Cours — Domaine 6 · 12% · 13 h

Securite : evaluation et tests

Le Domaine 6 repond a une question simple : comment savoir si les controles de securite fonctionnent vraiment ? Beaucoup de systemes arrivent en production avec des tests bacles, et beaucoup de logiciels commerciaux sont concus avec une vision trop legere de la securite. Resultat : des organisations echouent a leurs audits, assessments et revues de conformite, ou perdent des marches faute d'avoir bati leurs processus sur une base saine.

Ce domaine outille le security professional pour concevoir des strategies d'evaluation, executer des tests de controles (vulnerability assessment, penetration testing, code review, tests logiciels), collecter les donnees de processus, analyser les resultats et conduire ou faciliter des audits. Il insiste sur trois distinctions a fort rendement d'examen : assessment vs testing vs audit, SAST vs DAST, et SOC 1/2/3 avec Type I vs Type II.

Objectifs d'apprentissage

À la fin de ce cours, vous saurez

  • Distinguer assessment, testing et audit, et choisir formal vs informal, interne vs externe vs tiers.
  • Selectionner frameworks et standards (NIST RMF, CSF, ISO 27000, SOC/SSAE 18, PCI DSS).
  • Conduire un vulnerability assessment et un penetration testing ethique (RoE, box testing, red/blue/purple).
  • Choisir la bonne technique de test logiciel : SAST/DAST, misuse case, negative, coverage, interface.
  • Collecter les donnees de processus : account management, KPI/KRI, backups, SETA, tests BC/DR.
  • Gerer remediation, exceptions et ethical disclosure ; lire un rapport SOC.

Prérequis : Domaine 1 (gestion du risque, due care/due diligence, gouvernance), Domaine 5 (IAM, comptes, AAA) et notions du Domaine 8 (SDLC) facilitent la lecture. Aucun prerequis technique avance.

Parcours conseillé

Parcours conseille en 4 sessions de 3 a 4 h sur 2 a 3 semaines. Refaire les checkpoints avant de passer a la session suivante, puis le quiz complet (150+ Q) en revision finale.

  1. Session 1 - Strategies et methodes

    MODULE 1 · MODULE 2

    Assessment/audit/testing, SOC, methodes, logs, sampling.

  2. Session 2 - Tests offensifs et logiciels

    MODULE 3 · MODULE 4

    Vulnerability assessment, pentest, SAST/DAST, coverage, interface.

  3. Session 3 - Donnees de processus

    MODULE 5 · MODULE 6

    Account management, KPI/KRI, backups, SETA, tests BC/DR.

  4. Session 4 - Analyse et audits

    MODULE 7 · MODULE 8

    Remediation, PDCA, ethical disclosure, audits internes/externes/tiers, SOC.

Module 1 Objectif 6.1 110 min Fondamental

Strategies d'evaluation, de test et d'audit

Prérequis : Notions de risque et de conformite du Domaine 1.

Avant de tester quoi que ce soit, l'organisation doit se doter d'une strategie formelle d'evaluation de son environnement de controle. Ce module pose le vocabulaire (assessment, audit, test, finding), les types (formal/informal), les perspectives (internal/external) et les standards qui structurent la pratique, dont la famille des rapports SOC.

Objectifs pédagogiques

  • Definir et distinguer assessment, audit et testing.
  • Differencier formal et informal, internal et external testing.
  • Identifier les frameworks d'evaluation (RMF, CSF, ISO 27000, SOC).
  • Maitriser SOC 1/2/3 et SOC for Cybersecurity, Type I vs Type II, TSC.

Critères de réussite

  • Je sais dire pourquoi un audit exige plus d'independance qu'un assessment.
  • Je place le bon rapport SOC et le bon Type selon un besoin client.
  • Je cite les 5 elements d'un finding.

1.1 Assessment, audit, testing : trois mots, trois realites

Trois cartes comparant assessment, testing et audit selon portee et formalite
Figure 1.1 · Assessment (large, management), testing (execution), audit (formel, independant).

Le vocabulaire de l'evaluation prete a confusion car des metiers differents emploient des termes proches. Trois notions doivent etre nettes.

Un assessment est une evaluation large des controles au regard des attentes du management. Sa portee, son calendrier et son reporting sont fixes par le management ; il precede souvent un audit pour reperer et corriger les faiblesses.

Un audit est une revue structuree d'informations, d'observations et de donnees pour mesurer la conformite a un standard defini. Les preuves examinees s'appellent des artifacts (log, politique, resultat d'interview). L'audit formel exige des evaluateurs independants, exterieurs a la chaine de management responsable du systeme : cette independance garantit l'absence d'influence indue qui fausserait le jugement.

Un test (testing) compare le comportement reel d'un systeme, d'un processus ou d'une activite, dans des conditions definies, a son comportement attendu. Le test est une brique qui peut servir un assessment ou un audit, mais aussi fonctionner seul comme monitoring de securite. Point cle : il faut definir la performance attendue AVANT de tester, sinon on ne peut pas conclure.

Enfin, une evaluation est formal (vs un standard legal, reglementaire ou contractuel, par des independants) ou informal (pour obtenir des observations et un apercu, sans visee directe de conformite). L'informal sert souvent a donner au management un avant-gout de ce qu'un audit formel revelerait.

Mots-clés EN Assessment Audit Testing Artifact Formal vs informal
Points clés
  • Assessment = large et pilote management ; Audit = formel vs standard, independant ; Testing = execution, brique reutilisable.
  • L'independance est l'exigence centrale d'un audit credible.
  • Definir l'attendu avant le test, sinon pas de conclusion possible.
  • Formal = conformite vs standard ; informal = observations sans visee directe.

1.2 Anatomie d'un finding et perspectives de test

Schema des cinq elements d'un finding autour d'un noyau central
Figure 1.2 · Les cinq composantes d'un finding d'audit.

Le resultat d'un audit se presente sous forme de findings, compiles dans un rapport remis a l'organisation commanditaire. Un finding type comporte cinq elements : Condition (ce que l'audit a constate), Criteria (le standard de mesure), Cause (pourquoi l'ecart existe), Effect (l'ecart et son importance) et Recommendation (l'action corrective). La precision du finding depend de l'integrite des artifacts : ils doivent refleter l'etat reel du controle au regard de son objectif.

Le test se mene selon une perspective interne ou externe. Le test interne suppose l'identite d'un insider de confiance ou d'un attaquant ayant deja franchi le perimetre (cf. NIST SP 800-115) ; il couvre configuration applicative, authentification, controle d'acces et hardening, et peut inclure de l'escalade de privileges. Les menaces internes restent une source majeure de compromission. Le test externe adopte le point de vue d'un individu non fiable hors du perimetre, pour reperer les faiblesses exploitables de l'exterieur.

Regle pratique : si externe ET interne sont prevus, executer l'externe d'abord, car l'information disponible pour le test interne est generalement plus riche. La distinction interne/externe s'estompe avec le zero trust et la deperimeterisation, qui appliquent les controles selon les seuls privileges necessaires a une tache.

Mots-clés EN Finding Internal testing External testing Zero trust
Points clés
  • Finding = Condition + Criteria + Cause + Effect + Recommendation.
  • Test interne = insider ; test externe = outsider non fiable.
  • Si les deux : externe d'abord (l'interne dispose de plus d'info).
  • Zero trust et deperimeterisation brouillent la frontiere interne/externe.

1.3 Standards et frameworks d'evaluation

Carte de standards de conformite par secteur avec les frameworks transverses
Figure 1.3 · Standards sectoriels et frameworks transverses d'evaluation.

Standards et frameworks entretiennent un cercle vertueux avec les lois et les attentes du marche : tous incitent aux bonnes pratiques. Plusieurs reperes structurent l'evaluation de securite.

NIST Risk Management Framework (RMF, SP 800-37 Rev. 2) sert de reference pour les agences federales US et nombre de leurs contractants. Deux compagnons utiles : SP 800-53 Rev. 5 (controles de securite et de privacy) et SP 800-171 (protection de l'information non classifiee controlee chez les non-federaux).

NIST Cybersecurity Framework (CSF) offre un modele de maturite volontaire, pilote par le risque, plus simple et incremental ; il met l'accent sur la detection d'un incident. ISO 27000 sert de cadre d'audit pour evaluer un ISMS et est largement adopte hors des Etats-Unis.

Enfin, le cadre AICPA d'evaluation des controles, connu par ses rapports SOC, evalue une organisation au regard des Trust Services Criteria. Au-dela, beaucoup d'organisations relevent de plusieurs frameworks sectoriels a la fois : PCI DSS (cartes), IEC 62443 (controle industriel), Cyber Essentials (UK), NERC CIP (infrastructures critiques US), CSA STAR (cloud), SWIFT CSCF (finance). Le NCSC britannique propose en outre 12 principes de securite de la supply chain (comprendre les risques, etablir le controle, verifier, amelioration continue).

Mots-clés EN NIST RMF NIST CSF ISO 27000 PCI DSS CSA STAR
Points clés
  • RMF (800-37) + 800-53 (controles) + 800-171 (CUI non-federal).
  • CSF = volontaire, maturite, accent sur la detection.
  • ISO 27000 = audit d'ISMS, fort hors US.
  • Sectoriels : PCI DSS, IEC 62443, NERC CIP, CSA STAR, SWIFT, Cyber Essentials.
  • NCSC : 12 principes de securite supply chain.

1.4 Rapports SOC : 1, 2, 3 et Cybersecurity

Tableau des rapports SOC 1/2/3 et SOC for Cybersecurity avec Type I et Type II
Figure 1.4 · Quel rapport SOC, quel type, pour quel besoin.

Le cadre SOC (Service Organization Control), defini par la norme SSAE 18 (partiellement mise a jour par SSAE 20), permet a un prestataire d'attester de ses controles aupres de ses clients. Quatre rapports, a ne pas confondre.

SOC 1 atteste des controles internes sur le reporting financier (ICFR). Il ne peut pas couvrir disaster recovery ni privacy.

SOC 2 (aussi appele rapport Trust Services Criteria) evalue les controles de securite selon cinq criteres : Security, Availability, Processing Integrity, Confidentiality, Privacy (mnemo CIANA+P). Il est confidentiel et peut ne couvrir qu'un sous-ensemble des criteres selon les besoins du prestataire.

SOC 3 fournit un resume public et moins technique d'un SOC 2 : c'est une vitrine diffusable, souvent sur le site du fournisseur.

SOC for Cybersecurity cible specifiquement le programme de cybersecurite (plans, processus, services) sur la base des TSC 2017.

Deux types s'appliquent aux SOC 1 et SOC 2. Type I evalue la conception (suitability of design) des controles a un instant T : c'est une expression de due care. Type II evalue en plus l'efficacite operationnelle des controles sur une periode (generalement 6 a 12 mois) : c'est l'expression de la due diligence. SOC 2 Type II est generalement prefere, et c'est le rapport a demander a un fournisseur tiers integral aux operations. SOC 3 et SOC for Cybersecurity sont de type unique.

Mots-clés EN SOC 1 SOC 2 SOC 3 Type I Type II SSAE 18
Points clés
  • SOC 1 = finance (ICFR) ; SOC 2 = securite (TSC, confidentiel) ; SOC 3 = resume public.
  • SOC 1 ne couvre ni DR ni privacy.
  • Type I = conception (instant T, due care) ; Type II = efficacite (periode, due diligence).
  • Pour un tiers critique : demander un SOC 2 Type II.
  • TSC = Security, Availability, Processing Integrity, Confidentiality, Privacy.

1.5 Trust Services Criteria et normes d'attestation

Les cinq Trust Services Criteria avec Security comme critere commun
Figure 1.5 · Les cinq TSC du SOC 2 (mnemo CIANA+P).

Les Trust Services Criteria (TSC) sont les criteres utilises par l'auditeur pour evaluer la pertinence de la conception et l'efficacite operationnelle des controles relatifs a la securite, la disponibilite, l'integrite de traitement, la confidentialite et la privacy. Developpes par l'AICPA et le CICA, ils ont ete realignes en 2017 sur les 17 principes du framework COSO. Le critere Security est le critere commun obligatoire ; les autres sont ajoutes selon les besoins du prestataire.

Cote normes d'attestation, l'AICPA emet les SSAE, standards de conformite que les auditeurs certifies appliquent quand une organisation les engage pour attester de ses controles. L'ancienne SAS 70 (Type I et Type II) a ete remplacee par SSAE 16 puis SSAE 18, en s'inspirant de la norme internationale ISAE 3402. Un rapport SSAE 18 / ISAE 3402 comporte typiquement cinq sections : l'opinion de l'auditeur, l'attestation ecrite par l'organisation, la description des controles et objectifs, les tests d'efficacite operationnelle, et les informations complementaires.

Leçon de la SAS 70 : elle etait conçue pour l'ICFR, mais beaucoup l'ont detournee pour des besoins de securite, disponibilite et privacy. Les rapports SOC clarifient desormais l'usage. Enfin, la collecte de preuves (field work) peut se faire sur site ou a distance, sur des actifs on-premises, cloud ou hybrides ; le modele de responsabilite partagee du cloud aide a determiner qui est responsable de quel controle.

Mots-clés EN Trust Services Criteria SSAE 18 ISAE 3402 COSO Attestation
Points clés
  • TSC alignes sur les 17 principes COSO (2017) ; Security est obligatoire.
  • SAS 70 -> SSAE 16 -> SSAE 18 ; ISAE 3402 = pendant international.
  • Un rapport SSAE 18 a 5 sections (opinion, assertion, controles, tests, complements).
  • SAS 70 detournee : conçue ICFR, utilisee a tort pour la securite.
  • Cloud : le modele de responsabilite partagee fixe qui repond de chaque controle.

Cas d'étude

Cas · Profile discussion (Bank UYT)

Internal, external et third-party : comment prioriser ?

Contexte : A la Bank UYT, le CISO demande a Prakash d'expliciter les considerations a retenir pour concevoir des strategies de test interne, externe et l'engagement d'evaluateurs tiers, au regard de services financiers varies.

Question : Comment prioriser chaque type d'evaluation selon la criticite des differents systemes et services ? (6.1.1-3)

Topics traités Strategie d'evaluation pilotee par le risqueInternal vs external vs third-partyIndependance et credibilite de l'auditChoix du rapport SOC pour un fournisseur
Voir l'analyse et la correction

La priorisation suit le risque. Les systemes les plus critiques (paiement, donnees clients regulees) justifient le niveau d'assurance le plus eleve : test externe d'abord (vue attaquant), puis test interne (vue insider, plus riche en information), et un rapport tiers independant (ex. SOC 2 Type II) pour les fournisseurs integraux aux operations. Les systemes moins sensibles peuvent se contenter d'assessments internes plus frequents et moins formels. L'independance croit avec la criticite et l'enjeu de conformite : un audit credible exige des evaluateurs hors de la chaine de management du systeme.

À retenir : Prioriser par le risque ; reserver l'independance maximale (tiers, SOC 2 Type II) aux systemes et fournisseurs les plus critiques.

Éléments d'apprentissage clés
  • Externe d'abord, puis interne (l'interne dispose de plus d'info).
  • Plus le systeme est critique, plus l'independance requise est forte.
  • SOC 2 Type II = preuve d'efficacite des controles d'un tiers.
Cas · Activity (Bank UYT)

Quels standards retenir pour une banque ?

Contexte : Le CISO demande a Prakash de passer en revue les mises a jour des frameworks applicables pour informer les strategies de test interne et externe de la Bank UYT.

Question : Citez au moins deux standards ou frameworks d'evaluation pertinents et comment les implementer compte tenu des services de la banque. (6.1.1-4)

Voir l'analyse et la correction

Une banque relevera typiquement de plusieurs cadres : PCI DSS pour les cartes de paiement (audit annuel, perimetre cardholder data), SOC 2 pour rassurer clients et partenaires sur les controles de securite, NIST RMF ou CSF pour structurer la maturite, ISO 27000 pour l'ISMS. S'y ajoutent ISAE 3000 (audit international) et le SWIFT Customer Security Controls Framework pour les transactions internationales. L'implementation consiste a cartographier les obligations, planifier les audits dans un compliance calendar, et selectionner le framework qui colle au processus metier, sans le confondre avec une simple checklist.

À retenir : Une organisation relevant de plusieurs cadres planifie ses audits dans un compliance calendar ; un framework est un aide a l'analyse, pas une checklist magique.

Piège d'examen

Assessment vs audit : la formalite

La difference premiere est le degre de formalite. L'assessment est une evaluation plus large et moins formelle (mesure la probabilite des risques, la qualite des processus). L'audit est un processus structure et formel, analysant systematiquement un objet vs des criteres predefinis. Les deux peuvent cibler les memes actifs.

Piège d'examen

SOC 1 vs SOC 2 vs SOC 3

SOC 1 = reporting financier (ICFR). SOC 2 = controles de securite via les Trust Services Criteria, confidentiel. SOC 3 = resume public d'un SOC 2. Piege classique : associer SOC 2 a la finance. Et SOC 1 ne peut couvrir ni disaster recovery ni privacy.

Piège d'examen

Type I vs Type II

Type I = conception des controles a un instant T (suitability of design), une expression de due care. Type II = efficacite operationnelle sur une periode (souvent 6 a 12 mois), l'expression de due diligence. Pour evaluer un fournisseur dans la duree, exiger un Type II.

Point de contrôle — Verification des acquis

  1. Quelle est la distinction premiere entre un assessment et un audit ?

    • A Le degre de formalite du processus
    • B Les actifs cibles par l'evaluation
    • C La probabilite d'un risque specifique
    • D La qualite de la documentation des processus
    Réponse & justification

    Réponse : A — Le degre de formalite du processus

    Assessment et audit sont proches, mais l'audit est plus structure et formel (analyse systematique vs des criteres). Les deux peuvent cibler les memes actifs et evaluer la probabilite d'un risque ou la qualite de la documentation.

  2. Un fournisseur cloud integral a vos operations doit prouver l'efficacite de ses controles de securite sur la duree. Quel rapport demandez-vous ?

    • A SOC 2 Type II
    • B SOC 1 Type I
    • C SOC 3
    • D SOC 1 Type II
    Réponse & justification

    Réponse : A — SOC 2 Type II

    SOC 2 vise les controles de securite (TSC) ; le Type II evalue l'efficacite operationnelle sur une periode. SOC 1 concerne le reporting financier (ICFR). SOC 3 n'est qu'un resume public.

Points essentiels à retenir

  • Assessment (large, management), audit (formel, independant), testing (execution).
  • Finding = Condition, Criteria, Cause, Effect, Recommendation.
  • Externe avant interne ; zero trust brouille la frontiere.
  • SOC 1 finance, SOC 2 securite (confidentiel), SOC 3 public ; Type I conception, Type II efficacite.
Module 2 Objectif 6.2 95 min Fondamental

Methodes et artefacts : examen, interview, logs, sampling

Prérequis : Module 1 (assessment, audit, testing).

L'evaluation d'un controle repose sur trois methodes complementaires : testing, examination et interview. Ce module detaille comment cadrer une evaluation (assessment policy, tailoring, echantillonnage), puis se concentre sur deux outils centraux : la revue des logs et la distinction compliance test vs substantive test.

Objectifs pédagogiques

  • Choisir entre testing, examination et interview pour evaluer un controle.
  • Cadrer une evaluation : assessment policy, tailoring, echantillonnage.
  • Conduire une revue de logs conforme aux frameworks.
  • Distinguer compliance test et substantive test.

Critères de réussite

  • Je relie chaque methode (testing/examination/interview) a un usage.
  • Je differencie statistical sampling et judgmental sampling.
  • Je qualifie un test de compliance ou de substantive.

2.1 Trois methodes : testing, examination, interview

Schema du tailoring d'evaluation menant aux activites examination, interview, test
Figure 2.1 · Le tailoring oriente vers les bonnes methodes d'evaluation.

L'evaluation d'un controle se mene par toute combinaison de testing, examination et interview ; on peut y ajouter modelisation, simulation et analyse. Chaque methode mesure la conformite d'un systeme a ses exigences et specifications. La selection adequate des methodes conditionne le niveau d'assurance.

L'examination consiste a revoir, inspecter, observer ou analyser un objet d'evaluation (specifications, mecanismes, activites). Un controle administratif comme une politique se verifie en lisant le document ; un processus metier s'observe (execution des backups, port du badge). L'examen ne demande pas a l'assesseur de diriger l'operation ni d'interagir avec les parties prenantes. La revue de documentation de performance reelle (registres d'acces, transactions, logs) est l'un des outils les plus precieux.

L'interview sert a identifier l'ecart frequent entre le processus documente et la pratique reelle. Les sujets a interviewer sont definis lors du chartering et nommes dans la pre-audit checklist ; profondeur et largeur doivent etre clarifiees. La documentation des interviews (questionnaires, enregistrements avec consentement, notes) doit etre securisee selon sa classification.

Le testing compare le comportement reel au comportement attendu sous conditions definies. Historiquement cantonne au developpement, il sert aujourd'hui tout au long de la vie operationnelle d'un systeme. Un controle complet peut exiger plusieurs methodes : un simple examen ne suffit pas toujours, des tests ou interviews additionnels peuvent etre necessaires. L'organisation doit etablir le need to know de l'assesseur, sans lui donner un acces illimite hors perimetre.

Mots-clés EN Examination Interview Testing Need to know
Points clés
  • Trois methodes combinables : testing, examination, interview.
  • Examination = lire/observer sans diriger ; interview = combler l'ecart doc vs pratique.
  • Un controle complet peut exiger plusieurs methodes.
  • Etablir le need to know de l'assesseur (pas d'acces illimite).

2.2 Cadrer et echantillonner l'evaluation

Construction initiale, mise a jour du contexte et activites ciblees d'evaluation
Figure 2.2 · Cadrer une evaluation : actualiser le contexte avant de cibler.

Les activites d'evaluation sont planifiees par la security assessment policy, qui fixe les regles de planification, conduite et reporting. Le management fournit une direction de haut niveau : il faut identifier comment le contexte a change depuis la derniere evaluation, selon trois elements cles - le threat landscape, la business logic et le regime de conformite. Cela conduit a un ensemble cible et reduit d'evaluations a mener (tailoring).

L'evaluation s'adapte ensuite au controle evalue, selon son type, la profondeur visee et les particularites de l'exigence de conformite. Comme on ne peut rarement tout examiner, on s'appuie sur un echantillon. Le statistical sampling repose sur les lois de probabilite pour inferer la performance d'un controle sur l'ensemble de la population. Le judgmental sampling (aussi purposive ou authoritative) s'appuie sur l'expertise de l'assesseur pour choisir les systemes ou evenements, en priorisant ceux qui presentent le plus de risque.

L'organisation ne peut ignorer ses obligations de confidentialite, integrite et disponibilite pendant l'evaluation : meme s'il est pratique de donner un acces illimite a l'assesseur, ce privilege peut depasser le perimetre.

Mots-clés EN Assessment policy Tailoring Statistical sampling Judgmental sampling
Points clés
  • Le tailoring actualise threat landscape, business logic, conformite.
  • Statistical = probabilites ; judgmental = jugement, prioritise le risque.
  • On echantillonne car on ne peut pas tout examiner.
  • Respecter CIA et le perimetre pendant l'evaluation.

2.3 Revue des logs

Cycle de reponse a incident alimente par la revue des logs
Figure 2.3 · Les logs alimentent l'audit, la detection d'incident et l'analyse forensique.

Tous les grands frameworks insistent sur la pratique du logging. ISO 27001:2013 controle 12.4.1 exige que les event logs (activites utilisateurs, exceptions, fautes, evenements de securite) soient produits, conserves et regulierement revus. NIST SP 800-92 (Guide to Computer Security Log Management) traite la revue des logs comme une composante du log management. La revue sert non seulement la security assessment, mais aussi l'identification d'incidents, de violations de politique, de fraudes et de problemes operationnels au plus pres de leur survenue. La relecture d'audit logs historiques peut determiner si une vulnerabilite identifiee a deja ete exploitee.

Plusieurs reglementations imposent des revues diligentes : GLBA (protection des donnees clients des institutions financieres), HIPAA (revues regulieres des audit logs, retention 6 ans), SOX (revue reguliere des logs pour detecter les violations), PCI DSS (tracer tout acces aux ressources reseau et aux donnees cartes).

Le log management suit quatre pratiques cles : prioriser le log management dans toute l'organisation ; etablir des politiques et procedures ; creer et maintenir une infrastructure de logs securisee (un SIEM aide au stockage et a l'analyse, capable d'absorber les pics lors d'un incident, d'un pentest ou d'un scan) ; fournir un support adequat (formation, outils) au personnel. La securite des logs (ISO 12.4.2) protege contre l'alteration et l'acces non autorise ; les logs peuvent contenir des donnees sensibles (mots de passe, contenus d'emails) et doivent etre proteges en confidentialite et integrite, avec une retention conforme. Les rootkits visent souvent a alterer les logs pour effacer leurs traces.

Mots-clés EN NIST SP 800-92 ISO 27001 12.4.1 SIEM Retention
Points clés
  • GLBA, HIPAA, SOX, PCI DSS imposent tous des revues de logs (ils le font tous).
  • NIST SP 800-92 = reference du log management ; ISO 12.4.1 / 12.4.2.
  • Un SIEM absorbe les pics (incident, pentest, scan).
  • Securiser les logs : alteration, acces, retention ; les rootkits les ciblent.

2.4 Compliance test vs substantive test

Comparaison des types de tests de controle
Figure 2.4 · Compliance test (existence) vs substantive test (fonctionnement).

Les tests se classent en deux familles. Le compliance test determine, de l'avis de l'assesseur, si le controle existe et fonctionne correctement. Exemple : comparer un echantillon d'employes habilites a acceder a un systeme avec la liste des utilisateurs nommes ; le resultat attendu est que les deux listes soient identiques.

Le substantive test evalue le bon fonctionnement du processus lui-meme. Dans le meme exemple, le testeur execute une operation d'onboarding pour donner acces a un nouvel utilisateur, tente une transaction autorisee avec ces credentials, puis offboarde l'identite ; il revoit ensuite les logs pour verifier que toutes les transactions ont ete correctement executees et tracees. Le substantive test apporte un degre d'assurance superieur que le processus se comporte comme prevu, mais prend plus de temps et de ressources.

A distinguer du compliance testing au sens large (aussi appele conformity testing), qui valide qu'un systeme a ete conçu et configure pour repondre aux exigences de securite de l'organisation : c'est la bonne reponse quand la question porte sur la validation vis-a-vis de standards definis. A noter enfin : le substantive test est aussi la technique par laquelle un auditeur obtient des preuves a l'appui de son opinion.

Mots-clés EN Compliance test Substantive test Conformity testing
Points clés
  • Compliance test = existence/operation du controle (comparer 2 listes).
  • Substantive test = bon fonctionnement du processus (onboarding -> transaction -> offboarding -> logs).
  • Substantive = plus d'assurance mais plus couteux.
  • Compliance/conformity testing valide vs les standards de l'organisation.

Cas d'étude

Cas · Scenario pedagogique

Quelle methode pour quel controle ?

Contexte : Un assesseur doit evaluer trois controles a la Bank UYT : (a) la politique de mots de passe, (b) le respect effectif de la procedure de revocation des comptes au depart d'un salarie, (c) la presence d'un controle technique restreignant l'acces a un systeme critique aux heures ouvrees.

Question : Pour chaque controle, quelle methode (examination, interview, testing) est la plus adaptee, et pourquoi ?

Topics traités Selection de la methode d'evaluationCompliance vs substantive testLogs comme artifacts
Voir l'analyse et la correction

(a) Politique de mots de passe : examination - il suffit de lire le document et de verifier la configuration du systeme. (b) Respect de la revocation : interview (pour comprendre la pratique reelle vs la procedure documentee) complete d'un substantive test (executer un offboarding et verifier les logs). (c) Controle horaire : testing - tenter un acces hors heures et verifier le refus, en s'appuyant sur les logs comme artifacts (preuves positives et negatives). Un controle complet combine souvent plusieurs methodes.

À retenir : Administratif -> examination ; ecart pratique/doc -> interview ; comportement technique -> testing. Les logs servent de preuves positives et negatives.

Éléments d'apprentissage clés
  • Choisir la methode selon la nature du controle.
  • Un substantive test prouve le fonctionnement, pas seulement l'existence.
  • Les logs apportent des preuves positives ET negatives.
Piège d'examen

Tous les frameworks exigent la revue des logs

NIST SP 800-92, GLBA et SOX (comme HIPAA, PCI DSS) insistent tous sur la gestion et la revue des logs. A la question piege qui demande lequel ne l'exige pas, la reponse est : ils le font tous. Connaitre ce qui se passe et s'est passe permet d'agir (offense informs defense, tenet du CIS).

Piège d'examen

Statistical vs judgmental sampling

Statistical sampling infere la performance d'un controle via les probabilites sur toute la population. Judgmental (purposive/authoritative) sampling repose sur le jugement de l'assesseur, qui priorise les elements les plus risques. Ne pas confondre la base (probabilite) et le critere (jugement).

Point de contrôle — Verification des acquis

  1. Tous les grands frameworks insistent sur le logging. Lequel des suivants n'exige PAS la gestion et la revue des logs ?

    • A NIST SP 800-92
    • B Gramm-Leach-Bliley Act (GLBA)
    • C Sarbanes-Oxley Act (SOX)
    • D Ils l'exigent tous
    Réponse & justification

    Réponse : D — Ils l'exigent tous

    NIST SP 800-92, GLBA et SOX insistent tous sur une gestion et une revue efficaces et opportunes des logs (offense informs defense, CIS). Aucun n'y echappe.

  2. Un testeur cree un compte, l'utilise pour une transaction autorisee, le supprime, puis verifie les logs. De quel type de test s'agit-il ?

    • A Substantive test
    • B Compliance test
    • C Misuse case test
    • D Synthetic transaction
    Réponse & justification

    Réponse : A — Substantive test

    Tester le bon fonctionnement du processus de bout en bout est un substantive test (plus d'assurance, plus de ressources). Un compliance test se contenterait de comparer deux listes pour verifier l'existence du controle.

Points essentiels à retenir

  • Trois methodes : testing, examination, interview, souvent combinees.
  • Tailoring = actualiser threat landscape, business logic, conformite.
  • Statistical (probabilites) vs judgmental (jugement, risque) sampling.
  • Compliance test = existence ; substantive test = fonctionnement.
  • Tous les frameworks exigent la revue des logs ; securiser et retenir.
Module 3 Objectif 6.2 120 min Intermediaire

Vulnerability assessment et penetration testing

Prérequis : Modules 1-2 ; notions de menace et vulnerabilite (Domaine 1).

Ce module couvre les deux piliers du test offensif : le vulnerability assessment, qui identifie les faiblesses connues, et le penetration testing ethique, qui tente de les exploiter dans un cadre legal strict. On y traite CVSS, les rules of engagement, le box testing, les equipes red/blue/purple, la methodologie en cinq phases et les approches de test continu (BAS, chaos engineering).

Objectifs pédagogiques

  • Conduire un vulnerability assessment et interpreter un score CVSS.
  • Cadrer un penetration testing ethique (RoE, scope, blind/double-blind).
  • Distinguer black, gray et white box ; red, blue et purple team.
  • Differencier ethical penetration testing et ethical hacking.
  • Situer les approches de test continu (BAS, MITRE ATT&CK, chaos engineering).

Critères de réussite

  • Je classe un score CVSS et j'en deduis une priorite de remediation.
  • Je liste les cinq phases d'un pentest et le role des RoE.
  • Je choisis le box testing adapte a un objectif.

3.1 Vulnerability assessment et CVSS

Echelle de severite CVSS de None a Critical
Figure 3.1 · CVSS : severite technique ; EPSS ajoute la probabilite d'exploitation.

Le vulnerability assessment est une tache essentielle de l'evaluation de la securite d'un systeme. Une vulnerability est une faiblesse qui, si elle est exploitee, peut compromettre la confidentialite, l'integrite ou la disponibilite d'un actif. Attention : l'existence d'une faiblesse ne signifie pas qu'elle est exploitable par une menace. Une vulnerability n'est pas un exploit.

Les scanners de vulnerabilites automatisent l'identification des vulnerabilites connues dans les configurations, parametres et logiciels. Ils peuvent etre authenticated (avec des credentials, vue interne plus precise) ou unauthenticated (vue d'un attaquant externe). Ils detectent aussi l'usage de protocoles non securises comme FTP - meme si des compensating controls (segmentation reseau, restriction d'usage) peuvent attenuer le risque. L'evaluation des vulnerabilites identifiees consiste a analyser leur impact selon les configurations et circonstances uniques de l'organisation, et a gerer les false positives (alertes erronees).

Pour prioriser, on s'appuie sur le CVSS (Common Vulnerability Scoring System), qui note la severite technique de 0 a 10 : None (0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10). Le CVSS mesure la severite intrinseque ; il se complete utilement de l'EPSS, qui estime la probabilite d'exploitation. La priorisation SLA typique reserve les delais les plus courts aux vulnerabilites Critical et High.

Mots-clés EN Vulnerability Authenticated scan CVSS EPSS False positive
Points clés
  • Une vulnerability n'est pas un exploit (faiblesse vs exploitabilite reelle).
  • Scanner authentifie (vue interne) vs non authentifie (vue attaquant).
  • CVSS : None/Low/Medium/High/Critical, severite technique 0-10.
  • CVSS (severite) + EPSS (probabilite) = meilleure priorisation.
  • Gerer les false positives et les compensating controls.

3.2 Penetration testing ethique : RoE et scope

Les cinq phases d'un pentest et les niveaux de connaissance
Figure 3.2 · Penetration testing : methodologie, box testing et couleurs d'equipe.

Le penetration testing simule les actions d'un threat actor en utilisant l'information dont il disposerait. C'est un processus controle, regi par des Rules of Engagement (RoE) qui detaillent les circonstances de la tentative. Utile pour determiner si les controles sont efficaces, il presente un risque significatif s'il est mal conduit. Les RoE definissent le perimetre, les methodes, les contraintes, les individus autorisant le test, les procedures de signalement d'incident et les limites de responsabilite (liability).

Point juridique majeur : sans contrat signe, le testeur s'expose a des poursuites penales et civiles dans de nombreuses juridictions, et peut etre tenu responsable des perturbations causees. C'est pourquoi on parle d'ethical penetration testing : le test est lie a une base contractuelle, legale et ethique. Les attaquants sophistiques emploient les memes techniques, mais leur intention rend leur activite contraire a l'ethique et probablement illegale. Le code d'ethique impose au testeur de ne pas divulguer ses activites et findings sans le consentement ecrit du commanditaire, en sus des NDA contractuels.

Le scope depend des objectifs. PCI DSS, par exemple, peut imposer de couvrir le cardholder data environment et exiger des tests reseau ET applicatifs. D'autres scenarios incluent une composante wireless, du social engineering ou de l'intrusion physique. Le test peut etre blind (le testeur ignore les details techniques) ou double-blind (l'equipe de defense - la blue team - n'est pas non plus prevenue), ce qui exerce la detection et la reponse, mais exige une deconfliction si les defenseurs decouvrent le test.

Mots-clés EN Rules of Engagement Ethical penetration testing Blind / double-blind Scope Deconfliction
Points clés
  • Les RoE definissent perimetre, autorisation, signalement, liability.
  • Sans contrat signe : risque penal et civil pour le testeur.
  • Ethical = base contractuelle/legale/ethique ; meme techniques que l'attaquant.
  • Blind = testeur aveugle ; double-blind = blue team non prevenue.
  • Le scope decoule des objectifs (reseau, appli, wireless, social, physique).

3.3 Box testing et methodologie en cinq phases

Black box, gray box et white box selon la connaissance du testeur
Figure 3.3 · Le box testing varie selon la connaissance accordee au testeur.

Le niveau de connaissance accorde au testeur definit le type de box testing. Le white-box (ou crystal-box) donne une connaissance complete du systeme (adresses IP, versions) : couverture maximale, mime un insider threat, le plus rapide et souvent le moins cher, mais les controles qui cachent l'information aux externes (comme le NAT) ne sont pas evalues. Le black-box n'accorde aucune connaissance : le testeur mene sa reconnaissance, ce qui confirme les controles destines a dissimuler l'information, au risque de manquer des actifs. Le gray-box melange les deux : information partielle, le testeur decouvre le reste. Rappel : un attaquant reel n'est pas contraint par le temps ni la facturation, contrairement au testeur dont le contrat dure quelques semaines.

La methodologie suit cinq phases. 1) Chartering : redaction des RoE, evaluation formelle du risque, integration au contrat si tiers. 2) Discovery : reconnaissance pour cartographier l'environnement (parfois inutile si les RoE definissent deja les systemes). 3) Scanning : identification et fingerprinting des faiblesses pour crafter les exploits. 4) Exploitation : livraison de l'exploit et documentation ; en se retirant, le testeur veille a ne pas augmenter le risque d'exploitation par un acteur malveillant. 5) Reporting : compilation des activites, executive summary, recommandations, restitution de tout le materiel (y compris les credentials obtenus). Il n'existe pas de standard unique : la sequence exacte doit etre documentee dans les RoE.

Mots-clés EN White / crystal box Black box Gray box Chartering Exploitation
Points clés
  • White box = tout connaitre (rapide, NAT non teste) ; black box = aveugle ; gray box = hybride.
  • 5 phases : Chartering, Discovery, Scanning, Exploitation, Reporting.
  • L'attaquant n'a pas de contrainte de temps ; le testeur si.
  • Restituer tout le materiel, y compris les credentials obtenus.
  • Pas de standard unique : documenter la sequence dans les RoE.

3.4 Red, blue, purple team et ethical hacking

Equipes red, blue et purple et leurs roles
Figure 3.4 · Red attaque, blue defend, purple fait collaborer les deux.

Selon les objectifs (par ex. la response readiness), plusieurs equipes interviennent. La red team simule un attaquant malveillant pour evaluer la posture de securite : son but est d'identifier les vulnerabilites, exploiter les faiblesses et mesurer l'efficacite des mesures existantes. La blue team represente les defenseurs (equipe de securite interne) : elle monitore, detecte et repond aux attaques simulees, evaluant les strategies defensives, les capacites de reponse a incident et la resilience. La purple team combine les deux : elle favorise la collaboration et le partage de connaissances entre attaquants et defenseurs, pour combler les ecarts de defense et recommander des ameliorations.

L'ethical penetration testing ne doit pas etre confondu avec l'ethical hacking, qui regroupe les efforts de chercheurs amateurs ou professionnels pour sonder et detecter des vulnerabilites. Les bug bounty programs encouragent ces tentatives informelles : le hacking y est ethique tant que le chercheur respecte les termes du programme et ne divulgue pas ses resultats a des tiers. Google Project Zero en est un exemple emblematique. Le contexte legal pese : aux Etats-Unis, la section 1201 du DMCA fait du contournement des protections numeriques un delit, ce qui limite l'evaluation independante des protections cryptographiques.

Mots-clés EN Red team Blue team Purple team Bug bounty DMCA 1201
Points clés
  • Red = attaque ; blue = defense ; purple = collaboration des deux.
  • Ethical hacking (bug bounty, Project Zero) != ethical penetration testing.
  • Le hacking reste ethique s'il respecte les termes et ne divulgue pas.
  • DMCA 1201 limite l'evaluation independante des protections.

3.5 Test continu : BAS, ATT&CK, chaos engineering

Chaine d'attaque emulee par les tests continus et le BAS
Figure 3.5 · Le BAS et ATT&CK emulent la chaine d'attaque en continu.

Un penetration testing est une activite point-in-time : il reflete un jeu de tests a un instant, alors que l'environnement et les menaces evoluent vite. Plusieurs approches de test continu completent les frameworks qui attendent un monitoring continu.

MITRE ATT&CK, base de connaissances des tactiques et techniques adverses, aide a tester la resilience par emulation du comportement attaquant. Les outils de breach and attack simulation (BAS) automatisent ces tests pour les executer en continu contre l'infrastructure ; couples a la threat intelligence et integres au change management, ils offrent un niveau d'assurance different du pentest traditionnel. Le BAS combine vulnerability scanning et penetration testing automatise, avec une base d'attaques constamment mise a jour. Il permet des tests plus frequents que les scans trimestriels ou les pentests annuels : si une attaque simulee est bloquee, les controles fonctionnent ; si elle reussit, cela signale un controle deficient ou un risque nouveau.

Le chaos engineering pousse les systemes de production a echouer pour evaluer les capacites de detection, reponse et recuperation. Ses tests no-notice stressent fortement les personnes et systemes : les equipes ne sont pas prevenues et traitent la panne comme une vraie attaque. A manier avec prudence : beaucoup de systemes ne sont pas conçus pour supporter un arret de production sans cout, et l'approche ne simule pas un vrai attaquant (les perturbations sont scriptees par des internes).

Mots-clés EN MITRE ATT&CK Breach and Attack Simulation Chaos engineering Point-in-time
Points clés
  • Le pentest est point-in-time ; le test continu comble le vide.
  • BAS = scan + pentest automatise, en continu, base d'attaques a jour.
  • MITRE ATT&CK emule le comportement adverse.
  • Chaos engineering = no-notice, stresse les systemes, ne simule pas un vrai attaquant.

Cas d'étude

Cas · Etude de cas : Coalfire vs Iowa

Quand un pentest physique tourne mal

Contexte : Coalfire, engagee par l'Etat de l'Iowa, mene des pentests physiques sur des batiments municipaux. Apres deux palais de justice testes avec succes, deux employes sont arretes au palais de Dallas County en septembre 2019, accuses de cambriolage. Un contrat existait au niveau de l'Etat, mais n'avait pas ete communique aux comtes individuels. Toutes les charges sont finalement abandonnees en janvier 2020.

Question : Quel type de pentest etait mene ? Du point de vue de l'entreprise, ou cela a-t-il derape, et qu'aurait-il fallu faire ? (6.2.2)

Topics traités RoE et autorisation legalePentest physique et social engineeringCommunication et contingence
Voir l'analyse et la correction

Il s'agit d'un pentest physique avec composante social engineering. L'erreur de l'entreprise : ne pas avoir communique le test a toutes les autorites concernees - le contrat existait au niveau de l'Etat mais pas au niveau du comte. L'absence d'incident lors des tests precedents tenait peut-etre a la chance ou a une information prealable des autres comtes. Les testeurs auraient du savoir que certaines alarmes sont silencieuses et d'autres audibles ; une fois l'alarme declenchee, ils auraient du rester dehors, attendre la police et presenter leur lettre d'autorite, plutot que d'entrer. Lecon centrale : des processus clairs de communication et de contingence sont essentiels a tout pentest. Sans contrat correctement diffuse, le testeur s'expose au penal.

À retenir : Un pentest, surtout physique, exige des RoE diffusees a toutes les parties et un plan de contingence ; sans cela, meme un contrat valide n'empeche pas l'arrestation.

Éléments d'apprentissage clés
  • Diffuser les RoE a TOUTES les autorites concernees.
  • Sur alarme, s'arreter et presenter l'autorisation, ne pas entrer.
  • Un contrat existant ne suffit pas s'il n'est pas communique.
Cas · Applied Scenario : Waxbill UAV (Partie 1)

Choisir le bon pentest pour MLZ Systems

Contexte : Lee, de Swinkler Security, signale a MLZ Systems avoir pu acceder librement a plusieurs sites sensibles sans presenter d'identification, photographier des documents et trouver des postes deverrouilles. Il recommande un penetration test formel et structure de tous les sites MLZ et partenaires.

Question : Qu'a fait Lee ? Quel pentest est approprie (interne/externe), quelle box, le social engineering est-il requis, et qui recevra le rapport ? (6.1.1-4, 6.2.2)

Topics traités Interne vs externe vs bothBox testing et social engineeringContenu des RoE et destinataires du rapport
Voir l'analyse et la correction

Lee a mene une reconnaissance de securite informelle (pas un pentest formel, scheduled ou pleinement ethique), mais utile a connaitre. Le pentest approprie est a la fois interne ET externe, car les findings peuvent reveler un probleme plus large encore invisible. La meilleure approche est le white-box : le plus rapide, le moins cher et le plus complet ici. Le social engineering est requis, puisque c'est un defaut de securite au point d'entree de Lee qui a declenche le besoin. Les RoE doivent inclure type et scope, contacts client, plan de communication, timelines, reunions et rapports - mais PAS la liste des outils ni l'identite des testeurs. Le rapport va aux cadres seniors et a la securite de MLZ et de ses partenaires, pas au public ni aux clients ; des extraits peuvent figurer dans un rapport SOC 2 sur demande.

À retenir : Reconnaissance informelle != pentest formel ; ici interne+externe, white-box, social engineering inclus ; les RoE excluent outils et identite des testeurs ; le rapport reste confidentiel.

Éléments d'apprentissage clés
  • Les RoE n'incluent pas les outils ni l'identite des testeurs.
  • Un rapport de pentest est confidentiel (pas public, pas pour les clients).
  • White-box = le plus rapide et complet quand on veut le meilleur resultat.
Piège d'examen

Une vulnerability n'est pas un exploit

L'existence d'une faiblesse ne garantit pas qu'une menace puisse l'exploiter efficacement. Le vulnerability assessment identifie les faiblesses ; le penetration testing tente de les exploiter. Le scanner signale, le pentest prouve l'exploitabilite.

Piège d'examen

Ethical hacking vs ethical penetration testing

L'ethical penetration testing est contractuellement legal, regi par des RoE. L'ethical hacking (bug bounty, Project Zero) est plus informel : il reste ethique tant que le chercheur respecte les termes et ne divulgue pas. Ne pas confondre l'encadrement contractuel strict du pentest avec la recherche de vulnerabilites.

Piège d'examen

White-box ne teste pas le NAT

Le white-box donne tout au testeur : couverture maximale et simulation d'insider, mais les controles destines a cacher l'information aux externes (comme le NAT) ne sont pas evalues. Le black-box, lui, confirme ces controles de dissimulation, au risque de manquer des actifs.

Point de contrôle — Verification des acquis

  1. Quel est le but premier d'un exercice de red team en penetration testing ?

    • A Simuler les actions d'un threat actor et identifier les vulnerabilites
    • B Monitorer et repondre aux attaques simulees
    • C Collaborer avec les defenseurs pour ameliorer la securite globale
    • D Conduire un processus controle avec des RoE clairement definies
    Réponse & justification

    Réponse : A — Simuler les actions d'un threat actor et identifier les vulnerabilites

    La red team simule un attaquant malveillant pour identifier les vulnerabilites, exploiter les faiblesses et mesurer les controles. Monitorer/repondre = blue team ; collaborer = purple team ; le processus avec RoE est une caracteristique generale du pentest, pas le but specifique de la red team.

  2. Une vulnerabilite reçoit un score CVSS de 9.4. Quelle interpretation et quelle priorite ?

    • A Critical : remediation prioritaire, delai le plus court
    • B Medium : a traiter sous 90 jours
    • C Low : risque negligeable
    • D Le CVSS mesure la probabilite d'exploitation, pas la severite
    Réponse & justification

    Réponse : A — Critical : remediation prioritaire, delai le plus court

    9.0-10 = Critical sur l'echelle CVSS : severite technique maximale, a remedier en priorite. Le CVSS mesure la severite ; c'est l'EPSS qui estime la probabilite d'exploitation.

Points essentiels à retenir

  • Vulnerability assessment identifie ; pentest exploite. Une vuln n'est pas un exploit.
  • CVSS note la severite (0-10) ; EPSS ajoute la probabilite.
  • RoE indispensables ; sans contrat signe, risque penal.
  • White/gray/black box selon la connaissance ; red/blue/purple selon le role.
  • Test continu : BAS, MITRE ATT&CK, chaos engineering completent le pentest.
Module 4 Objectif 6.2 120 min Intermediaire

Code review et tests logiciels

Prérequis : Modules 1-3 ; notions de SDLC (Domaine 8).

Le code est la fondation des systemes d'information : sa revue et son test sont un controle de securite crucial. Ce module couvre la code review (SAST, DAST, revue manuelle), les tests orientes securite (misuse case, negative testing), la mesure de couverture, l'interface testing, et les techniques de monitoring (synthetic transactions vs RUM).

Objectifs pédagogiques

  • Distinguer SAST, DAST et IAST, et la revue manuelle.
  • Differencier misuse case testing et negative testing.
  • Interpreter la couverture de test (statement, branch, path...).
  • Conduire un interface testing (UI, API).
  • Distinguer synthetic transactions et RUM.

Critères de réussite

  • Je place SAST vs DAST dans le SDLC.
  • Je choisis le bon type de test logiciel selon un symptome.
  • J'explique pourquoi 100% de couverture est rarement atteint.

4.1 Code review : objectifs et SAST / DAST

Comparaison SAST, DAST et IAST dans le cycle de developpement
Figure 4.1 · SAST analyse le code au repos, DAST l'application en execution, IAST combine les deux.

La revue de code, plus precisement l'analyse et la revue du code source, vise a verifier six choses : toutes les fonctions requises existent ; aucun code etranger n'est present ; aucun code mort ou inatteignable ne subsiste ; aucun backdoor ni trapdoor ; les coding standards sont respectes ; tout le code est de provenance fiable. Ces objectifs ne valent pas qu'en developpement : ils supposent un configuration management rigoureux, sans quoi du code mort peut etre reactive et rendu exploitable par un petit changement ailleurs.

Le test peut etre manuel (code peer review : un developpeur relit le travail d'un pair) ou automatise. Deux familles dominent. Le SAST (static application security testing) analyse le code AU REPOS, sans l'executer : il modelise l'execution pour detecter buffer overflow, conditions de donnees incoherentes, mauvais usage de templates, librairies obsoletes, misconfigurations. C'est une approche boite blanche, ideale en shift-left. Le DAST (dynamic analysis) teste le programme EN COURS D'EXECUTION pour observer le comportement reel : approche boite noire. Une variante existe sur binaire compile (static binary analysis), moins precise que sur le source.

La philosophie shift-left (Agile, DevOps, DevSecOps) deplace les taches de securite vers la gauche de la timeline projet : revue d'architecture et threat modeling (prerequis au test, pas du test) en amont, puis SAST pendant le developpement. ISO 27002 14.2.1 prescrit des regles de developpement securise et la formation aux secure coding standards.

Mots-clés EN SAST DAST Code peer review Shift-left Threat modeling
Points clés
  • 6 objectifs : fonctions requises, pas de code etranger/mort/backdoor, standards, provenance.
  • SAST = code au repos (boite blanche) ; DAST = app qui tourne (boite noire).
  • Revue manuelle (peer review) complementaire des outils.
  • Shift-left : threat modeling et archi review en amont, SAST pendant le dev.
  • Sans configuration management, du code mort peut redevenir exploitable.

4.2 Misuse case et negative testing

Pyramide des niveaux de test logiciel avec les tests transverses
Figure 4.2 · Negative et misuse case s'ajoutent aux niveaux unit/integration/system/acceptance.

Un use case decrit une façon intentionnelle d'utiliser un systeme pour accomplir un travail autorise. Le misuse case testing examine l'hypothese inverse : un ensemble d'actions pouvant provoquer des defaillances d'integrite, des dysfonctionnements ou des compromissions, qu'elles soient deliberees et malveillantes ou accidentelles. On l'integre aux plans de test, souvent en se concentrant sur le comportement du systeme face a des valeurs inattendues dans les champs (mauvais format, donnees tres eloignees de l'entree attendue). Exemple simple : un utilisateur saisit son numero de telephone dans un champ destine a son nom. Modeliser les agents hostiles et leurs misuse cases focalise l'attention du security professional.

Le negative testing, par contraste avec un positive test (qui verifie que le systeme marche comme prevu et echoue a la moindre erreur), apporte la preuve du comportement de l'application face a des donnees invalides ou inattendues. Toute provocation de defaillance doit surgir au test plutot qu'en production. La reponse optimale a un negative test est de rejeter gracieusement la donnee sans planter. Il est optimal de combiner positive et negative tests.

Ne pas confondre les deux : le negative testing detecte des plantages dans differentes situations ; le misuse case adopte le point de vue d'un acteur hostile. Les systemes safety-critical brouillent la frontiere (exigence de fail-safe). Les avancees de l'automated testing, comme le fuzz testing (mutation ou generation d'entrees), permettent de lancer des dizaines de milliers de cas aux limites de l'enveloppe acceptable du systeme - aussi bien pour les proprietaires que pour les attaquants.

Mots-clés EN Misuse case testing Negative testing Positive test Fuzz testing
Points clés
  • Misuse case = point de vue hostile (deliberement ou par accident).
  • Negative test = donnees invalides, rejet gracieux sans plantage.
  • Positive + negative = examen complet du comportement.
  • Fuzzing (mutation/generation) automatise les cas aux limites.

4.3 Couverture de test et niveaux de test

Pyramide unit, integration, system, acceptance
Figure 4.3 · Les quatre niveaux de test logiciel, du unit a l'acceptance.

Le niveau de test structurel se mesure par des metriques de couverture (coverage), qui indiquent le pourcentage de la structure logicielle evaluee. Par convention, parler de coverage suppose 100% : la statement coverage signifie que 100% des instructions ont ete executees au moins une fois. Les principaux types : statement coverage (chaque instruction au moins une fois, insuffisant a lui seul) ; decision/branch coverage (chaque branche prend chaque issue, minimum pour la plupart des logiciels, insuffisant pour le high-integrity) ; condition coverage (chaque condition prend toutes ses valeurs) ; multi-condition coverage (toutes les combinaisons de conditions) ; loop coverage (boucles executees zero, une, deux et plusieurs fois) ; path coverage (chaque chemin faisable, rarement atteignable vu le nombre de chemins) ; data flow coverage (chaque flux de donnees faisable). Le niveau vise doit etre proportionne au risque du logiciel.

Les tests se structurent aussi par niveau : unit (plus petit composant isole), integration (modules ensemble), system (systeme complet de bout en bout) et acceptance (UAT, validation vis-a-vis des besoins metier). S'y ajoutent des tests transverses : regression (verifier qu'un changement n'a rien casse), positive, negative, et les approches white-box / black-box. Atteindre 100% de couverture est rarement realiste : le cout et la pression de mise sur le marche le rendent difficile, surtout sur un code volumineux, meme si ce n'est pas strictement impossible.

Mots-clés EN Statement coverage Branch coverage Path coverage Regression testing Acceptance (UAT)
Points clés
  • Coverage = 100% par convention ; statement < branch < path en exigence.
  • Niveau de couverture proportionne au risque du logiciel.
  • Niveaux : unit, integration, system, acceptance (UAT).
  • Transverses : regression, positive, negative, white/black box.
  • 100% de couverture rarement atteint (cout, time-to-market).

4.4 Interface testing

Modeles de SDLC ou s'inserent les tests d'interface et de systeme
Figure 4.4 · L'interface testing s'integre au test de developpement standard.

Une interface est un point d'interaction avec un systeme. Exemples : l'UI (interaction humaine, GUI avec fenetres et menus, ou CLI en ligne de commande) et les API (communication systeme-a-systeme : REST pour le web, IPC, RPC). Evaluer la fonctionnalite et la securite des interfaces est un aspect crucial du system testing : les controles de securite doivent y etre implementes pour garantir la confidentialite (controles d'acces) et la non-repudiation (journalisation des actions). L'interface testing fait partie du test de developpement standard et joue un role dans les activites de securite (vulnerability assessments, pentests, breach simulations).

L'interface testing verifie que les composants (logiciels et materiels) se transmettent correctement donnees et controle, conformement a leur conception. Il differe de l'integration testing : il verifie que les composants distincts sont en phase et que les fonctions comme le transfert de donnees se deroulent comme prevu. Il permet notamment de verifier que les interactions application-serveur s'executent correctement, que les erreurs sont bien gerees, ce qui se passe si l'utilisateur interrompt une transaction, ou si une connexion au serveur web est reinitialisee. Cote serveur, on valide la communication entre serveurs web, applicatifs et bases, et la compatibilite logicielle/materielle/reseau. Cote interfaces externes, on verifie les navigateurs supportes et les conditions d'erreur quand l'application externe est indisponible.

Mots-clés EN Interface API Interface testing Non-repudiation
Points clés
  • Interfaces : UI (GUI/CLI) et API (REST/RPC/IPC).
  • Interface testing != integration testing (sync et transfert de donnees).
  • Securite des interfaces : access control (confidentialite) + logging (non-repudiation).
  • Verifie gestion des erreurs, interruptions, reinitialisations.

4.5 Synthetic transactions et RUM

RUM passif vs synthetic transactions actives
Figure 4.5 · RUM observe les vrais utilisateurs ; le synthetic rejoue des scripts.

Pour evaluer performance, temps de reponse et disponibilite des applications, sites et services, deux approches complementaires existent.

Les synthetic transactions sont des activites automatisees executees contre une cible monitoree pour evaluer sa performance. Pour une application web, cela peut etre se connecter avec un compte de test pour verifier la reponse au login ou aux requetes. Le terme transactions ne designe pas que des transactions financieres : toute activite systeme (resolution DNS, attribution d'IP via DHCP) en releve. Le synthetic performance monitoring (ou proactive monitoring) fait executer par des agents externes des scripts suivant les etapes d'un utilisateur type (rechercher, voir un produit, se connecter, payer). C'est un test par scripts, et non par actions live, ce qui le distingue des autres formes de test. Il couvre le website monitoring, le database monitoring, le TCP port monitoring et la SLA validation, et fonctionne 24/7 meme sans trafic reel.

Le RUM (real-user monitoring), aussi appele real-user measurement ou end-user experience monitoring (EUM), est a l'inverse une forme de monitoring passif : il capture et analyse chaque transaction de chaque utilisateur reel d'un site ou d'une application. Le RUM top-down, cote client (petits scripts JavaScript ou agents locaux), voit directement l'experience vecue par l'utilisateur et le lien entre vitesse du site et satisfaction. Le RUM s'applique aussi a des operations humaines (centres d'appel). Synthetic et RUM se completent : le synthetic surveille la disponibilite en periode de faible trafic, le RUM mesure l'experience reelle.

Mots-clés EN Synthetic transactions Synthetic performance monitoring RUM EUM
Points clés
  • Synthetic = scripts automatises (actif), 24/7 meme sans trafic.
  • RUM = passif, capture chaque transaction d'utilisateurs reels.
  • Indice quiz : test web par scripts = synthetic.
  • Synthetic et RUM se completent (dispo vs experience reelle).

Cas d'étude

Cas · Activity (Bank UYT)

Choisir le bon test selon le symptome

Contexte : L'equipe de la Bank UYT pose plusieurs questions a Prakash sur le test logiciel : (1) peut-on atteindre 100% de couverture ? (2) quel test detecte une valeur hors bornes saisie dans un champ ? (3) le serveur web affiche du code SQL lors d'erreurs intermittentes - quel test le revelerait ? (4) quel test corrige un probleme de securite ?

Question : Repondez aux quatre questions en justifiant. (6.2.6-8, 6.2.1-10)

Topics traités Couverture de test et ses limitesMisuse case vs interface testingLe test identifie, la remediation corrige
Voir l'analyse et la correction

(1) Couverture 100% : la bonne reponse est que la couverture totale, sans tests entierement automatises, prend trop de temps et coute trop cher pour etre pratique - ce n'est pas strictement impossible, mais le push to market la rend difficile sur du code volumineux. (2) Valeur hors bornes saisie par un utilisateur : misuse case test (teste l'usage incorrect, accidentel ou delibere) ; ne pas confondre avec interface ou synthetic. (3) Fuite de code SQL dans un message d'erreur : interface testing - les erreurs surviennent toujours, mais l'information dans le message doit rester minimale ; renvoyer du SQL expose la structure interne de la base. (4) Aucun test ne corrige un probleme de securite : au mieux, un test bien conçu identifie un probleme ; il faut ensuite un processus de remediation.

À retenir : Misuse case = usage incorrect ; interface testing = fuites/erreurs aux frontieres ; aucun test ne corrige, il identifie. La remediation suit toujours le test.

Éléments d'apprentissage clés
  • 100% de couverture : possible mais souvent impraticable (cout, delai).
  • Une valeur hors bornes saisie = misuse case test.
  • Une fuite SQL dans une erreur = interface testing.
  • Aucun test ne corrige : il faut toujours une remediation.
Piège d'examen

SAST vs DAST

SAST = static, code AU REPOS, sans execution, boite blanche (detecte SQL injection, XSS, secrets en dur). DAST = dynamic, application EN COURS D'EXECUTION, boite noire. Le fuzzing (mutation/generation) est un cas particulier de DAST. Indice : S comme Static (arret), D comme Dynamic (qui tourne).

Piège d'examen

Negative testing vs misuse case

Le negative testing cherche les plantages face a des donnees invalides ; la reponse optimale est un rejet gracieux. Le misuse case adopte le point de vue d'un acteur hostile. Ils se ressemblent mais ne sont pas identiques ; les systemes safety-critical brouillent la frontiere.

Piège d'examen

Synthetic transactions = test par scripts

Indice d'examen : un test d'application web qui s'appuie sur des SCRIPTS plutot que sur des actions live est un synthetic transaction. Les autres formes (vulnerability, penetration) utilisent des agents live. Le RUM, lui, est passif et observe les vrais utilisateurs.

Point de contrôle — Verification des acquis

  1. Quel type de test d'application web s'appuie sur des scripts plutot que sur des actions live ?

    • A Synthetic
    • B Vulnerability
    • C Penetration
    • D Conformity
    Réponse & justification

    Réponse : A — Synthetic

    Les synthetic transactions font executer des scripts par des agents externes, suivant les etapes d'un utilisateur type. Les autres formes (vulnerability, penetration) utilisent des agents live ; le conformity testing valide vis-a-vis de standards.

  2. Apres une correction, on relance une batterie de tests pour s'assurer qu'aucune fonctionnalite existante n'a ete cassee. Quel test ?

    • A Regression testing
    • B Negative testing
    • C Acceptance testing
    • D Misuse case testing
    Réponse & justification

    Réponse : A — Regression testing

    Le regression testing verifie qu'un changement n'a pas casse de fonctionnalite existante. Le negative test porte sur les donnees invalides, l'acceptance valide vs les besoins metier, le misuse case adopte le point de vue hostile.

Points essentiels à retenir

  • SAST = code au repos (boite blanche) ; DAST = app qui tourne (boite noire) ; IAST combine.
  • Misuse case (hostile) et negative (donnees invalides) sont proches mais distincts.
  • Coverage = 100% par convention ; rarement atteint en pratique.
  • Niveaux : unit, integration, system, acceptance ; + regression, positive, negative.
  • Synthetic = scripts actifs ; RUM = observation passive des vrais utilisateurs.
Module 5 Objectif 6.3 90 min Intermediaire

Collecte des donnees de processus de securite

Prérequis : Domaine 5 (IAM, AAA) ; Modules 1-2.

Une decision de securite vaut ce que valent ses donnees. Ce module montre comment collecter et gerer les donnees de processus issues de l'account management, de la revue de management, des indicateurs (KPI/KRI) et de la verification des backups, pour piloter une securite data-driven.

Objectifs pédagogiques

  • Identifier les donnees d'account management a collecter.
  • Cadrer la management review and approval.
  • Distinguer KPI et KRI, metrique et indicateur.
  • Verifier l'integrite des backups.

Critères de réussite

  • Je relie un indicateur a KPI (passe) ou KRI (futur).
  • Je decris comment verifier un backup (test restore).
  • Je liste les inputs d'une management review.

5.1 Account management et revue IAM

Revue IAM : identity store, AAA et logs autour du controle d'acces
Figure 5.1 · Les trois sources de donnees de la revue IAM.

Un account est l'ensemble des credentials servant a acceder a une ressource. Comme le controle d'acces est le socle de la securite des SI, la collecte des donnees de processus se concentre d'abord sur l'account management. Celui-ci soutient les fonctions metier en : assignant des account managers ; etablissant les conditions d'appartenance a un groupe ou role ; specifiant les utilisateurs autorises ; exigeant l'approbation des autorisations (creation, activation, modification, desactivation, suppression d'acces) ; monitorant l'usage des comptes ; notifiant le manager quand un acces n'est plus necessaire ; revoyant la conformite des comptes. Le controle d'acces est un exemple de controle mixte : des politiques appliquees par des procedures, implementees par la technologie, parfois avec des controles physiques (badges, smart cards).

La revue IAM s'appuie sur trois jeux d'information centraux. L'identity store est le referentiel centralise de toute l'information sur une identite ; il enregistre aussi les decisions d'octroi, de retrait ou de degradation des permissions. Le systeme IAM integre maintient ses bases d'authentification et d'autorisation (le 3e A du AAA : authentication, authorization, accounting). Les logs systeme et applicatifs, les agents de monitoring et les sondes enregistrent les indicateurs des actions des utilisateurs. Le user behavior modeling peut detecter des indicateurs declenchant des revues de comptes. Au gre des changements de poste et, in fine, des departs, les acces sont modifies, desactives, deprovisionnes puis supprimes. L'audit de ces sources fournit une riche matiere pour l'evaluation de securite.

Mots-clés EN Account management Identity store AAA User behavior modeling
Points clés
  • Le controle d'acces est le socle : commencer par l'account management.
  • Approbation requise pour creer/activer/modifier/desactiver/supprimer un acces.
  • Trois sources IAM : identity store, systeme AAA, logs/monitoring.
  • Controle d'acces = controle mixte (politique + techno + physique).

5.2 Management review and approval

Cycle PDCA soutenant le continual process improvement de la revue de management
Figure 5.2 · La revue de management nourrit le continual process improvement (PDCA).

Le management est responsable de definir et executer la mission de l'organisation, securite et privacy comprises. Pour garantir que les controles reduisent le risque a un niveau acceptable, il conduit des revues et approuve les donnees de processus de securite. ISO 27001 demande que la direction revoie l'ISMS a intervalles planifies pour assurer sa pertinence, son adequation et son efficacite continues - exigence echoue par NIST, ITIL et COBIT 5.

La management review devrait inclure (sans s'y limiter) : les exemptions aux activites normales, l'information des revues precedentes, les metriques d'outcomes en cours, les resultats d'audits, l'atteinte des objectifs de securite, le retour des parties interessees, et le reporting d'evaluation du risque avec le plan de traitement. L'objectif est de soutenir le continual process improvement. Beaucoup d'organisations se fient encore a des jugements subjectifs pour prioriser, alors que les grands frameworks exigent des methodes statistiques, des metriques et des benchmarks - ce qui suppose que logging et monitoring fournissent l'information data-driven necessaire.

Les system owners ont des responsabilites analogues pour leurs propres stores : ils identifient leur tolerance au risque, leurs obligations de conformite, et decident d'autoriser l'usage d'un systeme. Ils sont essentiels pour determiner si les controles selectionnes atteignent leurs objectifs. Des changements d'environnement (nouvelles lignes metier, systemes, conformite, fusions/acquisitions) peuvent affecter l'efficacite des controles, d'ou un monitoring continu generant metriques et indicateurs.

Mots-clés EN Management review Continual process improvement System owner Data-driven
Points clés
  • Le management revoit et approuve pour maintenir les controles efficaces.
  • ISO 27001 : revue de l'ISMS a intervalles planifies (pertinence, adequation, efficacite).
  • Inputs : exemptions, audits, metriques, objectifs, feedback, risque.
  • Decision data-driven > jugement subjectif.

5.3 KPI et KRI : mesurer le passe et anticiper l'avenir

KPI tournes vers le passe et KRI tournes vers l'avenir
Figure 5.3 · KPI mesurent le passe, KRI anticipent les risques futurs.

On ne gere bien que ce que l'on mesure. Les metriques de securite servent de key performance indicators (KPI) et de key risk indicators (KRI). Attention a la distinction metrique vs indicateur : une metrique est une simple mesure (le nombre de patches appliques), tandis qu'un indicateur utilise des metriques et fournit un contexte (une indication). Exemple : le ratio d'endpoints patches sur le total est un indicateur de l'efficacite du patch management ; si l'on attend 100% de couverture a J+7 et que le chiffre est en-dessous, l'indicateur signale une action corrective.

KPI et KRI different par leur orientation temporelle. Les KPI regardent le passe : l'activite a deja eu lieu, les objectifs ont-ils ete atteints ? Ils aident a corriger les actions futures, peuvent reveler des segments sous-performants, justifier des recompenses et rassurer une clientele. Les KRI regardent l'avenir : ils captent comment le paysage de risque changeant pourrait affecter l'organisation, en utilisant modelisation, analyse ou estimation eclairee. Ils permettent d'evaluer la vraisemblance d'un risque et de declencher une action proactive - par exemple, une hausse du volume de trafic malveillant bloque par un firewall peut indiquer qu'il faut le mettre a niveau avant qu'il ne soit submerge. Les KRI soutiennent souvent des decisions de long terme (budget, ressources) et doivent etre revus par un change management formel quand le risque evolue.

Mots-clés EN KPI KRI Metrique Indicateur
Points clés
  • Metrique = mesure ; indicateur = metrique + contexte.
  • KPI = passe (objectifs atteints ?) ; KRI = futur (risque emergent).
  • Les KRI declenchent une action proactive (ex. upgrade firewall).
  • Reviser les KRI par change management quand le risque change.

5.4 Verification des backups et services de disponibilite

Activites de backup produisant des artefacts pour l'auditeur
Figure 5.4 · La verification des backups produit des artefacts pour l'audit.

Les services de disponibilite sont une autre source de donnees de processus, car leur performance conditionne la capacite de l'organisation a tenir ses engagements et obligations de conformite. Les donnees de disponibilite sont routinement auditees.

Les backups de donnees et de systemes sont des controles essentiels d'integrite et de disponibilite. La premiere etape est d'identifier les donnees et systemes critiques, puis de concevoir une strategie de backup adaptee aux besoins de recuperation. Une fois les procedures en place, il est crucial de verifier l'integrite du processus de backup ET des donnees sauvegardees. Les deux s'evaluent par un test restore depuis le media de sauvegarde, pour s'assurer que toutes les donnees requises sont presentes et lisibles. Si des donnees manquent, cela peut indiquer une mauvaise configuration (repertoires ou systemes exclus) ou une corruption du media. Certains systemes de backup integrent une verification d'integrite automatique, generent des alertes en cas de perte et relancent le backup.

Cote conformite, ISO 27001 Annexe A:12.3 est le controle principal, mais le besoin de backup apparait dans de nombreux controles. FIPS 200 couvre les familles Contingency Planning (CP) et Media Protection (MP). HIPAA exige a la fois un data backup plan et un business contingency plan, et le critere Availability des TSC impose des attentes similaires pour un SOC 2. Le developpement d'un programme de disponibilite prolonge la pratique de gestion du risque : l'execution releve de l'IT, mais elle est dirigee par le risque de perte de donnees ou de defaillance.

Mots-clés EN Test restore Backup integrity ISO 27001 A.12.3 Availability services
Points clés
  • Verifier l'integrite du PROCESSUS et des DONNEES par un test restore.
  • Donnees manquantes = mauvaise config ou media corrompu.
  • ISO A.12.3, FIPS 200 (CP/MP), HIPAA, TSC Availability.
  • Le programme de disponibilite est pilote par le risque, execute par l'IT.

Cas d'étude

Cas · Activity (Bank UYT)

Sur quoi fonder la management review ?

Contexte : Prakash observe qu'a la Bank UYT, la priorisation des activites de revue et d'approbation par le management ne repose pas toujours sur des metriques fiables.

Question : Pour soutenir le continual process improvement et les bonnes pratiques, qu'est-ce que la management review and approval devrait inclure ? (6.3.2)

Topics traités Inputs de la management reviewDecision data-drivenContinual process improvement
Voir l'analyse et la correction

La revue de management devrait inclure, sans s'y limiter : les exemptions aux activites normales ; l'information liee aux revues precedentes ; les metriques d'outcomes en cours ; les resultats d'audits ; l'atteinte (ou non) des objectifs de securite ; le retour des parties interessees ; le reporting d'evaluation du risque et le plan de traitement. S'appuyer sur des methodes statistiques, des metriques et des benchmarks - plutot que sur des jugements subjectifs - est ce que reclament les grands frameworks. Cela suppose que les outils de logging et monitoring fournissent l'information data-driven necessaire a une priorisation fiable.

À retenir : Une revue de management efficace s'appuie sur des metriques, audits, objectifs et risques documentes, pas sur des impressions ; le logging fournit la matiere data-driven.

Éléments d'apprentissage clés
  • Lister les inputs : exemptions, audits, metriques, objectifs, feedback, risque.
  • Prioriser sur des donnees, pas sur des jugements subjectifs.
  • Le logging alimente la decision data-driven.
Piège d'examen

KPI vs KRI

Les KRI monitorent les risques emergents (tournes vers l'avenir, proactifs). Les KPI mesurent l'atteinte des objectifs (tournes vers le passe). Piege classique : attribuer aux KRI le role de mesurer l'atteinte des objectifs - c'est le role des KPI. Un KRI alerte tot sur un risque, pas sur une performance d'equipe.

Piège d'examen

Verifier le backup, pas seulement le faire

Sauvegarder ne suffit pas : il faut verifier par un test restore que les donnees sont presentes ET lisibles, et que le processus lui-meme est integre. Des donnees manquantes revelent une config defaillante (exclusions) ou un media corrompu.

Point de contrôle — Verification des acquis

  1. Quelle affirmation est vraie a propos des key risk indicators (KRI) ?

    • A Les KRI monitorent les risques emergents
    • B Les KRI montrent si les objectifs ont ete atteints
    • C Les KRI eclairent les metriques de performance
    • D Les KRI alertent quand les metriques d'equipe ne sont pas atteintes
    Réponse & justification

    Réponse : A — Les KRI monitorent les risques emergents

    Les KRI sont conçus pour suivre et alerter tot sur les risques emergents. Montrer l'atteinte des objectifs releve des KPI. Les KRI ne sont ni des metriques de performance ni des alertes d'equipe.

  2. Comment verifier de façon fiable qu'une sauvegarde est utilisable ?

    • A Effectuer un test restore depuis le media et controler que les donnees sont presentes et lisibles
    • B Verifier que le job de backup s'est termine sans erreur
    • C Comparer la taille du fichier de backup a la veille
    • D Consulter le calendrier de retention
    Réponse & justification

    Réponse : A — Effectuer un test restore depuis le media et controler que les donnees sont presentes et lisibles

    Seul un test restore prouve l'integrite du processus ET des donnees. Un job termine, une taille ou un calendrier ne garantissent pas que les donnees sont presentes et lisibles.

Points essentiels à retenir

  • L'account management est le socle ; trois sources IAM (identity store, AAA, logs).
  • La management review approuve sur des metriques, audits, objectifs, risques.
  • Metrique = mesure ; indicateur = metrique + contexte.
  • KPI = passe (objectifs) ; KRI = futur (risque emergent, proactif).
  • Verifier les backups par test restore (processus ET donnees).
Module 6 Objectif 6.3 90 min Intermediaire

SETA et tests de continuite (BC/DR)

Prérequis : Module 5 ; notions de BC/DR (Domaine 7).

Les utilisateurs sont a la fois une cible de grande valeur et une ligne de defense critique ; et la resilience d'une organisation se prouve en testant ses plans. Ce module couvre les programmes SETA (security education, training, awareness) et les tests de continuite et de reprise (BC/DR), du desk check au full cutover.

Objectifs pédagogiques

  • Distinguer education, training et awareness.
  • Conduire un needs assessment et evaluer un programme SETA.
  • Differencier BC et DR.
  • Classer les tests BC/DR par complexite croissante.

Critères de réussite

  • Je place education vs training vs awareness.
  • J'ordonne desk check, walk-through, tabletop, simulation, parallel, full cutover.
  • Je qualifie un exercice d'evacuation comme walk-through.

6.1 SETA : education, training, awareness

Programme SETA progressif et continu nourrissant la posture de securite
Figure 6.1 · Education, training et awareness : trois leviers du facteur humain.

L'environnement de securite change vite : etablir et maintenir un programme de security education, training and awareness (SETA) est vital, car les utilisateurs sont a la fois une ligne de defense critique et une cible de grande valeur. Les trois activites different. L'education presente un corps de connaissances applicable a un large eventail de problemes ; comme le corpus evolue vite, l'education d'un professionnel ne s'arrete jamais (les membres ISC2 doivent demontrer leur formation continue). Le training vise l'acquisition de connaissances specifiques pour accomplir une tache (configurer et utiliser correctement une technologie, un controle). L'awareness est plus general : NIST SP 800-50 distingue les deux en disant que le training enseigne des competences, tandis que l'awareness focalise l'attention sur un enjeu.

La structure et l'efficacite d'un SETA dependent de la politique et de la strategie de l'organisation. Un needs assessment, initial et continu, determine la strategie de formation et justifie l'allocation de ressources. Il doit impliquer des roles cles aux besoins de formation specifiques : executive management (comprendre directives et lois), security personnel (experts en politique et best practices), system owners (forte comprehension des controles), system administrators et IT support (connaissances techniques), operational managers et utilisateurs (awareness et regles de comportement). FIPS 200 identifie la famille Awareness and Training (AT) ; ISO 27001 A.7.2.2 a une attente similaire.

Evaluer l'efficacite est difficile : compter les participants ne montre aucun changement de comportement. Les campagnes anti-phishing, qui envoient de faux emails et tracent les reponses, sont une façon de quantifier l'effet. Les programmes SETA reussis ont des mesures d'evaluation significatives (taux de completion, retention long terme, couverture, adaptation a l'audience), reutilisees pour le retraining et la reevaluation.

Mots-clés EN Education Training Awareness Needs assessment Anti-phishing
Points clés
  • Education (large) < training (competence/tache) < awareness (attention).
  • NIST SP 800-50 : training enseigne, awareness focalise.
  • Le needs assessment cible chaque role (exec, secu, owners, admins, users).
  • Tailoring a l'audience = pertinence et efficacite (reponse SETA).
  • Mesurer l'efficacite : anti-phishing, completion, retention, couverture.

6.2 BC et DR : deux processus distincts

Programme progressif de tests BC/DR du desk check au full cutover
Figure 6.2 · BC maintient le metier, DR restaure l'IT ; les deux se testent.

Disaster recovery (DR) et business continuity (BC) sont souvent associes mais distincts. Le DR consiste a planifier et implementer des strategies pour restaurer les systemes IT, les donnees et les operations apres un desastre (catastrophe naturelle, cyberattaque, panne materielle) : il assure une reprise rapide et minimise le downtime, protegeant l'integrite des donnees et la fonctionnalite metier. Le BC se concentre sur le maintien des fonctions metier essentielles pendant et apres un desastre : il va au-dela de l'IT (securite des employes, protocoles de communication, sites de travail alternatifs), pour soutenir les operations coeur, le service client et limiter les pertes financieres. Ensemble, BC et DR forment la resilience de l'organisation.

Les donnees de processus liees a BC et DR interessent fortement les controls assessors. Les grands standards attendent une planification BC/DR pilotee par le risque : NIST SP 800-34 (Contingency Planning Guide) trace une feuille de route ; ISO 27031 traite la continuite des SI et s'aligne sur ISO 22301 (Business Continuity Management Systems). Beaucoup de secteurs (finance, nucleaire, aviation, infrastructures critiques) imposent des attentes de resilience elevees, parfois avec une demonstration a grande echelle reguliere et documentee.

Un dicton bien etabli rappelle que le desastre que l'on subit n'est jamais celui que l'on a planifie. Le plan, comme artifact, demontre l'engagement, mais le vrai test est de montrer que l'organisation peut l'executer. D'ou l'importance de former les equipes a la conduite de la reprise, avec une complexite et une ampleur progressives.

Mots-clés EN Disaster Recovery Business Continuity NIST SP 800-34 ISO 22301
Points clés
  • DR = restaurer l'IT/les donnees ; BC = maintenir le metier (au-dela de l'IT).
  • Planification BC/DR pilotee par le risque (BIA).
  • Standards : NIST SP 800-34, ISO 27031, ISO 22301.
  • Le plan prouve l'engagement ; le test prouve l'execution.

6.3 Tester les plans BC/DR : du desk check au full cutover

Six niveaux de tests BC/DR a complexite croissante
Figure 6.3 · Les six niveaux de test BC/DR, du moins au plus disruptif.

Les tests et formations BC/DR sont une donnee de processus de premier interet pour l'assesseur : ils demontrent l'efficacite des controles et alimentent l'amelioration continue. Le programme de formation doit progresser en complexite et en ampleur organisationnelle, chaque evenement reussi preparant le suivant. Un programme progressif type s'ordonne ainsi.

Le desk check : chaque membre revoit la documentation operationnelle, les rosters, sa disponibilite et sa version du plan DR ; resultat attendu : tout le monde dispose d'un plan a jour. Le walk-through : a l'aide des manuels, les equipes DR expliquent leurs roles et activites ; resultat : elles comprennent leur role les unes par rapport aux autres et deconflictent les chevauchements. Le tabletop exercise : les chefs d'equipe se voient presenter un scenario de desastre et discutent leur reponse ; resultat : deconfliction des roles et identification des faiblesses majeures du plan. La simulation : un desastre est simule HORS de l'environnement de production, les activites DR y sont menees ; resultat : demonstration des capacites de reprise dans le contexte du scenario. Le parallel : un desastre est simule pendant que la production continue ; resultat : demonstration de la pleine reprise sans interruption de la production. Le full cutover (full-interruption) : un desastre est declenche qui affecte reellement la production ; resultat : reprise de l'environnement de production dans les parametres etablis.

Piege classique : un exercice d'evacuation incendie est un walk-through (revue pas-a-pas des procedures sans execution temps reel), et non une simulation. Les resultats de ces activites sont documentes et mis a disposition des assesseurs et des autres parties pour l'amelioration des processus.

Mots-clés EN Desk check Walk-through Tabletop Simulation Parallel Full cutover
Points clés
  • Ordre croissant : desk check, walk-through, tabletop, simulation, parallel, full cutover.
  • Parallel = production maintenue ; full cutover = production affectee.
  • Piege : une evacuation incendie = walk-through, pas une simulation.
  • Documenter les resultats pour l'amelioration continue.

Cas d'étude

Cas · Etude de cas : WannaCry

Ce que WannaCry enseigne sur le test continu et le DR

Contexte : En mai 2017, le ransomware WannaCry exploite la vulnerabilite EternalBlue de Windows (un patch existait mais beaucoup de systemes restaient non patches), se propageant par phishing. Il chiffre les fichiers et exige une rançon. Impact mondial, dont de fortes perturbations au NHS britannique. La reponse a mobilise une cooperation internationale.

Question : En quoi WannaCry souligne-t-il l'importance du pentest continu, d'un DR bien defini, de la BC internationale et de la formation continue des utilisateurs ? (6.2.2, 6.3.5, 6.3.6)

Topics traités Pentest et vulnerability assessment continusDR au-dela de la simple restauration de donneesBC et collaboration internationaleAwareness continue face aux menaces evolutives
Voir l'analyse et la correction

WannaCry a exploite des systemes non patches : le pentest et le vulnerability assessment continus (au-dela du setup initial) sont indispensables pour identifier et corriger les vulnerabilites avant exploitation. Le DR : l'attaque n'a pas seulement chiffre des donnees, elle a coupe l'acces aux systemes ; un bon plan DR doit donc couvrir la restauration de la FONCTIONNALITE des systemes, pas seulement la recuperation des donnees. La BC : l'echelle mondiale montre l'importance de la collaboration transfrontaliere - partage de threat intelligence et reponses coordonnees attenuent l'impact d'incidents diffus. La formation : les menaces evoluent ; une awareness continue tient les utilisateurs informes des vecteurs emergents, au-dela de sessions statiques. Une faiblesse classique de strategie DR est la dependance a un single point of failure.

À retenir : Tester en continu, concevoir un DR couvrant la fonctionnalite (pas que les donnees), cooperer a l'international et former en continu : WannaCry illustre les quatre.

Éléments d'apprentissage clés
  • Patcher et tester en continu previent l'exploitation des vulnerabilites connues.
  • Un DR doit restaurer la fonctionnalite, pas seulement les donnees.
  • La dependance a un single point of failure est une faiblesse DR.
Cas · Applied Scenario : Waxbill UAV (Partie 2)

Tester le plan de reprise de MLZ

Contexte : Le CSO de MLZ s'inquiete de l'etat du Disaster Recovery Plan (DRP) apres avoir entendu les difficultes d'un confrere. Il presse la direction de prioriser la collecte des donnees de processus liees au DRP : reduction du risque, protection financiere, continuite operationnelle, conformite.

Question : Quel est le but de tester regulierement un DRP, quelle est une faiblesse typique d'une strategie DR, et que considerer en le mettant a jour ?

Topics traités But des tests de DRPSingle point of failureMise a jour et alignement du plan
Voir l'analyse et la correction

Le but de tester regulierement un DRP est d'identifier et corriger les faiblesses ; l'objectif global est de minimiser l'impact d'une disruption et de revenir a un niveau de performance acceptable apres un desastre. Une faiblesse typique est la dependance a un single point of failure : sur la base du business impact analysis de chaque systeme, les activites de continuite reduisent la vraisemblance et la consequence d'une defaillance. En mettant a jour un DRP, il faut le revoir regulierement et l'aligner sur les changements : la documentation de ces activites est une donnee de processus qui alimente l'amelioration continue et demontre l'efficacite aux assesseurs.

À retenir : Tester un DRP sert a trouver les faiblesses ; eviter le single point of failure ; revoir et aligner regulierement le plan sur les changements.

Éléments d'apprentissage clés
  • Tester un DRP identifie et corrige les faiblesses.
  • Le single point of failure est la faiblesse a traquer.
  • Reviser le plan regulierement et l'aligner sur les changements.
Piège d'examen

Une evacuation incendie est un walk-through

Dans le contexte BC/DR, un exercice d'evacuation incendie est un walk-through : revue pas-a-pas des procedures sans execution temps reel. Ce n'est ni un tabletop (discussion en salle), ni une simulation (replique de conditions reelles hors production), ni un parallel.

Piège d'examen

Parallel vs full cutover

Le parallel test simule un desastre en MAINTENANT la production : on demontre la reprise sans interruption. Le full cutover (full-interruption) bascule reellement et AFFECTE la production. Le full cutover est le plus realiste mais le plus risque.

Piège d'examen

Training enseigne, awareness focalise

NIST SP 800-50 : le training enseigne des competences pour accomplir une fonction ; l'awareness focalise l'attention sur un enjeu. L'education, elle, transmet un corps de connaissances large. Tailorer a l'audience garantit pertinence et efficacite.

Point de contrôle — Verification des acquis

  1. Dans un programme de test BC/DR, sous quelle forme se range un exercice d'evacuation incendie d'un batiment ?

    • A Walk-through
    • B Parallel
    • C Tabletop
    • D Simulation
    Réponse & justification

    Réponse : A — Walk-through

    Une evacuation incendie est un walk-through : revue pas-a-pas des procedures, sans execution temps reel des actions. Le parallel compare systemes primaire/secours, le tabletop est une discussion en salle, la simulation replique des conditions reelles de maniere orchestree.

  2. Pourquoi etablir et maintenir un programme de security awareness, education et training ?

    • A Adapter la formation aux besoins de l'audience assure pertinence et efficacite
    • B Les utilisateurs ne sont qu'une cible potentielle d'attaque
    • C Les utilisateurs ne sont pas critiques dans la defense
    • D La retention d'information a long terme est inutile
    Réponse & justification

    Réponse : A — Adapter la formation aux besoins de l'audience assure pertinence et efficacite

    Comprendre les besoins de l'audience permet d'adapter le niveau et le materiel, ce qui renforce pertinence et efficacite. Les utilisateurs sont a la fois une cible ET une ligne de defense critique, et la retention long terme est essentielle.

Points essentiels à retenir

  • Education (large), training (tache), awareness (attention) ; tailorer a l'audience.
  • DR restaure l'IT/les donnees ; BC maintient le metier au-dela de l'IT.
  • Tests BC/DR croissants : desk check, walk-through, tabletop, simulation, parallel, full cutover.
  • Evacuation incendie = walk-through ; parallel maintient la prod, full cutover l'affecte.
  • Documenter les tests pour l'amelioration continue et l'assesseur.
Module 7 Objectif 6.4 95 min Avance

Analyser les resultats et generer le rapport

Prérequis : Modules 1-6 ; change management (Domaine 7).

Tester ne sert a rien si l'on n'agit pas sur les resultats. Ce module couvre la remediation, les modeles d'amelioration continue (PDCA, Six Sigma), l'exception handling dans la tolerance au risque, et l'ethical disclosure des vulnerabilites (full, responsible, non-disclosure), jusqu'au mandatory reporting et au whistleblowing.

Objectifs pédagogiques

  • Structurer la remediation des findings (priorisation, POA&M).
  • Appliquer un modele d'amelioration continue (PDCA, Six Sigma).
  • Gerer les exceptions dans la tolerance au risque.
  • Appliquer les postures d'ethical disclosure.

Critères de réussite

  • Je decris les 4 etapes du PDCA.
  • Je distingue full, responsible et non-disclosure.
  • Je sais quand une exception doit etre documentee et revue.

7.1 Remediation et amelioration continue

Cycle PDCA en quatre etapes Plan Do Check Act
Figure 7.1 · PDCA structure la remediation et l'amelioration continue.

Le CISSP doit etablir un processus, appele remediation, pour traiter les findings issus des tests, assessments et audits. Cela mobilise des competences de gestion de projet : prioriser les taches, fixer des timelines et des jalons, suivre l'avancement jusqu'a completion. Les findings d'audit peuvent alimenter d'autres aspects du programme (analyse de risque) : un controle deficient revele un risque mal attenue, ce qui doit declencher une revue du processus de gestion du risque.

Les changements de l'environnement de controle s'inscrivent dans une demarche d'amelioration continue. Le modele le plus repandu est le PDCA (Plan-Do-Check-Act), aussi appele roue de Shewhart ou de Deming, en quatre etapes. Plan : decider ce qui doit etre fait, etablir les objectifs et les processus. Do : executer le plan (a petite echelle). Check : evaluer les resultats (mesures statistiques, observations, evaluations). Act (Adjust) : a partir des phases Do et Check, identifier les causes racines, reevaluer le risque, redefinir la baseline ; puis le cycle recommence.

Le Six Sigma applique un modele proche en cinq etapes (Define, Measure, Analyze, Improve, Control - DMAIC), repete jusqu'au niveau de qualite voulu. Tous les grands frameworks appliquent l'amelioration continue pour mieux aligner la performance des controles sur le risque. La maturite (CMM) procede de la meme logique. Aucun modele unique ne convient a toute organisation : l'adaptation considere culture, gestion du risque, priorisation, conformite et change management. L'amelioration continue est autant un etat d'esprit qu'un processus.

Mots-clés EN Remediation PDCA Six Sigma CMM
Points clés
  • La remediation est un processus de gestion de projet (priorite, jalons, suivi).
  • Un finding peut alimenter l'analyse de risque.
  • PDCA = Plan, Do, Check, Act (roue de Deming/Shewhart).
  • Six Sigma = DMAIC (5 etapes) ; pas de modele universel.

7.2 Exception handling

Le traitement des exceptions s'inscrit dans le cycle d'amelioration
Figure 7.2 · Les exceptions sont temporaires, documentees et revues.

Quand un finding ou un indicateur etablit qu'un controle n'atteint pas le niveau de reduction de risque convenu, la reponse habituelle est d'ameliorer le controle. Dans certaines circonstances, la reponse appropriee est plutot d'ajuster la tolerance au risque pour l'aligner sur la performance du controle. Le processus de change management doit impliquer le system owner pour determiner la bonne marche a suivre.

Quand une evaluation revele un probleme qui ne peut etre remedie, il doit passer par un processus d'exception, calque sur celui des exceptions de politique (utilise quand un systeme ne peut satisfaire une exigence). Les exceptions peuvent etre accordees, mais seulement de maniere temporaire. Si l'on demande une exception permanente, ou si le meme probleme genere des demandes repetees, c'est le signe d'un desalignement avec les objectifs de l'organisation, justifiant une mise a jour des politiques ou des decisions de gouvernance.

Concretement : si la situation est temporaire et que le system owner accepte le risque, le change management documente les circonstances et signale l'exception pour revue a une date ou un evenement convenu. Si le owner refuse le risque additionnel, il doit soit ressourcer le controle supplementaire, soit prendre d'autres mesures couvrant le nouveau niveau de risque. Dans tous les cas, les exceptions doivent etre documentees, autorisees et revues.

Mots-clés EN Exception Risk tolerance System owner Change management
Points clés
  • Controle insuffisant : ameliorer le controle, ou ajuster la tolerance au risque.
  • Les exceptions sont temporaires, jamais par defaut permanentes.
  • Une demande permanente/repetee signale un desalignement (revoir la politique).
  • Toute exception : documentee, autorisee, revue.

7.3 Ethical disclosure des vulnerabilites

Trois postures de divulgation : full, responsible, nondisclosure
Figure 7.3 · Les trois postures de divulgation des vulnerabilites.

Les applications, sites et services web contiennent probablement des vulnerabilites. Une communaute de chercheurs s'attache a les identifier et les signaler de maniere responsable, avant qu'un acteur malveillant ne les exploite : c'est l'ethical ou responsible disclosure. Les organisations dotees de ressources web doivent etre pretes a recevoir ces signalements, souvent imprevus, de personnes externes. Trois postures coexistent.

La full disclosure : qui decouvre une faiblesse la publie le plus vite possible a toutes les parties affectees. Ses partisans estiment que ne pas tout divulguer immediatement laisse des organisations a risque, et que l'embarras public pousse les editeurs a corriger. La responsible disclosure : qui decouvre signale d'abord a l'organisation responsable et lui laisse le temps de corriger avant publication ; le delai fait debat, mais l'idee est soutenue par Linus Torvalds, Microsoft, Google. La nondisclosure : ne pas divulguer, parfois la seule voie legale et ethique, quand des accords (NDA), une enquete en cours, des droits de privacy ou des donnees financieres protegees l'imposent ; les safe harbor programs ont tente de creer des canaux de partage, mais se heurtent au RGPD.

Project Zero (Google, 2014) illustre la responsible disclosure : l'equipe transmet les details a l'editeur et, sans patch sous 90 jours, rend la faiblesse publique ; plus de 95% sont corrigees dans ce delai. Aux Etats-Unis, le Vulnerabilities Equities Process (VEP) arbitre, au cas par cas, la divulgation des vulnerabilites connues des agences. S'y ajoutent le mandatory reporting (obligation legale de signaler certaines circonstances, par ex. crimes impliquant des mineurs) et le whistleblowing (signalement ethique, protege de façon variable selon les juridictions, d'ou l'interet d'une assurance professionnelle). Le professionnel doit clarifier le statut legal du whistleblowing avant toute divulgation.

Mots-clés EN Full disclosure Responsible disclosure Nondisclosure Project Zero VEP Whistleblowing
Points clés
  • Full = tout, tout de suite ; responsible = delai a l'editeur ; nondisclosure = ne pas divulguer.
  • Project Zero = responsible disclosure 90 jours.
  • Nondisclosure parfois seule voie legale (NDA, enquete, RGPD).
  • Mandatory reporting (obligation legale) != whistleblowing (ethique, protege variablement).

Cas d'étude

Cas · Profile discussion (Bank UYT)

Mettre en place l'analyse et le reporting

Contexte : Apres les tests de securite, Prakash doit analyser les resultats et generer des rapports a la Bank UYT, ou aucun processus clair n'existait. Il sollicite son mentor pour structurer remediation, exception handling et ethical disclosure.

Question : Comment Prakash peut-il prioriser la remediation, gerer les exceptions et l'ethical disclosure, et garantir des rapports clairs et actionnables ? (6.4.1-3)

Topics traités Priorisation de la remediationException handlingEthical disclosure et reporting par audience
Voir l'analyse et la correction

Prakash structure la remediation comme un projet : prioriser par le risque, fixer timelines et jalons, suivre jusqu'a completion, et relier les findings a l'analyse de risque. Il instaure un processus d'exception : tout probleme non remediable est documente, autorise par le system owner, accorde temporairement et revu a echeance ; une demande permanente ou repetee declenche une revue de politique. Pour l'ethical disclosure, il prepare l'organisation a recevoir des signalements externes et fixe une posture (responsible disclosure par defaut, nondisclosure si la loi l'impose). Cote reporting, il adapte le niveau de detail a chaque audience, rend les rapports actionnables (findings + recommandations), et s'appuie sur un modele d'amelioration continue (PDCA) pour assurer une reponse rapide et efficace.

À retenir : Prioriser par le risque, documenter et revoir les exceptions, choisir une posture de disclosure, et adapter le reporting a l'audience tout en le gardant actionnable.

Éléments d'apprentissage clés
  • Relier les findings a l'analyse de risque.
  • Exceptions : temporaires, documentees, autorisees, revues.
  • Adapter le detail du rapport a chaque audience, le garder actionnable.
Piège d'examen

PDCA : pas de 'Calculate'

PDCA = Plan, Do, Check, Act. Un piege classique propose 'Calculate' comme etape : c'est faux. Le Six Sigma, lui, utilise cinq etapes (Define, Measure, Analyze, Improve, Control - DMAIC).

Piège d'examen

Aucun test ne corrige : il faut une remediation

Un test, au mieux, identifie un probleme ; il ne le corrige pas. Apres la phase de test vient toujours une remediation. De meme, une exception ne resout pas le risque, elle le formalise temporairement en attendant traitement.

Piège d'examen

Responsible vs full disclosure

Responsible disclosure laisse a l'editeur un delai (Project Zero : 90 jours) avant publication. Full disclosure publie immediatement. Nondisclosure s'impose quand NDA, enquete, privacy ou donnees financieres protegees l'exigent. Ne pas confondre les trois.

Point de contrôle — Verification des acquis

  1. Le PDCA est compose de quatre etapes. Laquelle n'en fait PAS partie ?

    • A Calculate
    • B Plan
    • C Do
    • D Act
    Réponse & justification

    Réponse : A — Calculate

    PDCA = Plan, Do, Check, Act. 'Calculate' n'en fait pas partie. Le Check (evaluer les resultats) est l'etape souvent confondue.

  2. Un chercheur externe signale une faille a l'editeur et lui laisse 90 jours avant toute publication. Quelle posture ?

    • A Responsible disclosure
    • B Full disclosure
    • C Nondisclosure
    • D Mandatory reporting
    Réponse & justification

    Réponse : A — Responsible disclosure

    Signaler a l'editeur et accorder un delai avant publication est la responsible disclosure (modele Project Zero, 90 jours). La full disclosure publie immediatement ; la nondisclosure ne divulgue pas ; le mandatory reporting est une obligation legale de signalement.

Points essentiels à retenir

  • Remediation = projet : prioriser, jalonner, suivre ; les findings nourrissent l'analyse de risque.
  • PDCA (Plan-Do-Check-Act) et Six Sigma (DMAIC) structurent l'amelioration continue.
  • Exceptions : temporaires, documentees, autorisees, revues.
  • Disclosure : full (immediat), responsible (delai), nondisclosure (NDA/loi).
  • Mandatory reporting (legal) et whistleblowing (ethique) completent la disclosure.
Module 8 Objectif 6.5 100 min Avance

Conduire ou faciliter les audits de securite

Prérequis : Modules 1-7 ; rapports SOC du Module 1.

L'audit est l'aboutissement formel de l'evaluation de securite. Ce module couvre les audits internes (chartering, scoping, testing, reporting, remediating avec POA&M), la preparation d'un audit SOC, les audits externes et leurs types, ainsi que les audits tiers, les managed services et la supply chain.

Objectifs pédagogiques

  • Conduire un audit interne selon ses phases.
  • Preparer un audit SOC (phase preparation, phase audit).
  • Identifier les types d'audits externes.
  • Cadrer un audit tiers et l'evaluation des managed services.

Critères de réussite

  • Je cite l'avantage et le risque d'un audit interne.
  • J'ordonne chartering, scoping, testing, reporting, remediating.
  • Je relie POA&M a la remediation des deficiences.

8.1 Audit interne et methodologie

L'audit comme revue formelle exigeant l'independance
Figure 8.1 · L'audit interne : familier mais a surveiller pour l'independance.

Assessments et audits peuvent etre conduits en interne ou par des tiers independants. Un evaluateur independant donne plus de confiance dans les opinions, attestations et findings. L'audit interne vise a determiner si les controles repondent aux attentes de risque de l'organisation ; il aide aussi a ameliorer l'efficacite operationnelle et a preparer les audits externes. Il est souvent conduit par l'organisation elle-meme (self-assessment), ce qui exige rigueur et volonte de poser des questions difficiles - beaucoup d'organisations victimes de breaches decouvrent que leur culture n'encourageait pas cette introspection.

Avantage de l'audit interne : la familiarite des auditeurs avec processus, outils et personnel. Mais cette familiarite est aussi un risque : on peut negliger involontairement des problemes, et l'auditeur interne peut manquer d'independance pour une evaluation objective (tentation de minimiser un probleme majeur qui affecterait la performance ou les relations). Certaines organisations gardent les auditeurs dans une equipe separee ; pour les plus petites, ce n'est pas toujours faisable.

La methodologie suit des phases. Chartering : le management sponsorise et ressource l'evaluation. Scoping : le management determine profondeur, ampleur, calendrier, format de reporting et qui realise le travail (le stakeholder engagement et le risk assessment sont menes tout du long). Testing : conduite des controles physiques, techniques et administratifs (vulnerability assessment, penetration testing). Reporting : le rapport sert de benchmark, d'outil correctif ou d'artefact pour l'audit externe ; le niveau de detail s'adapte a l'audience, la divulgation reste de la responsabilite du management, et les artefacts sont proteges. Remediating : associer les resultats a l'action corrective ; aux Etats-Unis, le Plan of Action and Milestones (POA&M) tracte la faiblesse, la remediation proposee, les ressources et le calendrier (NIST SP 800-37).

Mots-clés EN Internal audit Self-assessment Chartering POA&M
Points clés
  • Audit interne : avantage = familiarite ; risque = manque d'independance.
  • Phases : chartering, scoping, testing, reporting, remediating.
  • Le management fixe le scope ; la divulgation lui incombe.
  • POA&M trace faiblesse, remediation, ressources, calendrier (NIST 800-37).

8.2 Preparer et conduire un audit SOC

Rapports SOC vises par un audit SOC en deux phases
Figure 8.2 · Un premier audit SOC : preparation (readiness) puis audit formel.

Pour un prestataire de services n'ayant jamais ete audite, la preparation d'un premier examen SOC suit typiquement deux phases. Le security professional joue ici un role cle de conseil et d'execution.

La phase de preparation (audit preparation phase) commence par familiariser la direction et les personnes cles avec le processus et le but des examens SOC. L'equipe procede ensuite comme pour tout projet majeur : etablir clairement calendrier, scope et criteres de succes ; determiner les controles dans le scope de l'examen, inventorier les controles actuels et identifier les manquants ; inventorier la documentation ; utiliser des techniques de gap analysis (readiness review) pour identifier et prioriser les problemes ; developper et executer des recommandations pour resoudre les ecarts ; verifier la resolution ; et etablir l'approche d'audit et de reporting la plus adaptee aux besoins externes.

La phase d'audit (audit phase) demarre une fois la preparation achevee : l'organisation est prete pour son premier audit formel. Avoir des auditeurs externes examinant l'organisation en detail peut etre perturbant ; une bonne planification reduit cette perturbation. Elle requiert une solide gestion de projet : batir un plan d'audit detaille ; collecter a l'avance tous les artefacts requis ; fournir acces, espaces de travail et salles ; planifier reunions d'introduction, revues d'avancement et outbriefings ; conduire les tests requis et fournir les artefacts ; laisser aux auditeurs le temps d'analyser hors site ; resoudre les obstacles de maniere collaborative ; fournir les versions brouillon et finale du rapport pour revue par le management ; et conduire une revue post-audit (lessons learned) pour le cycle suivant.

Mots-clés EN Audit preparation phase Gap analysis Audit phase Lessons learned
Points clés
  • Premier SOC : deux phases (preparation puis audit).
  • Preparation : readiness review et gap analysis pour combler les ecarts.
  • Audit : forte gestion de projet, artefacts collectes a l'avance.
  • Cloturer par une revue lessons learned.

8.3 Audits externes : types et conduite

Standards de conformite audites par les audits externes
Figure 8.3 · L'audit externe mesure la conformite a un standard impose.

Un audit externe est une evaluation par un tiers demontrant que les controles de l'organisation respectent un standard de conformite - standard qui impose des consequences en cas de non-respect (penalites financieres, sanctions penales, limitations d'activite). Les audits externes sont reguliers (risque, gouvernance, finances) et emploient une organisation independante sans conflit d'interets ; parfois c'est l'organe de conformite qui audite. Dans tous les cas, l'organisation auditee est responsable de demontrer sa conformite. Les audits externes sont souvent obligatoires pour la conformite reglementaire ; leur avantage est d'etre approfondis et impartiaux, avec des auditeurs aux competences specialisees (ex. SOC 2 sous SSAE 18).

Le chartering releve de l'organe de gouvernance de l'auditee, qui fixe le calendrier, le scope, les ressources et les responsables de coordination. Le scope et les objectifs dependent du type d'audit et du standard. Les types les plus courants : compliance audits (tester des controles specifiques vs un standard), financial audits (exactitude du reporting financier), operational audits (controles internes d'un processus), information systems audits (controles du developpement et de l'exploitation des SI), integrated audits (operationnel + financier), forensic audits (decouvrir et rapporter fraude ou activite criminelle).

Deroulement : l'auditee connait a l'avance le standard applique, ce qui permet de preparer le support. Le pre-audit planning identifie competences et ressources, prepare une audit checklist (zones a investiguer, artefacts, personnes a interviewer, calendrier) partagee avec l'auditee pour combler les manques. L'audit execution collecte les artefacts, mene les tests et interviews (sur site et a distance). L'audit reporting analyse et compile un draft report partage avec l'auditee pour corriger erreurs et omissions, avant la presentation des resultats finaux. L'auditeur doit disposer de l'expertise suffisante, quitte a engager un tiers pour des tests specialises (autorise par l'audit charter).

Mots-clés EN External audit Compliance audit Forensic audit Integrated audit Audit checklist
Points clés
  • Audit externe : independant, approfondi, souvent obligatoire ; l'auditee prouve sa conformite.
  • Types : compliance, financial, operational, IS, integrated, forensic.
  • Pre-audit planning + audit checklist partagee avec l'auditee.
  • Le draft report est revu avec l'auditee avant les resultats finaux.

8.4 Audits tiers, managed services et supply chain

Rapport SOC 2 demande a un tiers pour evaluer ses controles
Figure 8.4 · Demander un SOC 2 a un tiers evalue ses controles de securite.

Les relations tierces couvrent supply chains et prestataires : CSP, ISP, managed security services, consultants, mais aussi vendors de materiel/logiciel (consideres comme partie de la supply chain). L'audit tiers est un outil cle de gestion du risque : le security practitioner peut conduire l'audit ou demander un rapport d'audit au tiers. L'objectif partage est d'identifier les risques lies au tiers susceptibles d'impacter votre organisation et d'evaluer l'efficacite des attenuations. Exemples courants : SOC 2 et CSA STAR. Auditer les pratiques de tiers ayant acces a vos donnees sensibles est vital, car de nombreuses lois de privacy tiennent le data controller legalement responsable d'une breach, meme causee par un data processor (ex. un cloud).

Deux processus doivent conduire a identifier et caracteriser tous les tiers (risque, conformite, ou les deux). Les termes des contrats doivent etablir les responsabilites de securite et de conformite ; sinon, ce manque doit etre comble, contrats renegocies. Un tiers peut avoir lui-meme des relations (ses propres prestataires ou clients) : la first party doit identifier le mix de risque et de conformite et le resoudre avec le tiers.

Les managed services confient a un tiers la responsabilite de tout ou partie d'un ensemble de fonctions. Le security professional intervient sur deux fronts : ceux qui delivrent des services IT/securite (identity, incident response, BC/DR) et ceux qui, sur d'autres services, ont un acces partage aux actifs de l'organisation. Idealement, un contrat et un SLA etablissent une relation cooperative donnant visibilite sur les audits du fournisseur et permettant vos propres tests. Au minimum, les SLA doivent accorder une information de niveau resume sur les audits de securite. Enfin, les organisations existent aussi dans la supply chain d'autres : les principes de supply chain management s'appliquent en amont (suppliers) et en aval (customers) ; la serie ISO 28000 adresse le management de la securite de la supply chain. La collecte de preuves (field work) se fait en personne ou a distance, sur des actifs on-premises, cloud ou hybrides, le modele de responsabilite partagee precisant qui repond de quels controles (ex. securite physique des data centers du fournisseur d'infrastructure).

Mots-clés EN Third-party audit Data controller Managed services ISO 28000 Shared responsibility
Points clés
  • Audit tiers : conduire l'audit ou exiger un rapport (SOC 2, CSA STAR).
  • Le data controller reste responsable d'une breach causee par un processor.
  • Managed services : exiger au minimum un resume des audits de securite (SLA).
  • Supply chain amont/aval ; ISO 28000 ; modele de responsabilite partagee.

Cas d'étude

Cas · Profile discussion (Bank UYT)

Engager des auditeurs externes pour un audit integre

Contexte : Le conseil d'administration de la Bank UYT informe Prakash qu'un audit externe integre des controles operationnels et financiers doit etre charte prochainement.

Question : Quels criteres pour selectionner les auditeurs, comment aligner l'audit sur les objectifs de securite, et comment gerer les findings ? (6.5.2, 6.5.3)

Topics traités Selection des auditeurs (independance, competences)Alignement audit / objectifs de securiteGestion des findings et remediation (POA&M)
Voir l'analyse et la correction

Criteres de selection : independance (aucun conflit d'interets), competences specialisees (un audit integre combine controles operationnels et financiers ; pour un SOC 2, l'expertise SSAE 18 est requise), reputation, et capacite a couvrir le scope defini par le conseil. Pour aligner l'audit sur les objectifs de securite, Prakash participe au chartering et au scoping (le conseil fixe calendrier, scope, ressources, coordinateurs), prepare une audit checklist partagee avec les auditeurs, collecte les artefacts a l'avance, et veille a ce que le standard applique corresponde aux risques de la banque. Pour gerer les findings : revoir le draft report avec les auditeurs afin de corriger erreurs et omissions, puis structurer la remediation (priorisation par le risque, POA&M, jalons) et alimenter l'amelioration continue, renforçant la resilience globale.

À retenir : Choisir des auditeurs independants et qualifies (SSAE 18 pour SOC 2) ; cadrer via charter/scope/checklist ; revoir le draft puis remedier par POA&M.

Éléments d'apprentissage clés
  • L'independance et la specialisation priment dans le choix d'un auditeur externe.
  • Le draft report se revoit avec l'auditee avant finalisation.
  • La remediation s'organise via un POA&M priorise par le risque.
Piège d'examen

L'inconvenient de l'audit interne

Le principal inconvenient de l'audit interne est le manque d'independance : la familiarite avec l'organisation peut inciter a minimiser un probleme majeur (pour ne pas nuire a la performance ou aux relations). La familiarite, l'identification efficace des problemes sont au contraire des avantages.

Piège d'examen

Tiers : SOC 2 Type II pour un fournisseur critique

Pour un fournisseur integral aux operations, une strategie d'audit tiers robuste envisage de recourir a des auditeurs tiers, par exemple via un rapport SOC 2 Type II, qui apporte un eclairage independant sur l'efficacite de ses controles. Ne pas se limiter aux ressources internes ni aux seuls fournisseurs reglementes.

Point de contrôle — Verification des acquis

  1. Quel est un inconvenient potentiel des audits internes ?

    • A L'incitation a minimiser les problemes majeurs
    • B Le manque de familiarite avec processus et personnel
    • C L'identification efficace des problemes potentiels
    • D Une independance excessive vis-a-vis de l'organisation
    Réponse & justification

    Réponse : A — L'incitation a minimiser les problemes majeurs

    Du fait de leur familiarite avec l'organisation, les auditeurs internes peuvent manquer d'independance, ce qui cree une incitation a minimiser un probleme majeur. La familiarite et l'identification efficace des problemes sont au contraire des avantages.

  2. Pour un fournisseur critique a vos operations, quelle est une bonne strategie d'audit tiers ?

    • A Recourir a des auditeurs tiers, par exemple via un rapport SOC 2 Type II
    • B N'auditer qu'avec des ressources internes
    • C Limiter les audits aux fournisseurs de services reglementes
    • D Se fier exclusivement aux rapports des parties prenantes internes
    Réponse & justification

    Réponse : A — Recourir a des auditeurs tiers, par exemple via un rapport SOC 2 Type II

    Recourir a des auditeurs tiers, notamment via un SOC 2 Type II, apporte un eclairage independant sur l'efficacite des controles du fournisseur. Se limiter aux ressources internes, aux seuls fournisseurs reglementes ou aux rapports internes ne donne pas une evaluation complete.

Points essentiels à retenir

  • Audit interne : familiarite (avantage) vs independance (risque) ; phases chartering->remediating.
  • POA&M trace faiblesse, remediation, ressources, calendrier.
  • Premier audit SOC : phase de preparation (readiness/gap analysis) puis phase d'audit.
  • Audit externe : independant, types compliance/financial/operational/IS/integrated/forensic.
  • Audit tiers : SOC 2/CSA STAR ; le data controller reste responsable ; ISO 28000 pour la supply chain.

Synthèse du domaine

La security assessment and testing est une composante essentielle de tout programme de securite reussi : structurer la pratique d'evaluation, soutenir les audits et conduire des controls assessments significatifs maintiennent l'activite dans un niveau de risque acceptable.

Le nombre et la diversite des frameworks ne cessent de croitre. Selectionner un framework adapte au processus metier est une bonne pratique, mais le framework n'est jamais un substitut a l'analyse : ce n'est pas une checklist qui, une fois cochee, rend l'organisation sure.

Plusieurs techniques se combinent : vulnerability scanning (outils automatises identifiant les vulnerabilites connues), penetration testing (exploitation controlee pour mesurer l'efficacite des controles) et social engineering (manipulation psychologique pour tester la vigilance des utilisateurs). S'y ajoutent code review (SAST/DAST), synthetic transactions et RUM, misuse et negative testing, breach and attack simulation.

La collecte des donnees de processus (account management, KPI/KRI, backups, SETA, BC/DR) alimente la decision data-driven. L'analyse des resultats pilote la remediation, l'exception handling et l'ethical disclosure via des modeles d'amelioration continue (PDCA, Six Sigma). Enfin, les audits internes, externes et tiers - et la lecture des rapports SOC - donnent l'assurance formelle attendue par les parties prenantes.

Il est vital de conduire des evaluations regulieres et d'utiliser leurs resultats pour prioriser la remediation et ameliorer les controles.

Glossaire (Terms & Definitions)

Les termes-clés du Domaine 6, à maîtriser en anglais pour l'examen.

TermeDéfinition
ArtifactPièce de preuve (texte ou référence à une ressource) soumise pour étayer une réponse à une question d'évaluation.
AssessmentTest ou évaluation des contrôles d'un système ou d'une organisation pour déterminer s'ils sont correctement implémentés, opèrent comme prévu et produisent le résultat attendu vis-à-vis des exigences de sécurité ou de privacy.
Audit / AuditingProcessus de revue d'un système pour vérifier sa conformité à un standard ou un baseline ; peut être formel et indépendant, ou informel avec du personnel interne.
Chaos EngineeringDiscipline consistant à expérimenter sur un système logiciel en production pour bâtir la confiance dans sa capacité à résister à des conditions turbulentes et imprévues.
Compliance CalendarCalendrier qui suit les audits, évaluations et dépôts réglementaires d'une organisation, avec leurs échéances et détails associés.
Compliance TestsÉvaluation qui fournit l'assurance que les contrôles d'une organisation sont appliqués conformément aux politiques et procédures du management.
Ethical Penetration Testing / Penetration TestingMéthode de test où les testeurs tentent activement de contourner ou vaincre les fonctions de sécurité d'un système ; le penetration testing éthique reste, par contrat, dans des rules of engagement (RoE) définies.
ExaminationProcessus de revue, inspection, observation, étude ou analyse d'objets d'évaluation (spécifications, mécanismes, activités) pour faciliter la compréhension, obtenir des clarifications ou des preuves.
Finding(s)Résultats d'évaluation produits par l'application d'une procédure d'évaluation à un contrôle de sécurité pour atteindre un objectif d'évaluation.
Interview(s)Technique d'évaluation consistant à mener des discussions avec des individus ou groupes de l'organisation pour faciliter la compréhension, obtenir des clarifications ou des preuves.
Judgmental SamplingAussi appelée purposive ou authoritative sampling : technique d'échantillonnage non probabiliste où les éléments sont choisis selon la connaissance et le jugement du chercheur.
Misuse Case TestingStratégie de test du point de vue d'un acteur hostile au système, utilisant des suites d'actions délibérément choisies pouvant provoquer des défaillances d'intégrité ou compromissions de sécurité.
Plan of Action and Milestones (POA&M)Document identifiant les tâches à accomplir, les ressources requises, les jalons et leurs dates d'achèvement prévues.
Rules of Engagement (RoE)Ensemble de règles, contraintes et conditions fixant les limites de ce que les participants peuvent ou non faire ; en penetration testing, elles définissent la portée et les limitations de responsabilité.
Statistical SamplingProcessus de sélection de sous-ensembles d'exemples dans une population afin d'estimer les propriétés de la population totale.
Substantive TestTechnique de test utilisée par les auditeurs pour obtenir des preuves d'audit étayant leur opinion.
TestingProcessus consistant à exercer un ou plusieurs objets d'évaluation sous conditions spécifiées afin de comparer le comportement réel au comportement attendu.
Trust Services Criteria (TSC)Critères utilisés par un auditeur pour évaluer la conception et l'efficacité opérationnelle des contrôles liés à la sécurité, disponibilité, intégrité de traitement, confidentialité ou privacy (rapports SOC 2).
SOC 1 ReportRapport d'organisme de service (SSAE 18 / ISAE 3402) portant sur les contrôles pertinents pour le reporting financier des entités clientes.
SOC 2 ReportRapport sur les contrôles d'un organisme de service évalués selon les Trust Services Criteria ; usage restreint, fourni à l'organisation cliente et ses auditeurs.
SOC 3 ReportVersion publique et synthétique d'un rapport SOC 2, librement distribuable, sans le détail des tests ni des résultats.
Type I ReportRapport SOC évaluant la conception (suitability of design) des contrôles à un instant précis (point in time).
Type II ReportRapport SOC évaluant la conception ET l'efficacité opérationnelle des contrôles sur une période (généralement 6 à 12 mois) ; un SOC 2 Type II est exigé pour les fournisseurs critiques.
AttestationDéclaration d'un auditeur indépendant sur la fiabilité d'une assertion du management (ex : conformité des contrôles), fondée sur des preuves recueillies.
Vulnerability ScanningUsage automatisé d'outils pour identifier les vulnérabilités connues d'un système ; détecte aussi les protocoles non sécurisés (ex : FTP).
Vulnerability AssessmentTâche essentielle d'évaluation de la sécurité d'un système : identifier les vulnérabilités puis analyser leur impact selon la configuration propre à l'organisation.
Penetration Testing (Black / White / Grey Box)Pen test selon le niveau de connaissance fourni : black box (aucune info), white box (info complète, code/architecture), grey box (connaissance partielle).
Red TeamÉquipe simulant un attaquant malveillant pour identifier des vulnérabilités, exploiter des faiblesses et évaluer la posture de sécurité de l'organisation.
Blue TeamÉquipe défensive chargée de détecter, contrer et répondre aux actions de la red team, et de renforcer les contrôles de sécurité.
Purple TeamDémarche collaborative reliant red et blue teams pour maximiser le partage de retours et l'amélioration continue des défenses.
Social EngineeringTechnique utilisant des tactiques psychologiques pour tromper les utilisateurs et les amener à divulguer des informations confidentielles ou à compromettre la sécurité.
Breach and Attack Simulation (BAS)Plateforme automatisée qui rejoue en continu des scénarios d'attaque réalistes pour valider l'efficacité des contrôles de détection et de prévention.
Static Application Security Testing (SAST)Analyse de sécurité du code source ou binaire sans exécution (white box), pour repérer les vulnérabilités tôt dans le cycle de développement.
Dynamic Application Security Testing (DAST)Test de sécurité de l'application en cours d'exécution (black box), sondant les interfaces exposées pour détecter des failles exploitables.
Interactive Application Security Testing (IAST)Test hybride combinant instrumentation interne (comme SAST) et exécution en cours de fonctionnement (comme DAST) pour une détection plus précise.
FuzzingTechnique injectant des données malformées, aléatoires ou inattendues en entrée pour provoquer des défaillances et révéler des vulnérabilités.
Code ReviewExamen manuel ou assisté du code source par des pairs pour détecter des défauts de sécurité, de logique ou de qualité avant déploiement.
Test Coverage AnalysisMesure de la proportion de code ou d'exigences réellement exercée par les tests, afin d'identifier les zones non testées.
Regression TestingRe-test après modification pour vérifier qu'une correction ou évolution n'a pas réintroduit de défauts ni brisé des fonctions existantes.
Interface TestingTest des points d'échange entre composants, systèmes ou API (ex : interfaces réseau, applicatives, physiques) pour valider leur bon fonctionnement.
Misuse CaseCas d'usage négatif décrivant comment un acteur hostile abuserait du système, utilisé pour dériver des exigences et tests de sécurité.
Synthetic TransactionsTransactions scriptées et rejouées automatiquement contre une application pour mesurer disponibilité et performance de manière proactive.
Real User Monitoring (RUM)Surveillance passive des interactions réelles des utilisateurs avec une application pour mesurer performance et expérience vécue.
Log ReviewAnalyse des journaux système, applicatifs et de sécurité pour détecter anomalies, incidents et écarts de conformité.
Account Management ReviewRevue périodique des comptes et de leurs droits pour confirmer le least privilege, détecter les comptes orphelins et les accès excessifs.
Backup VerificationVérification que les sauvegardes existent, sont intègres et restaurables, généralement via des tests de restauration réguliers.
Management ReviewRevue formelle par la direction des résultats d'évaluation, KPI/KRI et de l'efficacité du SMSI pour orienter les décisions et ressources.
Key Performance Indicator (KPI)Indicateur rétrospectif mesurant l'atteinte d'objectifs de performance (ex : taux de correction des vulnérabilités dans les délais).
Key Risk Indicator (KRI)Indicateur prospectif signalant l'évolution du niveau de risque pour anticiper un dépassement de l'appétence au risque.
Internal AuditAudit réalisé par le personnel interne ; exige des compétences suffisantes et des ressources/temps alloués, mais reste moins indépendant qu'un audit externe.
External AuditAudit mandaté auprès d'un organisme indépendant sans conflit d'intérêts, portant sur le risque, la gouvernance ou la situation financière.
Third-Party AuditStratégie d'audit couvrant tout tiers influant sur les opérations ou traitant des données sensibles ; peut s'appuyer sur un rapport SOC 2 Type II du fournisseur.
Self-AssessmentÉvaluation interne exigeant rigueur organisationnelle et introspection ; les organisations efficaces suivent une méthodologie cohérente.
Security Control TestingÉvaluation d'un contrôle par combinaison de testing, examination et interview, voire modélisation et simulation, de façon cohérente, structurée et reproductible.
NIST SP 800-53AGuide NIST des procédures d'évaluation des contrôles de sécurité et privacy du SP 800-53, définissant les méthodes test/examination/interview.
ISO/IEC 27001Norme internationale de certification définissant les exigences d'un système de management de la sécurité de l'information (SMSI).
ISO/IEC 27002Code de bonnes pratiques fournissant des recommandations détaillées de mise en oeuvre des contrôles de sécurité de l'information.
PCI DSSStandard de sécurité des données pour les acteurs traitant des cartes de paiement ; exige scans de vulnérabilités et tests d'intrusion réguliers.
Common Vulnerabilities and Exposures (CVE)Référentiel public attribuant un identifiant unique à chaque vulnérabilité connue divulguée publiquement.
Common Vulnerability Scoring System (CVSS)Cadre standardisé notant la gravité d'une vulnérabilité de 0 à 10 via des métriques de base, temporelles et environnementales.
False PositiveAlerte signalant à tort une vulnérabilité ou un incident inexistant, consommant des ressources de triage.
False NegativeÉchec à détecter une vulnérabilité ou un incident réel, situation la plus dangereuse car le risque reste invisible.
Compensating ControlContrôle alternatif réduisant le risque lorsque le contrôle principal est impraticable (ex : segmentation réseau pour limiter l'usage de FTP).
Risk AssessmentÉvaluation identifiant les actifs d'une organisation puis mesurant la vraisemblance et l'impact des risques pouvant les affecter.
Modeling and SimulationMéthode d'évaluation combinant modélisation, simulation et analyse de données opérationnelles pour estimer la performance d'un contrôle.

Points essentiels du domaine

Ce qu'il faut absolument retenir

  • La security assessment and testing evalue l'efficacite des controles et identifie les vulnerabilites.
  • Elle combine plusieurs techniques : vulnerability scanning, penetration testing, social engineering, code review.
  • Le vulnerability scanning automatise l'identification des vulnerabilites connues.
  • Le penetration testing exploite des vulnerabilites en environnement controle pour mesurer les controles.
  • Le social engineering teste le facteur humain (phishing, pretexting).
  • Des evaluations regulieres garantissent la detection des nouvelles vulnerabilites et l'efficacite continue.
  • Les resultats servent a prioriser strategiquement la remediation et a renforcer les controles.
  • Le testing est une methode de collecte d'information : il peut servir un audit, un assessment, ou fonctionner seul.

Pour aller plus loin