À la fin de ce cours, vous saurez
- Distinguer assessment, testing et audit, et choisir formal vs informal, interne vs externe vs tiers.
- Selectionner frameworks et standards (NIST RMF, CSF, ISO 27000, SOC/SSAE 18, PCI DSS).
- Conduire un vulnerability assessment et un penetration testing ethique (RoE, box testing, red/blue/purple).
- Choisir la bonne technique de test logiciel : SAST/DAST, misuse case, negative, coverage, interface.
- Collecter les donnees de processus : account management, KPI/KRI, backups, SETA, tests BC/DR.
- Gerer remediation, exceptions et ethical disclosure ; lire un rapport SOC.
Prérequis : Domaine 1 (gestion du risque, due care/due diligence, gouvernance), Domaine 5 (IAM, comptes, AAA) et notions du Domaine 8 (SDLC) facilitent la lecture. Aucun prerequis technique avance.
Parcours conseillé
Parcours conseille en 4 sessions de 3 a 4 h sur 2 a 3 semaines. Refaire les checkpoints avant de passer a la session suivante, puis le quiz complet (150+ Q) en revision finale.
-
Session 1 - Strategies et methodes
MODULE 1 · MODULE 2
Assessment/audit/testing, SOC, methodes, logs, sampling.
-
Session 2 - Tests offensifs et logiciels
MODULE 3 · MODULE 4
Vulnerability assessment, pentest, SAST/DAST, coverage, interface.
-
Session 3 - Donnees de processus
MODULE 5 · MODULE 6
Account management, KPI/KRI, backups, SETA, tests BC/DR.
-
Session 4 - Analyse et audits
MODULE 7 · MODULE 8
Remediation, PDCA, ethical disclosure, audits internes/externes/tiers, SOC.
Strategies d'evaluation, de test et d'audit
Prérequis : Notions de risque et de conformite du Domaine 1.
Avant de tester quoi que ce soit, l'organisation doit se doter d'une strategie formelle d'evaluation de son environnement de controle. Ce module pose le vocabulaire (assessment, audit, test, finding), les types (formal/informal), les perspectives (internal/external) et les standards qui structurent la pratique, dont la famille des rapports SOC.
1.1 Assessment, audit, testing : trois mots, trois realites
Le vocabulaire de l'evaluation prete a confusion car des metiers differents emploient des termes proches. Trois notions doivent etre nettes.
Un assessment est une evaluation large des controles au regard des attentes du management. Sa portee, son calendrier et son reporting sont fixes par le management ; il precede souvent un audit pour reperer et corriger les faiblesses.
Un audit est une revue structuree d'informations, d'observations et de donnees pour mesurer la conformite a un standard defini. Les preuves examinees s'appellent des artifacts (log, politique, resultat d'interview). L'audit formel exige des evaluateurs independants, exterieurs a la chaine de management responsable du systeme : cette independance garantit l'absence d'influence indue qui fausserait le jugement.
Un test (testing) compare le comportement reel d'un systeme, d'un processus ou d'une activite, dans des conditions definies, a son comportement attendu. Le test est une brique qui peut servir un assessment ou un audit, mais aussi fonctionner seul comme monitoring de securite. Point cle : il faut definir la performance attendue AVANT de tester, sinon on ne peut pas conclure.
Enfin, une evaluation est formal (vs un standard legal, reglementaire ou contractuel, par des independants) ou informal (pour obtenir des observations et un apercu, sans visee directe de conformite). L'informal sert souvent a donner au management un avant-gout de ce qu'un audit formel revelerait.
- Assessment = large et pilote management ; Audit = formel vs standard, independant ; Testing = execution, brique reutilisable.
- L'independance est l'exigence centrale d'un audit credible.
- Definir l'attendu avant le test, sinon pas de conclusion possible.
- Formal = conformite vs standard ; informal = observations sans visee directe.
1.2 Anatomie d'un finding et perspectives de test
Le resultat d'un audit se presente sous forme de findings, compiles dans un rapport remis a l'organisation commanditaire. Un finding type comporte cinq elements : Condition (ce que l'audit a constate), Criteria (le standard de mesure), Cause (pourquoi l'ecart existe), Effect (l'ecart et son importance) et Recommendation (l'action corrective). La precision du finding depend de l'integrite des artifacts : ils doivent refleter l'etat reel du controle au regard de son objectif.
Le test se mene selon une perspective interne ou externe. Le test interne suppose l'identite d'un insider de confiance ou d'un attaquant ayant deja franchi le perimetre (cf. NIST SP 800-115) ; il couvre configuration applicative, authentification, controle d'acces et hardening, et peut inclure de l'escalade de privileges. Les menaces internes restent une source majeure de compromission. Le test externe adopte le point de vue d'un individu non fiable hors du perimetre, pour reperer les faiblesses exploitables de l'exterieur.
Regle pratique : si externe ET interne sont prevus, executer l'externe d'abord, car l'information disponible pour le test interne est generalement plus riche. La distinction interne/externe s'estompe avec le zero trust et la deperimeterisation, qui appliquent les controles selon les seuls privileges necessaires a une tache.
- Finding = Condition + Criteria + Cause + Effect + Recommendation.
- Test interne = insider ; test externe = outsider non fiable.
- Si les deux : externe d'abord (l'interne dispose de plus d'info).
- Zero trust et deperimeterisation brouillent la frontiere interne/externe.
1.3 Standards et frameworks d'evaluation
Standards et frameworks entretiennent un cercle vertueux avec les lois et les attentes du marche : tous incitent aux bonnes pratiques. Plusieurs reperes structurent l'evaluation de securite.
NIST Risk Management Framework (RMF, SP 800-37 Rev. 2) sert de reference pour les agences federales US et nombre de leurs contractants. Deux compagnons utiles : SP 800-53 Rev. 5 (controles de securite et de privacy) et SP 800-171 (protection de l'information non classifiee controlee chez les non-federaux).
NIST Cybersecurity Framework (CSF) offre un modele de maturite volontaire, pilote par le risque, plus simple et incremental ; il met l'accent sur la detection d'un incident. ISO 27000 sert de cadre d'audit pour evaluer un ISMS et est largement adopte hors des Etats-Unis.
Enfin, le cadre AICPA d'evaluation des controles, connu par ses rapports SOC, evalue une organisation au regard des Trust Services Criteria. Au-dela, beaucoup d'organisations relevent de plusieurs frameworks sectoriels a la fois : PCI DSS (cartes), IEC 62443 (controle industriel), Cyber Essentials (UK), NERC CIP (infrastructures critiques US), CSA STAR (cloud), SWIFT CSCF (finance). Le NCSC britannique propose en outre 12 principes de securite de la supply chain (comprendre les risques, etablir le controle, verifier, amelioration continue).
- RMF (800-37) + 800-53 (controles) + 800-171 (CUI non-federal).
- CSF = volontaire, maturite, accent sur la detection.
- ISO 27000 = audit d'ISMS, fort hors US.
- Sectoriels : PCI DSS, IEC 62443, NERC CIP, CSA STAR, SWIFT, Cyber Essentials.
- NCSC : 12 principes de securite supply chain.
1.4 Rapports SOC : 1, 2, 3 et Cybersecurity
Le cadre SOC (Service Organization Control), defini par la norme SSAE 18 (partiellement mise a jour par SSAE 20), permet a un prestataire d'attester de ses controles aupres de ses clients. Quatre rapports, a ne pas confondre.
SOC 1 atteste des controles internes sur le reporting financier (ICFR). Il ne peut pas couvrir disaster recovery ni privacy.
SOC 2 (aussi appele rapport Trust Services Criteria) evalue les controles de securite selon cinq criteres : Security, Availability, Processing Integrity, Confidentiality, Privacy (mnemo CIANA+P). Il est confidentiel et peut ne couvrir qu'un sous-ensemble des criteres selon les besoins du prestataire.
SOC 3 fournit un resume public et moins technique d'un SOC 2 : c'est une vitrine diffusable, souvent sur le site du fournisseur.
SOC for Cybersecurity cible specifiquement le programme de cybersecurite (plans, processus, services) sur la base des TSC 2017.
Deux types s'appliquent aux SOC 1 et SOC 2. Type I evalue la conception (suitability of design) des controles a un instant T : c'est une expression de due care. Type II evalue en plus l'efficacite operationnelle des controles sur une periode (generalement 6 a 12 mois) : c'est l'expression de la due diligence. SOC 2 Type II est generalement prefere, et c'est le rapport a demander a un fournisseur tiers integral aux operations. SOC 3 et SOC for Cybersecurity sont de type unique.
- SOC 1 = finance (ICFR) ; SOC 2 = securite (TSC, confidentiel) ; SOC 3 = resume public.
- SOC 1 ne couvre ni DR ni privacy.
- Type I = conception (instant T, due care) ; Type II = efficacite (periode, due diligence).
- Pour un tiers critique : demander un SOC 2 Type II.
- TSC = Security, Availability, Processing Integrity, Confidentiality, Privacy.
1.5 Trust Services Criteria et normes d'attestation
Les Trust Services Criteria (TSC) sont les criteres utilises par l'auditeur pour evaluer la pertinence de la conception et l'efficacite operationnelle des controles relatifs a la securite, la disponibilite, l'integrite de traitement, la confidentialite et la privacy. Developpes par l'AICPA et le CICA, ils ont ete realignes en 2017 sur les 17 principes du framework COSO. Le critere Security est le critere commun obligatoire ; les autres sont ajoutes selon les besoins du prestataire.
Cote normes d'attestation, l'AICPA emet les SSAE, standards de conformite que les auditeurs certifies appliquent quand une organisation les engage pour attester de ses controles. L'ancienne SAS 70 (Type I et Type II) a ete remplacee par SSAE 16 puis SSAE 18, en s'inspirant de la norme internationale ISAE 3402. Un rapport SSAE 18 / ISAE 3402 comporte typiquement cinq sections : l'opinion de l'auditeur, l'attestation ecrite par l'organisation, la description des controles et objectifs, les tests d'efficacite operationnelle, et les informations complementaires.
Leçon de la SAS 70 : elle etait conçue pour l'ICFR, mais beaucoup l'ont detournee pour des besoins de securite, disponibilite et privacy. Les rapports SOC clarifient desormais l'usage. Enfin, la collecte de preuves (field work) peut se faire sur site ou a distance, sur des actifs on-premises, cloud ou hybrides ; le modele de responsabilite partagee du cloud aide a determiner qui est responsable de quel controle.
- TSC alignes sur les 17 principes COSO (2017) ; Security est obligatoire.
- SAS 70 -> SSAE 16 -> SSAE 18 ; ISAE 3402 = pendant international.
- Un rapport SSAE 18 a 5 sections (opinion, assertion, controles, tests, complements).
- SAS 70 detournee : conçue ICFR, utilisee a tort pour la securite.
- Cloud : le modele de responsabilite partagee fixe qui repond de chaque controle.
Cas d'étude
Internal, external et third-party : comment prioriser ?
Contexte : A la Bank UYT, le CISO demande a Prakash d'expliciter les considerations a retenir pour concevoir des strategies de test interne, externe et l'engagement d'evaluateurs tiers, au regard de services financiers varies.
Question : Comment prioriser chaque type d'evaluation selon la criticite des differents systemes et services ? (6.1.1-3)
Voir l'analyse et la correction
La priorisation suit le risque. Les systemes les plus critiques (paiement, donnees clients regulees) justifient le niveau d'assurance le plus eleve : test externe d'abord (vue attaquant), puis test interne (vue insider, plus riche en information), et un rapport tiers independant (ex. SOC 2 Type II) pour les fournisseurs integraux aux operations. Les systemes moins sensibles peuvent se contenter d'assessments internes plus frequents et moins formels. L'independance croit avec la criticite et l'enjeu de conformite : un audit credible exige des evaluateurs hors de la chaine de management du systeme.
À retenir : Prioriser par le risque ; reserver l'independance maximale (tiers, SOC 2 Type II) aux systemes et fournisseurs les plus critiques.
- Externe d'abord, puis interne (l'interne dispose de plus d'info).
- Plus le systeme est critique, plus l'independance requise est forte.
- SOC 2 Type II = preuve d'efficacite des controles d'un tiers.
Quels standards retenir pour une banque ?
Contexte : Le CISO demande a Prakash de passer en revue les mises a jour des frameworks applicables pour informer les strategies de test interne et externe de la Bank UYT.
Question : Citez au moins deux standards ou frameworks d'evaluation pertinents et comment les implementer compte tenu des services de la banque. (6.1.1-4)
Voir l'analyse et la correction
Une banque relevera typiquement de plusieurs cadres : PCI DSS pour les cartes de paiement (audit annuel, perimetre cardholder data), SOC 2 pour rassurer clients et partenaires sur les controles de securite, NIST RMF ou CSF pour structurer la maturite, ISO 27000 pour l'ISMS. S'y ajoutent ISAE 3000 (audit international) et le SWIFT Customer Security Controls Framework pour les transactions internationales. L'implementation consiste a cartographier les obligations, planifier les audits dans un compliance calendar, et selectionner le framework qui colle au processus metier, sans le confondre avec une simple checklist.
À retenir : Une organisation relevant de plusieurs cadres planifie ses audits dans un compliance calendar ; un framework est un aide a l'analyse, pas une checklist magique.
Assessment vs audit : la formalite
La difference premiere est le degre de formalite. L'assessment est une evaluation plus large et moins formelle (mesure la probabilite des risques, la qualite des processus). L'audit est un processus structure et formel, analysant systematiquement un objet vs des criteres predefinis. Les deux peuvent cibler les memes actifs.
SOC 1 vs SOC 2 vs SOC 3
SOC 1 = reporting financier (ICFR). SOC 2 = controles de securite via les Trust Services Criteria, confidentiel. SOC 3 = resume public d'un SOC 2. Piege classique : associer SOC 2 a la finance. Et SOC 1 ne peut couvrir ni disaster recovery ni privacy.
Type I vs Type II
Type I = conception des controles a un instant T (suitability of design), une expression de due care. Type II = efficacite operationnelle sur une periode (souvent 6 a 12 mois), l'expression de due diligence. Pour evaluer un fournisseur dans la duree, exiger un Type II.
Point de contrôle — Verification des acquis
-
Quelle est la distinction premiere entre un assessment et un audit ?
- A Le degre de formalite du processus
- B Les actifs cibles par l'evaluation
- C La probabilite d'un risque specifique
- D La qualite de la documentation des processus
Réponse & justification
Réponse : A — Le degre de formalite du processus
Assessment et audit sont proches, mais l'audit est plus structure et formel (analyse systematique vs des criteres). Les deux peuvent cibler les memes actifs et evaluer la probabilite d'un risque ou la qualite de la documentation.
-
Un fournisseur cloud integral a vos operations doit prouver l'efficacite de ses controles de securite sur la duree. Quel rapport demandez-vous ?
- A SOC 2 Type II
- B SOC 1 Type I
- C SOC 3
- D SOC 1 Type II
Réponse & justification
Réponse : A — SOC 2 Type II
SOC 2 vise les controles de securite (TSC) ; le Type II evalue l'efficacite operationnelle sur une periode. SOC 1 concerne le reporting financier (ICFR). SOC 3 n'est qu'un resume public.
Points essentiels à retenir
- Assessment (large, management), audit (formel, independant), testing (execution).
- Finding = Condition, Criteria, Cause, Effect, Recommendation.
- Externe avant interne ; zero trust brouille la frontiere.
- SOC 1 finance, SOC 2 securite (confidentiel), SOC 3 public ; Type I conception, Type II efficacite.
Methodes et artefacts : examen, interview, logs, sampling
Prérequis : Module 1 (assessment, audit, testing).
L'evaluation d'un controle repose sur trois methodes complementaires : testing, examination et interview. Ce module detaille comment cadrer une evaluation (assessment policy, tailoring, echantillonnage), puis se concentre sur deux outils centraux : la revue des logs et la distinction compliance test vs substantive test.
2.1 Trois methodes : testing, examination, interview
L'evaluation d'un controle se mene par toute combinaison de testing, examination et interview ; on peut y ajouter modelisation, simulation et analyse. Chaque methode mesure la conformite d'un systeme a ses exigences et specifications. La selection adequate des methodes conditionne le niveau d'assurance.
L'examination consiste a revoir, inspecter, observer ou analyser un objet d'evaluation (specifications, mecanismes, activites). Un controle administratif comme une politique se verifie en lisant le document ; un processus metier s'observe (execution des backups, port du badge). L'examen ne demande pas a l'assesseur de diriger l'operation ni d'interagir avec les parties prenantes. La revue de documentation de performance reelle (registres d'acces, transactions, logs) est l'un des outils les plus precieux.
L'interview sert a identifier l'ecart frequent entre le processus documente et la pratique reelle. Les sujets a interviewer sont definis lors du chartering et nommes dans la pre-audit checklist ; profondeur et largeur doivent etre clarifiees. La documentation des interviews (questionnaires, enregistrements avec consentement, notes) doit etre securisee selon sa classification.
Le testing compare le comportement reel au comportement attendu sous conditions definies. Historiquement cantonne au developpement, il sert aujourd'hui tout au long de la vie operationnelle d'un systeme. Un controle complet peut exiger plusieurs methodes : un simple examen ne suffit pas toujours, des tests ou interviews additionnels peuvent etre necessaires. L'organisation doit etablir le need to know de l'assesseur, sans lui donner un acces illimite hors perimetre.
- Trois methodes combinables : testing, examination, interview.
- Examination = lire/observer sans diriger ; interview = combler l'ecart doc vs pratique.
- Un controle complet peut exiger plusieurs methodes.
- Etablir le need to know de l'assesseur (pas d'acces illimite).
2.2 Cadrer et echantillonner l'evaluation
Les activites d'evaluation sont planifiees par la security assessment policy, qui fixe les regles de planification, conduite et reporting. Le management fournit une direction de haut niveau : il faut identifier comment le contexte a change depuis la derniere evaluation, selon trois elements cles - le threat landscape, la business logic et le regime de conformite. Cela conduit a un ensemble cible et reduit d'evaluations a mener (tailoring).
L'evaluation s'adapte ensuite au controle evalue, selon son type, la profondeur visee et les particularites de l'exigence de conformite. Comme on ne peut rarement tout examiner, on s'appuie sur un echantillon. Le statistical sampling repose sur les lois de probabilite pour inferer la performance d'un controle sur l'ensemble de la population. Le judgmental sampling (aussi purposive ou authoritative) s'appuie sur l'expertise de l'assesseur pour choisir les systemes ou evenements, en priorisant ceux qui presentent le plus de risque.
L'organisation ne peut ignorer ses obligations de confidentialite, integrite et disponibilite pendant l'evaluation : meme s'il est pratique de donner un acces illimite a l'assesseur, ce privilege peut depasser le perimetre.
- Le tailoring actualise threat landscape, business logic, conformite.
- Statistical = probabilites ; judgmental = jugement, prioritise le risque.
- On echantillonne car on ne peut pas tout examiner.
- Respecter CIA et le perimetre pendant l'evaluation.
2.3 Revue des logs
Tous les grands frameworks insistent sur la pratique du logging. ISO 27001:2013 controle 12.4.1 exige que les event logs (activites utilisateurs, exceptions, fautes, evenements de securite) soient produits, conserves et regulierement revus. NIST SP 800-92 (Guide to Computer Security Log Management) traite la revue des logs comme une composante du log management. La revue sert non seulement la security assessment, mais aussi l'identification d'incidents, de violations de politique, de fraudes et de problemes operationnels au plus pres de leur survenue. La relecture d'audit logs historiques peut determiner si une vulnerabilite identifiee a deja ete exploitee.
Plusieurs reglementations imposent des revues diligentes : GLBA (protection des donnees clients des institutions financieres), HIPAA (revues regulieres des audit logs, retention 6 ans), SOX (revue reguliere des logs pour detecter les violations), PCI DSS (tracer tout acces aux ressources reseau et aux donnees cartes).
Le log management suit quatre pratiques cles : prioriser le log management dans toute l'organisation ; etablir des politiques et procedures ; creer et maintenir une infrastructure de logs securisee (un SIEM aide au stockage et a l'analyse, capable d'absorber les pics lors d'un incident, d'un pentest ou d'un scan) ; fournir un support adequat (formation, outils) au personnel. La securite des logs (ISO 12.4.2) protege contre l'alteration et l'acces non autorise ; les logs peuvent contenir des donnees sensibles (mots de passe, contenus d'emails) et doivent etre proteges en confidentialite et integrite, avec une retention conforme. Les rootkits visent souvent a alterer les logs pour effacer leurs traces.
- GLBA, HIPAA, SOX, PCI DSS imposent tous des revues de logs (ils le font tous).
- NIST SP 800-92 = reference du log management ; ISO 12.4.1 / 12.4.2.
- Un SIEM absorbe les pics (incident, pentest, scan).
- Securiser les logs : alteration, acces, retention ; les rootkits les ciblent.
2.4 Compliance test vs substantive test
Les tests se classent en deux familles. Le compliance test determine, de l'avis de l'assesseur, si le controle existe et fonctionne correctement. Exemple : comparer un echantillon d'employes habilites a acceder a un systeme avec la liste des utilisateurs nommes ; le resultat attendu est que les deux listes soient identiques.
Le substantive test evalue le bon fonctionnement du processus lui-meme. Dans le meme exemple, le testeur execute une operation d'onboarding pour donner acces a un nouvel utilisateur, tente une transaction autorisee avec ces credentials, puis offboarde l'identite ; il revoit ensuite les logs pour verifier que toutes les transactions ont ete correctement executees et tracees. Le substantive test apporte un degre d'assurance superieur que le processus se comporte comme prevu, mais prend plus de temps et de ressources.
A distinguer du compliance testing au sens large (aussi appele conformity testing), qui valide qu'un systeme a ete conçu et configure pour repondre aux exigences de securite de l'organisation : c'est la bonne reponse quand la question porte sur la validation vis-a-vis de standards definis. A noter enfin : le substantive test est aussi la technique par laquelle un auditeur obtient des preuves a l'appui de son opinion.
- Compliance test = existence/operation du controle (comparer 2 listes).
- Substantive test = bon fonctionnement du processus (onboarding -> transaction -> offboarding -> logs).
- Substantive = plus d'assurance mais plus couteux.
- Compliance/conformity testing valide vs les standards de l'organisation.
Cas d'étude
Quelle methode pour quel controle ?
Contexte : Un assesseur doit evaluer trois controles a la Bank UYT : (a) la politique de mots de passe, (b) le respect effectif de la procedure de revocation des comptes au depart d'un salarie, (c) la presence d'un controle technique restreignant l'acces a un systeme critique aux heures ouvrees.
Question : Pour chaque controle, quelle methode (examination, interview, testing) est la plus adaptee, et pourquoi ?
Voir l'analyse et la correction
(a) Politique de mots de passe : examination - il suffit de lire le document et de verifier la configuration du systeme. (b) Respect de la revocation : interview (pour comprendre la pratique reelle vs la procedure documentee) complete d'un substantive test (executer un offboarding et verifier les logs). (c) Controle horaire : testing - tenter un acces hors heures et verifier le refus, en s'appuyant sur les logs comme artifacts (preuves positives et negatives). Un controle complet combine souvent plusieurs methodes.
À retenir : Administratif -> examination ; ecart pratique/doc -> interview ; comportement technique -> testing. Les logs servent de preuves positives et negatives.
- Choisir la methode selon la nature du controle.
- Un substantive test prouve le fonctionnement, pas seulement l'existence.
- Les logs apportent des preuves positives ET negatives.
Tous les frameworks exigent la revue des logs
NIST SP 800-92, GLBA et SOX (comme HIPAA, PCI DSS) insistent tous sur la gestion et la revue des logs. A la question piege qui demande lequel ne l'exige pas, la reponse est : ils le font tous. Connaitre ce qui se passe et s'est passe permet d'agir (offense informs defense, tenet du CIS).
Statistical vs judgmental sampling
Statistical sampling infere la performance d'un controle via les probabilites sur toute la population. Judgmental (purposive/authoritative) sampling repose sur le jugement de l'assesseur, qui priorise les elements les plus risques. Ne pas confondre la base (probabilite) et le critere (jugement).
Point de contrôle — Verification des acquis
-
Tous les grands frameworks insistent sur le logging. Lequel des suivants n'exige PAS la gestion et la revue des logs ?
- A NIST SP 800-92
- B Gramm-Leach-Bliley Act (GLBA)
- C Sarbanes-Oxley Act (SOX)
- D Ils l'exigent tous
Réponse & justification
Réponse : D — Ils l'exigent tous
NIST SP 800-92, GLBA et SOX insistent tous sur une gestion et une revue efficaces et opportunes des logs (offense informs defense, CIS). Aucun n'y echappe.
-
Un testeur cree un compte, l'utilise pour une transaction autorisee, le supprime, puis verifie les logs. De quel type de test s'agit-il ?
- A Substantive test
- B Compliance test
- C Misuse case test
- D Synthetic transaction
Réponse & justification
Réponse : A — Substantive test
Tester le bon fonctionnement du processus de bout en bout est un substantive test (plus d'assurance, plus de ressources). Un compliance test se contenterait de comparer deux listes pour verifier l'existence du controle.
Points essentiels à retenir
- Trois methodes : testing, examination, interview, souvent combinees.
- Tailoring = actualiser threat landscape, business logic, conformite.
- Statistical (probabilites) vs judgmental (jugement, risque) sampling.
- Compliance test = existence ; substantive test = fonctionnement.
- Tous les frameworks exigent la revue des logs ; securiser et retenir.
Vulnerability assessment et penetration testing
Prérequis : Modules 1-2 ; notions de menace et vulnerabilite (Domaine 1).
Ce module couvre les deux piliers du test offensif : le vulnerability assessment, qui identifie les faiblesses connues, et le penetration testing ethique, qui tente de les exploiter dans un cadre legal strict. On y traite CVSS, les rules of engagement, le box testing, les equipes red/blue/purple, la methodologie en cinq phases et les approches de test continu (BAS, chaos engineering).
3.1 Vulnerability assessment et CVSS
Le vulnerability assessment est une tache essentielle de l'evaluation de la securite d'un systeme. Une vulnerability est une faiblesse qui, si elle est exploitee, peut compromettre la confidentialite, l'integrite ou la disponibilite d'un actif. Attention : l'existence d'une faiblesse ne signifie pas qu'elle est exploitable par une menace. Une vulnerability n'est pas un exploit.
Les scanners de vulnerabilites automatisent l'identification des vulnerabilites connues dans les configurations, parametres et logiciels. Ils peuvent etre authenticated (avec des credentials, vue interne plus precise) ou unauthenticated (vue d'un attaquant externe). Ils detectent aussi l'usage de protocoles non securises comme FTP - meme si des compensating controls (segmentation reseau, restriction d'usage) peuvent attenuer le risque. L'evaluation des vulnerabilites identifiees consiste a analyser leur impact selon les configurations et circonstances uniques de l'organisation, et a gerer les false positives (alertes erronees).
Pour prioriser, on s'appuie sur le CVSS (Common Vulnerability Scoring System), qui note la severite technique de 0 a 10 : None (0), Low (0.1-3.9), Medium (4.0-6.9), High (7.0-8.9), Critical (9.0-10). Le CVSS mesure la severite intrinseque ; il se complete utilement de l'EPSS, qui estime la probabilite d'exploitation. La priorisation SLA typique reserve les delais les plus courts aux vulnerabilites Critical et High.
- Une vulnerability n'est pas un exploit (faiblesse vs exploitabilite reelle).
- Scanner authentifie (vue interne) vs non authentifie (vue attaquant).
- CVSS : None/Low/Medium/High/Critical, severite technique 0-10.
- CVSS (severite) + EPSS (probabilite) = meilleure priorisation.
- Gerer les false positives et les compensating controls.
3.2 Penetration testing ethique : RoE et scope
Le penetration testing simule les actions d'un threat actor en utilisant l'information dont il disposerait. C'est un processus controle, regi par des Rules of Engagement (RoE) qui detaillent les circonstances de la tentative. Utile pour determiner si les controles sont efficaces, il presente un risque significatif s'il est mal conduit. Les RoE definissent le perimetre, les methodes, les contraintes, les individus autorisant le test, les procedures de signalement d'incident et les limites de responsabilite (liability).
Point juridique majeur : sans contrat signe, le testeur s'expose a des poursuites penales et civiles dans de nombreuses juridictions, et peut etre tenu responsable des perturbations causees. C'est pourquoi on parle d'ethical penetration testing : le test est lie a une base contractuelle, legale et ethique. Les attaquants sophistiques emploient les memes techniques, mais leur intention rend leur activite contraire a l'ethique et probablement illegale. Le code d'ethique impose au testeur de ne pas divulguer ses activites et findings sans le consentement ecrit du commanditaire, en sus des NDA contractuels.
Le scope depend des objectifs. PCI DSS, par exemple, peut imposer de couvrir le cardholder data environment et exiger des tests reseau ET applicatifs. D'autres scenarios incluent une composante wireless, du social engineering ou de l'intrusion physique. Le test peut etre blind (le testeur ignore les details techniques) ou double-blind (l'equipe de defense - la blue team - n'est pas non plus prevenue), ce qui exerce la detection et la reponse, mais exige une deconfliction si les defenseurs decouvrent le test.
- Les RoE definissent perimetre, autorisation, signalement, liability.
- Sans contrat signe : risque penal et civil pour le testeur.
- Ethical = base contractuelle/legale/ethique ; meme techniques que l'attaquant.
- Blind = testeur aveugle ; double-blind = blue team non prevenue.
- Le scope decoule des objectifs (reseau, appli, wireless, social, physique).
3.3 Box testing et methodologie en cinq phases
Le niveau de connaissance accorde au testeur definit le type de box testing. Le white-box (ou crystal-box) donne une connaissance complete du systeme (adresses IP, versions) : couverture maximale, mime un insider threat, le plus rapide et souvent le moins cher, mais les controles qui cachent l'information aux externes (comme le NAT) ne sont pas evalues. Le black-box n'accorde aucune connaissance : le testeur mene sa reconnaissance, ce qui confirme les controles destines a dissimuler l'information, au risque de manquer des actifs. Le gray-box melange les deux : information partielle, le testeur decouvre le reste. Rappel : un attaquant reel n'est pas contraint par le temps ni la facturation, contrairement au testeur dont le contrat dure quelques semaines.
La methodologie suit cinq phases. 1) Chartering : redaction des RoE, evaluation formelle du risque, integration au contrat si tiers. 2) Discovery : reconnaissance pour cartographier l'environnement (parfois inutile si les RoE definissent deja les systemes). 3) Scanning : identification et fingerprinting des faiblesses pour crafter les exploits. 4) Exploitation : livraison de l'exploit et documentation ; en se retirant, le testeur veille a ne pas augmenter le risque d'exploitation par un acteur malveillant. 5) Reporting : compilation des activites, executive summary, recommandations, restitution de tout le materiel (y compris les credentials obtenus). Il n'existe pas de standard unique : la sequence exacte doit etre documentee dans les RoE.
- White box = tout connaitre (rapide, NAT non teste) ; black box = aveugle ; gray box = hybride.
- 5 phases : Chartering, Discovery, Scanning, Exploitation, Reporting.
- L'attaquant n'a pas de contrainte de temps ; le testeur si.
- Restituer tout le materiel, y compris les credentials obtenus.
- Pas de standard unique : documenter la sequence dans les RoE.
3.4 Red, blue, purple team et ethical hacking
Selon les objectifs (par ex. la response readiness), plusieurs equipes interviennent. La red team simule un attaquant malveillant pour evaluer la posture de securite : son but est d'identifier les vulnerabilites, exploiter les faiblesses et mesurer l'efficacite des mesures existantes. La blue team represente les defenseurs (equipe de securite interne) : elle monitore, detecte et repond aux attaques simulees, evaluant les strategies defensives, les capacites de reponse a incident et la resilience. La purple team combine les deux : elle favorise la collaboration et le partage de connaissances entre attaquants et defenseurs, pour combler les ecarts de defense et recommander des ameliorations.
L'ethical penetration testing ne doit pas etre confondu avec l'ethical hacking, qui regroupe les efforts de chercheurs amateurs ou professionnels pour sonder et detecter des vulnerabilites. Les bug bounty programs encouragent ces tentatives informelles : le hacking y est ethique tant que le chercheur respecte les termes du programme et ne divulgue pas ses resultats a des tiers. Google Project Zero en est un exemple emblematique. Le contexte legal pese : aux Etats-Unis, la section 1201 du DMCA fait du contournement des protections numeriques un delit, ce qui limite l'evaluation independante des protections cryptographiques.
- Red = attaque ; blue = defense ; purple = collaboration des deux.
- Ethical hacking (bug bounty, Project Zero) != ethical penetration testing.
- Le hacking reste ethique s'il respecte les termes et ne divulgue pas.
- DMCA 1201 limite l'evaluation independante des protections.
3.5 Test continu : BAS, ATT&CK, chaos engineering
Un penetration testing est une activite point-in-time : il reflete un jeu de tests a un instant, alors que l'environnement et les menaces evoluent vite. Plusieurs approches de test continu completent les frameworks qui attendent un monitoring continu.
MITRE ATT&CK, base de connaissances des tactiques et techniques adverses, aide a tester la resilience par emulation du comportement attaquant. Les outils de breach and attack simulation (BAS) automatisent ces tests pour les executer en continu contre l'infrastructure ; couples a la threat intelligence et integres au change management, ils offrent un niveau d'assurance different du pentest traditionnel. Le BAS combine vulnerability scanning et penetration testing automatise, avec une base d'attaques constamment mise a jour. Il permet des tests plus frequents que les scans trimestriels ou les pentests annuels : si une attaque simulee est bloquee, les controles fonctionnent ; si elle reussit, cela signale un controle deficient ou un risque nouveau.
Le chaos engineering pousse les systemes de production a echouer pour evaluer les capacites de detection, reponse et recuperation. Ses tests no-notice stressent fortement les personnes et systemes : les equipes ne sont pas prevenues et traitent la panne comme une vraie attaque. A manier avec prudence : beaucoup de systemes ne sont pas conçus pour supporter un arret de production sans cout, et l'approche ne simule pas un vrai attaquant (les perturbations sont scriptees par des internes).
- Le pentest est point-in-time ; le test continu comble le vide.
- BAS = scan + pentest automatise, en continu, base d'attaques a jour.
- MITRE ATT&CK emule le comportement adverse.
- Chaos engineering = no-notice, stresse les systemes, ne simule pas un vrai attaquant.
Cas d'étude
Quand un pentest physique tourne mal
Contexte : Coalfire, engagee par l'Etat de l'Iowa, mene des pentests physiques sur des batiments municipaux. Apres deux palais de justice testes avec succes, deux employes sont arretes au palais de Dallas County en septembre 2019, accuses de cambriolage. Un contrat existait au niveau de l'Etat, mais n'avait pas ete communique aux comtes individuels. Toutes les charges sont finalement abandonnees en janvier 2020.
Question : Quel type de pentest etait mene ? Du point de vue de l'entreprise, ou cela a-t-il derape, et qu'aurait-il fallu faire ? (6.2.2)
Voir l'analyse et la correction
Il s'agit d'un pentest physique avec composante social engineering. L'erreur de l'entreprise : ne pas avoir communique le test a toutes les autorites concernees - le contrat existait au niveau de l'Etat mais pas au niveau du comte. L'absence d'incident lors des tests precedents tenait peut-etre a la chance ou a une information prealable des autres comtes. Les testeurs auraient du savoir que certaines alarmes sont silencieuses et d'autres audibles ; une fois l'alarme declenchee, ils auraient du rester dehors, attendre la police et presenter leur lettre d'autorite, plutot que d'entrer. Lecon centrale : des processus clairs de communication et de contingence sont essentiels a tout pentest. Sans contrat correctement diffuse, le testeur s'expose au penal.
À retenir : Un pentest, surtout physique, exige des RoE diffusees a toutes les parties et un plan de contingence ; sans cela, meme un contrat valide n'empeche pas l'arrestation.
- Diffuser les RoE a TOUTES les autorites concernees.
- Sur alarme, s'arreter et presenter l'autorisation, ne pas entrer.
- Un contrat existant ne suffit pas s'il n'est pas communique.
Choisir le bon pentest pour MLZ Systems
Contexte : Lee, de Swinkler Security, signale a MLZ Systems avoir pu acceder librement a plusieurs sites sensibles sans presenter d'identification, photographier des documents et trouver des postes deverrouilles. Il recommande un penetration test formel et structure de tous les sites MLZ et partenaires.
Question : Qu'a fait Lee ? Quel pentest est approprie (interne/externe), quelle box, le social engineering est-il requis, et qui recevra le rapport ? (6.1.1-4, 6.2.2)
Voir l'analyse et la correction
Lee a mene une reconnaissance de securite informelle (pas un pentest formel, scheduled ou pleinement ethique), mais utile a connaitre. Le pentest approprie est a la fois interne ET externe, car les findings peuvent reveler un probleme plus large encore invisible. La meilleure approche est le white-box : le plus rapide, le moins cher et le plus complet ici. Le social engineering est requis, puisque c'est un defaut de securite au point d'entree de Lee qui a declenche le besoin. Les RoE doivent inclure type et scope, contacts client, plan de communication, timelines, reunions et rapports - mais PAS la liste des outils ni l'identite des testeurs. Le rapport va aux cadres seniors et a la securite de MLZ et de ses partenaires, pas au public ni aux clients ; des extraits peuvent figurer dans un rapport SOC 2 sur demande.
À retenir : Reconnaissance informelle != pentest formel ; ici interne+externe, white-box, social engineering inclus ; les RoE excluent outils et identite des testeurs ; le rapport reste confidentiel.
- Les RoE n'incluent pas les outils ni l'identite des testeurs.
- Un rapport de pentest est confidentiel (pas public, pas pour les clients).
- White-box = le plus rapide et complet quand on veut le meilleur resultat.
Une vulnerability n'est pas un exploit
L'existence d'une faiblesse ne garantit pas qu'une menace puisse l'exploiter efficacement. Le vulnerability assessment identifie les faiblesses ; le penetration testing tente de les exploiter. Le scanner signale, le pentest prouve l'exploitabilite.
Ethical hacking vs ethical penetration testing
L'ethical penetration testing est contractuellement legal, regi par des RoE. L'ethical hacking (bug bounty, Project Zero) est plus informel : il reste ethique tant que le chercheur respecte les termes et ne divulgue pas. Ne pas confondre l'encadrement contractuel strict du pentest avec la recherche de vulnerabilites.
White-box ne teste pas le NAT
Le white-box donne tout au testeur : couverture maximale et simulation d'insider, mais les controles destines a cacher l'information aux externes (comme le NAT) ne sont pas evalues. Le black-box, lui, confirme ces controles de dissimulation, au risque de manquer des actifs.
Point de contrôle — Verification des acquis
-
Quel est le but premier d'un exercice de red team en penetration testing ?
- A Simuler les actions d'un threat actor et identifier les vulnerabilites
- B Monitorer et repondre aux attaques simulees
- C Collaborer avec les defenseurs pour ameliorer la securite globale
- D Conduire un processus controle avec des RoE clairement definies
Réponse & justification
Réponse : A — Simuler les actions d'un threat actor et identifier les vulnerabilites
La red team simule un attaquant malveillant pour identifier les vulnerabilites, exploiter les faiblesses et mesurer les controles. Monitorer/repondre = blue team ; collaborer = purple team ; le processus avec RoE est une caracteristique generale du pentest, pas le but specifique de la red team.
-
Une vulnerabilite reçoit un score CVSS de 9.4. Quelle interpretation et quelle priorite ?
- A Critical : remediation prioritaire, delai le plus court
- B Medium : a traiter sous 90 jours
- C Low : risque negligeable
- D Le CVSS mesure la probabilite d'exploitation, pas la severite
Réponse & justification
Réponse : A — Critical : remediation prioritaire, delai le plus court
9.0-10 = Critical sur l'echelle CVSS : severite technique maximale, a remedier en priorite. Le CVSS mesure la severite ; c'est l'EPSS qui estime la probabilite d'exploitation.
Points essentiels à retenir
- Vulnerability assessment identifie ; pentest exploite. Une vuln n'est pas un exploit.
- CVSS note la severite (0-10) ; EPSS ajoute la probabilite.
- RoE indispensables ; sans contrat signe, risque penal.
- White/gray/black box selon la connaissance ; red/blue/purple selon le role.
- Test continu : BAS, MITRE ATT&CK, chaos engineering completent le pentest.
Code review et tests logiciels
Prérequis : Modules 1-3 ; notions de SDLC (Domaine 8).
Le code est la fondation des systemes d'information : sa revue et son test sont un controle de securite crucial. Ce module couvre la code review (SAST, DAST, revue manuelle), les tests orientes securite (misuse case, negative testing), la mesure de couverture, l'interface testing, et les techniques de monitoring (synthetic transactions vs RUM).
4.1 Code review : objectifs et SAST / DAST
La revue de code, plus precisement l'analyse et la revue du code source, vise a verifier six choses : toutes les fonctions requises existent ; aucun code etranger n'est present ; aucun code mort ou inatteignable ne subsiste ; aucun backdoor ni trapdoor ; les coding standards sont respectes ; tout le code est de provenance fiable. Ces objectifs ne valent pas qu'en developpement : ils supposent un configuration management rigoureux, sans quoi du code mort peut etre reactive et rendu exploitable par un petit changement ailleurs.
Le test peut etre manuel (code peer review : un developpeur relit le travail d'un pair) ou automatise. Deux familles dominent. Le SAST (static application security testing) analyse le code AU REPOS, sans l'executer : il modelise l'execution pour detecter buffer overflow, conditions de donnees incoherentes, mauvais usage de templates, librairies obsoletes, misconfigurations. C'est une approche boite blanche, ideale en shift-left. Le DAST (dynamic analysis) teste le programme EN COURS D'EXECUTION pour observer le comportement reel : approche boite noire. Une variante existe sur binaire compile (static binary analysis), moins precise que sur le source.
La philosophie shift-left (Agile, DevOps, DevSecOps) deplace les taches de securite vers la gauche de la timeline projet : revue d'architecture et threat modeling (prerequis au test, pas du test) en amont, puis SAST pendant le developpement. ISO 27002 14.2.1 prescrit des regles de developpement securise et la formation aux secure coding standards.
- 6 objectifs : fonctions requises, pas de code etranger/mort/backdoor, standards, provenance.
- SAST = code au repos (boite blanche) ; DAST = app qui tourne (boite noire).
- Revue manuelle (peer review) complementaire des outils.
- Shift-left : threat modeling et archi review en amont, SAST pendant le dev.
- Sans configuration management, du code mort peut redevenir exploitable.
4.2 Misuse case et negative testing
Un use case decrit une façon intentionnelle d'utiliser un systeme pour accomplir un travail autorise. Le misuse case testing examine l'hypothese inverse : un ensemble d'actions pouvant provoquer des defaillances d'integrite, des dysfonctionnements ou des compromissions, qu'elles soient deliberees et malveillantes ou accidentelles. On l'integre aux plans de test, souvent en se concentrant sur le comportement du systeme face a des valeurs inattendues dans les champs (mauvais format, donnees tres eloignees de l'entree attendue). Exemple simple : un utilisateur saisit son numero de telephone dans un champ destine a son nom. Modeliser les agents hostiles et leurs misuse cases focalise l'attention du security professional.
Le negative testing, par contraste avec un positive test (qui verifie que le systeme marche comme prevu et echoue a la moindre erreur), apporte la preuve du comportement de l'application face a des donnees invalides ou inattendues. Toute provocation de defaillance doit surgir au test plutot qu'en production. La reponse optimale a un negative test est de rejeter gracieusement la donnee sans planter. Il est optimal de combiner positive et negative tests.
Ne pas confondre les deux : le negative testing detecte des plantages dans differentes situations ; le misuse case adopte le point de vue d'un acteur hostile. Les systemes safety-critical brouillent la frontiere (exigence de fail-safe). Les avancees de l'automated testing, comme le fuzz testing (mutation ou generation d'entrees), permettent de lancer des dizaines de milliers de cas aux limites de l'enveloppe acceptable du systeme - aussi bien pour les proprietaires que pour les attaquants.
- Misuse case = point de vue hostile (deliberement ou par accident).
- Negative test = donnees invalides, rejet gracieux sans plantage.
- Positive + negative = examen complet du comportement.
- Fuzzing (mutation/generation) automatise les cas aux limites.
4.3 Couverture de test et niveaux de test
Le niveau de test structurel se mesure par des metriques de couverture (coverage), qui indiquent le pourcentage de la structure logicielle evaluee. Par convention, parler de coverage suppose 100% : la statement coverage signifie que 100% des instructions ont ete executees au moins une fois. Les principaux types : statement coverage (chaque instruction au moins une fois, insuffisant a lui seul) ; decision/branch coverage (chaque branche prend chaque issue, minimum pour la plupart des logiciels, insuffisant pour le high-integrity) ; condition coverage (chaque condition prend toutes ses valeurs) ; multi-condition coverage (toutes les combinaisons de conditions) ; loop coverage (boucles executees zero, une, deux et plusieurs fois) ; path coverage (chaque chemin faisable, rarement atteignable vu le nombre de chemins) ; data flow coverage (chaque flux de donnees faisable). Le niveau vise doit etre proportionne au risque du logiciel.
Les tests se structurent aussi par niveau : unit (plus petit composant isole), integration (modules ensemble), system (systeme complet de bout en bout) et acceptance (UAT, validation vis-a-vis des besoins metier). S'y ajoutent des tests transverses : regression (verifier qu'un changement n'a rien casse), positive, negative, et les approches white-box / black-box. Atteindre 100% de couverture est rarement realiste : le cout et la pression de mise sur le marche le rendent difficile, surtout sur un code volumineux, meme si ce n'est pas strictement impossible.
- Coverage = 100% par convention ; statement < branch < path en exigence.
- Niveau de couverture proportionne au risque du logiciel.
- Niveaux : unit, integration, system, acceptance (UAT).
- Transverses : regression, positive, negative, white/black box.
- 100% de couverture rarement atteint (cout, time-to-market).
4.4 Interface testing
Une interface est un point d'interaction avec un systeme. Exemples : l'UI (interaction humaine, GUI avec fenetres et menus, ou CLI en ligne de commande) et les API (communication systeme-a-systeme : REST pour le web, IPC, RPC). Evaluer la fonctionnalite et la securite des interfaces est un aspect crucial du system testing : les controles de securite doivent y etre implementes pour garantir la confidentialite (controles d'acces) et la non-repudiation (journalisation des actions). L'interface testing fait partie du test de developpement standard et joue un role dans les activites de securite (vulnerability assessments, pentests, breach simulations).
L'interface testing verifie que les composants (logiciels et materiels) se transmettent correctement donnees et controle, conformement a leur conception. Il differe de l'integration testing : il verifie que les composants distincts sont en phase et que les fonctions comme le transfert de donnees se deroulent comme prevu. Il permet notamment de verifier que les interactions application-serveur s'executent correctement, que les erreurs sont bien gerees, ce qui se passe si l'utilisateur interrompt une transaction, ou si une connexion au serveur web est reinitialisee. Cote serveur, on valide la communication entre serveurs web, applicatifs et bases, et la compatibilite logicielle/materielle/reseau. Cote interfaces externes, on verifie les navigateurs supportes et les conditions d'erreur quand l'application externe est indisponible.
- Interfaces : UI (GUI/CLI) et API (REST/RPC/IPC).
- Interface testing != integration testing (sync et transfert de donnees).
- Securite des interfaces : access control (confidentialite) + logging (non-repudiation).
- Verifie gestion des erreurs, interruptions, reinitialisations.
4.5 Synthetic transactions et RUM
Pour evaluer performance, temps de reponse et disponibilite des applications, sites et services, deux approches complementaires existent.
Les synthetic transactions sont des activites automatisees executees contre une cible monitoree pour evaluer sa performance. Pour une application web, cela peut etre se connecter avec un compte de test pour verifier la reponse au login ou aux requetes. Le terme transactions ne designe pas que des transactions financieres : toute activite systeme (resolution DNS, attribution d'IP via DHCP) en releve. Le synthetic performance monitoring (ou proactive monitoring) fait executer par des agents externes des scripts suivant les etapes d'un utilisateur type (rechercher, voir un produit, se connecter, payer). C'est un test par scripts, et non par actions live, ce qui le distingue des autres formes de test. Il couvre le website monitoring, le database monitoring, le TCP port monitoring et la SLA validation, et fonctionne 24/7 meme sans trafic reel.
Le RUM (real-user monitoring), aussi appele real-user measurement ou end-user experience monitoring (EUM), est a l'inverse une forme de monitoring passif : il capture et analyse chaque transaction de chaque utilisateur reel d'un site ou d'une application. Le RUM top-down, cote client (petits scripts JavaScript ou agents locaux), voit directement l'experience vecue par l'utilisateur et le lien entre vitesse du site et satisfaction. Le RUM s'applique aussi a des operations humaines (centres d'appel). Synthetic et RUM se completent : le synthetic surveille la disponibilite en periode de faible trafic, le RUM mesure l'experience reelle.
- Synthetic = scripts automatises (actif), 24/7 meme sans trafic.
- RUM = passif, capture chaque transaction d'utilisateurs reels.
- Indice quiz : test web par scripts = synthetic.
- Synthetic et RUM se completent (dispo vs experience reelle).
Cas d'étude
Choisir le bon test selon le symptome
Contexte : L'equipe de la Bank UYT pose plusieurs questions a Prakash sur le test logiciel : (1) peut-on atteindre 100% de couverture ? (2) quel test detecte une valeur hors bornes saisie dans un champ ? (3) le serveur web affiche du code SQL lors d'erreurs intermittentes - quel test le revelerait ? (4) quel test corrige un probleme de securite ?
Question : Repondez aux quatre questions en justifiant. (6.2.6-8, 6.2.1-10)
Voir l'analyse et la correction
(1) Couverture 100% : la bonne reponse est que la couverture totale, sans tests entierement automatises, prend trop de temps et coute trop cher pour etre pratique - ce n'est pas strictement impossible, mais le push to market la rend difficile sur du code volumineux. (2) Valeur hors bornes saisie par un utilisateur : misuse case test (teste l'usage incorrect, accidentel ou delibere) ; ne pas confondre avec interface ou synthetic. (3) Fuite de code SQL dans un message d'erreur : interface testing - les erreurs surviennent toujours, mais l'information dans le message doit rester minimale ; renvoyer du SQL expose la structure interne de la base. (4) Aucun test ne corrige un probleme de securite : au mieux, un test bien conçu identifie un probleme ; il faut ensuite un processus de remediation.
À retenir : Misuse case = usage incorrect ; interface testing = fuites/erreurs aux frontieres ; aucun test ne corrige, il identifie. La remediation suit toujours le test.
- 100% de couverture : possible mais souvent impraticable (cout, delai).
- Une valeur hors bornes saisie = misuse case test.
- Une fuite SQL dans une erreur = interface testing.
- Aucun test ne corrige : il faut toujours une remediation.
SAST vs DAST
SAST = static, code AU REPOS, sans execution, boite blanche (detecte SQL injection, XSS, secrets en dur). DAST = dynamic, application EN COURS D'EXECUTION, boite noire. Le fuzzing (mutation/generation) est un cas particulier de DAST. Indice : S comme Static (arret), D comme Dynamic (qui tourne).
Negative testing vs misuse case
Le negative testing cherche les plantages face a des donnees invalides ; la reponse optimale est un rejet gracieux. Le misuse case adopte le point de vue d'un acteur hostile. Ils se ressemblent mais ne sont pas identiques ; les systemes safety-critical brouillent la frontiere.
Synthetic transactions = test par scripts
Indice d'examen : un test d'application web qui s'appuie sur des SCRIPTS plutot que sur des actions live est un synthetic transaction. Les autres formes (vulnerability, penetration) utilisent des agents live. Le RUM, lui, est passif et observe les vrais utilisateurs.
Point de contrôle — Verification des acquis
-
Quel type de test d'application web s'appuie sur des scripts plutot que sur des actions live ?
- A Synthetic
- B Vulnerability
- C Penetration
- D Conformity
Réponse & justification
Réponse : A — Synthetic
Les synthetic transactions font executer des scripts par des agents externes, suivant les etapes d'un utilisateur type. Les autres formes (vulnerability, penetration) utilisent des agents live ; le conformity testing valide vis-a-vis de standards.
-
Apres une correction, on relance une batterie de tests pour s'assurer qu'aucune fonctionnalite existante n'a ete cassee. Quel test ?
- A Regression testing
- B Negative testing
- C Acceptance testing
- D Misuse case testing
Réponse & justification
Réponse : A — Regression testing
Le regression testing verifie qu'un changement n'a pas casse de fonctionnalite existante. Le negative test porte sur les donnees invalides, l'acceptance valide vs les besoins metier, le misuse case adopte le point de vue hostile.
Points essentiels à retenir
- SAST = code au repos (boite blanche) ; DAST = app qui tourne (boite noire) ; IAST combine.
- Misuse case (hostile) et negative (donnees invalides) sont proches mais distincts.
- Coverage = 100% par convention ; rarement atteint en pratique.
- Niveaux : unit, integration, system, acceptance ; + regression, positive, negative.
- Synthetic = scripts actifs ; RUM = observation passive des vrais utilisateurs.
Collecte des donnees de processus de securite
Prérequis : Domaine 5 (IAM, AAA) ; Modules 1-2.
Une decision de securite vaut ce que valent ses donnees. Ce module montre comment collecter et gerer les donnees de processus issues de l'account management, de la revue de management, des indicateurs (KPI/KRI) et de la verification des backups, pour piloter une securite data-driven.
5.1 Account management et revue IAM
Un account est l'ensemble des credentials servant a acceder a une ressource. Comme le controle d'acces est le socle de la securite des SI, la collecte des donnees de processus se concentre d'abord sur l'account management. Celui-ci soutient les fonctions metier en : assignant des account managers ; etablissant les conditions d'appartenance a un groupe ou role ; specifiant les utilisateurs autorises ; exigeant l'approbation des autorisations (creation, activation, modification, desactivation, suppression d'acces) ; monitorant l'usage des comptes ; notifiant le manager quand un acces n'est plus necessaire ; revoyant la conformite des comptes. Le controle d'acces est un exemple de controle mixte : des politiques appliquees par des procedures, implementees par la technologie, parfois avec des controles physiques (badges, smart cards).
La revue IAM s'appuie sur trois jeux d'information centraux. L'identity store est le referentiel centralise de toute l'information sur une identite ; il enregistre aussi les decisions d'octroi, de retrait ou de degradation des permissions. Le systeme IAM integre maintient ses bases d'authentification et d'autorisation (le 3e A du AAA : authentication, authorization, accounting). Les logs systeme et applicatifs, les agents de monitoring et les sondes enregistrent les indicateurs des actions des utilisateurs. Le user behavior modeling peut detecter des indicateurs declenchant des revues de comptes. Au gre des changements de poste et, in fine, des departs, les acces sont modifies, desactives, deprovisionnes puis supprimes. L'audit de ces sources fournit une riche matiere pour l'evaluation de securite.
- Le controle d'acces est le socle : commencer par l'account management.
- Approbation requise pour creer/activer/modifier/desactiver/supprimer un acces.
- Trois sources IAM : identity store, systeme AAA, logs/monitoring.
- Controle d'acces = controle mixte (politique + techno + physique).
5.2 Management review and approval
Le management est responsable de definir et executer la mission de l'organisation, securite et privacy comprises. Pour garantir que les controles reduisent le risque a un niveau acceptable, il conduit des revues et approuve les donnees de processus de securite. ISO 27001 demande que la direction revoie l'ISMS a intervalles planifies pour assurer sa pertinence, son adequation et son efficacite continues - exigence echoue par NIST, ITIL et COBIT 5.
La management review devrait inclure (sans s'y limiter) : les exemptions aux activites normales, l'information des revues precedentes, les metriques d'outcomes en cours, les resultats d'audits, l'atteinte des objectifs de securite, le retour des parties interessees, et le reporting d'evaluation du risque avec le plan de traitement. L'objectif est de soutenir le continual process improvement. Beaucoup d'organisations se fient encore a des jugements subjectifs pour prioriser, alors que les grands frameworks exigent des methodes statistiques, des metriques et des benchmarks - ce qui suppose que logging et monitoring fournissent l'information data-driven necessaire.
Les system owners ont des responsabilites analogues pour leurs propres stores : ils identifient leur tolerance au risque, leurs obligations de conformite, et decident d'autoriser l'usage d'un systeme. Ils sont essentiels pour determiner si les controles selectionnes atteignent leurs objectifs. Des changements d'environnement (nouvelles lignes metier, systemes, conformite, fusions/acquisitions) peuvent affecter l'efficacite des controles, d'ou un monitoring continu generant metriques et indicateurs.
- Le management revoit et approuve pour maintenir les controles efficaces.
- ISO 27001 : revue de l'ISMS a intervalles planifies (pertinence, adequation, efficacite).
- Inputs : exemptions, audits, metriques, objectifs, feedback, risque.
- Decision data-driven > jugement subjectif.
5.3 KPI et KRI : mesurer le passe et anticiper l'avenir
On ne gere bien que ce que l'on mesure. Les metriques de securite servent de key performance indicators (KPI) et de key risk indicators (KRI). Attention a la distinction metrique vs indicateur : une metrique est une simple mesure (le nombre de patches appliques), tandis qu'un indicateur utilise des metriques et fournit un contexte (une indication). Exemple : le ratio d'endpoints patches sur le total est un indicateur de l'efficacite du patch management ; si l'on attend 100% de couverture a J+7 et que le chiffre est en-dessous, l'indicateur signale une action corrective.
KPI et KRI different par leur orientation temporelle. Les KPI regardent le passe : l'activite a deja eu lieu, les objectifs ont-ils ete atteints ? Ils aident a corriger les actions futures, peuvent reveler des segments sous-performants, justifier des recompenses et rassurer une clientele. Les KRI regardent l'avenir : ils captent comment le paysage de risque changeant pourrait affecter l'organisation, en utilisant modelisation, analyse ou estimation eclairee. Ils permettent d'evaluer la vraisemblance d'un risque et de declencher une action proactive - par exemple, une hausse du volume de trafic malveillant bloque par un firewall peut indiquer qu'il faut le mettre a niveau avant qu'il ne soit submerge. Les KRI soutiennent souvent des decisions de long terme (budget, ressources) et doivent etre revus par un change management formel quand le risque evolue.
- Metrique = mesure ; indicateur = metrique + contexte.
- KPI = passe (objectifs atteints ?) ; KRI = futur (risque emergent).
- Les KRI declenchent une action proactive (ex. upgrade firewall).
- Reviser les KRI par change management quand le risque change.
5.4 Verification des backups et services de disponibilite
Les services de disponibilite sont une autre source de donnees de processus, car leur performance conditionne la capacite de l'organisation a tenir ses engagements et obligations de conformite. Les donnees de disponibilite sont routinement auditees.
Les backups de donnees et de systemes sont des controles essentiels d'integrite et de disponibilite. La premiere etape est d'identifier les donnees et systemes critiques, puis de concevoir une strategie de backup adaptee aux besoins de recuperation. Une fois les procedures en place, il est crucial de verifier l'integrite du processus de backup ET des donnees sauvegardees. Les deux s'evaluent par un test restore depuis le media de sauvegarde, pour s'assurer que toutes les donnees requises sont presentes et lisibles. Si des donnees manquent, cela peut indiquer une mauvaise configuration (repertoires ou systemes exclus) ou une corruption du media. Certains systemes de backup integrent une verification d'integrite automatique, generent des alertes en cas de perte et relancent le backup.
Cote conformite, ISO 27001 Annexe A:12.3 est le controle principal, mais le besoin de backup apparait dans de nombreux controles. FIPS 200 couvre les familles Contingency Planning (CP) et Media Protection (MP). HIPAA exige a la fois un data backup plan et un business contingency plan, et le critere Availability des TSC impose des attentes similaires pour un SOC 2. Le developpement d'un programme de disponibilite prolonge la pratique de gestion du risque : l'execution releve de l'IT, mais elle est dirigee par le risque de perte de donnees ou de defaillance.
- Verifier l'integrite du PROCESSUS et des DONNEES par un test restore.
- Donnees manquantes = mauvaise config ou media corrompu.
- ISO A.12.3, FIPS 200 (CP/MP), HIPAA, TSC Availability.
- Le programme de disponibilite est pilote par le risque, execute par l'IT.
Cas d'étude
Sur quoi fonder la management review ?
Contexte : Prakash observe qu'a la Bank UYT, la priorisation des activites de revue et d'approbation par le management ne repose pas toujours sur des metriques fiables.
Question : Pour soutenir le continual process improvement et les bonnes pratiques, qu'est-ce que la management review and approval devrait inclure ? (6.3.2)
Voir l'analyse et la correction
La revue de management devrait inclure, sans s'y limiter : les exemptions aux activites normales ; l'information liee aux revues precedentes ; les metriques d'outcomes en cours ; les resultats d'audits ; l'atteinte (ou non) des objectifs de securite ; le retour des parties interessees ; le reporting d'evaluation du risque et le plan de traitement. S'appuyer sur des methodes statistiques, des metriques et des benchmarks - plutot que sur des jugements subjectifs - est ce que reclament les grands frameworks. Cela suppose que les outils de logging et monitoring fournissent l'information data-driven necessaire a une priorisation fiable.
À retenir : Une revue de management efficace s'appuie sur des metriques, audits, objectifs et risques documentes, pas sur des impressions ; le logging fournit la matiere data-driven.
- Lister les inputs : exemptions, audits, metriques, objectifs, feedback, risque.
- Prioriser sur des donnees, pas sur des jugements subjectifs.
- Le logging alimente la decision data-driven.
KPI vs KRI
Les KRI monitorent les risques emergents (tournes vers l'avenir, proactifs). Les KPI mesurent l'atteinte des objectifs (tournes vers le passe). Piege classique : attribuer aux KRI le role de mesurer l'atteinte des objectifs - c'est le role des KPI. Un KRI alerte tot sur un risque, pas sur une performance d'equipe.
Verifier le backup, pas seulement le faire
Sauvegarder ne suffit pas : il faut verifier par un test restore que les donnees sont presentes ET lisibles, et que le processus lui-meme est integre. Des donnees manquantes revelent une config defaillante (exclusions) ou un media corrompu.
Point de contrôle — Verification des acquis
-
Quelle affirmation est vraie a propos des key risk indicators (KRI) ?
- A Les KRI monitorent les risques emergents
- B Les KRI montrent si les objectifs ont ete atteints
- C Les KRI eclairent les metriques de performance
- D Les KRI alertent quand les metriques d'equipe ne sont pas atteintes
Réponse & justification
Réponse : A — Les KRI monitorent les risques emergents
Les KRI sont conçus pour suivre et alerter tot sur les risques emergents. Montrer l'atteinte des objectifs releve des KPI. Les KRI ne sont ni des metriques de performance ni des alertes d'equipe.
-
Comment verifier de façon fiable qu'une sauvegarde est utilisable ?
- A Effectuer un test restore depuis le media et controler que les donnees sont presentes et lisibles
- B Verifier que le job de backup s'est termine sans erreur
- C Comparer la taille du fichier de backup a la veille
- D Consulter le calendrier de retention
Réponse & justification
Réponse : A — Effectuer un test restore depuis le media et controler que les donnees sont presentes et lisibles
Seul un test restore prouve l'integrite du processus ET des donnees. Un job termine, une taille ou un calendrier ne garantissent pas que les donnees sont presentes et lisibles.
Points essentiels à retenir
- L'account management est le socle ; trois sources IAM (identity store, AAA, logs).
- La management review approuve sur des metriques, audits, objectifs, risques.
- Metrique = mesure ; indicateur = metrique + contexte.
- KPI = passe (objectifs) ; KRI = futur (risque emergent, proactif).
- Verifier les backups par test restore (processus ET donnees).
SETA et tests de continuite (BC/DR)
Prérequis : Module 5 ; notions de BC/DR (Domaine 7).
Les utilisateurs sont a la fois une cible de grande valeur et une ligne de defense critique ; et la resilience d'une organisation se prouve en testant ses plans. Ce module couvre les programmes SETA (security education, training, awareness) et les tests de continuite et de reprise (BC/DR), du desk check au full cutover.
6.1 SETA : education, training, awareness
L'environnement de securite change vite : etablir et maintenir un programme de security education, training and awareness (SETA) est vital, car les utilisateurs sont a la fois une ligne de defense critique et une cible de grande valeur. Les trois activites different. L'education presente un corps de connaissances applicable a un large eventail de problemes ; comme le corpus evolue vite, l'education d'un professionnel ne s'arrete jamais (les membres ISC2 doivent demontrer leur formation continue). Le training vise l'acquisition de connaissances specifiques pour accomplir une tache (configurer et utiliser correctement une technologie, un controle). L'awareness est plus general : NIST SP 800-50 distingue les deux en disant que le training enseigne des competences, tandis que l'awareness focalise l'attention sur un enjeu.
La structure et l'efficacite d'un SETA dependent de la politique et de la strategie de l'organisation. Un needs assessment, initial et continu, determine la strategie de formation et justifie l'allocation de ressources. Il doit impliquer des roles cles aux besoins de formation specifiques : executive management (comprendre directives et lois), security personnel (experts en politique et best practices), system owners (forte comprehension des controles), system administrators et IT support (connaissances techniques), operational managers et utilisateurs (awareness et regles de comportement). FIPS 200 identifie la famille Awareness and Training (AT) ; ISO 27001 A.7.2.2 a une attente similaire.
Evaluer l'efficacite est difficile : compter les participants ne montre aucun changement de comportement. Les campagnes anti-phishing, qui envoient de faux emails et tracent les reponses, sont une façon de quantifier l'effet. Les programmes SETA reussis ont des mesures d'evaluation significatives (taux de completion, retention long terme, couverture, adaptation a l'audience), reutilisees pour le retraining et la reevaluation.
- Education (large) < training (competence/tache) < awareness (attention).
- NIST SP 800-50 : training enseigne, awareness focalise.
- Le needs assessment cible chaque role (exec, secu, owners, admins, users).
- Tailoring a l'audience = pertinence et efficacite (reponse SETA).
- Mesurer l'efficacite : anti-phishing, completion, retention, couverture.
6.2 BC et DR : deux processus distincts
Disaster recovery (DR) et business continuity (BC) sont souvent associes mais distincts. Le DR consiste a planifier et implementer des strategies pour restaurer les systemes IT, les donnees et les operations apres un desastre (catastrophe naturelle, cyberattaque, panne materielle) : il assure une reprise rapide et minimise le downtime, protegeant l'integrite des donnees et la fonctionnalite metier. Le BC se concentre sur le maintien des fonctions metier essentielles pendant et apres un desastre : il va au-dela de l'IT (securite des employes, protocoles de communication, sites de travail alternatifs), pour soutenir les operations coeur, le service client et limiter les pertes financieres. Ensemble, BC et DR forment la resilience de l'organisation.
Les donnees de processus liees a BC et DR interessent fortement les controls assessors. Les grands standards attendent une planification BC/DR pilotee par le risque : NIST SP 800-34 (Contingency Planning Guide) trace une feuille de route ; ISO 27031 traite la continuite des SI et s'aligne sur ISO 22301 (Business Continuity Management Systems). Beaucoup de secteurs (finance, nucleaire, aviation, infrastructures critiques) imposent des attentes de resilience elevees, parfois avec une demonstration a grande echelle reguliere et documentee.
Un dicton bien etabli rappelle que le desastre que l'on subit n'est jamais celui que l'on a planifie. Le plan, comme artifact, demontre l'engagement, mais le vrai test est de montrer que l'organisation peut l'executer. D'ou l'importance de former les equipes a la conduite de la reprise, avec une complexite et une ampleur progressives.
- DR = restaurer l'IT/les donnees ; BC = maintenir le metier (au-dela de l'IT).
- Planification BC/DR pilotee par le risque (BIA).
- Standards : NIST SP 800-34, ISO 27031, ISO 22301.
- Le plan prouve l'engagement ; le test prouve l'execution.
6.3 Tester les plans BC/DR : du desk check au full cutover
Les tests et formations BC/DR sont une donnee de processus de premier interet pour l'assesseur : ils demontrent l'efficacite des controles et alimentent l'amelioration continue. Le programme de formation doit progresser en complexite et en ampleur organisationnelle, chaque evenement reussi preparant le suivant. Un programme progressif type s'ordonne ainsi.
Le desk check : chaque membre revoit la documentation operationnelle, les rosters, sa disponibilite et sa version du plan DR ; resultat attendu : tout le monde dispose d'un plan a jour. Le walk-through : a l'aide des manuels, les equipes DR expliquent leurs roles et activites ; resultat : elles comprennent leur role les unes par rapport aux autres et deconflictent les chevauchements. Le tabletop exercise : les chefs d'equipe se voient presenter un scenario de desastre et discutent leur reponse ; resultat : deconfliction des roles et identification des faiblesses majeures du plan. La simulation : un desastre est simule HORS de l'environnement de production, les activites DR y sont menees ; resultat : demonstration des capacites de reprise dans le contexte du scenario. Le parallel : un desastre est simule pendant que la production continue ; resultat : demonstration de la pleine reprise sans interruption de la production. Le full cutover (full-interruption) : un desastre est declenche qui affecte reellement la production ; resultat : reprise de l'environnement de production dans les parametres etablis.
Piege classique : un exercice d'evacuation incendie est un walk-through (revue pas-a-pas des procedures sans execution temps reel), et non une simulation. Les resultats de ces activites sont documentes et mis a disposition des assesseurs et des autres parties pour l'amelioration des processus.
- Ordre croissant : desk check, walk-through, tabletop, simulation, parallel, full cutover.
- Parallel = production maintenue ; full cutover = production affectee.
- Piege : une evacuation incendie = walk-through, pas une simulation.
- Documenter les resultats pour l'amelioration continue.
Cas d'étude
Ce que WannaCry enseigne sur le test continu et le DR
Contexte : En mai 2017, le ransomware WannaCry exploite la vulnerabilite EternalBlue de Windows (un patch existait mais beaucoup de systemes restaient non patches), se propageant par phishing. Il chiffre les fichiers et exige une rançon. Impact mondial, dont de fortes perturbations au NHS britannique. La reponse a mobilise une cooperation internationale.
Question : En quoi WannaCry souligne-t-il l'importance du pentest continu, d'un DR bien defini, de la BC internationale et de la formation continue des utilisateurs ? (6.2.2, 6.3.5, 6.3.6)
Voir l'analyse et la correction
WannaCry a exploite des systemes non patches : le pentest et le vulnerability assessment continus (au-dela du setup initial) sont indispensables pour identifier et corriger les vulnerabilites avant exploitation. Le DR : l'attaque n'a pas seulement chiffre des donnees, elle a coupe l'acces aux systemes ; un bon plan DR doit donc couvrir la restauration de la FONCTIONNALITE des systemes, pas seulement la recuperation des donnees. La BC : l'echelle mondiale montre l'importance de la collaboration transfrontaliere - partage de threat intelligence et reponses coordonnees attenuent l'impact d'incidents diffus. La formation : les menaces evoluent ; une awareness continue tient les utilisateurs informes des vecteurs emergents, au-dela de sessions statiques. Une faiblesse classique de strategie DR est la dependance a un single point of failure.
À retenir : Tester en continu, concevoir un DR couvrant la fonctionnalite (pas que les donnees), cooperer a l'international et former en continu : WannaCry illustre les quatre.
- Patcher et tester en continu previent l'exploitation des vulnerabilites connues.
- Un DR doit restaurer la fonctionnalite, pas seulement les donnees.
- La dependance a un single point of failure est une faiblesse DR.
Tester le plan de reprise de MLZ
Contexte : Le CSO de MLZ s'inquiete de l'etat du Disaster Recovery Plan (DRP) apres avoir entendu les difficultes d'un confrere. Il presse la direction de prioriser la collecte des donnees de processus liees au DRP : reduction du risque, protection financiere, continuite operationnelle, conformite.
Question : Quel est le but de tester regulierement un DRP, quelle est une faiblesse typique d'une strategie DR, et que considerer en le mettant a jour ?
Voir l'analyse et la correction
Le but de tester regulierement un DRP est d'identifier et corriger les faiblesses ; l'objectif global est de minimiser l'impact d'une disruption et de revenir a un niveau de performance acceptable apres un desastre. Une faiblesse typique est la dependance a un single point of failure : sur la base du business impact analysis de chaque systeme, les activites de continuite reduisent la vraisemblance et la consequence d'une defaillance. En mettant a jour un DRP, il faut le revoir regulierement et l'aligner sur les changements : la documentation de ces activites est une donnee de processus qui alimente l'amelioration continue et demontre l'efficacite aux assesseurs.
À retenir : Tester un DRP sert a trouver les faiblesses ; eviter le single point of failure ; revoir et aligner regulierement le plan sur les changements.
- Tester un DRP identifie et corrige les faiblesses.
- Le single point of failure est la faiblesse a traquer.
- Reviser le plan regulierement et l'aligner sur les changements.
Une evacuation incendie est un walk-through
Dans le contexte BC/DR, un exercice d'evacuation incendie est un walk-through : revue pas-a-pas des procedures sans execution temps reel. Ce n'est ni un tabletop (discussion en salle), ni une simulation (replique de conditions reelles hors production), ni un parallel.
Parallel vs full cutover
Le parallel test simule un desastre en MAINTENANT la production : on demontre la reprise sans interruption. Le full cutover (full-interruption) bascule reellement et AFFECTE la production. Le full cutover est le plus realiste mais le plus risque.
Training enseigne, awareness focalise
NIST SP 800-50 : le training enseigne des competences pour accomplir une fonction ; l'awareness focalise l'attention sur un enjeu. L'education, elle, transmet un corps de connaissances large. Tailorer a l'audience garantit pertinence et efficacite.
Point de contrôle — Verification des acquis
-
Dans un programme de test BC/DR, sous quelle forme se range un exercice d'evacuation incendie d'un batiment ?
- A Walk-through
- B Parallel
- C Tabletop
- D Simulation
Réponse & justification
Réponse : A — Walk-through
Une evacuation incendie est un walk-through : revue pas-a-pas des procedures, sans execution temps reel des actions. Le parallel compare systemes primaire/secours, le tabletop est une discussion en salle, la simulation replique des conditions reelles de maniere orchestree.
-
Pourquoi etablir et maintenir un programme de security awareness, education et training ?
- A Adapter la formation aux besoins de l'audience assure pertinence et efficacite
- B Les utilisateurs ne sont qu'une cible potentielle d'attaque
- C Les utilisateurs ne sont pas critiques dans la defense
- D La retention d'information a long terme est inutile
Réponse & justification
Réponse : A — Adapter la formation aux besoins de l'audience assure pertinence et efficacite
Comprendre les besoins de l'audience permet d'adapter le niveau et le materiel, ce qui renforce pertinence et efficacite. Les utilisateurs sont a la fois une cible ET une ligne de defense critique, et la retention long terme est essentielle.
Points essentiels à retenir
- Education (large), training (tache), awareness (attention) ; tailorer a l'audience.
- DR restaure l'IT/les donnees ; BC maintient le metier au-dela de l'IT.
- Tests BC/DR croissants : desk check, walk-through, tabletop, simulation, parallel, full cutover.
- Evacuation incendie = walk-through ; parallel maintient la prod, full cutover l'affecte.
- Documenter les tests pour l'amelioration continue et l'assesseur.
Analyser les resultats et generer le rapport
Prérequis : Modules 1-6 ; change management (Domaine 7).
Tester ne sert a rien si l'on n'agit pas sur les resultats. Ce module couvre la remediation, les modeles d'amelioration continue (PDCA, Six Sigma), l'exception handling dans la tolerance au risque, et l'ethical disclosure des vulnerabilites (full, responsible, non-disclosure), jusqu'au mandatory reporting et au whistleblowing.
7.1 Remediation et amelioration continue
Le CISSP doit etablir un processus, appele remediation, pour traiter les findings issus des tests, assessments et audits. Cela mobilise des competences de gestion de projet : prioriser les taches, fixer des timelines et des jalons, suivre l'avancement jusqu'a completion. Les findings d'audit peuvent alimenter d'autres aspects du programme (analyse de risque) : un controle deficient revele un risque mal attenue, ce qui doit declencher une revue du processus de gestion du risque.
Les changements de l'environnement de controle s'inscrivent dans une demarche d'amelioration continue. Le modele le plus repandu est le PDCA (Plan-Do-Check-Act), aussi appele roue de Shewhart ou de Deming, en quatre etapes. Plan : decider ce qui doit etre fait, etablir les objectifs et les processus. Do : executer le plan (a petite echelle). Check : evaluer les resultats (mesures statistiques, observations, evaluations). Act (Adjust) : a partir des phases Do et Check, identifier les causes racines, reevaluer le risque, redefinir la baseline ; puis le cycle recommence.
Le Six Sigma applique un modele proche en cinq etapes (Define, Measure, Analyze, Improve, Control - DMAIC), repete jusqu'au niveau de qualite voulu. Tous les grands frameworks appliquent l'amelioration continue pour mieux aligner la performance des controles sur le risque. La maturite (CMM) procede de la meme logique. Aucun modele unique ne convient a toute organisation : l'adaptation considere culture, gestion du risque, priorisation, conformite et change management. L'amelioration continue est autant un etat d'esprit qu'un processus.
- La remediation est un processus de gestion de projet (priorite, jalons, suivi).
- Un finding peut alimenter l'analyse de risque.
- PDCA = Plan, Do, Check, Act (roue de Deming/Shewhart).
- Six Sigma = DMAIC (5 etapes) ; pas de modele universel.
7.2 Exception handling
Quand un finding ou un indicateur etablit qu'un controle n'atteint pas le niveau de reduction de risque convenu, la reponse habituelle est d'ameliorer le controle. Dans certaines circonstances, la reponse appropriee est plutot d'ajuster la tolerance au risque pour l'aligner sur la performance du controle. Le processus de change management doit impliquer le system owner pour determiner la bonne marche a suivre.
Quand une evaluation revele un probleme qui ne peut etre remedie, il doit passer par un processus d'exception, calque sur celui des exceptions de politique (utilise quand un systeme ne peut satisfaire une exigence). Les exceptions peuvent etre accordees, mais seulement de maniere temporaire. Si l'on demande une exception permanente, ou si le meme probleme genere des demandes repetees, c'est le signe d'un desalignement avec les objectifs de l'organisation, justifiant une mise a jour des politiques ou des decisions de gouvernance.
Concretement : si la situation est temporaire et que le system owner accepte le risque, le change management documente les circonstances et signale l'exception pour revue a une date ou un evenement convenu. Si le owner refuse le risque additionnel, il doit soit ressourcer le controle supplementaire, soit prendre d'autres mesures couvrant le nouveau niveau de risque. Dans tous les cas, les exceptions doivent etre documentees, autorisees et revues.
- Controle insuffisant : ameliorer le controle, ou ajuster la tolerance au risque.
- Les exceptions sont temporaires, jamais par defaut permanentes.
- Une demande permanente/repetee signale un desalignement (revoir la politique).
- Toute exception : documentee, autorisee, revue.
7.3 Ethical disclosure des vulnerabilites
Les applications, sites et services web contiennent probablement des vulnerabilites. Une communaute de chercheurs s'attache a les identifier et les signaler de maniere responsable, avant qu'un acteur malveillant ne les exploite : c'est l'ethical ou responsible disclosure. Les organisations dotees de ressources web doivent etre pretes a recevoir ces signalements, souvent imprevus, de personnes externes. Trois postures coexistent.
La full disclosure : qui decouvre une faiblesse la publie le plus vite possible a toutes les parties affectees. Ses partisans estiment que ne pas tout divulguer immediatement laisse des organisations a risque, et que l'embarras public pousse les editeurs a corriger. La responsible disclosure : qui decouvre signale d'abord a l'organisation responsable et lui laisse le temps de corriger avant publication ; le delai fait debat, mais l'idee est soutenue par Linus Torvalds, Microsoft, Google. La nondisclosure : ne pas divulguer, parfois la seule voie legale et ethique, quand des accords (NDA), une enquete en cours, des droits de privacy ou des donnees financieres protegees l'imposent ; les safe harbor programs ont tente de creer des canaux de partage, mais se heurtent au RGPD.
Project Zero (Google, 2014) illustre la responsible disclosure : l'equipe transmet les details a l'editeur et, sans patch sous 90 jours, rend la faiblesse publique ; plus de 95% sont corrigees dans ce delai. Aux Etats-Unis, le Vulnerabilities Equities Process (VEP) arbitre, au cas par cas, la divulgation des vulnerabilites connues des agences. S'y ajoutent le mandatory reporting (obligation legale de signaler certaines circonstances, par ex. crimes impliquant des mineurs) et le whistleblowing (signalement ethique, protege de façon variable selon les juridictions, d'ou l'interet d'une assurance professionnelle). Le professionnel doit clarifier le statut legal du whistleblowing avant toute divulgation.
- Full = tout, tout de suite ; responsible = delai a l'editeur ; nondisclosure = ne pas divulguer.
- Project Zero = responsible disclosure 90 jours.
- Nondisclosure parfois seule voie legale (NDA, enquete, RGPD).
- Mandatory reporting (obligation legale) != whistleblowing (ethique, protege variablement).
Cas d'étude
Mettre en place l'analyse et le reporting
Contexte : Apres les tests de securite, Prakash doit analyser les resultats et generer des rapports a la Bank UYT, ou aucun processus clair n'existait. Il sollicite son mentor pour structurer remediation, exception handling et ethical disclosure.
Question : Comment Prakash peut-il prioriser la remediation, gerer les exceptions et l'ethical disclosure, et garantir des rapports clairs et actionnables ? (6.4.1-3)
Voir l'analyse et la correction
Prakash structure la remediation comme un projet : prioriser par le risque, fixer timelines et jalons, suivre jusqu'a completion, et relier les findings a l'analyse de risque. Il instaure un processus d'exception : tout probleme non remediable est documente, autorise par le system owner, accorde temporairement et revu a echeance ; une demande permanente ou repetee declenche une revue de politique. Pour l'ethical disclosure, il prepare l'organisation a recevoir des signalements externes et fixe une posture (responsible disclosure par defaut, nondisclosure si la loi l'impose). Cote reporting, il adapte le niveau de detail a chaque audience, rend les rapports actionnables (findings + recommandations), et s'appuie sur un modele d'amelioration continue (PDCA) pour assurer une reponse rapide et efficace.
À retenir : Prioriser par le risque, documenter et revoir les exceptions, choisir une posture de disclosure, et adapter le reporting a l'audience tout en le gardant actionnable.
- Relier les findings a l'analyse de risque.
- Exceptions : temporaires, documentees, autorisees, revues.
- Adapter le detail du rapport a chaque audience, le garder actionnable.
PDCA : pas de 'Calculate'
PDCA = Plan, Do, Check, Act. Un piege classique propose 'Calculate' comme etape : c'est faux. Le Six Sigma, lui, utilise cinq etapes (Define, Measure, Analyze, Improve, Control - DMAIC).
Aucun test ne corrige : il faut une remediation
Un test, au mieux, identifie un probleme ; il ne le corrige pas. Apres la phase de test vient toujours une remediation. De meme, une exception ne resout pas le risque, elle le formalise temporairement en attendant traitement.
Responsible vs full disclosure
Responsible disclosure laisse a l'editeur un delai (Project Zero : 90 jours) avant publication. Full disclosure publie immediatement. Nondisclosure s'impose quand NDA, enquete, privacy ou donnees financieres protegees l'exigent. Ne pas confondre les trois.
Point de contrôle — Verification des acquis
-
Le PDCA est compose de quatre etapes. Laquelle n'en fait PAS partie ?
- A Calculate
- B Plan
- C Do
- D Act
Réponse & justification
Réponse : A — Calculate
PDCA = Plan, Do, Check, Act. 'Calculate' n'en fait pas partie. Le Check (evaluer les resultats) est l'etape souvent confondue.
-
Un chercheur externe signale une faille a l'editeur et lui laisse 90 jours avant toute publication. Quelle posture ?
- A Responsible disclosure
- B Full disclosure
- C Nondisclosure
- D Mandatory reporting
Réponse & justification
Réponse : A — Responsible disclosure
Signaler a l'editeur et accorder un delai avant publication est la responsible disclosure (modele Project Zero, 90 jours). La full disclosure publie immediatement ; la nondisclosure ne divulgue pas ; le mandatory reporting est une obligation legale de signalement.
Points essentiels à retenir
- Remediation = projet : prioriser, jalonner, suivre ; les findings nourrissent l'analyse de risque.
- PDCA (Plan-Do-Check-Act) et Six Sigma (DMAIC) structurent l'amelioration continue.
- Exceptions : temporaires, documentees, autorisees, revues.
- Disclosure : full (immediat), responsible (delai), nondisclosure (NDA/loi).
- Mandatory reporting (legal) et whistleblowing (ethique) completent la disclosure.
Conduire ou faciliter les audits de securite
Prérequis : Modules 1-7 ; rapports SOC du Module 1.
L'audit est l'aboutissement formel de l'evaluation de securite. Ce module couvre les audits internes (chartering, scoping, testing, reporting, remediating avec POA&M), la preparation d'un audit SOC, les audits externes et leurs types, ainsi que les audits tiers, les managed services et la supply chain.
8.1 Audit interne et methodologie
Assessments et audits peuvent etre conduits en interne ou par des tiers independants. Un evaluateur independant donne plus de confiance dans les opinions, attestations et findings. L'audit interne vise a determiner si les controles repondent aux attentes de risque de l'organisation ; il aide aussi a ameliorer l'efficacite operationnelle et a preparer les audits externes. Il est souvent conduit par l'organisation elle-meme (self-assessment), ce qui exige rigueur et volonte de poser des questions difficiles - beaucoup d'organisations victimes de breaches decouvrent que leur culture n'encourageait pas cette introspection.
Avantage de l'audit interne : la familiarite des auditeurs avec processus, outils et personnel. Mais cette familiarite est aussi un risque : on peut negliger involontairement des problemes, et l'auditeur interne peut manquer d'independance pour une evaluation objective (tentation de minimiser un probleme majeur qui affecterait la performance ou les relations). Certaines organisations gardent les auditeurs dans une equipe separee ; pour les plus petites, ce n'est pas toujours faisable.
La methodologie suit des phases. Chartering : le management sponsorise et ressource l'evaluation. Scoping : le management determine profondeur, ampleur, calendrier, format de reporting et qui realise le travail (le stakeholder engagement et le risk assessment sont menes tout du long). Testing : conduite des controles physiques, techniques et administratifs (vulnerability assessment, penetration testing). Reporting : le rapport sert de benchmark, d'outil correctif ou d'artefact pour l'audit externe ; le niveau de detail s'adapte a l'audience, la divulgation reste de la responsabilite du management, et les artefacts sont proteges. Remediating : associer les resultats a l'action corrective ; aux Etats-Unis, le Plan of Action and Milestones (POA&M) tracte la faiblesse, la remediation proposee, les ressources et le calendrier (NIST SP 800-37).
- Audit interne : avantage = familiarite ; risque = manque d'independance.
- Phases : chartering, scoping, testing, reporting, remediating.
- Le management fixe le scope ; la divulgation lui incombe.
- POA&M trace faiblesse, remediation, ressources, calendrier (NIST 800-37).
8.2 Preparer et conduire un audit SOC
Pour un prestataire de services n'ayant jamais ete audite, la preparation d'un premier examen SOC suit typiquement deux phases. Le security professional joue ici un role cle de conseil et d'execution.
La phase de preparation (audit preparation phase) commence par familiariser la direction et les personnes cles avec le processus et le but des examens SOC. L'equipe procede ensuite comme pour tout projet majeur : etablir clairement calendrier, scope et criteres de succes ; determiner les controles dans le scope de l'examen, inventorier les controles actuels et identifier les manquants ; inventorier la documentation ; utiliser des techniques de gap analysis (readiness review) pour identifier et prioriser les problemes ; developper et executer des recommandations pour resoudre les ecarts ; verifier la resolution ; et etablir l'approche d'audit et de reporting la plus adaptee aux besoins externes.
La phase d'audit (audit phase) demarre une fois la preparation achevee : l'organisation est prete pour son premier audit formel. Avoir des auditeurs externes examinant l'organisation en detail peut etre perturbant ; une bonne planification reduit cette perturbation. Elle requiert une solide gestion de projet : batir un plan d'audit detaille ; collecter a l'avance tous les artefacts requis ; fournir acces, espaces de travail et salles ; planifier reunions d'introduction, revues d'avancement et outbriefings ; conduire les tests requis et fournir les artefacts ; laisser aux auditeurs le temps d'analyser hors site ; resoudre les obstacles de maniere collaborative ; fournir les versions brouillon et finale du rapport pour revue par le management ; et conduire une revue post-audit (lessons learned) pour le cycle suivant.
- Premier SOC : deux phases (preparation puis audit).
- Preparation : readiness review et gap analysis pour combler les ecarts.
- Audit : forte gestion de projet, artefacts collectes a l'avance.
- Cloturer par une revue lessons learned.
8.3 Audits externes : types et conduite
Un audit externe est une evaluation par un tiers demontrant que les controles de l'organisation respectent un standard de conformite - standard qui impose des consequences en cas de non-respect (penalites financieres, sanctions penales, limitations d'activite). Les audits externes sont reguliers (risque, gouvernance, finances) et emploient une organisation independante sans conflit d'interets ; parfois c'est l'organe de conformite qui audite. Dans tous les cas, l'organisation auditee est responsable de demontrer sa conformite. Les audits externes sont souvent obligatoires pour la conformite reglementaire ; leur avantage est d'etre approfondis et impartiaux, avec des auditeurs aux competences specialisees (ex. SOC 2 sous SSAE 18).
Le chartering releve de l'organe de gouvernance de l'auditee, qui fixe le calendrier, le scope, les ressources et les responsables de coordination. Le scope et les objectifs dependent du type d'audit et du standard. Les types les plus courants : compliance audits (tester des controles specifiques vs un standard), financial audits (exactitude du reporting financier), operational audits (controles internes d'un processus), information systems audits (controles du developpement et de l'exploitation des SI), integrated audits (operationnel + financier), forensic audits (decouvrir et rapporter fraude ou activite criminelle).
Deroulement : l'auditee connait a l'avance le standard applique, ce qui permet de preparer le support. Le pre-audit planning identifie competences et ressources, prepare une audit checklist (zones a investiguer, artefacts, personnes a interviewer, calendrier) partagee avec l'auditee pour combler les manques. L'audit execution collecte les artefacts, mene les tests et interviews (sur site et a distance). L'audit reporting analyse et compile un draft report partage avec l'auditee pour corriger erreurs et omissions, avant la presentation des resultats finaux. L'auditeur doit disposer de l'expertise suffisante, quitte a engager un tiers pour des tests specialises (autorise par l'audit charter).
- Audit externe : independant, approfondi, souvent obligatoire ; l'auditee prouve sa conformite.
- Types : compliance, financial, operational, IS, integrated, forensic.
- Pre-audit planning + audit checklist partagee avec l'auditee.
- Le draft report est revu avec l'auditee avant les resultats finaux.
8.4 Audits tiers, managed services et supply chain
Les relations tierces couvrent supply chains et prestataires : CSP, ISP, managed security services, consultants, mais aussi vendors de materiel/logiciel (consideres comme partie de la supply chain). L'audit tiers est un outil cle de gestion du risque : le security practitioner peut conduire l'audit ou demander un rapport d'audit au tiers. L'objectif partage est d'identifier les risques lies au tiers susceptibles d'impacter votre organisation et d'evaluer l'efficacite des attenuations. Exemples courants : SOC 2 et CSA STAR. Auditer les pratiques de tiers ayant acces a vos donnees sensibles est vital, car de nombreuses lois de privacy tiennent le data controller legalement responsable d'une breach, meme causee par un data processor (ex. un cloud).
Deux processus doivent conduire a identifier et caracteriser tous les tiers (risque, conformite, ou les deux). Les termes des contrats doivent etablir les responsabilites de securite et de conformite ; sinon, ce manque doit etre comble, contrats renegocies. Un tiers peut avoir lui-meme des relations (ses propres prestataires ou clients) : la first party doit identifier le mix de risque et de conformite et le resoudre avec le tiers.
Les managed services confient a un tiers la responsabilite de tout ou partie d'un ensemble de fonctions. Le security professional intervient sur deux fronts : ceux qui delivrent des services IT/securite (identity, incident response, BC/DR) et ceux qui, sur d'autres services, ont un acces partage aux actifs de l'organisation. Idealement, un contrat et un SLA etablissent une relation cooperative donnant visibilite sur les audits du fournisseur et permettant vos propres tests. Au minimum, les SLA doivent accorder une information de niveau resume sur les audits de securite. Enfin, les organisations existent aussi dans la supply chain d'autres : les principes de supply chain management s'appliquent en amont (suppliers) et en aval (customers) ; la serie ISO 28000 adresse le management de la securite de la supply chain. La collecte de preuves (field work) se fait en personne ou a distance, sur des actifs on-premises, cloud ou hybrides, le modele de responsabilite partagee precisant qui repond de quels controles (ex. securite physique des data centers du fournisseur d'infrastructure).
- Audit tiers : conduire l'audit ou exiger un rapport (SOC 2, CSA STAR).
- Le data controller reste responsable d'une breach causee par un processor.
- Managed services : exiger au minimum un resume des audits de securite (SLA).
- Supply chain amont/aval ; ISO 28000 ; modele de responsabilite partagee.
Cas d'étude
Engager des auditeurs externes pour un audit integre
Contexte : Le conseil d'administration de la Bank UYT informe Prakash qu'un audit externe integre des controles operationnels et financiers doit etre charte prochainement.
Question : Quels criteres pour selectionner les auditeurs, comment aligner l'audit sur les objectifs de securite, et comment gerer les findings ? (6.5.2, 6.5.3)
Voir l'analyse et la correction
Criteres de selection : independance (aucun conflit d'interets), competences specialisees (un audit integre combine controles operationnels et financiers ; pour un SOC 2, l'expertise SSAE 18 est requise), reputation, et capacite a couvrir le scope defini par le conseil. Pour aligner l'audit sur les objectifs de securite, Prakash participe au chartering et au scoping (le conseil fixe calendrier, scope, ressources, coordinateurs), prepare une audit checklist partagee avec les auditeurs, collecte les artefacts a l'avance, et veille a ce que le standard applique corresponde aux risques de la banque. Pour gerer les findings : revoir le draft report avec les auditeurs afin de corriger erreurs et omissions, puis structurer la remediation (priorisation par le risque, POA&M, jalons) et alimenter l'amelioration continue, renforçant la resilience globale.
À retenir : Choisir des auditeurs independants et qualifies (SSAE 18 pour SOC 2) ; cadrer via charter/scope/checklist ; revoir le draft puis remedier par POA&M.
- L'independance et la specialisation priment dans le choix d'un auditeur externe.
- Le draft report se revoit avec l'auditee avant finalisation.
- La remediation s'organise via un POA&M priorise par le risque.
L'inconvenient de l'audit interne
Le principal inconvenient de l'audit interne est le manque d'independance : la familiarite avec l'organisation peut inciter a minimiser un probleme majeur (pour ne pas nuire a la performance ou aux relations). La familiarite, l'identification efficace des problemes sont au contraire des avantages.
Tiers : SOC 2 Type II pour un fournisseur critique
Pour un fournisseur integral aux operations, une strategie d'audit tiers robuste envisage de recourir a des auditeurs tiers, par exemple via un rapport SOC 2 Type II, qui apporte un eclairage independant sur l'efficacite de ses controles. Ne pas se limiter aux ressources internes ni aux seuls fournisseurs reglementes.
Point de contrôle — Verification des acquis
-
Quel est un inconvenient potentiel des audits internes ?
- A L'incitation a minimiser les problemes majeurs
- B Le manque de familiarite avec processus et personnel
- C L'identification efficace des problemes potentiels
- D Une independance excessive vis-a-vis de l'organisation
Réponse & justification
Réponse : A — L'incitation a minimiser les problemes majeurs
Du fait de leur familiarite avec l'organisation, les auditeurs internes peuvent manquer d'independance, ce qui cree une incitation a minimiser un probleme majeur. La familiarite et l'identification efficace des problemes sont au contraire des avantages.
-
Pour un fournisseur critique a vos operations, quelle est une bonne strategie d'audit tiers ?
- A Recourir a des auditeurs tiers, par exemple via un rapport SOC 2 Type II
- B N'auditer qu'avec des ressources internes
- C Limiter les audits aux fournisseurs de services reglementes
- D Se fier exclusivement aux rapports des parties prenantes internes
Réponse & justification
Réponse : A — Recourir a des auditeurs tiers, par exemple via un rapport SOC 2 Type II
Recourir a des auditeurs tiers, notamment via un SOC 2 Type II, apporte un eclairage independant sur l'efficacite des controles du fournisseur. Se limiter aux ressources internes, aux seuls fournisseurs reglementes ou aux rapports internes ne donne pas une evaluation complete.
Points essentiels à retenir
- Audit interne : familiarite (avantage) vs independance (risque) ; phases chartering->remediating.
- POA&M trace faiblesse, remediation, ressources, calendrier.
- Premier audit SOC : phase de preparation (readiness/gap analysis) puis phase d'audit.
- Audit externe : independant, types compliance/financial/operational/IS/integrated/forensic.
- Audit tiers : SOC 2/CSA STAR ; le data controller reste responsable ; ISO 28000 pour la supply chain.
Synthèse du domaine
La security assessment and testing est une composante essentielle de tout programme de securite reussi : structurer la pratique d'evaluation, soutenir les audits et conduire des controls assessments significatifs maintiennent l'activite dans un niveau de risque acceptable.
Le nombre et la diversite des frameworks ne cessent de croitre. Selectionner un framework adapte au processus metier est une bonne pratique, mais le framework n'est jamais un substitut a l'analyse : ce n'est pas une checklist qui, une fois cochee, rend l'organisation sure.
Plusieurs techniques se combinent : vulnerability scanning (outils automatises identifiant les vulnerabilites connues), penetration testing (exploitation controlee pour mesurer l'efficacite des controles) et social engineering (manipulation psychologique pour tester la vigilance des utilisateurs). S'y ajoutent code review (SAST/DAST), synthetic transactions et RUM, misuse et negative testing, breach and attack simulation.
La collecte des donnees de processus (account management, KPI/KRI, backups, SETA, BC/DR) alimente la decision data-driven. L'analyse des resultats pilote la remediation, l'exception handling et l'ethical disclosure via des modeles d'amelioration continue (PDCA, Six Sigma). Enfin, les audits internes, externes et tiers - et la lecture des rapports SOC - donnent l'assurance formelle attendue par les parties prenantes.
Il est vital de conduire des evaluations regulieres et d'utiliser leurs resultats pour prioriser la remediation et ameliorer les controles.
Glossaire (Terms & Definitions)
Les termes-clés du Domaine 6, à maîtriser en anglais pour l'examen.
| Terme | Définition |
|---|---|
| Artifact | Pièce de preuve (texte ou référence à une ressource) soumise pour étayer une réponse à une question d'évaluation. |
| Assessment | Test ou évaluation des contrôles d'un système ou d'une organisation pour déterminer s'ils sont correctement implémentés, opèrent comme prévu et produisent le résultat attendu vis-à-vis des exigences de sécurité ou de privacy. |
| Audit / Auditing | Processus de revue d'un système pour vérifier sa conformité à un standard ou un baseline ; peut être formel et indépendant, ou informel avec du personnel interne. |
| Chaos Engineering | Discipline consistant à expérimenter sur un système logiciel en production pour bâtir la confiance dans sa capacité à résister à des conditions turbulentes et imprévues. |
| Compliance Calendar | Calendrier qui suit les audits, évaluations et dépôts réglementaires d'une organisation, avec leurs échéances et détails associés. |
| Compliance Tests | Évaluation qui fournit l'assurance que les contrôles d'une organisation sont appliqués conformément aux politiques et procédures du management. |
| Ethical Penetration Testing / Penetration Testing | Méthode de test où les testeurs tentent activement de contourner ou vaincre les fonctions de sécurité d'un système ; le penetration testing éthique reste, par contrat, dans des rules of engagement (RoE) définies. |
| Examination | Processus de revue, inspection, observation, étude ou analyse d'objets d'évaluation (spécifications, mécanismes, activités) pour faciliter la compréhension, obtenir des clarifications ou des preuves. |
| Finding(s) | Résultats d'évaluation produits par l'application d'une procédure d'évaluation à un contrôle de sécurité pour atteindre un objectif d'évaluation. |
| Interview(s) | Technique d'évaluation consistant à mener des discussions avec des individus ou groupes de l'organisation pour faciliter la compréhension, obtenir des clarifications ou des preuves. |
| Judgmental Sampling | Aussi appelée purposive ou authoritative sampling : technique d'échantillonnage non probabiliste où les éléments sont choisis selon la connaissance et le jugement du chercheur. |
| Misuse Case Testing | Stratégie de test du point de vue d'un acteur hostile au système, utilisant des suites d'actions délibérément choisies pouvant provoquer des défaillances d'intégrité ou compromissions de sécurité. |
| Plan of Action and Milestones (POA&M) | Document identifiant les tâches à accomplir, les ressources requises, les jalons et leurs dates d'achèvement prévues. |
| Rules of Engagement (RoE) | Ensemble de règles, contraintes et conditions fixant les limites de ce que les participants peuvent ou non faire ; en penetration testing, elles définissent la portée et les limitations de responsabilité. |
| Statistical Sampling | Processus de sélection de sous-ensembles d'exemples dans une population afin d'estimer les propriétés de la population totale. |
| Substantive Test | Technique de test utilisée par les auditeurs pour obtenir des preuves d'audit étayant leur opinion. |
| Testing | Processus consistant à exercer un ou plusieurs objets d'évaluation sous conditions spécifiées afin de comparer le comportement réel au comportement attendu. |
| Trust Services Criteria (TSC) | Critères utilisés par un auditeur pour évaluer la conception et l'efficacité opérationnelle des contrôles liés à la sécurité, disponibilité, intégrité de traitement, confidentialité ou privacy (rapports SOC 2). |
| SOC 1 Report | Rapport d'organisme de service (SSAE 18 / ISAE 3402) portant sur les contrôles pertinents pour le reporting financier des entités clientes. |
| SOC 2 Report | Rapport sur les contrôles d'un organisme de service évalués selon les Trust Services Criteria ; usage restreint, fourni à l'organisation cliente et ses auditeurs. |
| SOC 3 Report | Version publique et synthétique d'un rapport SOC 2, librement distribuable, sans le détail des tests ni des résultats. |
| Type I Report | Rapport SOC évaluant la conception (suitability of design) des contrôles à un instant précis (point in time). |
| Type II Report | Rapport SOC évaluant la conception ET l'efficacité opérationnelle des contrôles sur une période (généralement 6 à 12 mois) ; un SOC 2 Type II est exigé pour les fournisseurs critiques. |
| Attestation | Déclaration d'un auditeur indépendant sur la fiabilité d'une assertion du management (ex : conformité des contrôles), fondée sur des preuves recueillies. |
| Vulnerability Scanning | Usage automatisé d'outils pour identifier les vulnérabilités connues d'un système ; détecte aussi les protocoles non sécurisés (ex : FTP). |
| Vulnerability Assessment | Tâche essentielle d'évaluation de la sécurité d'un système : identifier les vulnérabilités puis analyser leur impact selon la configuration propre à l'organisation. |
| Penetration Testing (Black / White / Grey Box) | Pen test selon le niveau de connaissance fourni : black box (aucune info), white box (info complète, code/architecture), grey box (connaissance partielle). |
| Red Team | Équipe simulant un attaquant malveillant pour identifier des vulnérabilités, exploiter des faiblesses et évaluer la posture de sécurité de l'organisation. |
| Blue Team | Équipe défensive chargée de détecter, contrer et répondre aux actions de la red team, et de renforcer les contrôles de sécurité. |
| Purple Team | Démarche collaborative reliant red et blue teams pour maximiser le partage de retours et l'amélioration continue des défenses. |
| Social Engineering | Technique utilisant des tactiques psychologiques pour tromper les utilisateurs et les amener à divulguer des informations confidentielles ou à compromettre la sécurité. |
| Breach and Attack Simulation (BAS) | Plateforme automatisée qui rejoue en continu des scénarios d'attaque réalistes pour valider l'efficacité des contrôles de détection et de prévention. |
| Static Application Security Testing (SAST) | Analyse de sécurité du code source ou binaire sans exécution (white box), pour repérer les vulnérabilités tôt dans le cycle de développement. |
| Dynamic Application Security Testing (DAST) | Test de sécurité de l'application en cours d'exécution (black box), sondant les interfaces exposées pour détecter des failles exploitables. |
| Interactive Application Security Testing (IAST) | Test hybride combinant instrumentation interne (comme SAST) et exécution en cours de fonctionnement (comme DAST) pour une détection plus précise. |
| Fuzzing | Technique injectant des données malformées, aléatoires ou inattendues en entrée pour provoquer des défaillances et révéler des vulnérabilités. |
| Code Review | Examen manuel ou assisté du code source par des pairs pour détecter des défauts de sécurité, de logique ou de qualité avant déploiement. |
| Test Coverage Analysis | Mesure de la proportion de code ou d'exigences réellement exercée par les tests, afin d'identifier les zones non testées. |
| Regression Testing | Re-test après modification pour vérifier qu'une correction ou évolution n'a pas réintroduit de défauts ni brisé des fonctions existantes. |
| Interface Testing | Test des points d'échange entre composants, systèmes ou API (ex : interfaces réseau, applicatives, physiques) pour valider leur bon fonctionnement. |
| Misuse Case | Cas d'usage négatif décrivant comment un acteur hostile abuserait du système, utilisé pour dériver des exigences et tests de sécurité. |
| Synthetic Transactions | Transactions scriptées et rejouées automatiquement contre une application pour mesurer disponibilité et performance de manière proactive. |
| Real User Monitoring (RUM) | Surveillance passive des interactions réelles des utilisateurs avec une application pour mesurer performance et expérience vécue. |
| Log Review | Analyse des journaux système, applicatifs et de sécurité pour détecter anomalies, incidents et écarts de conformité. |
| Account Management Review | Revue périodique des comptes et de leurs droits pour confirmer le least privilege, détecter les comptes orphelins et les accès excessifs. |
| Backup Verification | Vérification que les sauvegardes existent, sont intègres et restaurables, généralement via des tests de restauration réguliers. |
| Management Review | Revue formelle par la direction des résultats d'évaluation, KPI/KRI et de l'efficacité du SMSI pour orienter les décisions et ressources. |
| Key Performance Indicator (KPI) | Indicateur rétrospectif mesurant l'atteinte d'objectifs de performance (ex : taux de correction des vulnérabilités dans les délais). |
| Key Risk Indicator (KRI) | Indicateur prospectif signalant l'évolution du niveau de risque pour anticiper un dépassement de l'appétence au risque. |
| Internal Audit | Audit réalisé par le personnel interne ; exige des compétences suffisantes et des ressources/temps alloués, mais reste moins indépendant qu'un audit externe. |
| External Audit | Audit mandaté auprès d'un organisme indépendant sans conflit d'intérêts, portant sur le risque, la gouvernance ou la situation financière. |
| Third-Party Audit | Stratégie d'audit couvrant tout tiers influant sur les opérations ou traitant des données sensibles ; peut s'appuyer sur un rapport SOC 2 Type II du fournisseur. |
| Self-Assessment | Évaluation interne exigeant rigueur organisationnelle et introspection ; les organisations efficaces suivent une méthodologie cohérente. |
| Security Control Testing | Évaluation d'un contrôle par combinaison de testing, examination et interview, voire modélisation et simulation, de façon cohérente, structurée et reproductible. |
| NIST SP 800-53A | Guide NIST des procédures d'évaluation des contrôles de sécurité et privacy du SP 800-53, définissant les méthodes test/examination/interview. |
| ISO/IEC 27001 | Norme internationale de certification définissant les exigences d'un système de management de la sécurité de l'information (SMSI). |
| ISO/IEC 27002 | Code de bonnes pratiques fournissant des recommandations détaillées de mise en oeuvre des contrôles de sécurité de l'information. |
| PCI DSS | Standard de sécurité des données pour les acteurs traitant des cartes de paiement ; exige scans de vulnérabilités et tests d'intrusion réguliers. |
| Common Vulnerabilities and Exposures (CVE) | Référentiel public attribuant un identifiant unique à chaque vulnérabilité connue divulguée publiquement. |
| Common Vulnerability Scoring System (CVSS) | Cadre standardisé notant la gravité d'une vulnérabilité de 0 à 10 via des métriques de base, temporelles et environnementales. |
| False Positive | Alerte signalant à tort une vulnérabilité ou un incident inexistant, consommant des ressources de triage. |
| False Negative | Échec à détecter une vulnérabilité ou un incident réel, situation la plus dangereuse car le risque reste invisible. |
| Compensating Control | Contrôle alternatif réduisant le risque lorsque le contrôle principal est impraticable (ex : segmentation réseau pour limiter l'usage de FTP). |
| Risk Assessment | Évaluation identifiant les actifs d'une organisation puis mesurant la vraisemblance et l'impact des risques pouvant les affecter. |
| Modeling and Simulation | Méthode d'évaluation combinant modélisation, simulation et analyse de données opérationnelles pour estimer la performance d'un contrôle. |
Points essentiels du domaine
Ce qu'il faut absolument retenir
- La security assessment and testing evalue l'efficacite des controles et identifie les vulnerabilites.
- Elle combine plusieurs techniques : vulnerability scanning, penetration testing, social engineering, code review.
- Le vulnerability scanning automatise l'identification des vulnerabilites connues.
- Le penetration testing exploite des vulnerabilites en environnement controle pour mesurer les controles.
- Le social engineering teste le facteur humain (phishing, pretexting).
- Des evaluations regulieres garantissent la detection des nouvelles vulnerabilites et l'efficacite continue.
- Les resultats servent a prioriser strategiquement la remediation et a renforcer les controles.
- Le testing est une methode de collecte d'information : il peut servir un audit, un assessment, ou fonctionner seul.