Périmètre, mantraps et contrôle d'accès physique
La défense physique s'organise en couches successives, à l'image d'un château fort : une clôture solide forme la première ligne, l'entrée du bâtiment la deuxième, puis la segmentation interne (étage, niveau ou section à accès restreint) constitue la troisième. Comme à Conwy Castle, le fossé restreint les chemins d'approche et les canalise vers un passage prédéfini, ce qui permet de concentrer la défense sur des zones précises plutôt que de défendre tout le site. Un point d'entrée unique crée un goulet d'étranglement qui permet d'identifier les visiteurs et d'autoriser ou refuser l'accès.
Les contrôles d'accès physiques privilégient des éléments robustes. Les portes doivent être à âme pleine (solid core) : les portes creuses (hollow core) offrent peu de sécurité, se forcent facilement et freinent mal le feu. Les fenêtres ne doivent pas jouxter les portes (une vitre brisée donnerait accès à la serrure) ; on emploie du verre feuilleté (laminated glass) et des protections (grilles, écrans). Les serrures à clé restent le moyen le plus courant de sécuriser un espace. Les tourniquets (turnstiles) et les mantraps (sas) sont une méthode économique pour contrôler l'accès et limiter le flux : un mantrap n'ouvre la seconde porte qu'après fermeture de la première, ce qui empêche le tailgating (passage en cascade).
Les zones de travail à accès restreint protègent les espaces où s'effectue un travail très sensible. Les SCIF (Sensitive Compartmented Information Facilities) imposent des protections extrêmes : portes solides ou métalliques résistant à la pénétration et insonorisées, connexions électriques dédiées au seul environnement sécurisé, conduits isolés ou protégés contre l'intrusion et le monitoring audio/RF, protections acoustiques empêchant l'écoute extérieure, protections visuelles (extérieurs banals, fenêtres déconseillées et traitées contre l'observation visuelle, acoustique et RF), et des IDS avec capteurs dans murs, sols et plafonds. Ces dispositifs, nés du travail de sécurité nationale, servent aussi à protéger la propriété intellectuelle la plus sensible des entreprises.
Les salles de stockage de preuves sont des zones à accès strictement limité, fortement surveillées, avec casiers ou conteneurs individuels par enquête, afin de garantir la chain of custody (chaîne de possession). Un manquement à la chaîne de possession peut rendre la preuve irrecevable en justice. Quant aux services utilitaires (électricité, télécom, eau, gaz), leur compromission peut rendre l'installation inutilisable : on prévoit une redondance appropriée, des contrôles de bâtiment avec capteurs de fuite et alarmes, et des plans de contingence priorisant les systèmes essentiels.
- Défense en couches : clôture (1re ligne), entrée (2e), segmentation interne (3e).
- Point d'entrée unique = goulet pour identifier et filtrer les visiteurs.
- Portes solid-core, verre feuilleté, fenêtres éloignées des portes.
- Mantrap/sas empêche le tailgating ; tourniquets limitent le flux à moindre coût.
- SCIF = protections extrêmes ; salle de preuves = chain of custody surveillée.
9.5 Cycle de vie : du besoin au déploiement sécurisé
La gestion du cycle de vie du système d'information est la gestion holistique et de long terme des capacités dont une organisation a besoin. Même un système réussi finira par exiger une réarchitecture et une réécriture, parce que les besoins évoluent. Le cycle de vie recouvre les activités pour créer, gérer, puis finalement retirer et remplacer un système.
Tout part des besoins et exigences des parties prenantes. La documentation de sécurité logicielle comporte une cartographie des parties prenantes (stakeholder map) et une matrice de traçabilité des exigences (requirements traceability matrix). Les exigences fonctionnelles capturent les processus métier et les abuse cases ; les exigences non fonctionnelles portent les exigences de sécurité et de performance, dont beaucoup proviennent des lois de confidentialité et des standards. L'analyse des exigences ajoute les misuse cases : contrairement aux use cases, elles exigent d'adopter la perspective d'un acteur malveillant.
La conception architecturale pèse les solutions selon leur capacité à satisfaire les exigences ; le système doit être auto-défensif (self-defending). Le threat modeling énumère les attaques contre lesquelles se défendre. Les principes d'architecture sécurisée s'appliquent ici : open design (la sécurité ne doit pas reposer sur le secret de la conception), complete mediation (toute requête d'accès est vérifiée, fondement du zero trust), least common mechanism (minimiser les mécanismes partagés entre sujets, sources d'échanges non autorisés), compartmentalization, et réutilisation de bibliothèques éprouvées avec un secrets manager pour éviter les credentials codés en dur. La microsegmentation et le zero trust (NIST SP 800-207) cherchent un équilibre entre le modèle déconseillé authenticate once, trust forever et l'extrême trust nothing.
Le développement structure l'environnement pour réussir : bibliothèques à jour et vérifiées, IDE avec linter, dépôt de code appliquant automatiquement l'analyse statique (SCA/SAST) pour un retour immédiat au développeur - corriger un bug à l'écriture coûte plusieurs ordres de grandeur de moins qu'en production. Langages à jour et sûrs (type safe, sans débordement de tampon), formation au secure coding (OWASP Top 10). L'intégration vérifie l'exécution correcte entre systèmes amont et aval ; les systèmes legacy peuvent élargir la surface d'attaque et gagnent à être isolés en enclaves réseau. La vérification et validation ajoute, contre chaque exigence de la matrice de traçabilité, des preuves de test : SAST, DAST, tests d'intrusion, en s'appuyant sur l'OWASP ASVS. Enfin, la transition/déploiement pousse le code testé en production sous change control, de plus en plus via CI/CD : la continuous integration construit et teste à chaque fusion ; la continuous delivery déplace le code entre environnements avec un déploiement manuel en production, tandis que la continuous deployment publie automatiquement tout changement ayant passé tous les tests. La question fondamentale du CISSP : le code passé en production correspond-il au code testé ?
- Le cycle de vie va du besoin des parties prenantes jusqu'au retrait et remplacement.
- Matrice de traçabilité + misuse cases ancrent la sécurité dans les exigences.
- Threat modeling et principes (open design, complete mediation, least common mechanism) en conception.
- Vérification = SAST, DAST, pentest contre chaque exigence (OWASP ASVS).
- Déploiement sous change control ; CI/CD : delivery = manuel en prod, deployment = automatique.
9.6 Exploitation, change/configuration management et mise hors service
Une fois le système en production, l'exploitation et la maintenance (operations and maintenance/sustainment) visent à surveiller la santé de l'application, y compris le monitoring de la fraude et des autres attaques. Les release notes listent les erreurs connues et leurs contournements, ce qui permet au support de répondre aux utilisateurs. Les processus des service managers intègrent le plan de réponse aux incidents du nouveau système dans une enveloppe ITSM complète (sauvegarde, tests de reprise, DR). Pendant la production, tout nouveau code doit être testé via les mêmes processus de transition vers la production : la sécurité n'est jamais finie.
Le change control (gestion des changements) encadre toute modification poussée en production. C'est le garde-fou central du cycle de vie : il garantit que les changements sont évalués, approuvés, tracés et réversibles. Le déploiement passe par lui, de plus en plus automatisé par le pipeline CI/CD. Mais le CISSP garde le focus sur l'intégrité et la sécurité du processus de bout en bout : la question fondamentale demeure de savoir si le code arrivé en production correspond au code testé, et les contrôles de sécurité sur les systèmes de gestion du code doivent refléter le plus haut niveau de classification des données traitées par ce code.
La gestion de configuration repose, à mesure que les zero days émergent, sur une base de données de gestion de configuration (CMDB, configuration management database). Elle inventorie les composants et leurs versions, ce qui permet, dès qu'une vulnérabilité est publiée, d'identifier rapidement les systèmes affectés et d'organiser leur remédiation. Sans CMDB, l'organisation ignore où se trouvent ses actifs vulnérables.
Enfin, la mise hors service (retire and replace). Le cycle de vie inclut explicitement le retrait et le remplacement du système quand les besoins ont changé. Sur le plan des données, la 3.9 rappelle que les copies physiques doivent être correctement détruites à la fin de leur période de rétention et de leur vie utile. La protection ne s'arrête donc pas à l'exploitation : un actif décommissionné doit voir ses supports sécurisés ou détruits, ses clés de chiffrement gérées et retirées, et ses accès révoqués. Le principe directeur reste constant sur tout le cycle : la confidentialité, l'intégrité et la disponibilité doivent être préservées de la conception jusqu'à la destruction.
- Exploitation = monitoring santé/fraude/attaques, release notes, enveloppe ITSM.
- Change control encadre toute mise en production ; vérifier que le code prod = code testé.
- La CMDB permet de localiser les actifs affectés quand un zero day émerge.
- Le cycle inclut explicitement le retrait et le remplacement du système.
- Mise hors service = supports détruits/sanités, clés retirées, accès révoqués.
Cas d'étude
Northgate Information Solutions et le dépôt de Buncefield
Contexte : Northgate Information Solutions (NIS), fournisseur majeur de logiciels et de solutions d'externalisation pour le secteur public, est situé à Hemel Hempstead au Royaume-Uni, autrefois adjacent au dépôt pétrolier de Buncefield. Le 11 décembre 2005, un incendie puis une explosion au dépôt ravagent le site de NIS : effondrement du système applicatif et de gestion, 212 systèmes de production hors service, voix, données et e-mail détruits. Le souffle a arraché le réservoir d'eau principal du toit - or ce réservoir alimentait le système de sprinklers - et le bâtiment a alors pris feu. Papiers, systèmes IT et classeurs ont été projetés dans le parking. Aucune blessure grave n'est à déplorer. NIS disposait de plusieurs couches de sécurité et d'un excellent plan de continuité d'activité, qui a permis un rétablissement rapide.
Question : Au-delà de la perte des systèmes, quelles préoccupations de sécurité additionnelles ce sinistre fait-il apparaître, et qu'aurait-il fallu préparer ?
Voir l'analyse et la correction
Le premier enseignement est l'interdépendance des contrôles : un facteur externe (le dépôt voisin) a détruit non seulement les systèmes mais aussi le moyen de défense incendie lui-même, puisque le réservoir d'eau du sprinkler a été emporté. La sécurité physique ne se conçoit pas isolément du voisinage et des risques externes : le choix du site et l'évaluation des menaces externes auraient dû peser ce risque industriel.
La seconde préoccupation est la sécurité de l'information dans le chaos. Des documents confidentiels ont été physiquement projetés hors du site. Or les services d'urgence, concentrés sur l'incendie, n'auraient ni laissé entrer des civils ni veillé à la nature sensible des documents. Il aurait fallu disposer d'un personnel pré-habilité (pre-vetted) en nombre suffisant pour un événement extrême, et d'une coordination établie à l'avance avec les services de secours et les organisations locales, afin que les professionnels de sécurité puissent accéder au site pour sécuriser les données de NIS.
Enfin, le besoin urgent de personnel a forcé l'engagement rapide de personnel temporaire : comment ces nouveaux arrivants ont-ils été vérifiés ? La continuité d'activité ne se limite pas à restaurer les systèmes ; elle doit prévoir la gouvernance des accès et du personnel d'urgence, sous peine de créer une faille humaine pendant la reprise.
À retenir : La sécurité d'un site dépend de son environnement et de l'interdépendance des contrôles : un BCP doit prévoir le personnel pré-habilité, la coordination avec les secours et la protection physique de l'information pendant la crise.
CPTED appliqué à un site de recherche
Contexte : Terry participe à la conception d'une nouvelle installation à hautes exigences de sécurité, destinée à des activités de recherche pour la WLDR University. Elle recommande le CPTED pour analyser l'environnement physique, diriger le flux des personnes, signaler par des moyens passifs qui doit ou non se trouver dans un espace, et donner de la visibilité aux zones cachées. Pour illustrer, elle prend Conwy Castle, château gallois du XIIIe siècle.
Question : Quels éléments de conception du château illustrent les principes du CPTED et comment se transposent-ils à l'installation de recherche moderne ?
Voir l'analyse et la correction
Le fossé (moat) restreint les chemins d'approche et canalise visiteurs et intrus vers un parcours prédéfini : c'est du contrôle naturel des accès. En concentrant la défense sur des zones précises, on est plus efficace que si l'on défendait tout le périmètre. Pour le site moderne, la clôture de sécurité joue ce rôle de première ligne, et l'entrée unique constitue la deuxième.
Les tours et les murs épais et hauts offrent une bonne visibilité et un bon monitoring, aidant le personnel à identifier et traiter les incidents imminents : c'est de la surveillance naturelle, finalité des structures préventives. L'entrée unique crée un goulet d'étranglement permettant d'identifier les visiteurs et d'autoriser ou refuser l'accès, tout en réduisant l'espace disponible pour un attaquant.
Enfin, les enceintes intérieure et extérieure (inner et outer wards) illustrent la segmentation interne. Dans une installation moderne, cela se traduit par un accès restreint à un étage, un niveau ou une section donnés. Bien qu'ancien, le château montre comment la conscience de son environnement et des incidents possibles informe une conception qui atténue les problèmes potentiels.
À retenir : Le CPTED est intemporel : fossé/clôture (contrôle d'accès), tours/lignes de vue (surveillance), wards/segmentation interne sont les mêmes idées qu'une installation moderne applique par couches passives.
La classe de feu commande l'agent de suppression
Erreur fréquente : appliquer de l'eau (efficace surtout sur la Classe A) à un feu électrique (Classe C). C'est inefficace, voire dangereux, et un sprinkler est inapproprié pour une salle serveur. Pour les feux A, B et C en espace équipé occupé, on préfère un clean agent non conducteur et non toxique (gaz comme FM-200, ou liquide comme Novec 1230). Retenez la correspondance A solides / B liquides / C électrique / D métaux / K cuisine, et choisissez l'agent en conséquence.
CPTED est passif et dissuasif, pas un contrôle actif
Le piège est de classer le CPTED parmi les contrôles techniques actifs (caméras, badges, alarmes). Le CPTED agit par la conception de l'environnement : éclairage, lignes de vue, signalétique, aménagement paysager, placement des accueils. Son rôle est de dissuader et de signaler passivement qui doit se trouver où. Si une question oppose un contrôle qui détecte/bloque activement à un contrôle qui décourage par la conception, le second relève du CPTED.
UPS court terme, générateur long terme
Ne confondez pas leurs rôles. L'UPS (batterie) couvre la charge critique quelques instants, le temps que les générateurs démarrent et se stabilisent : c'est une protection de court terme contre les coupures et les fluctuations. Le générateur, dimensionné pour la charge critique, prend le relais sur le long terme tant qu'il y a du carburant. Une question qui demande la continuité pendant une longue panne attend le générateur ; une question sur la protection immédiate sans interruption attend l'UPS. Et n'oubliez pas : le basculement doit être testé.
Engager la sécurité tôt et vérifier code testé = code en prod
Deux réflexes d'examen sur le cycle de vie. D'abord, la sécurité doit intervenir le plus tôt possible, dès la phase de conception (concept of operations), avant l'acquisition ou la construction : plus elle arrive tard, plus la remédiation coûte cher. Ensuite, le CISSP veille à l'intégrité de bout en bout : la question fondamentale est de savoir si le code arrivé en production correspond au code testé. Le change control et la CMDB sont les garde-fous qui garantissent traçabilité et localisation des actifs face aux zero days.
Point de contrôle — Point de contrôle
-
Un architecte place l'accueil et le poste de garde à l'entrée unique, installe une signalétique claire et des uniformes pour le personnel afin de distinguer zones publiques et privées. De quel principe CPTED relèvent principalement ces mesures ?
- A Renforcement territorial (territorial reinforcement)
- B Surveillance naturelle (natural surveillance)
- C Contrôle d'accès actif par badge
- D Target hardening par blindage
Réponse & justification
Réponse : A — Renforcement territorial (territorial reinforcement)
Signalétique, uniformes, placement des accueils/postes de garde créent un sentiment d'appropriation perçue distinguant public et privé : c'est le renforcement territorial. La surveillance naturelle concerne la visibilité (éclairage, lignes de vue). Le badge est un contrôle technique actif, pas du CPTED. Le target hardening (blindage) n'est pas l'objet de ces mesures de signalisation.
-
Une salle serveur occupée doit être protégée contre des feux de Classe A, B et C sans endommager les équipements ni asphyxier le personnel présent. Quelle solution de suppression est la plus adaptée ?
- A Liquide non conducteur et non toxique de type Novec 1230 (clean agent)
- B Système deluge à têtes ouvertes
- C Système wet pipe classique
- D Halon
Réponse & justification
Réponse : A — Liquide non conducteur et non toxique de type Novec 1230 (clean agent)
Le Novec 1230 est un clean agent non conducteur et non toxique, utilisable pour les feux A, B et C dans des espaces équipés occupés, sans dégât d'eau. Le deluge et le wet pipe sont à base d'eau (efficaces surtout Classe A) et endommagent les équipements ; l'eau est inappropriée pour un feu électrique. Le Halon a été retiré du commerce dans la plupart des juridictions.
-
Une coupure du réseau électrique survient ; le datacenter doit poursuivre son exploitation pendant plusieurs heures. Quel composant assure cette continuité de long terme, et quel est le rôle complémentaire de l'UPS ?
- A Le générateur de secours assure le long terme ; l'UPS couvre la charge critique le temps qu'il démarre
- B L'UPS assure le long terme ; le générateur sert d'appoint quelques secondes
- C Les deux assurent uniquement le court terme et doivent être doublés
- D Le dual-feed remplace à la fois UPS et générateur
Réponse & justification
Réponse : A — Le générateur de secours assure le long terme ; l'UPS couvre la charge critique le temps qu'il démarre
Le générateur, dimensionné pour la charge critique, assure le long terme tant qu'il y a du carburant ; l'UPS (batterie) couvre la charge le temps que le générateur démarre et se stabilise. L'option 2 inverse les rôles. L'UPS est intrinsèquement court terme, donc l'option 3 est fausse. Le dual-feed est une redondance d'alimentation amont, il ne remplace ni l'UPS ni le générateur.
-
Lors d'une mise en production via un pipeline CI/CD, quelle préoccupation reste prioritaire pour le CISSP afin de garantir l'intégrité du processus de bout en bout ?
- A Vérifier que le code arrivé en production correspond exactement au code testé
- B Maximiser la fréquence des déploiements automatiques
- C Supprimer le change control pour accélérer la livraison
- D Réduire la couverture des tests pour gagner du temps
Réponse & justification
Réponse : A — Vérifier que le code arrivé en production correspond exactement au code testé
La question fondamentale du CISSP est de savoir si le code passé en production correspond au code testé : c'est le cœur de l'intégrité du processus de bout en bout. Accélérer les déploiements (2), supprimer le change control (3) ou réduire les tests (4) dégradent toutes la sécurité et la traçabilité au profit de la seule vitesse.
-
Un nouveau zero day est publié pour une bibliothèque très répandue. Quel outil de gestion du cycle de vie permet d'identifier rapidement quels systèmes en production sont affectés ?
- A La base de données de gestion de configuration (CMDB)
- B La matrice de traçabilité des exigences (RTM)
- C Le linter de l'IDE
- D Le plan de réponse aux incidents
Réponse & justification
Réponse : A — La base de données de gestion de configuration (CMDB)
La CMDB inventorie les composants et leurs versions ; dès qu'un zero day émerge, elle permet de localiser les actifs affectés et d'organiser leur remédiation. La RTM relie exigences et tests, pas les versions déployées. Le linter agit au développement. Le plan de réponse aux incidents guide la réaction mais ne fournit pas l'inventaire des composants vulnérables.
Points essentiels à retenir
- Le CPTED prévient le crime par la conception passive : surveillance naturelle, contrôle naturel des accès, renforcement territorial ; la vie humaine prime toujours.
- Datacenter : standards Uptime Tier/ANSI-TIA/EN 50600, HVAC dans la plage ASHRAE 18-27 °C, énergie résiliente UPS (court terme) + générateur (long terme) + dual-feed, le tout testé.
- Incendie : approche en couches ; 5 classes A-K ; détection VESDA ; l'agent (eau Classe A, gaz/clean agent A-B-C) doit correspondre à la classe et préserver les personnes.
- Périmètre en couches (clôture, entrée unique, segmentation interne), portes solid-core, mantraps contre le tailgating, SCIF et chain of custody pour les zones les plus sensibles.
- Cycle de vie : du besoin au retrait ; sécurité dès la conception, threat modeling, vérification (SAST/DAST), déploiement sous change control, monitoring, CMDB pour les zero days, mise hors service sécurisée.
Synthèse du domaine
Le Domaine 3 réunit l'ensemble des outils et techniques permettant de concevoir, construire et protéger des systèmes sûrs. Il combine des contrôles techniques (cryptographie, contrôles d'accès), des modèles de sécurité, des méthodologies de test et d'évaluation, ainsi que des mesures de sécurité physique destinées à protéger les équipements contre les menaces matérielles. Tous les grands cadres de référence sont fondés sur le risque et invitent à concevoir les contrôles en fonction des résultats du processus de gestion du risque.
La conception sécurisée doit irriguer chaque étape du développement, de la conception initiale à la mise en oeuvre finale ; agir tôt est généralement plus efficace, plus simple et plus économique. La cryptographie est un instrument essentiel pour protéger l'information contre l'accès ou la modification non autorisés : il faut connaître les avantages et limites du chiffrement symétrique et asymétrique, ainsi que les algorithmes courants et leur bon usage. Les contrôles d'accès (authentication, authorization, accounting) et les modèles de sécurité complètent ce dispositif.
Le cycle de vie ne s'arrête pas à la mise en production : monitoring continu de la sécurité (ISCM), automatisation via des pipelines CI/CD avec bug bars, gestion du changement, puis décommissionnement maîtrisé (archivage sécurisé du code et de la documentation, suppression des configurations et des identifiants, résiliation des licences) réduisent la complexité et le risque lié au maintien de logiciels non supportés.
Glossaire (Terms & Definitions)
Les termes-clés du Domaine 3, à maîtriser en anglais pour l'examen.
| Terme | Définition |
|---|---|
| Algorithm | Fonction mathématique - ou jeu d'instructions - qui régit les processus de chiffrement et de déchiffrement, du plus simple au plus complexe. |
| Asymmetric Encryption | Chiffrement utilisant des clés différentes pour chiffrer et déchiffrer, la clé de déchiffrement étant impossible à déduire en pratique de la clé de chiffrement ou des couples clair/chiffré. |
| Block Mode Encryption | Mode de chiffrement traitant le clair par blocs de longueur fixe comme unité de traitement. |
| Ciphertext | Forme transformée d'un message en clair, illisible pour quiconque n'est pas le destinataire prévu ; le message devenu secret. |
| Collision | Situation où une fonction de hachage produit la même sortie (même empreinte) pour deux entrées différentes. |
| Crime Prevention Through Environmental Design (CPTED) | Approche architecturale de conception des bâtiments et espaces privilégiant des dispositifs passifs pour réduire la probabilité d'actes criminels. |
| Cryptanalysis | Étude des techniques visant à mettre en défaut les mécanismes cryptographiques et, plus largement, les services de sécurité de l'information. |
| Cryptographic Hash | Fonction à sens unique transformant une entrée en une empreinte unique ; il est en pratique impossible de retrouver l'entrée à partir de l'empreinte (ex : message digest). |
| Cryptography | Étude et application de méthodes protégeant le sens et le contenu des messages ou données, généralement par déguisement, obscurcissement ou autres transformations. |
| Cryptosystem | Ensemble complet de matériel, logiciels, éléments de communication et procédures permettant de communiquer ou stocker de l'information protégée par des moyens cryptographiques (algorithme, clé, gestion des clés inclus). |
| Cryptovariable | Paramètre propre à un algorithme cryptographique et à son implémentation : par exemple la taille de bloc, la longueur de clé ou le nombre de rounds. |
| Decoding | Opération inverse de l'encodage, qui reconvertit un message encodé vers sa forme en clair. |
| Decryption | Opération inverse du chiffrement : reconversion d'un chiffré en clair à l'aide de l'algorithme et de la clé appropriée (même clé qu'au chiffrement en symétrique, clé différente en asymétrique). Aussi appelé déchiffrement. |
| Encoding | Transformation d'un message vers un autre format au moyen d'un code ; contrairement au chiffrement, l'information encodée reste lisible par quiconque connaît le procédé. |
| Encryption | Processus de conversion d'un clair en chiffré ; parfois appelé chiffrement ou enciphering, ces termes étant employés de façon interchangeable. |
| Encryption System | Ensemble complet d'algorithmes, processus, matériels, logiciels et procédures fournissant une capacité de chiffrement et de déchiffrement. |
| Frequency Analysis | Forme de cryptanalyse exploitant la fréquence d'apparition des lettres, mots ou symboles du clair pour réduire l'espace de recherche. |
| Hybrid Encryption System | Système combinant chiffrement symétrique et asymétrique pour cumuler leurs avantages respectifs. |
| In Band | Transmission des informations de contrôle (clés, cryptovariables) sur le même canal ou système que celui qu'elles protègent. |
| Key | Entrée qui pilote le comportement de l'algorithme cryptographique et permet le chiffrement et le déchiffrement fiables du message. |
| Key Escrow | Dépôt de clés (symétriques ou asymétriques) auprès d'un agent de confiance pour récupération ultérieure ; la sûreté repose alors entièrement sur cet agent. |
| Key Generation | Processus de création d'une nouvelle clé de chiffrement ou de déchiffrement. |
| Key Management | Ensemble des processus de création, stockage, distribution, expiration et révocation des clés pour tous les utilisateurs d'un système de chiffrement. |
| Key Pair | Paire assortie d'une clé publique et d'une clé privée en chiffrement asymétrique, généralement liée à une seule personne, organisation ou identité. |
| Key Recovery | Reconstruction d'une clé à partir du seul chiffré (clé corrompue, perdue ou oubliée) ; un procédé de récupération viable signifie en réalité que l'algorithme n'est pas sûr. |
| Key Space | Nombre total de valeurs de clé possibles dans un algorithme cryptographique ou un autre dispositif comme un mot de passe. |
| Message Digest | Représentation compacte d'un message ou fichier, produite par une fonction de hachage, garantissant authentification et intégrité - non la confidentialité. |
| Modulo | Arithmétique modulaire où un nombre varie de 0 jusqu'à une valeur appelée modulus, le résultat étant le reste de la division entière (ex : 15 modulo 4 vaut 3). |
| Non-repudiation | Service de sécurité empêchant l'émetteur ou le destinataire de nier sa participation à un échange (non-répudiation d'origine et de remise). |
| One-time Pad | Série de clés symétriques générées aléatoirement, chacune utilisée une seule fois par l'émetteur et le destinataire. |
| Out-of-Band | Transmission des informations de contrôle (clés, cryptovariables) par un canal ou système distinct de celui qu'elles protègent. |
| Plaintext | Message ou donnée sous forme naturelle et lisible, très exposée du point de vue de la confidentialité ; à distinguer du cleartext, lisible mais non destiné à être protégé. |
| Private Key | Partie d'une paire de clés asymétriques tenue secrète par son détenteur ; la sécurité du système dépend entièrement de la protection de cette clé. |
| Public Key | Partie d'une paire de clés asymétriques pouvant être partagée ou publiée ; sa sécurité ne dépend pas du secret de cette valeur. |
| Random/Pseudorandom Number Generators | Éléments fournissant des valeurs réparties sur un espace de clés ; le vrai aléa exige du matériel (bruit thermique), tandis que les générateurs pseudo-aléatoires logiciels présentent souvent des biais exploitables. |
| Session Key | Clé symétrique générée pour un usage unique, par exemple le temps d'une connexion Internet ; nécessite généralement une encapsulation de clé. |
| Stream Mode Encryption | Chiffrement traitant le clair comme un flux continu de symboles, chiffré un symbole à la fois, souvent avec une clé de flux. |
| Substitution Cipher | Chiffrement reposant sur la substitution des symboles du message. |
| Symmetric Encryption | Chiffrement utilisant la même clé (ou une transformation simple de celle-ci) pour chiffrer et déchiffrer. |
| Transposition Cipher | Chiffrement reposant sur la transposition (réarrangement de l'ordre) des symboles du message. |
| Very Early Smoke Detection Apparatus (VESDA) | Nom de marque d'un détecteur à aspiration qui échantillonne en continu l'air ambiant, posable dans une pièce ou dans les gaines et plenums de CVC. |
| Work Factor | Effort nécessaire pour casser un système cryptographique, généralement mesuré en temps total écoulé. |
Points essentiels du domaine
Ce qu'il faut absolument retenir
- L'architecture et l'ingénierie de sécurité consistent à concevoir et déployer des contrôles pour protéger l'information et les systèmes ; tous les grands cadres sont fondés sur le risque.
- Les principes de conception sécurisée doivent être intégrés à chaque phase du développement ; les traiter tôt est plus efficace et moins coûteux.
- La cryptographie protège contre l'accès ou la modification non autorisés ; il faut maîtriser symétrique et asymétrique, leurs algorithmes et leurs usages.
- Les contrôles d'accès (authentication, authorization, accounting) sont nécessaires pour empêcher l'accès non autorisé aux systèmes.
- Les modèles de sécurité servent à définir et formaliser des politiques de protection cohérentes.
- Le threat modeling (souvent STRIDE) est une forme de test : il identifie les vulnérabilités mais ne les corrige pas ; l'organisation doit exploiter ses résultats.
- Dans le cloud, la sécurité et la conformité relèvent d'une responsabilité partagée entre le fournisseur et le client.
- Secure defaults et fail securely : la configuration par défaut doit être la plus sûre possible et un système en échec doit se replier dans un état sécurisé.
- Least privilege et separation of duties limitent les abus, au prix d'une efficacité opérationnelle moindre mais d'un risque fortement réduit.