À la fin de ce cours, vous saurez
- Conduire une investigation numérique dans les règles : order of volatility, chain of custody, admissibilité des preuves.
- Concevoir une chaîne de logging et de monitoring efficace (IDS/IPS, SIEM, SOAR, ISCM, DLP, UEBA) et en connaître les limites.
- Appliquer les concepts fondamentaux d'opérations : need-to-know, least privilege, separation of duties, PAM, job rotation, mandatory vacation.
- Piloter la gestion des incidents de la détection aux lessons learned (NIST 800-61, ISO 27035), CSIRT/SOC et root cause analysis.
- Choisir et dimensionner une stratégie de reprise : sauvegardes 3-2-1, RAID, haute disponibilité, sites cold/warm/hot, RTO/RPO/MTD.
- Tester un plan de disaster recovery et de continuité, et sécuriser le périmètre physique et le personnel.
Prérequis : Avoir parcouru le Domaine 1 (risk management, investigations, BCP) et le Domaine 5 (IAM : least privilege, PAM, JIT) facilite la lecture. Une culture réseau (D4) et architecture (D3) aide pour IDS/IPS, RAID et sites de reprise. Aucun prérequis bloquant.
Parcours conseillé
Parcours conseillé en 5 sessions d'environ 3 à 4 h, à étaler sur 3 à 4 semaines. Refaire les checkpoints de chaque module avant de passer à la session suivante, puis le quiz complet (150+ Q) en révision finale.
-
Session 1 - Investigations & supervision
MODULE 1 · MODULE 2 · MODULE 3
Forensique, order of volatility, chain of custody ; logging, IDS/IPS, SIEM, SOAR, ISCM, DLP, UEBA.
-
Session 2 - Configuration, opérations & ressources
MODULE 4 · MODULE 5 · MODULE 6
Change/config management, baselines ; least privilege, SoD, PAM ; protection et sanitization des médias.
-
Session 3 - Incidents & défenses
MODULE 7 · MODULE 8
Cycle de réponse à incident, CSIRT, RCA ; firewalls, honeypots, anti-malware, patch & vuln management.
-
Session 4 - Reprise & continuité
MODULE 9 · MODULE 10
Sauvegardes 3-2-1, RAID, HA ; sites de reprise, tests DR, BIA, RTO/RPO/MTD, BCP.
-
Session 5 - Physique & personnel
MODULE 11
Périmètre, CPTED, capteurs, feu ; sûreté du personnel, voyages, duress codes, MDM. Puis quiz complet.
Investigations et forensique numérique
Prérequis : Concepts fondamentaux du Domaine 1 (CIA, accountability) et notions de base sur la preuve juridique.
Une investigation ne se déclenche pas seulement après une cyberattaque : elle peut être administrative, criminelle, civile ou réglementaire, chacune avec son niveau de preuve et ses règles juridiques propres. Le security professional doit savoir reconnaître le type d'enquête en cours, car il conditionne tout le reste : qui mène, quelle rigueur de preuve, quelles obligations légales.
Ce module couvre le coeur opérationnel de la forensique : les quatre tenets de présentation de la preuve (admissibility, accuracy, comprehensibility, objectivity), l'order of volatility, la chain of custody, le write-blocking, l'arbitrage entre vitesse de réponse et préservation des preuves, ainsi que le cycle forensique NIST en quatre phases et les standards ISO 27037 à 27050.
À la fin, vous saurez ordonner une collecte selon la volatilité, documenter une chain of custody défendable en justice, choisir d'externaliser vers un professionnel certifié (voire licencié comme private investigator selon la juridiction), et situer chaque standard ISO forensique dans le cycle de vie de l'investigation.
1.1 Types d'investigations et eDiscovery
Toute investigation n'a pas la même finalité ni le même niveau de preuve. Une administrative investigation est interne à l'organisation : elle vise à établir des faits liés à une violation de politique ou à un dysfonctionnement RH ; son standard de preuve est faible et son issue va du rappel à l'ordre au licenciement. Une criminal investigation est menée par les forces de l'ordre lorsqu'une loi pénale est violée ; elle exige le standard de preuve le plus élevé (beyond a reasonable doubt) et peut conduire à des sanctions pénales. Une civil investigation oppose des parties privées (rupture de contrat, litige commercial) avec un standard plus faible (preponderance of evidence). Une regulatory investigation est conduite par une autorité (régulateur sectoriel, autorité de protection des données) pour vérifier la conformité à une réglementation, avec des sanctions administratives à la clé.
Le type d'investigation conditionne tout : qui mène, quelles preuves sont recevables, quelles obligations légales s'appliquent. Confondre une enquête interne avec une procédure pénale - ou inversement - expose l'organisation à invalider ses preuves ou à enfreindre les droits des personnes.
L'eDiscovery (electronic discovery) est le processus d'identification, de préservation, de collecte et de production d'informations stockées électroniquement (ESI) en réponse à une demande dans le cadre d'un litige ou d'une enquête. Le standard ISO 27050 encadre l'eDiscovery, en cohérence avec des modèles comme l'EDRM. Piège d'examen : l'eDiscovery n'est pas la forensique ; c'est le cadre de gestion de l'ESI à produire, alors que la forensique est l'analyse technique des supports. Une preservation obligation (legal hold) peut imposer de geler des données dès l'anticipation d'un litige, sous peine de spoliation.
- Quatre types : administrative, criminal, civil, regulatory - standards de preuve distincts
- Criminal = beyond a reasonable doubt ; civil = preponderance of evidence
- Le type d'enquête conditionne qui mène, la recevabilité et les obligations légales
- eDiscovery (ISO 27050) gère l'ESI à produire ; un legal hold prévient la spoliation
1.2 Types de preuve, recevabilité et les quatre tenets
Porter un dossier numérique devant un tribunal soulève une question décisive : l'admissibility. Une preuve n'est utile que si la cour l'accepte. Or toute preuve altérée n'est pas automatiquement irrecevable, et toute preuve intacte n'est pas automatiquement acceptée : tout dépend de la manière dont elle a été documentée, préservée et présentée. C'est précisément pourquoi le manuel recommande de recourir à des professionnels dédiés de la forensique et de la collecte de preuves.
Le manuel énonce quatre tenets que le security professional doit respecter pour présenter une preuve, surtout devant une cour. Admissibility : seule une preuve acceptable par la cour peut être présentée ; c'est la cour qui signale ce qui est irrecevable. Accuracy : la preuve doit être vraie et claire. Comprehensibility : même si l'organisation cherche à raconter une histoire cohérente, elle ne peut pas dissimuler une preuve contraire à cette histoire ; retenir une preuve défavorable peut, dans certains cas, constituer une infraction. Objectivity : la preuve doit valoir par elle-même, sur une base factuelle ; sauf invitation de la cour ou du conseil, le professionnel ne doit pas introduire d'opinion subjective.
Piège d'examen : ne confondez pas admissibility (la cour accepte ou non) et accuracy (la preuve est exacte) ; et retenez que la comprehensibility interdit de cacher les éléments à décharge, ce qui surprend les candidats qui imaginent l'enquêteur comme un avocat partisan. La documentation est le fil rouge qui sécurise les quatre tenets.
Un principe fondateur eclaire pourquoi la preuve numerique existe : le Locard's exchange principle (principe d'echange de Locard) enonce que tout contact laisse une trace. Transpose au numerique, chaque action d'un attaquant (connexion, commande, transfert) depose des artefacts (logs, fichiers temporaires, entrees de registre, metadonnees) et en emporte d'autres. C'est ce qui rend l'investigation possible : il n'existe pas d'intrusion sans trace, seulement des traces que l'on n'a pas encore su collecter ou correler.
- Les quatre tenets : admissibility, accuracy, comprehensibility, objectivity
- Preuve altérée ≠ forcément irrecevable ; preuve intacte ≠ forcément acceptée
- Comprehensibility interdit de cacher les éléments contraires (à décharge)
- Objectivity proscrit l'opinion subjective sauf demande de la cour
- Locard's exchange principle : tout contact laisse une trace ; aucune intrusion n'est sans artefacts.
1.3 Order of volatility et préservation vs vitesse de réponse
Toutes les données ne survivent pas également au temps et aux manipulations. L'order of volatility classe les sources de preuve de la plus volatile à la plus durable, dictant l'ordre dans lequel les collecter. En haut de l'échelle se trouvent les registres et caches CPU, puis la mémoire RAM, puis l'état réseau et les tables de connexions, puis les fichiers temporaires et l'espace disque actif, et enfin les supports de stockage durables (disques, archives, sauvegardes). On collecte d'abord le plus volatile.
La volatilité de la RAM est un détail crucial mais souvent négligé. Les données en random-access memory sont extrêmement volatiles : dès qu'on coupe l'alimentation ou qu'on éteint le système, le contenu de la RAM devient irrécupérable par des moyens ordinaires. D'où un dilemme central : en cas d'incident, éteindre les machines peut stopper la propagation d'un malware, mais peut aussi détruire des preuves clés nécessaires à une investigation ultérieure.
C'est l'arbitrage entre speed of response (limiter le dommage et le risque) et préservation des preuves. La collecte de preuve est un processus sensible : agir trop vite pour contenir l'attaque peut effacer la mémoire vive ; agir trop lentement laisse le dommage s'étendre. Le bon réflexe forensique est souvent de capturer la RAM (memory dump) avant toute coupure, lorsque c'est compatible avec la sécurité des personnes et la limitation du risque. Piège d'examen : si une question oppose « éteindre vite pour stopper le malware » et « préserver la preuve volatile », le raisonnement attendu est de capturer le volatile d'abord, sauf danger immédiat. Order of volatility = ordre de collecte, du plus éphémère au plus durable.
- Collecter du plus volatile (registres, cache, RAM) au plus durable (disques, archives)
- La RAM est irrécupérable dès l'extinction : capturer un memory dump d'abord
- Arbitrage clé : speed of response (contenir) vs preservation (preuve volatile)
- Capturer le volatile avant de couper, sauf danger immédiat pour les personnes
1.4 Chain of custody, write-blocking et conduite des interviews
La chain of custody (chaîne de possession) est la traçabilité documentée d'une preuve depuis sa collecte jusqu'à sa présentation. Elle doit répondre aux questions impératives - qui, quoi, où, pourquoi, quand - pour chaque manipulation de la preuve. La documentation doit être si complète qu'une autre personne, partant du même matériel d'origine, pourrait suivre le processus documenté et aboutir à la même analyse. Elle inclut toutes les étapes : collecte/capture, analyse et stockage de la preuve.
La préservation de l'original est un principe cardinal. Le professionnel doit éviter toute modification non enregistrée ou involontaire. Cela passe par l'usage de la write-blocking technology, qui empêche toute écriture sur le support saisi pendant la copie ; par le contrôle des accès externes ; et par la maîtrise des émissions électromagnétiques. L'analyse doit, autant que possible, se faire sur des copies (bit-level copies) et non sur l'original. Tous ces efforts de préservation doivent eux-mêmes être documentés.
Les interviews suivent des bonnes pratiques précises : enregistrer quand c'est possible (en notifiant la personne et en consignant la notification, selon les lois locales) ; ne jamais mener un entretien seul (multiparty interviews) ; préserver les droits du sujet, l'informer qu'il peut refuser l'entretien (même si ce refus peut entraîner un licenciement) et, si la loi ou le contrat l'exige, lui permettre d'être accompagné. Piège d'examen : un write-blocker garantit l'intégrité (donc l'admissibility), pas la confidentialité ; et la chain of custody se brise dès qu'un maillon de traçabilité manque, rendant la preuve attaquable.
- Chain of custody = qui/quoi/où/pourquoi/quand, à chaque manipulation
- Préserver l'original : write-blocking, analyse sur bit-level copies, contrôle des accès
- Documenter aussi les efforts de préservation eux-mêmes
- Interviews : enregistrer, multiparty, préserver les droits et l'option de refus
1.5 Le cycle forensique NIST et la forensic readiness
Une fois l'investigation lancée, elle se déroule en quatre phases, conformes au modèle simplifié du NIST (SP 800-86, Guide to Integrating Forensic Techniques into Incident Response), illustrées en Figure 7.11. Collection : la scène est sécurisée ; les données liées à l'événement sont identifiées, étiquetées, enregistrées et collectées, en préservant leur intégrité. Examination : les données sont soumises à des outils et techniques forensiques pour identifier et extraire l'information pertinente tout en protégeant son intégrité. Analysis : les résultats de l'examen sont inspectés pour obtenir l'information qui répond aux questions ayant déclenché l'investigation. Reporting : on rapporte les résultats, en décrivant les actions menées, en déterminant les actions complémentaires nécessaires et en recommandant des améliorations du processus forensique.
Cette conduite repose sur plusieurs prérequis organisationnels. L'organisation doit disposer d'un programme forensique structuré et doté de ressources, avec le soutien et l'autorité nécessaires. Les personnes ayant des responsabilités forensiques doivent être désignées et formées en amont de l'incident, avec les bons outils. Les pratiques doivent se conformer au système juridique de la juridiction concernée. Enfin, les processus métier doivent être structurés avant l'incident pour soutenir l'analyse forensique : c'est la forensic readiness.
La collecte exige des outils spécialisés (copies bit-level de disques, capture de l'état système, copie des journaux) qui doivent être maintenus et reconnus comme méthodes valides par le système juridique. La virtualisation et le cloud compliquent l'identification et la collecte, imposant souvent de coordonner avec un fournisseur. Piège d'examen : l'ordre NIST est Collection -> Examination -> Analysis -> Reporting ; ne confondez pas examination (extraire l'information) et analysis (l'interpréter au regard des questions de l'enquête).
- Cycle NIST (SP 800-86) : Collection -> Examination -> Analysis -> Reporting
- Examination extrait l'information ; Analysis l'interprète
- Forensic readiness : programme structuré, personnel formé en amont, conformité juridique
- Cloud et virtualisation imposent souvent une collecte coordonnée avec le fournisseur
1.6 Standards forensiques ISO et recours aux professionnels certifiés
Le modèle simplifié du NIST est cohérent avec une famille de standards ISO qui couvre le cycle de vie de la preuve numérique, illustrée en Figure 7.10. ISO/IEC 27037 porte sur l'identification, la collecte, l'acquisition et la préservation des preuves numériques : c'est la norme de référence sur le terrain de collecte. ISO/IEC 27041 traite de l'assurance et de la garantie d'adéquation des méthodes d'investigation. ISO/IEC 27042 porte sur l'analyse et l'interprétation des preuves numériques. ISO/IEC 27043 décrit les principes et processus généraux d'investigation des incidents. ISO/IEC 27050, enfin, encadre l'eDiscovery (gestion de l'ESI à produire). Des standards nationaux existent aussi, influencés par les règles de preuve et systèmes juridiques propres à chaque juridiction.
La plupart des organisations n'ont pas de professionnels forensiques formés à demeure : c'est une discipline très spécifique, exigeant formation et expérience, pour une activité rare dans la plupart des métiers. Face à un besoin de forensique, la tentation est de confier la tâche à un membre de l'équipe sécurité ou de l'IT : ce n'est pas recommandé. Mieux vaut recourir à un contractant externe certifié - et licencié si nécessaire.
Dans certaines juridictions (par exemple les États du Texas et du Michigan aux États-Unis), l'analyse forensique ne peut être réalisée comme service rémunéré que si l'analyste est licencié par l'État, au titre de la profession de private investigator. Il faut donc intégrer toutes les lois applicables dans la politique de collecte, d'analyse et de présentation des preuves. Rappel des premiers intervenants : en cas d'incendie, d'intervention policière ou médicale, les first responders ont des priorités supérieures (la safety of human life) qui peuvent les amener à perturber la scène ; et beaucoup d'anomalies sont d'abord traitées par le help desk, non comme une scène de crime potentielle. Piège d'examen : externaliser vers un professionnel certifié/licencié n'est pas un luxe, c'est ce qui sécurise l'admissibility et respecte les contraintes juridiques locales.
- 27037 collecte/préservation, 27041 assurance, 27042 analyse, 27043 processus, 27050 eDiscovery
- Le modèle NIST est cohérent avec ces standards ISO
- Externaliser vers un professionnel certifié plutôt que l'équipe IT/sécurité
- Certaines juridictions exigent une licence private investigator pour la forensique payante
Cas d'étude
Une investigation à cheval sur deux juridictions
Contexte : Une entreprise française détecte une exfiltration de données depuis un serveur applicatif hébergé chez un fournisseur cloud au Texas. La machine compromise tourne encore : la RAM contient probablement les processus malveillants actifs et des clés de chiffrement en clair. L'équipe IT, pressée par la direction, veut éteindre immédiatement le serveur pour stopper l'exfiltration, puis confier l'analyse à un administrateur système interne. Le DPO rappelle qu'une procédure pourrait suivre, en France comme aux États-Unis.
Question : Dans quel ordre collecter les preuves, et qui doit conduire l'analyse compte tenu des juridictions en jeu ?
Voir l'analyse et la correction
Éteindre d'abord le serveur détruirait la RAM, irrécupérable par des moyens ordinaires, et avec elle les processus actifs et les clés en clair : ce serait sacrifier la preuve la plus volatile au nom de la speed of response. Le bon réflexe forensique est de respecter l'order of volatility : capturer un memory dump et l'état réseau d'abord, puis seulement isoler/éteindre la machine, en réalisant une bit-level copy du disque via un write-blocker. Chaque geste est consigné dans la chain of custody (qui/quoi/où/pourquoi/quand).
Le choix de l'analyste n'est pas neutre. Confier la tâche à un administrateur interne est déconseillé : la forensique exige des compétences spécifiques et, surtout, le serveur est au Texas, où l'analyse forensique payante exige une licence private investigator. Il faut donc un contractant externe certifié et, si nécessaire, licencié dans la juridiction concernée.
Enfin, le DPO a raison : avec deux juridictions, il faut impliquer le legal counsel, déclencher un legal hold pour éviter la spoliation, et veiller à ce que les méthodes de collecte soient reconnues valides par les systèmes juridiques français et texan - cohérence avec ISO 27037 (collecte/préservation) et 27042 (analyse).
À retenir : Capturer le volatile avant d'éteindre, externaliser vers un professionnel certifié/licencié dans la bonne juridiction, et documenter la chain of custody : la preuve la plus précieuse est souvent la plus fragile.
- La RAM se capture avant toute extinction, sauf danger immédiat pour les personnes
- Une enquête transfrontalière exige legal counsel, legal hold et méthodes reconnues
- La forensique payante peut requérir une licence private investigator selon l'État
- La chain of custody se documente à chaque manipulation
Examination ≠ Analysis
Dans le cycle NIST (SP 800-86), Examination et Analysis sont deux phases distinctes. Examination extrait l'information pertinente des données collectées à l'aide d'outils forensiques. Analysis interprète cette information au regard des questions qui ont déclenché l'investigation. L'examen produit la matière brute ; l'analyse en tire le sens. L'ordre complet est Collection -> Examination -> Analysis -> Reporting. Inverser ou fusionner ces deux phases est un piège fréquent.
Vitesse de réponse vs preuve volatile
Éteindre vite une machine peut stopper la propagation d'un malware, mais détruit la RAM, irrécupérable par des moyens ordinaires. Si une question oppose « contenir au plus vite » et « préserver la preuve », le raisonnement attendu est de capturer le volatile d'abord (memory dump), conformément à l'order of volatility, sauf danger immédiat pour la safety des personnes. La collecte de preuve est un trade-off entre speed of response et préservation, pas un choix automatique en faveur de la rapidité.
Comprehensibility : on ne cache pas les preuves à décharge
Le tenet de comprehensibility surprend souvent : même si l'organisation veut présenter une histoire cohérente, elle ne peut pas dissimuler une preuve contraire à cette histoire. Retenir une preuve défavorable peut, dans certains cas, constituer une infraction. Le security professional n'est pas un avocat partisan : couplé à l'objectivity (pas d'opinion subjective sauf demande de la cour), ce principe impose une présentation complète et factuelle, pas une sélection orientée.
Point de contrôle — Point de contrôle
-
Lors de la présentation d'une preuve devant un tribunal, quel tenet impose de ne pas dissimuler une preuve contraire à l'histoire que l'organisation veut raconter ?
- A Comprehensibility
- B Admissibility
- C Accuracy
- D Objectivity
Réponse & justification
Réponse : A — Comprehensibility
La comprehensibility interdit de retenir une preuve contraire, ce qui peut même être une infraction. L'admissibility concerne l'acceptation de la preuve par la cour. L'accuracy exige que la preuve soit vraie et claire. L'objectivity proscrit l'opinion subjective. Seule la comprehensibility vise la dissimulation d'éléments à décharge.
-
Un security professional ajoute son interprétation personnelle des intentions de l'attaquant dans son témoignage, sans que la cour ou le conseil le lui demande. Quel tenet enfreint-il ?
- A Objectivity
- B Comprehensibility
- C Admissibility
- D Accuracy
Réponse & justification
Réponse : A — Objectivity
L'objectivity impose que la preuve vaille par elle-même sur une base factuelle ; sauf demande de la cour ou du conseil, le professionnel ne doit pas introduire d'opinion subjective. La comprehensibility vise la non-dissimulation, l'admissibility l'acceptation par la cour, l'accuracy la véracité. Ajouter une opinion non sollicitée enfreint l'objectivity.
-
Selon le manuel, qu'est-ce qui détermine en pratique qu'une preuve sera acceptée ou non par la cour (admissibility) ?
- A La façon dont elle a été documentée, préservée et présentée
- B Le seul fait qu'elle n'ait jamais été altérée
- C Sa quantité, plus il y en a mieux c'est
- D L'ancienneté de la preuve par rapport à l'incident
Réponse & justification
Réponse : A — La façon dont elle a été documentée, préservée et présentée
Le manuel précise que toute preuve altérée n'est pas forcément irrecevable et que toute preuve intacte n'est pas forcément acceptée : tout dépend de sa documentation, sa préservation et sa présentation. L'intégrité seule (jamais altérée) ne suffit donc pas, ce qui invalide la deuxième option ; quantité et ancienneté ne sont pas des critères pertinents.
-
Quel tenet est directement engagé lorsque la cour signale qu'une partie de la preuve soumise n'est pas acceptable et ne peut être présentée ?
- A Admissibility
- B Objectivity
- C Accuracy
- D Comprehensibility
Réponse & justification
Réponse : A — Admissibility
L'admissibility signifie que seule une preuve acceptable par la cour peut être présentée, et c'est la cour qui informe le professionnel de ce qui est irrecevable - exactement le scénario décrit. L'accuracy porte sur la véracité, l'objectivity sur l'absence d'opinion, la comprehensibility sur la non-dissimulation : aucune ne décrit le rejet par la cour.
Points essentiels à retenir
- Quatre types d'investigation : administrative, criminal, civil, regulatory, avec des standards de preuve distincts (beyond a reasonable doubt vs preponderance of evidence).
- Les quatre tenets de présentation : admissibility, accuracy, comprehensibility, objectivity ; la documentation les sécurise tous.
- Order of volatility : collecter du plus volatile (RAM) au plus durable ; capturer la RAM avant d'éteindre, sauf danger immédiat.
- Chain of custody : qui/quoi/où/pourquoi/quand à chaque manipulation ; préserver l'original via write-blocking et bit-level copies.
- Cycle forensique NIST (SP 800-86) : Collection -> Examination -> Analysis -> Reporting ; la forensic readiness se prépare en amont.
- Standards ISO : 27037 (collecte/préservation), 27041 (assurance), 27042 (analyse), 27043 (processus), 27050 (eDiscovery).
- Externaliser vers un professionnel certifié, voire licencié (private investigator selon la juridiction), plutôt que l'équipe IT interne.
Journalisation et détection d'intrusion
Prérequis : Maîtrise de la triade CIA, du cycle IAAAA et de la defense in depth (Domaine 1).
On ne peut défendre que ce que l'on observe. Ce module relie deux piliers complémentaires des Security Operations : la journalisation (logging), qui produit la matière première de toute investigation, et la détection d'intrusion, qui transforme ce flux de signaux en alertes exploitables. Vous apprendrez à distinguer un simple event d'un precursor, d'un indicator et d'un indicator of compromise (IoC), à structurer un programme de log management selon NIST SP 800-92 et ISO 27001 A.12.4, et à raisonner sur l'intrusion à travers la triade CIA étendue (CIANA+PS).
La seconde moitié du module porte sur les IDS et IPS : leurs définitions, leur placement (perimeter, host-based, network-based) illustré par la Figure 7.1, et les quatre grandes méthodes de détection (deviation, signature, pattern matching, heuristic). Vous verrez aussi comment le threat hunting, le threat modeling, MITRE ATT&CK et les solutions EDR/XDR prolongent la détection vers une posture proactive.
L'examen teste surtout des distinctions fines (IDS vs IPS, signature vs deviation, precursor vs indicator) et des choix de placement. L'objectif est de relier chaque signal à la bonne mécanique de détection et chaque actif à la bonne couche de surveillance.
2.1 Pourquoi journaliser : events, precursors, indicators et IoC
La journalisation n'est pas une formalité de conformité : c'est la mémoire de l'organisation. Sans logs, impossible de détecter une attaque en cours, de reconstruire la séquence d'un incident, ni de produire les preuves recevables d'une enquête forensic. Les signaux capturés par les systèmes, applications et équipements réseau permettent de reconstituer un enchaînement d'événements pour le troubleshooting, la recovery et l'investigation légale post-incident. C'est aussi la base de l'accountability vue au Domaine 1 : sans trace, aucune action n'est imputable.
Tout part de l'event, c'est-à-dire tout fait observable dans un système. Les events (ou les signaux qu'ils produisent) se classent ensuite en deux familles. Un precursor est un signal suggérant un possible changement de conditions, interne ou externe, susceptible de modifier le threat landscape : une montée de tensions sociales, des griefs d'employés ou de clients devenant viraux sur les réseaux sociaux. Les precursors servent à ajuster en quasi temps réel les seuils d'alarme et la sensibilité des capteurs, voire à durcir le niveau de challenge exigé lors de l'authentification. Un indicator, lui, suggère qu'une action non autorisée est sur le point de se produire, est en cours, ou a déjà eu lieu.
Le cas le plus critique est l'indicator of compromise (IoC) : un signal qu'une intrusion, un malware ou un ensemble d'événements hostiles prédéfinis se produit ou s'est produit. Exemples : une tentative de contournement d'une allowed/blocked list (signe d'installation de malware), ou des connexions depuis des IP ou des régions où aucun utilisateur authentifié ne devrait se trouver. Les IoC doivent être traités en priorité immédiate par les humains du SOC. Piège d'examen : un precursor anticipe un changement de contexte, un indicator signale une activité non autorisée, et un IoC est un indicator de haute confiance prouvant qu'une compromission est en cours ou avérée.
Tout journaliser sans filtre noie l'analyste sous le bruit. Le clipping level est le seuil au-dessous duquel des evenements repetitifs et benins ne declenchent pas d'alerte : par exemple, tolerer trois echecs d'authentification avant de signaler le quatrieme. Bien regle, il reduit les faux positifs et fait ressortir les anomalies reelles ; mal regle, il masque une attaque lente (low and slow) sous le seuil. Le clipping level se definit a partir d'une baseline d'activite normale et s'ajuste avec l'experience.
- Sans logs : ni détection, ni reconstruction d'incident, ni preuve forensic, ni accountability
- Event -> precursor (changement de contexte à venir) ou indicator (activité non autorisée)
- IoC = indicator de haute confiance d'une compromission en cours ou avérée
- Les IoC sont prioritaires pour traitement humain immédiat au SOC
- Clipping level : seuil anti-bruit ; trop haut, il masque une attaque low and slow.
2.2 Le cycle de log management : NIST SP 800-92 et ISO 27001 A.12.4
Tout framework de sécurité traite la journalisation d'une manière ou d'une autre. Deux références dominent l'examen. NIST SP 800-92, Guide to Computer Security Log Management, décrit une pratique de log management largement applicable à tout système d'information. ISO 27001 aborde le sujet dans son Annexe A, contrôle A.12.4 Logging and Monitoring. Connaître ces deux ancrages permet de répondre aux questions qui demandent la source normative d'une bonne pratique de journalisation.
Un programme de log management bien structuré couvre un cycle de vie complet : conformité et standards de logging ; politiques de logging à travers le cycle de vie des systèmes et de l'information ; infrastructure de logging ; génération, collecte et normalisation des logs ; protection des logs de leur création à leur disposition (archivage ou destruction défendable) ; enfin revue, analytique et reporting. Chaque étape a sa logique de sécurité : la normalisation rend comparables des formats hétérogènes, la protection garantit l'intégrité et la non-altération des preuves, l'archivage et la destruction défendable répondent aux exigences de rétention légale.
La plupart des indicators et certains precursors peuvent être capturés et journalisés par le matériel, les OS, les applications et les équipements de gestion réseau. Mais accumuler des logs ne suffit pas : sans collecte centralisée, normalisation et revue, le volume noie l'analyste. C'est précisément le rôle d'un SIEM (Security Information and Event Management), qui agrège, normalise, corrèle et stocke ces logs - sujet d'un module ultérieur. Piège d'examen : la protection des logs « de la création à la disposition » inclut la destruction défendable (defensible destruction), pas seulement l'archivage ; et NIST SP 800-92 est LE guide dédié au log management, à ne pas confondre avec SP 800-137 (continuous monitoring).
- NIST SP 800-92 = guide dédié au log management ; ISO 27001 A.12.4 = Logging and Monitoring
- Cycle : compliance -> policies -> infrastructure -> génération/collecte/normalisation -> protection -> revue/reporting
- Protection des logs « de la création à la disposition » : archivage OU destruction défendable
- Le SIEM agrège, normalise, corrèle et stocke ; il ne remplace pas la politique de logging
2.3 L'intrusion : CIANA+PS, zero trust, insiders et outsiders
Une entrée non autorisée dans l'environnement d'une organisation, en particulier dans ses systèmes d'information, peut affecter tous les éléments de la triade CIA, ou du jeu élargi CIANA+PS (Confidentiality, Integrity, Availability, Nonrepudiation, Authenticity + Privacy, Safety). L'intrusion n'est donc pas qu'une affaire de confidentialité : un attaquant qui pousse des applications en fail state pour en prendre le contrôle attaque aussi l'availability. L'examen attend que vous reliiez une intrusion donnée au bon attribut compromis, parfois plusieurs à la fois.
Traditionnellement, « intrusion » désignait l'accès non autorisé d'attaquants externes, par opposition aux menaces internes. Cette vision est aujourd'hui jugée naïve au regard de la croissance de l'insider threat. À mesure que les systèmes se complexifient et adoptent les principes d'une zero trust architecture, l'intrusion doit être redéfinie comme tout mouvement ou toute tentative non authentifiée et non autorisée d'entrer dans une zone, un système, un sous-système, un domaine ou un sous-domaine contrôlé, par un user (humain ou non humain) ou un subject au sens du contrôle d'accès.
Certains tenants du zero trust soutiennent que les mots « insider » et « outsider » détournent l'attention des vrais enjeux : la bonne implémentation du contrôle d'accès. Dans une organisation cloisonnée par des ethical walls séparant des zones sensibles, un Subject 1 autorisé pour une zone mais pas pour les autres est à la fois « insider » de l'organisation et « outsider » de ces autres zones. En termes d'IAM, les étiquettes insider/outsider ne portent aucun sens : seul compte l'état authentifié et autorisé du subject vis-à-vis de la ressource. Piège d'examen : sous zero trust, on ne raisonne pas « interne vs externe » mais « authentifié et autorisé, ou non » pour chaque tentative d'accès, indépendamment de la position réseau.
- Une intrusion peut toucher tout CIANA+PS, pas seulement la confidentiality
- Zero trust redéfinit l'intrusion : tout accès non authentifié/non autorisé, où qu'il soit
- Les étiquettes insider/outsider n'ont pas de sens en termes d'IAM
- Un même subject peut être insider de l'organisation et outsider d'une zone
2.4 IDS vs IPS et leur placement (Figure 7.1)
Deux classes conceptuelles de mécanismes anti-intrusion existent. Un IDS (intrusion detection system) surveille l'environnement et reconnaît automatiquement les tentatives malveillantes d'accès non autorisé, puis alerte un humain (souvent au SOC ou à l'IT) pour analyse et suite à donner : il détecte mais n'agit pas. Un IPS (intrusion prevention system) surveille de même mais agit automatiquement dès qu'il reconnaît une tentative malveillante, et notifie ensuite qu'une action a été prise. La plupart des solutions modernes peuvent fonctionner en mode IDS ou IPS, l'organisation choisissant le comportement optimal. La distinction d'examen est nette : IDS = détecter et alerter ; IPS = détecter et bloquer.
Le placement se décline en trois familles, illustrées par la Figure 7.1. Le perimeter placement positionne le capteur en bordure du réseau, dans la DMZ, pour inspecter le trafic entrant et sortant ; selon la technologie, il travaille avec les gateways ou en tient lieu. Le host-based installe des agents HIDS/HIPS sur les endpoints pour détecter le trafic suspect entre hôtes : c'est une couche de defense in depth si l'attaquant a franchi le périmètre, et cela peut aussi révéler des menaces internes. Le network-based place des éléments NIDS/NIPS en divers points du réseau pour surveiller le trafic interne et repérer l'activité malveillante latérale.
L'organisation n'est pas limitée à un seul placement : combiner plusieurs emplacements est recommandé, ce que montre la Figure 7.1 avec NIPS en DMZ (north-south) et NIDS sur les segments LAN internes (east-west). Pièges d'examen : un IPS mal réglé peut bloquer une transaction légitime (perte de disponibilité), là où un IDS au pire génère une alerte à trier ; et le host-based protège un hôte précis, tandis que le network-based surveille un segment - on les combine, on ne les oppose pas.
- IDS détecte et alerte ; IPS détecte et bloque automatiquement
- Trois placements : perimeter (DMZ), host-based (HIDS/HIPS), network-based (NIDS/NIPS)
- Host-based protège un hôte ; network-based surveille un segment ; on les combine
- Un IPS mal réglé peut bloquer du trafic légitime et nuire à l'availability
2.5 Méthodes de détection, threat hunting, MITRE ATT&CK et trade-offs
Un IDS/IPS détecte l'activité malveillante de plusieurs façons. La deviation apprend une baseline d'activité normale pour l'organisation, puis traite tout écart comme suspect. La signature reconnaît des patterns d'attaque connus dans le trafic et l'activité. Le pattern matching scanne le trafic à la recherche de motifs de valeurs prédéfinis (fragments de noms, de mots, combinaisons ou proximités, fréquences d'occurrence, watermarks) pouvant trahir une fuite de données sensibles, qu'elle soit east-west (latérale) ou north-south (vers ou depuis l'extérieur). L'heuristic pousse plus loin : des algorithmes de machine learning enrichissent en continu la connaissance de l'environnement, forme avancée de l'analyse par déviation. Piège classique : la signature ne détecte que le connu (faible contre une menace zero-day) ; la deviation/heuristic peut détecter l'inconnu mais au prix de faux positifs.
La détection moderne se prolonge en threat hunting proactif, devenu une mission à part entière avec l'essor du Wi-Fi nouvelle génération, de l'IoT et du edge/fog computing. Le threat modeling construit des patterns ou typologies décrivant le comportement des threat actors et leurs actions ; nombre de ces typologies sont publiées par MITRE, notamment via le framework ATT&CK (attack.mitre.org). Ces typologies alimentent l'EDR (endpoint detection and response) et le XDR (extended detection and response), qui couvrent une portée temporelle plus large que les HIDS/NIDS classiques : leurs case files peuvent s'étendre sur des mois ou des années, et leurs modèles ML s'appuient sur l'expérience de toute la communauté cyber, filtrable selon le contexte propre de l'organisation. EDR et XDR partagent beaucoup avec le user and entity behavior modeling (UEBA).
Tout système impose des trade-offs. Maintenance : les systèmes par signature exigent des mises à jour régulières des signatures, ceux par baseline une mise à jour à chaque évolution du référentiel. Overhead : tout déploiement pèse sur la productivité, la capacité et la performance, d'où le choix de protéger en priorité les actifs de grande valeur. False positives : chaque réponse a un coût (perte de fonctionnalité ou effort de traitement), à mettre en regard du bénéfice de risque évité. Agility : les attaquants apprennent plus vite que les défenseurs, même si le partage communautaire (cas SUNBURST/SolarWinds) peut rééquilibrer. Learning period : tout outil qui doit « apprendre » la norme génère beaucoup de faux positifs au début. Latency : les IDS/IPS ajoutent souvent une latence notable au trafic. Piège d'examen : pondérer le coût des réponses (faux positifs compris) face au bénéfice attendu est une décision de gestion du risque, pas un réglage purement technique.
- Signature = connu uniquement ; deviation/heuristic = inconnu mais faux positifs
- Pattern matching repère les fuites de données east-west et north-south (DLP)
- MITRE ATT&CK fournit des typologies alimentant EDR/XDR et le threat hunting
- Trade-offs : maintenance, overhead, false positives, agility, learning period, latency
Cas d'étude
Bangladesh Bank / SWIFT : la détection qui a manqué
Contexte : En février 2016, des attaquants infiltrent le réseau de la banque centrale du Bangladesh et émettent des ordres de virement SWIFT frauduleux pour près d'un milliard de dollars depuis le compte de la banque à la Federal Reserve de New York. Pour couvrir leurs traces, un malware sur mesure altère l'application SWIFT Alliance Access, supprime les enregistrements de transactions et manipule l'imprimante générant les confirmations papier. Plusieurs virements aboutissent (81 millions de dollars détournés) avant que la fraude ne soit repérée, en partie grâce à une faute de frappe dans un nom de bénéficiaire.
Question : Quels mécanismes de journalisation et de détection (file integrity monitoring, DLP, SIEM, IDS/IPS) auraient pu détecter l'attaque plus tôt, et à quel attribut CIANA+PS chacun se rattache-t-il ?
Voir l'analyse et la correction
L'altération de l'application SWIFT et la suppression des enregistrements visent l'integrity : un file integrity monitoring (FIM) aurait généré un IoC en détectant la modification non autorisée des binaires et des journaux applicatifs, signal de haute confiance d'une compromission.
Les ordres frauduleux sortants à destination de comptes inhabituels (aux Philippines et au Sri Lanka) sont du trafic north-south anormal : un IDS/IPS par deviation, comparant l'activité à la baseline des flux SWIFT habituels de la banque, aurait signalé l'écart ; un moteur de pattern matching/DLP aurait pu repérer des combinaisons de valeurs suspectes. Ces flux touchent confidentiality (exfiltration d'ordres) et availability/integrity du système de paiement.
Un SIEM aurait corrélé ces signaux disparates (FIM, logs SWIFT, connexions hors horaires, suppression de logs) en une alerte unique de haute probabilité, là où, isolés, chaque event passait inaperçu. La suppression même des logs aurait dû déclencher une alerte : un SIEM avec stockage sécurisé et déporté empêche l'attaquant d'effacer la preuve localement. Enfin, des connexions depuis des sources inhabituelles pendant un week-end constituaient des indicators classiques.
La leçon de gouvernance : aucun contrôle isolé n'aurait suffi ; c'est la combinaison FIM (integrity), DLP/pattern matching (confidentiality), IDS par deviation (availability) et SIEM (corrélation) en defense in depth qui transforme des events épars en IoC actionnable.
À retenir : La détection efficace nait de la corrélation de signaux multiples (FIM, DLP, IDS par deviation, SIEM) ; un stockage de logs sécurisé et déporté est crucial car l'effacement des logs est lui-même un IoC.
- Une modification non autorisée de binaires/logs est un IoC d'integrity détectable par FIM
- Un IDS par deviation repère un flux SWIFT sortant hors baseline
- Le SIEM corrèle des events isolés en une alerte unique de haute confiance
- L'effacement des logs est un IoC ; stocker les logs hors de portée de l'attaquant
Precursor vs indicator vs IoC
Trois niveaux à ne pas confondre. Un precursor annonce un possible changement de contexte qui pourrait modifier le threat landscape (tensions sociales, grief viral) : il ajuste les seuils, il ne prouve rien. Un indicator suggère qu'une action non autorisée est imminente, en cours ou passée. Un IoC est un indicator de haute confiance prouvant qu'une intrusion ou un malware se produit ou s'est produit (tentative de contournement d'une allowed/blocked list, login depuis une région interdite). Mot-clé : « possible changement de conditions » -> precursor ; « compromission avérée » -> IoC.
IDS détecte, IPS bloque
L'IDS détecte et alerte un humain ; il n'interrompt pas le trafic. L'IPS détecte ET agit automatiquement pour bloquer. Conséquence d'examen : un IPS mal réglé peut bloquer une transaction légitime (false positive coûteux, atteinte à l'availability), tandis qu'un IDS au pire submerge l'analyste d'alertes. Si la question privilégie le zéro faux-blocage (environnement critique sans tolérance à l'interruption), penchez IDS ; si elle privilégie l'arrêt automatique d'une attaque connue, penchez IPS. La plupart des produits font les deux : c'est un choix de configuration, pas de produit.
Signature vs deviation : le zero-day
La détection par signature ne reconnaît que les attaques connues : elle est aveugle face à une menace zero-day, et exige des mises à jour régulières de signatures. La détection par deviation (et sa forme avancée heuristic) apprend une baseline et peut donc repérer l'inconnu, mais paie ce pouvoir par des faux positifs, surtout pendant la learning period initiale. À l'examen : « nouvelle attaque jamais vue » -> deviation/heuristic ; « attaque connue, base de signatures à jour » -> signature. Le pattern matching, lui, cible les fuites de données (rôle DLP), pas les patterns d'attaque.
Point de contrôle — Point de contrôle
-
Le SOC observe plusieurs tentatives de connexion depuis une plage d'adresses IP d'un pays où aucun employé authentifié ne devrait se trouver. Comment qualifier ce signal ?
- A Un indicator of compromise (IoC)
- B Un precursor
- C Un simple event sans signification
- D Une baseline de deviation
Réponse & justification
Réponse : A — Un indicator of compromise (IoC)
Une connexion depuis une région où aucun utilisateur authentifié ne devrait se trouver est l'exemple type d'IoC : un signal de haute confiance qu'une intrusion se produit. Un precursor annoncerait un changement de contexte (tensions, grief viral), pas une activité non autorisée directe. Un event « sans signification » est faux ici. La baseline de deviation est la référence apprise, pas un signal.
-
Une banque exige qu'aucune transaction légitime ne soit jamais bloquée automatiquement, mais veut être alertée de toute activité suspecte pour analyse humaine. Quelle solution privilégier ?
- A Un IDS, qui détecte et alerte sans interrompre le trafic
- B Un IPS, qui bloque automatiquement toute activité suspecte
- C Un pare-feu stateless en coupure
- D La désactivation de toute journalisation pour réduire la latence
Réponse & justification
Réponse : A — Un IDS, qui détecte et alerte sans interrompre le trafic
L'IDS détecte et alerte un humain sans bloquer : il évite tout faux-blocage d'une transaction légitime, exigence du scénario. L'IPS bloquerait automatiquement, donc risquerait un false positive coûteux sur une transaction valide. Un pare-feu stateless ne répond pas au besoin de détection comportementale. Désactiver la journalisation supprimerait justement la capacité de détection et de preuve.
-
Une organisation veut détecter des attaques entièrement nouvelles, jamais répertoriées. Quelle méthode de détection est la plus adaptée, et quel en est le principal inconvénient ?
- A Deviation/heuristic ; inconvénient : davantage de faux positifs
- B Signature ; inconvénient : trop de faux positifs
- C Pattern matching ; inconvénient : ne détecte que les fuites de données
- D Signature ; inconvénient : nécessite une learning period
Réponse & justification
Réponse : A — Deviation/heuristic ; inconvénient : davantage de faux positifs
La détection par deviation (et sa forme heuristic par ML) apprend une baseline et peut repérer l'inconnu, dont les attaques zero-day ; son prix est un taux de faux positifs plus élevé, surtout durant la learning period. La signature ne reconnaît que le connu, donc inadaptée au nouveau. Le pattern matching cible les fuites de données, pas la nouveauté des attaques. La learning period concerne les systèmes par baseline, pas la signature.
-
Dans la Figure 7.1, un capteur surveille le trafic interne entre segments LAN pour repérer un déplacement latéral d'attaquant ayant déjà franchi le périmètre. De quel type de placement s'agit-il ?
- A Network-based (NIDS/NIPS) sur un segment interne
- B Perimeter placement dans la DMZ
- C Host-based (HIDS/HIPS) sur un endpoint unique
- D Aucun placement ne couvre le trafic interne
Réponse & justification
Réponse : A — Network-based (NIDS/NIPS) sur un segment interne
Surveiller le trafic interne entre segments pour détecter un déplacement latéral (east-west) est le rôle d'un NIDS/NIPS network-based placé sur un segment interne. Le perimeter placement inspecte le trafic north-south en bordure/DMZ. Le host-based protège un hôte précis, pas un segment entier. L'affirmation qu'aucun placement ne couvre l'interne est fausse : NIDS/NIPS et HIDS/HIPS le font, et on les combine en defense in depth.
Points essentiels à retenir
- Sans logs, pas de détection, pas de reconstruction d'incident, pas de preuve forensic ni d'accountability.
- Event -> precursor (changement de contexte) ou indicator ; un IoC est un indicator de haute confiance d'une compromission.
- NIST SP 800-92 est le guide dédié au log management ; ISO 27001 A.12.4 couvre Logging and Monitoring.
- Sous zero trust, l'intrusion est tout accès non authentifié/non autorisé (CIANA+PS) ; insider/outsider n'ont pas de sens en IAM.
- IDS détecte et alerte ; IPS détecte et bloque ; placements perimeter, host-based (HIDS/HIPS) et network-based (NIDS/NIPS) se combinent.
- Signature = connu ; deviation/heuristic = inconnu mais faux positifs ; MITRE ATT&CK, EDR/XDR et threat hunting prolongent la détection ; trade-offs : maintenance, overhead, false positives, agility, learning period, latency.
Monitoring, SIEM/SOAR et threat intelligence
Prérequis : Notions de logging, IDS/IPS, et de classification des données. Module M2 du Domaine 7 recommandé.
Collecter des logs ne sert à rien si personne ne les corrèle, ne les comprend et n'agit. Ce module décrit la chaîne moderne de surveillance des opérations de sécurité : le SIEM qui agrège et corrèle, le SOAR qui orchestre et automatise la réponse, le continuous monitoring (ISCM) qui ne dort jamais, le DLP qui surveille la sortie des données, la threat intelligence qui anticipe, et l'UEBA qui repère l'anormal par apprentissage automatique.
L'examen teste surtout vos distinctions : SIEM vs SEM vs SIM, playbook vs runbook, ingress vs egress, data at rest vs in motion vs in use, threat intelligence externe vs interne, strict vs loose enforcement. Il teste aussi votre lucidité : aucune de ces technologies n'est infaillible, comme l'a montré SolarWinds/SUNBURST.
À la fin du module, vous saurez positionner chaque outil dans la chaîne défensive, choisir le bon modèle de responsabilité (self-hosted, cloud, hybride, SIEMaaS) et expliquer pourquoi l'automatisation ne remplace jamais l'analyste humain.
3.1 Le SIEM : SEM + SIM, et ses sept fonctions
Une organisation typique fait tourner une multitude de systèmes de détection (firewalls, IDS, IPS, hôtes Windows et UNIX) répartis dans les segments réseau et sur les hôtes critiques. Le nombre et la diversité de ces sources rendent le travail de surveillance ingérable à la main. Le SIEM (Security Information and Event Management) répond à ce problème en centralisant la donnée de sécurité dans une interface unique. Le terme SIEM est en réalité un descripteur marketing qui fusionne deux familles d'outils antérieures : le SIM (Security Information Management), orienté collecte et analyse a posteriori des logs, et le SEM (Security Event Management), orienté détection et réponse aux incidents en temps réel. Comprendre cette filiation explique pourquoi un SIEM fait à la fois de l'archivage historique et de l'alerte temps réel.
Les fonctions communes d'un SIEM sont au nombre de sept. Aggregation : il collecte les informations de tout l'environnement (firewalls, IDS/IPS, outils de performance IT, équipements réseau, hôtes/endpoints, anti-malware) dans un dépôt centralisé. Normalization : il harmonise des formats hétérogènes en une représentation standardisée, évitant à l'analyste de répéter des revues de log sur chaque système. Correlation : il assigne mathématiquement poids et probabilité aux activités pour estimer automatiquement qu'un flux de logs constitue une attaque réelle, et si elle touche plusieurs hôtes ou réseaux. Secure storage : il archive de façon sécurisée des logs précieux à la fois pour l'organisation et pour les attaquants.
Les trois dernières fonctions : Analysis (analyses automatisées par scripts et heuristiques), Reporting (restitution historique et courante de l'activité), et Real-time monitoring (surveillance et détection de menaces en temps réel permettant une réaction rapide). La Figure 7.2 montre des serveurs physiques, mais en pratique toutes ces fonctions tournent souvent sur des VMs hébergées en cloud privé on-premises, public ou hybride.
Piège d'examen : ne confondez pas les composants. Le SEM capture les événements temps réel (il peut servir de brique au DLP) ; le SIM gère l'information de log dans la durée. Le SIEM est leur somme, pas un troisième modèle distinct.
- SIEM = terme marketing combinant SEM (temps réel) et SIM (historique)
- Sept fonctions : aggregation, normalization, correlation, secure storage, analysis, reporting, real-time monitoring
- Le SIEM tourne souvent sur des VMs en cloud privé, public ou hybride
- La correlation pondère les événements pour estimer une attaque multi-hôtes
3.2 SIEM-as-a-service : répartition des responsabilités
Comme pour les modèles de service cloud, le SIEM en tant que service (qui n'a pas encore d'acronyme universellement reconnu) confronte l'organisation à un ensemble total de responsabilités et de fonctions à assurer, mais avec différentes façons de répartir ces responsabilités entre l'interne et un prestataire tiers. La chaîne défensive complète suit les mêmes étapes que n'importe quel système IT : identification et analyse des besoins, build/buy/rent, déploiement et exploitation. Le curseur de répartition peut se positionner à plusieurs endroits du spectre.
Self-hosted, self-managed : l'organisation fait tout elle-même, ce qui exige un éventail intimidant de compétences clés à maintenir en interne. Cloud SIEM, self-manage : un MSSP (Managed Security Services Provider) hébergé en cloud gère la couche opérationnelle intermédiaire (collecte et agrégation des données SIEM) ; l'organisation conserve le placement et l'exploitation des capteurs de détection, puis la corrélation et les actions de réponse. La gestion globale de la chaîne menace-vulnérabilité-réponse reste chez l'organisation.
Hybrid self-hosted : l'organisation choisit, installe et maintient les systèmes SIEM, capteurs et matériels ; le MSSP partage avec elle la collecte, l'agrégation et la corrélation, en partenaire du processus global. SIEM as a Service : le prestataire prend en charge toutes les tâches jusqu'au point où l'organisation répond aux données SIEM ou les exploite dans sa gestion d'incident et ses autres processus de sécurité.
Piège d'examen : plus on délègue, moins on a besoin de compétences internes, mais la responsabilité finale de l'usage des données et de la décision de réponse incombe presque toujours à l'organisation, sauf dans le modèle SIEMaaS le plus complet. C'est une déclinaison directe du modèle de responsabilité partagée du cloud appliquée à la sécurité.
- Quatre modèles : self-hosted/self-managed, cloud self-manage, hybrid self-hosted, SIEMaaS
- Le MSSP prend en charge la couche opérationnelle selon le modèle choisi
- Plus on délègue, moins de compétences internes requises
- La décision de réponse reste à l'organisation sauf SIEMaaS complet
3.3 SOAR : orchestration, automatisation et réponse
Beaucoup d'incidents ont des causes connues et des solutions bien définies. Automatiser ces réponses allège la charge des équipes de réponse aux incidents et accélère le recovery. Le SOAR (Security Orchestration, Automation, and Response) est comparable, à certains égards, au CI/CD : les deux s'appuient massivement sur les données de processus détaillées générées par les nombreux outils de leur domaine, et les deux apportent un degré supérieur d'automatisation et d'intégration. Le CI/CD le fait pour l'intégration, le test et la livraison des unités logicielles ; le SOAR rend un service analogue aux professionnels de sécurité en rassemblant toutes les données de monitoring et de contrôle et en les intégrant dans des workflows qui automatisent des processus qui exigeraient sinon une coordination humaine.
Le SOAR repose sur trois processus principaux. Security Orchestration : réunir les divers « îlots d'automatisation de sécurité » déjà en place (next-generation firewalls, SIEMs, autres stacks technologiques), souvent fournis par des éditeurs différents, ce qui rend l'orchestration manuelle difficile et chronophage ; des workflows spécifient les séquences de tâches de chaque activité d'orchestration. Security Automation : transformer ces workflows en exécution conditionnellement déclenchée de playbooks ou de runbooks.
La distinction playbook / runbook est un point d'examen classique. Les playbooks sont généralement des séquences linéaires de tâches. Les runbooks contiennent une logique conditionnelle qui contrôle l'exécution de branches et de suites d'activités. Certains systèmes SOAR appliquent même différents degrés de ML au développement, à l'exécution et au suivi de performance des runbooks et des playbooks. Security Response : fournir l'ensemble complet de ces capacités d'orchestration et d'automatisation pour renforcer la réponse aux incidents.
Piège d'examen : playbook = linéaire, runbook = conditionnel (logique de branchement). Et le SOAR n'invente pas la détection : il orchestre et automatise la réponse à partir de données que le SIEM et les autres outils ont déjà produites.
- SOAR = Orchestration + Automation + Response, analogue au CI/CD
- Orchestration relie les îlots d'automatisation existants par des workflows
- Playbook = linéaire ; runbook = conditionnel avec branches
- Le SOAR automatise la réponse à partir des données déjà collectées
3.4 Continuous monitoring et ISCM (NIST SP 800-137)
Le continuous monitoring, formalisé sous le nom d'Information Security Continuous Monitoring (ISCM) et couplé à l'automatisation, est désormais la norme des opérations d'entreprise. L'ISCM maintient une conscience permanente de la sécurité de l'information, des vulnérabilités et des menaces pour soutenir les décisions de gestion des risques. Il part du principe que les actifs informationnels sont exposés aux risques 24 heures sur 24, 7 jours sur 7, toute l'année (jours fériés et arrêts d'activité inclus), et que l'organisation doit planifier, financer, maintenir et surveiller ses systèmes dans cette perspective.
Le NIST SP 800-137 fournit un cadre en six phases pour mettre en œuvre une stratégie ISCM (Figure 7.3). Le terme ISCM n'est pas employé par l'ISO, mais le concept y est exprimé dans l'ISO/IEC 27004:2016 (Monitoring, Measurement, Analysis and Evaluation) comme « mesure quantitative continue de la pertinence de l'ISMS ». D'autres référentiels - COBIT (Control Objectives for Information and Related Technology) et PCI DSS (Payment Card Industry Data Security Standard) - attendent également une surveillance continue de la performance des contrôles.
La différence avec le passé est subtile mais testable. Auparavant, les frameworks suggéraient que ces phases pouvaient se chevaucher ou que certaines survenaient plus souvent que d'autres. Dans l'ISCM, ces phases sont toutes conduites en continu tout au long de la journée, en se chevauchant, à mesure que des événements font apparaître de nouveaux précurseurs et indicateurs. Les processus métier qui rendent l'ISCM possible incluent des inventaires exhaustifs, l'établissement de métriques de performance pour les contrôles, des processus de réponse aux incidents, et des activités d'amélioration continue des processus. Encore faut-il disposer des outils et de l'infrastructure pour collecter, analyser et reporter sur l'environnement surveillé.
Piège d'examen : ISCM = NIST SP 800-137 (six phases), continu et permanent ; le terme n'est pas ISO, mais ISO 27004, COBIT et PCI DSS portent le même esprit de surveillance continue. Ne reliez pas ISCM à l'ISO directement.
- ISCM = conscience permanente des risques, 24/7/365
- NIST SP 800-137 = six phases, toutes conduites en continu et chevauchantes
- ISO 27004, COBIT et PCI DSS portent le même esprit, sans le terme ISCM
- Prérequis : inventaires, métriques de contrôles, réponse aux incidents, amélioration continue
3.5 Egress monitoring et DLP : sortir n'est pas anodin
Selon que le risque provient du trafic entrant ou sortant, des outils différents s'appliquent. L'ingress monitoring surveille et évalue tout le trafic entrant et les tentatives d'accès ; ses outils de logging et d'alerte incluent firewalls, gateways, serveurs d'authentification distante, IDS/IPS, solutions SIEM et anti-malware, qui doivent être maintenus et patchés (signatures, configurations). L'egress monitoring régule la donnée quittant l'environnement IT. Le terme employé est « DLP » - un descripteur marketing sans définition standard, parfois « data leak protection » ou « data loss protection » - utilisé ici comme synonyme d'egress monitoring.
Le DLP compare la donnée qui sort au regard d'un rule set pour décider si l'action est autorisée. Ce rule set peut reposer sur trois mécanismes. Signature : certains types de données suivent des chaînes facilement identifiables (un DLP réglé contre l'egress de cartes bancaires cherche et séquestre toute chaîne de 15 à 20 caractères numériques). Pattern matching : le DLP cherche des motifs, par exemple deux mots commençant chacun par une majuscule pour restreindre l'export de noms propres, ou la fréquence d'un mot dans un document pour bloquer la sortie d'information propriétaire. Labeling : les actifs sensibles sont étiquetés (« copyright », « proprietary », « confidential ») et reconnus par l'outil.
Le DLP se déploie selon trois états des données. Data at rest : agents placés dans les emplacements de stockage (bases, archives). Data in motion : logiciel inspectant le trafic sortant. Data in use : agents installés sur les endpoints, crucial en BYOD et en cloud où l'utilisateur traite la donnée de l'organisation sur ses propres appareils. L'effort global de protection inclut data discovery/classification, monitoring (email et pièces jointes, copie sur média portable, FTP, publication web, applications/API) et enforcement, calibré selon l'appétit risque/bénéfice : training (rappel de politique), attribution (l'utilisateur confirme son intention et accepte la responsabilité), ou stringency/prevention (blocage, verrouillage du compte, alerte au management).
Piège d'examen : DLP = egress (sortie), pas ingress. Les fonctions que le DLP sert (compliance, security, training/awareness, due diligence, asset management) ne sont pas ses états (at rest / in motion / in use) ni ses mécanismes de règle (signature / pattern / labeling). Un défi actuel : déployer DLP et ISCM dans une zero trust architecture, pas seulement au périmètre.
- Ingress = entrant ; egress = sortant ; DLP est de l'egress monitoring
- Rule sets DLP : signature, pattern matching, labeling
- États : data at rest, in motion, in use (BYOD/cloud)
- Enforcement : training, attribution, stringency/prevention selon l'appétit risque
3.6 Threat intelligence, UEBA et limites du monitoring
La threat intelligence est le processus structuré d'identification des menaces de l'organisation, à partir de sources externes et internes. La threat intelligence externe inclut la recherche open-source, le threat modeling et l'information fournie par des tiers : éditeurs, entités gouvernementales, ou ISAC (Information Sharing and Analysis Centers) et organisations similaires ; elle révèle des menaces déjà identifiées ailleurs. La threat intelligence interne résulte de la surveillance des systèmes et activités de l'environnement : logs système/événement/application, reporting d'incidents, résultats d'investigations forensiques, CMDB et inventaires (qui repèrent des cibles attrayantes), et l'environnement IAM (privilèges élevés, activité inhabituelle). Les grandes organisations structurent cela en un intelligence cycle ; l'exemple de référence est le cycle de renseignement du FBI (Figure 7.4), qui organise la collecte, le raffinement et la diffusion.
L'UEBA (User and Entity Behavior Analytics) ajoute le « e » d'entity (Gartner, 2017) à l'analyse comportementale historiquement centrée utilisateur. La raison : un attaquant sophistiqué utilise plusieurs identifiants utilisateurs volés en se déplaçant latéralement, mais souvent depuis une poignée d'identités au niveau device (adresse MAC ou IP). L'UEBA s'appuie sur le ML et l'IA et comporte trois composants : use cases, analytics et data (Figure 7.5, le « policier » et la « loupe » jouant l'analytics et l'intervention). Il construit un template de comportement normal par observation dans le temps, peuplé de use cases représentant des typologies d'attaque connues (malicious insider, identité compromise, zero-day) - le framework MITRE ATT&CK fournit beaucoup de ces use cases pour entraîner l'UEBA.
L'enforcement de l'UEBA se règle entre strict (plus de false positives, gêne le travail légitime) et loose, main légère sur le « kill switch » (plus de false negatives, peut laisser passer un intrus). L'UEBA s'appuie sur les données du logging et du SIEM et est souvent une fonction analytique de l'environnement SIEM : la distinction paraît floue car les deux exploitent les mêmes données. Ils sont en fait complémentaires - le SIEM assure réponse aux incidents et automatisation, l'UEBA se concentre sur l'analyse de gros volumes ; l'activité anormale détectée par l'UEBA est passée au SIEM pour action. Certains analystes estiment que SIEM et UEBA convergent au point de rendre la distinction caduque.
Enfin, le monitoring n'est jamais parfait. Les attaquants déjouent la corrélation en manipulant les horloges système ou en supprimant les logs, ou exécutent leurs attaques lentement pour ne pas franchir les seuils d'alerte. Les environnements de logging legacy ne chiffraient ni n'authentifiaient le trafic de log, vulnérable à un tampering indétectable. Le cloud pose des défis propres : forte virtualisation, dépendance aux API et à la bonne volonté du CSP de partager les logs, coût prohibitif d'extraction des logs. L'exemple le plus frappant est SolarWinds / SUNBURST : l'attaquant opérait dans des environnements surveillés par l'IDS Einstein 2 du DHS sans déclencher d'alerte, en retardant l'initialisation du payload, en s'appuyant sur des systèmes de confiance et des certificats numériques suggérant la légitimité. La leçon : automatisation, IA et collecte massive ne suffisent pas ; il faut du personnel formé pour relier les événements à leur sens pour le risque.
- Threat intelligence externe (ISAC, vendors, OSINT) vs interne (logs, IAM, forensics)
- UEBA = user + entity ; trois composants : use cases, analytics, data ; entraîné par MITRE ATT&CK
- Enforcement strict (faux positifs) vs loose (faux négatifs) ; SIEM et UEBA convergent
- Limites : log tampering, attaques lentes, cloud/CSP, SolarWinds/SUNBURST ; l'humain reste indispensable
Cas d'étude
Waxbill UAV : la CSO arbitre entre SIEM et UEBA
Contexte : Waxbill UAV conçoit des drones de surveillance pour des clients gouvernementaux. Sa CSO dispose déjà d'un SIEM mature qui agrège et corrèle les logs de tout le parc et déclenche des playbooks de réponse. Pourtant, un audit révèle qu'un ingénieur de confiance a exfiltré des plans de vol sur six mois, en se déplaçant latéralement avec plusieurs identifiants empruntés et en restant sous les seuils d'alerte du SIEM. La direction demande à la CSO si investir dans une plateforme UEBA apporterait un bénéfice réel, et comment futureproofer l'architecture face à des attaquants patients et furtifs.
Question : Quel bénéfice l'UEBA apporte-t-il que le SIEM seul ne procure pas dans ce cas, et comment positionner les deux pour futureproofer la détection ?
Voir l'analyse et la correction
Le SIEM excelle à agréger, normaliser et corréler des événements connus, puis à déclencher une réponse. Mais il raisonne par seuils et règles : une attaque lente, distribuée sur plusieurs identifiants empruntés et sous les seuils, ne déclenche pas d'alerte - exactement le profil de cet ingénieur, et l'écho du schéma SUNBURST.
L'UEBA comble ce trou. En ajoutant la dimension entity à l'analyse user, il repère qu'un attaquant utilise plusieurs user IDs depuis une poignée d'identités device (MAC/IP). Par ML/IA, il construit un template de comportement normal et détecte l'écart : un ingénieur qui accède soudain à des plans hors de son périmètre habituel, à des horaires anormaux, est un carton jaune (Figure 7.5). Peuplé de use cases MITRE ATT&CK (malicious insider, identité compromise), il identifie des typologies que le SIEM n'a pas encodées en règle.
Les deux ne s'opposent pas : ils sont complémentaires. L'UEBA est souvent une fonction analytique de l'environnement SIEM ; il analyse de gros volumes et passe l'activité anormale au SIEM pour action (réponse, automatisation). Le bon arbitrage de la CSO : ne pas remplacer le SIEM, mais lui adjoindre l'UEBA, en réglant l'enforcement entre strict (plus de faux positifs, gêne les ingénieurs) et loose (plus de faux négatifs, risque de laisser filer un intrus) selon l'appétit risque. Futureproofing : SIEM et UEBA convergent, donc investir dans cette convergence prépare la détection des attaques inconnues et furtives à venir.
À retenir : Le SIEM corrèle le connu par règles et seuils ; l'UEBA détecte l'anormal et l'inconnu par ML. Complémentaires et convergents, ils se déploient ensemble - l'UEBA en fonction analytique passant l'anomalie au SIEM pour action.
- Le SIEM ne détecte pas ce qu'aucune règle ni seuil n'encode ; l'UEBA repère l'écart au comportement normal
- L'UEBA relie plusieurs user IDs à une identité entity (device) pour démasquer le mouvement latéral
- MITRE ATT&CK fournit les use cases d'entraînement (malicious insider, zero-day)
- On ajoute l'UEBA au SIEM, on ne le remplace pas ; l'anomalie remonte au SIEM pour action
- Régler l'enforcement (strict/loose) selon l'appétit risque, et miser sur la convergence pour futureproofer
SIEM vs SEM vs SIM
SIEM est un terme marketing qui fusionne deux familles : SIM (Security Information Management), centré collecte et analyse a posteriori des logs, et SEM (Security Event Management), centré détection et réponse en temps réel. Le SIEM est leur somme, pas un troisième modèle indépendant. À l'examen, si une question oppose « gestion de l'information historique » et « événements temps réel », pensez SIM vs SEM ; le composant SEM peut servir de brique au DLP en capturant les événements en temps réel.
Playbook vs runbook, ingress vs egress
Deux paires souvent inversées. Playbook = séquence linéaire de tâches ; runbook = logique conditionnelle avec branches et suites. Ingress monitoring = trafic entrant (firewalls, gateways, IDS/IPS, SIEM) ; egress monitoring = trafic sortant, et c'est là qu'intervient le DLP. Retenez : DLP régule ce qui SORT (egress) ; il compare la donnée sortante à un rule set (signature, pattern matching, labeling).
ISCM n'est pas un terme ISO
Le terme ISCM vient du NIST SP 800-137 (six phases continues). Il n'est pas employé dans les publications ISO, mais le concept y figure : l'ISO/IEC 27004:2016 parle de « mesure quantitative continue de la pertinence de l'ISMS ». COBIT et PCI DSS attendent aussi une surveillance continue des contrôles. Piège : ne reliez pas « ISCM » directement à l'ISO ; reliez-le au NIST, et sachez que l'esprit (continuous monitoring) traverse plusieurs référentiels.
DLP : ne pas confondre états, mécanismes et fonctions
Le DLP se décline sur trois axes distincts que l'examen aime mélanger. États des données : at rest (stockage), in motion (transit), in use (endpoint, BYOD/cloud). Mécanismes de rule set : signature, pattern matching, labeling. Fonctions servies : compliance, security, training/awareness, due diligence, asset management. Un agent DLP « data in use » n'est pas une « fonction de compliance » ; ce sont trois grilles de lecture différentes du même outil.
Point de contrôle — Point de contrôle
-
Quelle affirmation décrit le mieux la nature du SIEM ?
- A Un terme marketing fusionnant le SEM (temps réel) et le SIM (historique)
- B Un standard ISO définissant la corrélation de logs
- C Un outil exclusivement temps réel, sans archivage
- D Un protocole d'échange de logs entre firewalls
Réponse & justification
Réponse : A — Un terme marketing fusionnant le SEM (temps réel) et le SIM (historique)
Le SIEM est un descripteur marketing combinant le SEM (détection/réponse temps réel) et le SIM (collecte/analyse historique). Ce n'est pas un standard ISO, ni un simple outil temps réel (il archive aussi via secure storage), ni un protocole.
-
Dans un SOAR, quelle est la différence entre un playbook et un runbook ?
- A Le playbook est une séquence linéaire ; le runbook contient une logique conditionnelle
- B Le playbook est conditionnel ; le runbook est linéaire
- C Le playbook concerne l'ingress, le runbook l'egress
- D Le playbook est humain, le runbook est forcément piloté par IA
Réponse & justification
Réponse : A — Le playbook est une séquence linéaire ; le runbook contient une logique conditionnelle
Les playbooks sont des séquences linéaires de tâches ; les runbooks ajoutent une logique conditionnelle contrôlant branches et suites. L'option 2 inverse les deux. Ingress/egress et IA ne définissent pas cette distinction (certains SOAR appliquent du ML aux deux).
-
Quel cadre fournit les six phases de l'Information Security Continuous Monitoring (ISCM) ?
- A NIST SP 800-137
- B ISO/IEC 27004:2016
- C PCI DSS
- D COBIT
Réponse & justification
Réponse : A — NIST SP 800-137
Le NIST SP 800-137 définit le cadre ISCM en six phases. L'ISO/IEC 27004 exprime le concept (mesure continue de la pertinence de l'ISMS) sans employer le terme ISCM. PCI DSS et COBIT attendent une surveillance continue mais ne fournissent pas ces six phases.
-
Un DLP est configuré pour bloquer toute chaîne de 15 à 20 caractères numériques quittant le réseau. Quel mécanisme de rule set et quel état de données sont en jeu ?
- A Signature, sur data in motion
- B Labeling, sur data at rest
- C Pattern matching, sur data in use
- D Signature, sur data at rest
Réponse & justification
Réponse : A — Signature, sur data in motion
Reconnaître une chaîne numérique identifiable (type carte bancaire) relève de la signature. Comme la donnée quitte le réseau (trafic sortant inspecté), c'est du data in motion. Le labeling repose sur des étiquettes ; le pattern matching cherche des motifs (majuscules, fréquence) ; data at rest concerne le stockage, pas le trafic sortant.
-
Pourquoi a-t-on ajouté le « E » (entity) à l'UEBA, et qu'apporte-t-il face au SIEM seul ?
- A Un attaquant utilise plusieurs user IDs depuis peu d'identités device ; l'UEBA détecte l'anormal par ML là où le SIEM raisonne par règles/seuils
- B L'entity remplace le SIEM en archivant les logs historiques
- C L'entity désigne les firewalls ; l'UEBA ne sert qu'à l'ingress
- D L'UEBA n'utilise ni ML ni IA, contrairement au SIEM
Réponse & justification
Réponse : A — Un attaquant utilise plusieurs user IDs depuis peu d'identités device ; l'UEBA détecte l'anormal par ML là où le SIEM raisonne par règles/seuils
Le « E » reconnaît qu'un attaquant sophistiqué emprunte plusieurs user IDs en se déplaçant latéralement depuis une poignée d'identités device (MAC/IP). L'UEBA, via ML/IA et des use cases MITRE ATT&CK, détecte l'écart au comportement normal, là où le SIEM corrèle du connu par règles et seuils. Ils sont complémentaires et convergents, pas substituables ; c'est l'UEBA (pas le SIEM) qui s'appuie sur le ML/IA.
Points essentiels à retenir
- SIEM est un terme marketing fusionnant SEM (temps réel) et SIM (historique) ; sept fonctions : aggregation, normalization, correlation, secure storage, analysis, reporting, real-time monitoring.
- SIEM-as-a-service se décline en self-hosted/self-managed, cloud self-manage, hybrid self-hosted et SIEMaaS, selon les compétences internes et le rôle du MSSP.
- SOAR = orchestration + automation + response (analogie CI/CD) ; playbook = linéaire, runbook = conditionnel.
- ISCM (NIST SP 800-137, six phases continues) maintient une conscience permanente des risques ; le concept se retrouve dans ISO 27004, COBIT et PCI DSS, mais le terme est NIST.
- Ingress = entrant, egress = sortant ; le DLP fait de l'egress monitoring avec rule sets (signature, pattern, labeling), états (at rest/in motion/in use) et enforcement gradué.
- Threat intelligence externe (ISAC, vendors, OSINT) et interne (logs, IAM, forensics) s'organise en intelligence cycle (ex : FBI).
- UEBA (user + entity, ML/IA, trois composants, MITRE ATT&CK) détecte l'anormal et converge avec le SIEM ; enforcement strict (faux positifs) vs loose (faux négatifs).
- Le monitoring n'est jamais parfait : log tampering, attaques lentes, défis cloud/CSP, SolarWinds/SUNBURST ; l'analyste humain formé reste indispensable.
Configuration & change management
Prérequis : Notions de gestion des actifs (Domaine 2) et de cycle de vie des systèmes. Familiarité avec least privilege et separation of duties.
La configuration management définit l'état connu et approuvé des systèmes, tandis que la change management gouverne le passage d'un état à un autre. Ensemble, elles répondent à deux questions d'examen récurrentes : « comment garantir qu'un système reste dans une configuration sûre et documentée ? » et « comment modifier ce système sans introduire de risque non maîtrisé ? »
Ce module couvre les Configuration Items (CIs), la CMDB, les cinq types de baselines, l'automatisation via SCAP, IaC et CI/CD, puis l'organisation des Change Management Boards (CMB/CCB). Il enchaîne sur la change management proprement dite : distinction change management / change control, regression testing, niveaux ITIL v4 Change Enablement, standards (NIST SP 800-128, ISO 27001 A.12.1.2) et le cycle complet de la RFC au rollback.
Le fil rouge est la documentation : chaque phase produit des enregistrements, et le manuel insiste sur le fait que toutes les phases du processus exigent une documentation exacte et complète.
4.1 Configuration Items, change set et CMDB
La configuration management est la discipline qui établit et maintient l'état connu et approuvé d'un système. Son unité élémentaire est le Configuration Item (CI) : tout composant nommé, possédé et géré par le processus de change management. Un CI peut être un serveur, un paquet logiciel, un fichier de configuration, un script de déploiement, du mobile code ou un contenu exécutable. Le manuel insiste : la change management ne concerne pas que le logiciel ; matériel, firmware, données, wetware (la connaissance tacite des humains) et connaissance explicite (procédures, formations, supports) doivent tous être évalués pour l'impact d'un changement et gérés ensemble comme CIs d'un même change package.
Un change set (ou change package) regroupe l'ensemble des CIs affectés par un changement donné, afin de les approuver et de les déployer de manière cohérente. Cette notion de regroupement est indépendante de la méthodologie de développement utilisée : qu'on travaille en cascade ou en agile, on bundle les changements en paquets pour les besoins de développement, de test, de déploiement et de release planning.
La Configuration Management Database (CMDB) est le référentiel qui recense les CIs, leurs attributs et leurs relations. Les outils de provisioning y inscrivent automatiquement la création ou le déploiement d'un système, en précisant le script approuvé utilisé. La CMDB est donc la source de vérité qui relie configuration et change management : sans elle, impossible de savoir quel est l'état approuvé ni ce qui a réellement changé.
Piège d'examen : un CI n'est pas qu'un objet technique. Une procédure ou un savoir-faire humain (wetware) peut être un CI ; l'oublier conduit à sous-estimer l'impact d'un changement organisationnel.
- Un CI est tout composant nommé géré par la change management
- Hardware, firmware, software, data, wetware et connaissance explicite peuvent être des CIs
- Un change set regroupe les CIs d'un même changement, hors de toute méthodologie
- La CMDB est la source de vérité reliant configuration et change management
4.2 Les cinq types de baselines
Une baseline est un inventaire total et de référence des composants d'un système à un instant donné. Elle sert de point de comparaison : tout écart par rapport à la baseline est un changement à expliquer. Le manuel distingue cinq types de baselines, et l'examen attend que vous sachiez les énumérer et les différencier.
La enumerated baseline est l'inventaire exhaustif de tous les composants d'un système (le « total inventory »). La configuration baseline fige l'état de configuration approuvé : valeurs de paramètres, services activés, réglages de durcissement. La build ou deployment baseline est l'image de référence à partir de laquelle on construit et déploie une instance, souvent reçue d'une supply chain puis validée. La modification, update ou patch baseline capture l'état après application de correctifs ou de mises à jour, et sert à fabriquer un deployment package adapté à l'environnement local. Enfin, la security baseline définit l'ensemble minimal de contrôles de sécurité, dicté par une exigence de conformité ou défini en interne par l'organisation.
Le security baselining mérite une attention particulière : il fixe le minimum de contrôles que tout système doit satisfaire. Le manuel rappelle de rester focalisé sur la façon dont les autorités de conformité ou les partenaires contractuels perçoivent les menaces et la réponse minimale attendue, plutôt que de se laisser dicter par le seul paysage de menaces externe.
Piège d'examen : la question 7.3 Check Your Understanding porte exactement sur cette énumération. Ne confondez pas la build/deployment baseline (image de construction) avec la modification/patch baseline (état après correctifs) ; et rappelez-vous que la security baseline est un sous-ensemble orienté contrôles, pas l'inventaire complet.
- Cinq baselines : enumerated, configuration, build/deployment, modification/patch, security
- La baseline est le point de comparaison ; tout écart est un changement
- Le security baselining fixe le minimum de contrôles (conformité ou interne)
- Build/deployment (construction) ≠ modification/patch (après correctifs)
4.3 Automatisation : CIS, SCAP, gold images et IaC/CI-CD
Gérer manuellement une security baseline sur un seul système est simple, mais la complexité explose avec le nombre de systèmes, la diversité des besoins métier et des exigences de conformité, et la multiplication des CIs. Déterminer le bon span of control de la baseline (de un à des milliers de systèmes) devient un enjeu de gestion à part entière. Cette complexité a conduit les organisations à automatiser le baselining.
Des catalogues et outils de référence existent. Les CIS benchmarks fournissent des configurations durcies par technologie ; le manuel cite aussi le Microsoft Security Compliance Toolkit, le NIST macOS security framework, le Secure Host Baseline du gouvernement américain et l'IT-Grundschutz du BSI allemand. Le Security Content Automation Protocol (SCAP) standardise l'expression et l'évaluation de la conformité : des outils vendor évaluent un système au regard de la baseline, ingèrent les changements de configuration via SCAP, et peuvent restreindre l'exploitation du système tant que la baseline n'est pas satisfaite, tout en fournissant un reporting de conformité.
Dans le cloud, l'approche a évolué. On s'appuyait sur des gold images, configurées proprement puis copiées à la demande. Mais l'image sprawl - la prolifération incontrôlée d'images divergentes - a rendu cette méthode ingérable en entreprise. Désormais, le provisioning et la promotion des changements de configuration en production via Infrastructure as Code (IaC) et CI/CD garantissent un déploiement cohérent des baselines. Les scripts ou « recipes » sont eux-mêmes suivis comme CIs et approuvés pour déploiement.
Piège d'examen : les gold images ne sont pas la « bonne réponse moderne ». Le manuel les présente comme dépassées par l'image sprawl ; la réponse attendue en environnement cloud est le provisioning par IaC/CI-CD, où les recipes sont des CIs versionnés et approuvés.
- L'automatisation gère le span of control de la baseline sur de nombreux systèmes
- SCAP standardise l'évaluation ; les CIS benchmarks fournissent des configs durcies
- L'image sprawl a rendu les gold images ingérables en entreprise
- Le provisioning IaC/CI-CD déploie les baselines ; les recipes sont des CIs approuvés
4.4 Change Management Board, span of control et Figure 7.6
La plupart des organisations disposent d'une hiérarchie d'autorités d'approbation, calibrée selon le niveau de risque que présente un changement. Le Change Management Board (CMB), aussi appelé Configuration Control Board (CCB), supervise de façon centralisée les activités liées au changement : il structure l'engagement des parties prenantes, formalise l'approbation, et garantit que les changements sont correctement dotés en ressources et implémentés. Les responsabilités et le span of control du CMB varient fortement d'une organisation à l'autre.
Le périmètre d'intérêt du CMB peut englober tous les aspects de la change management qui concernent l'équipe sécurité. La Figure 7.6 illustre que ces activités - provisioning, baselining, patch, configuration et vulnerability management - se chevauchent. Certaines organisations ne distinguent pas ces activités, d'autres les cloisonnent en silos distincts ; le CMB les coordonne dans le contexte des pratiques de change management plus larges. Le CMB doit aussi viser l'amélioration continue des processus et des outils qu'il contrôle, l'automatisation fournissant les métriques pour mesurer les gains.
Un indicateur d'efficacité clé est le niveau de déviation du parc de production par rapport aux baselines, ainsi que le nombre d'exceptions accordées : un nombre croissant d'exceptions signale que les baselines ne répondent plus aux besoins métier et doivent être réévaluées. Enfin, le manuel est catégorique : la senior management reste la clé. Si la direction s'exempte elle-même de la conformité ou refuse d'imposer les standards, le message est clair - la change management ne compte pas. À l'inverse, son exemplarité garantit l'application cohérente des contrôles.
Piège d'examen : le rôle décisif de la senior management n'est pas symbolique. L'examen valorise la réponse « tone at the top » : sans exemplarité de la direction, aucun outil ni CMB ne suffit.
- CMB = CCB : supervise, formalise l'approbation et dote les changements en ressources
- Figure 7.6 : provisioning, baselining, patch, configuration et vulnerability management se chevauchent
- Hausse des exceptions aux baselines = baselines à réévaluer
- La senior management est la clé : sans exemplarité, la change management échoue
4.5 Change management vs change control, regression testing, standards et niveaux ITIL
La change management est la discipline qui fait passer du current state au future state. Elle comprend trois grandes activités : décider de changer, faire le changement, et confirmer qu'il a été correctement accompli. La change management se concentre sur la décision de changer et aboutit aux approbations données aux équipes de support, développeurs et utilisateurs pour démarrer les modifications. La change control désigne, elle, les processus comptables détaillés qui identifient chaque composant affecté puis vérifient que les actions appropriées ont bien été menées. Le regression testing confirme que le comportement du système n'a été altéré que par le changement approuvé, sans comportement anormal supplémentaire.
Certaines cultures séparent change management et change control en deux processus distincts, d'autres non. De même, le caractère formel ou non du regression testing - intégré au processus ou « laissé à l'utilisateur final » - dépend des pratiques locales, sauf exigence contractuelle ou de conformité explicite. Point essentiel : la change management ne concerne pas que les bug fixes ou la fermeture de vulnérabilités. Ajouter une fonctionnalité ou changer l'apparence d'un affichage sont aussi des changements ; tout changement doit être managé.
Plusieurs standards encadrent la pratique. NIST SP 800-128 guide la configuration management orientée sécurité ; ISO 27001 Annexe A 12.1.2 fait de la change management un contrôle nécessaire pour les changements affectant la sécurité de l'information ; PRINCE2 et le PMBOK du PMI l'abordent sous l'angle de la gestion de projet. Le plus largement adopté côté IT est ITIL v4, sous le nom de Change Enablement, qui fournit des lignes directrices larges adaptables à la culture et aux contraintes de chaque organisation.
ITIL distingue trois niveaux de changement selon l'urgence et le risque : les standard changes (relativement peu risqués, suivant des procédures établies, souvent pré-approuvés), les emergency changes (à implémenter immédiatement), et les normal changes (tous les autres). Cette flexibilité reflète que chaque organisation a des processus d'approbation différents selon le risque. Piège d'examen : un standard change n'est pas « un changement ordinaire » - c'est un changement de faible risque, répétable et pré-autorisé. Le « changement ordinaire » est précisément le normal change.
- Change management = décider ; change control = comptabiliser et vérifier
- Le regression testing confirme l'absence de comportement anormal
- Standards : NIST SP 800-128, ISO 27001 A.12.1.2, PRINCE2, PMBOK, ITIL v4
- Trois niveaux ITIL : standard (pré-approuvé), emergency (immédiat), normal (le reste)
4.6 Le cycle de la RFC au rollback : phases majeures et release/deployment
Toutes les pratiques majeures de change management traitent un noyau commun d'activités qui démarre par une Request for Change (RFC) et progresse à travers les étapes de développement, de test et de release jusqu'à la mise à disposition des utilisateurs. Chaque étape est soumise à une décision formalisée et produit des enregistrements documentant ses résultats.
La Change Initiation produit la RFC, qui peut naître de suggestions d'utilisateurs, de tickets help desk ou d'autres entrées. Elle couvre l'identification des besoins de changement, l'évaluation des risques, la priorisation et la documentation de la RFC. La Change Review and Approval évalue la complétude des RFCs, les affecte au bon processus d'autorisation selon le risque, organise les revues de parties prenantes et l'allocation des ressources, puis prononce approbations ou rejets - tous documentés. L'Implementation and Evaluation planifie et teste le changement, vérifie les procédures de rollback, implémente, évalue le bon fonctionnement et documente le changement en production. Le rollback plan définit l'autorité de retour arrière, qui peut être immédiat ou planifié comme un changement ultérieur si le monitoring révèle des performances insuffisantes. La Release and Deployment Planning and Control gère les mouvements entre environnements (prototypage, développement, intégration, tests d'acceptation, security assessment).
Trois termes sont régulièrement confondus à l'examen. Le deployment est le déplacement contrôlé, inventorié et géré d'un système entre environnements (par exemple de l'intégration développeur vers le test système). La delivery est le déploiement dans l'environnement de l'utilisateur final pour son usage. La release est le mouvement d'un système ou change package vers la production pour un usage immédiat par les utilisateurs finaux.
Piège d'examen : ne réduisez pas la vérification du rollback à une formalité. Vérifier les procédures de rollback fait partie de l'Implementation and Evaluation, avant l'implémentation. Et retenez la réponse de la 7.9 Check Your Understanding : toutes les phases du processus exigent une documentation exacte et complète, pas seulement l'initiation.
- Phases majeures : initiation (RFC), review & approval, implementation & evaluation, release & deployment planning
- La vérification du rollback précède l'implémentation
- Deployment (entre environnements) ≠ delivery (chez l'utilisateur) ≠ release (en production immédiate)
- Toutes les phases exigent une documentation exacte et complète (7.9)
Cas d'étude
Une exception de baseline en urgence
Contexte : Un bureau opérationnel veut mettre en production un nouveau système métier qui ne respecte pas un paramètre de la security baseline de l'organisation (un service réseau requis par l'application est normalement désactivé par la baseline). La direction métier juge le besoin urgent. Le security professional est sollicité pour faire passer le changement le plus vite possible.
Question : Comment structurer cette exception de baseline sans court-circuiter la gouvernance, et qui doit donner son accord ?
Voir l'analyse et la correction
L'urgence ne supprime pas la documentation : même un emergency change au sens ITIL produit des enregistrements. La bonne démarche est d'ouvrir une RFC qui documente les risques opérationnels, la façon dont les déviations à la security baseline sont structurées, et le coût des contrôles alternatifs (compensating controls) qui couvriront le service réseau exposé.
L'exemption du système requiert la concurrence du business owner du système déployé, car c'est lui qui porte les risques opérationnels associés. Le CMB travaille alors avec le system owner pour identifier un niveau de contrôle acceptable : il ne s'agit pas d'ignorer la baseline, mais d'accorder une exception tracée et compensée.
Enfin, cette exception doit être comptabilisée. Le nombre d'exceptions accordées est un indicateur d'efficacité : si elles se multiplient, c'est la security baseline elle-même qui doit être réévaluée. Céder à la pression sans RFC ni accord du business owner reviendrait à laisser la production dériver hors de tout état approuvé.
À retenir : Une exception de baseline passe par une RFC documentée (risques, déviations, contrôles alternatifs) et la concurrence du business owner via le CMB ; l'urgence ne dispense jamais de documentation.
- L'exemption d'un système exige l'accord du business owner qui porte le risque
- La RFC documente risques, déviations et coût des contrôles alternatifs
- Le CMB fixe avec le system owner un niveau de contrôle acceptable
- Le suivi des exceptions sert d'indicateur de pertinence des baselines
Change management vs change control
Ne les confondez pas. Change management = la décision de changer (du current state vers le future state) qui aboutit aux approbations. Change control = la comptabilité détaillée qui identifie chaque composant affecté et vérifie que les actions appropriées ont été menées. Le regression testing relève de cette vérification : il confirme que seul le changement approuvé a modifié le comportement. Si la question parle de décider/approuver, c'est management ; si elle parle d'identifier les composants et de vérifier l'exécution, c'est control.
Standard change ≠ changement ordinaire
Piège ITIL classique. Le standard change n'est pas le changement « habituel » : c'est un changement de faible risque, répétable, suivant une procédure établie et souvent pré-approuvé (pas de passage au CMB à chaque fois). Le changement « ordinaire » qui n'est ni à faible risque préautorisé ni urgent est le normal change. L'emergency change, lui, doit être implémenté immédiatement. Trois niveaux : standard, emergency, normal.
Gold images dépassées par l'image sprawl
Ne choisissez pas « gold images » comme bonne pratique cloud moderne. Le manuel les présente comme une approche rendue ingérable par l'image sprawl (prolifération d'images divergentes). La réponse attendue en environnement cloud est le provisioning par IaC et CI/CD, où les scripts/recipes sont suivis comme CIs et approuvés, garantissant un déploiement cohérent des baselines.
Documentation : toutes les phases, pas une seule
À la question « quelle phase du processus de change management inclut une phase de documentation ? », la bonne réponse n'est ni initiation, ni review/approval, ni implementation seules : c'est « toutes les phases exigent une documentation exacte et complète ». RFC, approbations, rejets et changements de l'environnement de production sont tous documentés. C'est la réponse de la 7.9 Check Your Understanding.
Point de contrôle — Point de contrôle
-
Une baseline est un inventaire total des composants d'un système. Lequel de ces ensembles correspond aux types de baselines reconnus par le manuel ?
- A Enumerated, configuration, build/deployment, modification/patch, security
- B Hot, warm, cold, mobile, mirror
- C Standard, emergency, normal, urgent, deferred
- D Preventive, detective, corrective, deterrent, compensating
Réponse & justification
Réponse : A — Enumerated, configuration, build/deployment, modification/patch, security
Le manuel (7.3) liste cinq baselines : enumerated, configuration, build/deployment, modification/update/patch, et security. Hot/warm/cold sont des sites de reprise (BCP/DRP). Standard/emergency/normal sont les niveaux de changement ITIL. Preventive/detective/corrective sont des fonctions de contrôle. Seule la première liste correspond aux types de baselines.
-
Dans le processus de change management, quelle phase inclut une phase de documentation ?
- A Toutes les phases exigent une documentation exacte et complète
- B L'initiation uniquement, car elle produit la RFC
- C La review and approval uniquement, car elle enregistre les approbations
- D L'implementation uniquement, car elle modifie la production
Réponse & justification
Réponse : A — Toutes les phases exigent une documentation exacte et complète
Réponse de la 7.9 Check Your Understanding : la documentation est vitale et présente à toutes les phases. RFCs, approbations, rejets et changements de l'environnement de production sont tous documentés. Chaque phase isolée inclut bien de la documentation, mais aucune n'est la seule : la bonne réponse les englobe toutes.
-
ITIL v4 Change Enablement distingue trois niveaux de changement selon l'urgence. Lequel décrit un changement de faible risque, répétable et suivant une procédure établie ?
- A Standard change
- B Emergency change
- C Normal change
- D Request for Change
Réponse & justification
Réponse : A — Standard change
Le standard change est relativement peu risqué et suit des procédures établies (souvent pré-approuvé). L'emergency change doit être implémenté immédiatement. Le normal change est tout ce qui ne tombe dans aucun des deux autres niveaux. La RFC n'est pas un niveau mais le document initiant le cycle. Le piège est d'assimiler standard à « ordinaire » : l'ordinaire est le normal change.
-
Une organisation déplace un système de l'intégration développeur vers le test système, puis plus tard le met en production pour usage immédiat des utilisateurs finaux. Quels termes désignent respectivement ces deux mouvements ?
- A Deployment puis release
- B Release puis deployment
- C Delivery puis baselining
- D Provisioning puis rollback
Réponse & justification
Réponse : A — Deployment puis release
Le deployment est tout mouvement contrôlé, inventorié et géré entre environnements (ici intégration vers test). La release est le mouvement vers la production pour usage immédiat des utilisateurs finaux. La delivery serait le déploiement dans l'environnement de l'utilisateur final. Provisioning et rollback désignent d'autres activités (création d'instances, retour arrière). L'ordre et les définitions sont des pièges fréquents.
Points essentiels à retenir
- Un Configuration Item (CI) est tout composant nommé géré par la change management ; hardware, software, data et même le wetware peuvent en être ; la CMDB les recense.
- Cinq baselines : enumerated, configuration, build/deployment, modification/patch, security ; la security baseline fixe le minimum de contrôles.
- L'image sprawl a dépassé les gold images ; le provisioning par IaC/CI-CD, piloté par SCAP et les CIS benchmarks, déploie les baselines de façon cohérente.
- Le CMB (= CCB) supervise et approuve ; la Figure 7.6 montre le chevauchement des activités ; la senior management est la clé de l'efficacité.
- Change management (décider) ≠ change control (comptabiliser et vérifier) ; le regression testing confirme l'absence de comportement anormal.
- Standards : NIST SP 800-128, ISO 27001 A.12.1.2, PRINCE2, PMBOK, ITIL v4 ; trois niveaux ITIL : standard, emergency, normal.
- Cycle du RFC au rollback : initiation, review & approval, implementation & evaluation, release & deployment ; toutes les phases exigent une documentation exacte et complète.
- Distinguez deployment (entre environnements), delivery (chez l'utilisateur) et release (production immédiate).
Concepts fondamentaux des opérations de sécurité
Prérequis : Notions de contrôle d'accès (RBAC, MFA, zero trust) et de defense in depth.
Les opérations de sécurité ne reposent pas seulement sur des outils : elles s'appuient sur un petit ensemble de principes structurants qui orientent la conception des contrôles d'accès, des workflows et de la gestion des privilèges. Ce module couvre ces fondations : least privilege, need-to-know, separation of duties, privileged account management (PAM), job rotation, mandatory vacations, dual control et service-level agreements.
Le fil conducteur est la defense in depth (défense par couches) appliquée au contrôle d'accès : aucun de ces principes n'est suffisant seul, mais leur combinaison réduit drastiquement les chances de fraude, d'erreur et d'abus de privilèges. L'examen teste surtout votre capacité à distinguer des principes voisins (least privilege vs need-to-know, SoD vs dual control) et à choisir la mesure adaptée à un risque donné.
À la fin du module, vous saurez relier un objectif opérationnel (limiter un accès, prévenir une fraude, contenir un compte à privilèges) au bon principe et au bon mécanisme de contrôle d'accès.
5.1 Defense in depth comme cadre des modèles de contrôle d'accès
Aucun modèle de contrôle d'accès n'est suffisant à lui seul. La defense in depth (défense par couches) consiste à superposer plusieurs modèles et mécanismes - RBAC, MAC, DAC, MFA, zero trust - de sorte qu'une défaillance d'une couche soit rattrapée par la suivante. Appliquée au contrôle d'accès, elle intègre des politiques administratives, des mécanismes techniques (ACL, authentification, journalisation) et des barrières physiques en un dispositif cohérent.
La Figure 7.7 du manuel illustre cette intégration : les principes fondamentaux (least privilege, need-to-know, separation of duties) y sont implémentés à travers les différentes couches plutôt que par un seul contrôle. Par exemple, le besoin d'en connaître se traduit administrativement par une NDA, techniquement par du RBAC sur un domaine virtuel isolé, et physiquement par un local sécurisé.
Le message clé pour les opérations de sécurité : on ne choisit pas UN principe contre les autres, on les combine en couches. Piège d'examen : croire qu'un mécanisme unique (par exemple le seul RBAC) suffit à appliquer le least privilege ET le need-to-know. C'est la combinaison de couches qui réalise réellement la défense en profondeur.
- Aucun modèle d'accès n'est suffisant seul : on les superpose en couches
- La Figure 7.7 montre les principes implémentés à travers administrative, technical et physical
- Need-to-know se concrétise par NDA + RBAC sur domaine virtuel + local sécurisé
- Combiner les principes, ne pas les opposer
5.2 Least privilege, need-to-know et two-person integrity
Le least privilege (moindre privilège) impose que chaque sujet ne reçoive que les droits strictement nécessaires à sa fonction, ni plus ni moins. Exemple type : un employé chargé de saisir les factures fournisseurs (invoice clerk) doit pouvoir créer une facture, mais pas approuver un paiement ni modifier la liste des fournisseurs. Limiter ses droits réduit la surface d'erreur et de fraude.
Le need-to-know (besoin d'en connaître) est le pendant côté information : un sujet n'accède qu'aux informations dont il a un besoin légitime et démontré pour accomplir sa tâche. La distinction d'examen est cruciale : le least privilege porte sur les actions/permissions (que puis-je faire), le need-to-know porte sur l'information (que puis-je connaître). On peut avoir le privilège de lire un répertoire sans avoir le besoin d'en connaître chaque fichier.
Le need-to-know se met en oeuvre par des dispositifs comme l'ethical wall (muraille de Chine séparant des équipes en conflit d'intérêts), des NDA juridiquement contraignantes, et techniquement par de la virtualisation combinée à du RBAC : pour des clients concurrents servis par la même entreprise, on isole chaque client dans des réseaux, serveurs et données virtuels distincts, l'accès étant restreint par RBAC aux seuls intervenants validés ayant signé la NDA.
La two-person integrity (intégrité à deux personnes) ajoute une exigence : certaines actions ne peuvent être accomplies sans qu'au moins deux individus soient impliqués, afin qu'aucun ne puisse agir seul sur un actif critique. Piège d'examen : ne confondez pas least privilege (étendue des droits) et need-to-know (étendue de l'information).
- Least privilege = étendue des DROITS ; need-to-know = étendue de l'INFORMATION
- Invoice clerk : créer une facture oui, approuver un paiement non
- Need-to-know s'applique via ethical wall, NDA, virtualisation + RBAC
- Clients concurrents : domaines virtuels distincts, accès RBAC aux signataires de la NDA
- Two-person integrity : aucune action critique par un seul individu
5.3 Separation of duties et les workflows d'approbation
La separation of duties (SoD, séparation des tâches) signifie qu'aucune personne ne peut accomplir seule un processus sensible de bout en bout. Son but est de réduire les chances de fraude en exigeant la collusion d'au moins deux acteurs. L'exemple classique est l'achat bifurqué (bifurcated purchasing) : le responsable des achats signe le bon de commande (purchase order, PO) mais ne peut pas émettre de chèque ; le comptable peut émettre le chèque, mais seulement sur la base d'un PO signé par un responsable.
Des seuils renforcent le dispositif : les paiements dépassant des limites prédéfinies, ou des transmissions de fonds inhabituelles, exigent l'approbation d'un responsable plus senior. Cette SoD, appliquée par les mécanismes de contrôle d'accès des applications financières et de leurs bases de données, participe à la défense contre les whaling attacks - des attaques de phishing visant à tromper des dirigeants pour qu'ils autorisent de gros virements vers des entités inconnues.
Mettre en place une SoD commence par la conception du workflow et des tâches : on identifie les étapes critiques nécessitant l'approbation d'une deuxième, voire d'une troisième personne. Cela requiert des control flows (l'information remonte vers l'approbateur, qui approuve, rejette ou renvoie l'action vers une autorité supérieure) et des control loops, qui doivent être examinés de près pour s'assurer qu'ils sont correctement conçus. On choisit ensuite le bon assortiment de technologies de contrôle d'accès pour les implémenter. Piège d'examen : la SoD ne prévient pas la fraude par collusion ; c'est la collusion qui la contourne, raison pour laquelle on la complète par job rotation et mandatory vacations.
- SoD : aucune personne ne complète seule un processus sensible
- Achat bifurqué : signer le PO et émettre le chèque sont séparés
- Seuils + approbation senior pour paiements inhabituels = défense anti-whaling
- Conception : workflows, control flows et control loops à examiner
- La SoD est contournée par la collusion -> compléter par rotation/vacances
5.4 Privileged account management (PAM) et just-in-time identity
Les comptes à privilèges (privileged accounts) disposent de permissions supérieures à celles des utilisateurs normaux. Plusieurs classes les utilisent : les systems administrators (responsables des OS, du déploiement applicatif et de la performance), le help desk / support IT (qui doivent voir ou manipuler endpoints, serveurs et plateformes applicatives), les security analysts (qui peuvent exiger un accès rapide à toute l'infrastructure), ainsi que des comptes créés par client ou par projet pour donner à une équipe un contrôle accru sur ses données et applications.
Cette délégation suppose une grande confiance, car un abus de ces privilèges peut nuire à l'organisation. Les mesures de mitigation typiques sont : un logging plus détaillé que pour les comptes ordinaires (dissuasion et contrôle administratif auditables) ; un contrôle d'accès plus strict, avec MFA pour tous et une authentification renforcée avant l'octroi des privilèges ; la just-in-time (JIT) identity, qui restreint l'usage des privilèges aux tâches précises et aux moments où l'utilisateur les exécute ; le traitement des comptes à privilèges comme temporaires (durée limitée à un besoin et à un projet, de quelques jours à quelques mois) ; une vérification de confiance plus poussée (background checks approfondis, NDA plus strictes, politiques d'usage acceptable renforcées, acceptation d'enquêtes financières, réévaluations périodiques) ; et un audit accru de l'activité.
Le PAM illustre le granularity-of-controls problem (problème de granularité des contrôles). À un extrême, un paradigme zero trust qui valide chaque action atomique a un coût réel ; à l'autre, une authentification unique au premier sign-on autorisant ensuite toutes les actions est une architecture de total trust, bien trop risquée. Le professionnel de sécurité recommande où placer ce threshold knob (curseur de seuil) lors de la planification, de l'implémentation et de l'usage opérationnel temps réel. Piège d'examen : la JIT identity ne supprime pas les comptes à privilèges, elle limite leur fenêtre d'usage à l'instant et à la tâche.
- Classes : sysadmins, help desk, security analysts, comptes par client/projet
- Mitigations : logging détaillé, AC plus strict + MFA, JIT identity, comptes temporaires, vetting approfondi, audit accru
- JIT identity restreint les privilèges à la tâche et au moment précis
- Granularité : entre zero trust (coûteux) et total trust (trop risqué)
- Le professionnel règle le threshold knob de confiance
5.5 Job rotation et mandatory vacations
Le job rotation (rotation des postes) fait changer régulièrement les employés de rôles et de tâches. Cela renforce la sécurité de plusieurs manières : un employé impliqué dans une malversation peut être démasqué lorsque son remplaçant prend le poste après la rotation ; l'organisation n'a pas de single point of failure, car de nombreux agents auront acquis l'expérience opérationnelle de la plupart des processus métier (atout pour la continuité d'activité et la reprise après sinistre) ; et le moral comme la cohésion d'équipe s'améliorent par le partage des compétences, créant un climat où chacun protège les autres et l'organisation.
Les systèmes de contrôle d'accès jouent ici un rôle essentiel. La stratégie de rotation doit décrire clairement comment un individu acquiert et perd des tâches assignées, ainsi que les autorités associées, lors de sa transition d'un rôle à l'autre. Une collaboration entre la human resources management (HRM) et l'IAM (provisioning) reflète ces changements dans les systèmes et les privilèges. L'access accounting et les audits d'usage des comptes vérifient que la passation de tâches a bien été effectuée du point de vue des tentatives d'accès.
Les mandatory vacations (congés obligatoires) visent à réduire la fraude et l'embezzlement (détournement) et à révéler des malversations. Le concept vient du secteur financier : chaque employé doit prendre plusieurs jours consécutifs de congé pendant qu'un collègue couvre ses responsabilités, ce qui accroît les chances de détecter une malversation commise par l'absent. Certaines organisations vont plus loin avec un forced vacation program imposant des congés à des dates précises. L'aspect le plus souvent négligé : il faut suspendre temporairement tout ou partie des privilèges d'accès de l'employé en congé, et placer des seuils d'alarme rehaussés sur l'usage de son identité et des ressources qu'il utilise habituellement. Piège d'examen : si l'accès reste actif pendant le congé, le mécanisme perd son intérêt de détection.
- Job rotation : démasque la fraude, supprime le single point of failure, améliore le moral
- Transitions reflétées par HRM + IAM ; audits d'usage pour vérifier la passation
- Mandatory vacation : congé consécutif couvert par un collègue, détecte la fraude
- Forced vacation : congés imposés à dates fixes
- Suspendre les accès pendant le congé, sinon la détection est inopérante
5.6 Dual control et service-level agreements (SLA)
Le dual custody, aussi appelé dual control (double contrôle), offre une architecture de contrôle d'accès plus sûre en exigeant que deux personnes ou plus accomplissent simultanément des actions séparées pour réaliser une action critique. De nombreux systèmes militaires, par exemple, ne peuvent armer et tirer une arme sans deux actions distinctes (tourner une clé, saisir une commande) effectuées par deux personnes physiquement isolées à une ou deux secondes d'intervalle ; les overrides de processus critiques pour la sûreté reposent souvent sur du dual control.
Un autre usage protège des informations très sensibles ou des actifs physiques uniques : on les place dans un local spécialement construit, en exigeant qu'au moins deux personnes y maintiennent une vigilance ou y interviennent conjointement. Ces zones sont appelées no lone zones (zones sans isolé) ; les laboratoires de R&D y recourent souvent. Dans un usage plus courant, les banques chiffrent les données de cartes via des hardware security modules (HSM) : déchiffrer ces informations exige des actions indépendantes de deux administrateurs de sécurité (parfois plus) physiquement présents au HSM. Distinction d'examen : la separation of duties répartit des étapes successives entre plusieurs personnes, tandis que le dual control exige des actions simultanées de plusieurs personnes pour une même action.
Le service-level agreement (SLA) est un accord documenté et juridiquement contraignant entre un fournisseur de service et un ou plusieurs clients. Il définit le niveau de service attendu et les pénalités si ces niveaux ne sont pas atteints. Un SLA peut couvrir diverses métriques : disponibilité (availability), fiabilité (reliability) et temps de réponse (response time). Point clé : avoir un SLA ne garantit pas que le fournisseur le respectera toujours. Le client obtient l'assurance de conformité par des revues, des assessments et du monitoring. Piège d'examen : un SLA est un engagement assorti de pénalités, pas une garantie technique de disponibilité.
- Dual control : deux actions SIMULTANÉES de personnes distinctes
- No lone zones et HSM : déchiffrement à deux administrateurs présents
- SoD = étapes successives réparties ; dual control = actions simultanées
- SLA : accord contraignant, métriques availability/reliability/response time
- Un SLA n'est pas une garantie : assurance par reviews/assessments/monitoring
Cas d'étude
Équilibrer need-to-know, least privilege et SoD par la défense par couches
Contexte : En examinant les données de sécurité, Keiko et l'équipe SneakerNet constatent que des employés de toute l'organisation accèdent fréquemment à des informations propriétaires qui devraient être réservées à des équipes précises. La direction veut réduire ce risque d'accès non autorisé sans paralyser l'activité quotidienne.
Question : Comment Keiko peut-elle équilibrer les principes de need-to-know / least privilege, de separation of duties et de responsabilités pour atténuer le risque d'accès non autorisé ?
Voir l'analyse et la correction
La réponse n'est pas un contrôle unique mais une layered defense (défense par couches), conforme à la Figure 7.7. Sur le plan administratif, Keiko cartographie quelles équipes ont un need-to-know légitime sur chaque jeu de données propriétaires et fait signer des NDA. Sur le plan technique, elle applique le least privilege via du RBAC : chaque rôle ne reçoit que les droits nécessaires, et l'information propriétaire est isolée (au besoin par virtualisation par équipe ou par client). Sur le plan des processus, elle introduit de la separation of duties sur les actions sensibles (par exemple, accorder un accès exige une demande + une approbation par une personne distincte), avec des control flows et control loops tracés.
La délégation des capacités de gestion et de protection des actifs informationnels va à divers personnels - encadrement, support, direction - avec des niveaux d'autorité et de responsabilité différents. Cette délégation reste conditionnée à la trustworthiness (fiabilité) des intéressés. Le contrôle d'accès, le logging et les audits d'usage donnent la visibilité nécessaire pour vérifier que les accès correspondent réellement aux besoins.
Aucun principe ne suffit seul : le need-to-know borne l'information, le least privilege borne les droits, la SoD empêche qu'une personne agisse seule, et la défense par couches les intègre en un dispositif cohérent et auditable.
À retenir : Mitiger l'accès non autorisé exige une défense par couches qui combine need-to-know, least privilege et SoD, conditionnée à la trustworthiness.
- Implémenter chaque principe à travers plusieurs couches plutôt qu'un seul contrôle
- La délégation reste conditionnée à la fiabilité des personnes
- Logging et audits d'usage vérifient l'adéquation accès/besoin
Least privilege vs need-to-know
Ces deux principes sont voisins mais distincts. Le least privilege porte sur les DROITS et actions (que peut faire le sujet : lire, écrire, exécuter), le need-to-know porte sur l'INFORMATION (à quoi le sujet a un besoin légitime d'accéder). Un administrateur peut détenir le privilège technique de lire un partage entier sans avoir le besoin d'en connaître chaque fichier. À l'examen : si la question parle d'étendue de permissions, c'est least privilege ; si elle parle de cloisonnement de l'information (ethical wall, NDA, isolement par client), c'est need-to-know.
Separation of duties vs dual control
Ne confondez pas ces deux contrôles. La separation of duties répartit des étapes SUCCESSIVES d'un processus entre plusieurs personnes (l'une signe le PO, l'autre émet le chèque) : le but est qu'aucune ne complète le processus seule. Le dual control (dual custody) exige des actions SIMULTANÉES de deux personnes pour une seule et même action critique (deux clés tournées en même temps, deux administrateurs au HSM). SoD = séquence répartie ; dual control = simultanéité. Les deux réduisent la fraude, mais le dual control vise une action atomique unique.
L'accès oublié pendant la mandatory vacation
Une mandatory vacation n'a de valeur de détection que si les privilèges d'accès de l'employé absent sont temporairement suspendus (ou placés sous seuils d'alarme rehaussés). Si l'employé conserve un accès actif et continue à agir à distance pendant son congé, la fraude qu'on cherchait à révéler reste dissimulée. C'est l'aspect le plus souvent négligé d'une telle politique. Reliez-le aussi à la JIT identity : on coupe l'accès quand le besoin disparaît.
Le SLA n'est pas une garantie
Un service-level agreement définit un niveau de service attendu (availability, reliability, response time) et des pénalités, mais ne garantit en rien que le fournisseur l'atteindra toujours. C'est un engagement contractuel assorti de sanctions, pas une garantie technique. Le client obtient l'assurance de conformité par des reviews, assessments et monitoring continus. À l'examen, méfiez-vous d'une réponse affirmant qu'un SLA assure à lui seul la disponibilité.
Point de contrôle — Point de contrôle
-
Un consultant possède le droit technique de lire l'ensemble d'un partage de fichiers, mais l'organisation veut limiter ce qu'il peut effectivement consulter aux seuls dossiers du projet sur lequel il travaille. Quel principe ce cloisonnement de l'information illustre-t-il ?
- A Need-to-know
- B Least privilege
- C Dual control
- D Job rotation
Réponse & justification
Réponse : A — Need-to-know
Limiter l'INFORMATION accessible à ce dont le sujet a un besoin légitime relève du need-to-know. Le least privilege porterait sur l'étendue des DROITS (que peut-il faire), ici déjà accordés techniquement. Le dual control exige deux actions simultanées, le job rotation fait tourner les postes : hors sujet. Le piège est d'assimiler need-to-know et least privilege.
-
Pour déchiffrer des données de carte protégées par un HSM, deux administrateurs de sécurité doivent effectuer simultanément des actions séparées, tous deux physiquement présents. Quel contrôle est mis en oeuvre ?
- A Dual control
- B Separation of duties
- C Least privilege
- D Mandatory vacation
Réponse & justification
Réponse : A — Dual control
Deux personnes accomplissant SIMULTANÉMENT des actions séparées pour une même action critique = dual control (dual custody). La separation of duties répartirait des étapes SUCCESSIVES d'un processus (signer le PO puis émettre le chèque), pas des actions simultanées. Least privilege et mandatory vacation ne décrivent pas ce mécanisme.
-
Une équipe sécurité veut limiter l'usage des privilèges d'un administrateur aux seules tâches en cours et aux moments précis où il les exécute, plutôt que de lui laisser des droits permanents. Quelle mesure de PAM répond le mieux à ce besoin ?
- A Just-in-time (JIT) identity
- B Logging plus détaillé des comptes à privilèges
- C Background check approfondi
- D Politique d'usage acceptable plus stricte
Réponse & justification
Réponse : A — Just-in-time (JIT) identity
La just-in-time identity octroie les privilèges tâche par tâche, moment par moment, et les retire ensuite : c'est exactement la restriction temporelle demandée. Le logging détaillé, le background check et la politique d'usage sont d'autres mesures de mitigation utiles, mais aucune ne restreint la FENÊTRE d'usage des privilèges comme le fait la JIT identity.
-
Pourquoi une politique de mandatory vacation doit-elle impérativement s'accompagner de la suspension temporaire des accès de l'employé en congé ?
- A Sinon l'employé peut continuer à dissimuler une fraude en agissant à distance pendant son congé
- B Pour réduire le coût des licences logicielles inutilisées
- C Parce que le RGPD interdit tout accès pendant un congé
- D Pour forcer le remplaçant à utiliser ses propres identifiants
Réponse & justification
Réponse : A — Sinon l'employé peut continuer à dissimuler une fraude en agissant à distance pendant son congé
La mandatory vacation n'a de valeur de détection que si un remplaçant prend réellement le poste sans que l'absent puisse intervenir. Si ses accès restent actifs, il peut continuer à masquer une malversation à distance, et le mécanisme échoue. Les autres réponses sont fausses : il ne s'agit ni de coût de licences, ni d'une interdiction RGPD, ni d'une question d'identifiants du remplaçant.
Points essentiels à retenir
- La defense in depth intègre les modèles de contrôle d'accès en couches (Figure 7.7) : aucun principe ne suffit seul.
- Least privilege borne les DROITS, need-to-know borne l'INFORMATION ; ne pas les confondre.
- La separation of duties répartit des étapes successives (achat bifurqué) pour bloquer la fraude par un seul acteur et contrer les whaling attacks.
- Le PAM mitige les comptes à privilèges : logging détaillé, AC strict + MFA, JIT identity, comptes temporaires, vetting approfondi, audit accru ; régler le threshold knob entre zero trust et total trust.
- Job rotation et mandatory vacations sont des contrôles RH de détection ; suspendre les accès pendant le congé est indispensable.
- Le dual control exige deux actions simultanées (no lone zones, HSM) ; un SLA est un engagement à pénalités, pas une garantie de disponibilité.
Protection des ressources et gestion des médias
Prérequis : Notions de classification de l'information (Domaine 2) et de cycle de vie de la donnée.
Préserver la sécurité opérationnelle des ressources, c'est protéger en continu l'information contre la disclosure, l'alteration et la destruction, quels que soient son emplacement et son format. La protection des médias combine des contrôles techniques et non techniques empilés sur plusieurs couches pour atteindre les objectifs de sécurité.
Ce module suit le cycle de vie du média : inventaire et classification dès la collecte, marquage et étiquetage qui informent le handling et la distribution, contrôles de stockage, d'accès, d'environnement et de transport, puis sanitization proportionnée à la classification au moment de la mise au rebut. Il couvre aussi la restriction des types de médias (flash drives) par contrôles techniques et le chiffrement des données data at rest et data in transit.
À la fin, vous saurez aligner chaque contrôle de média sur la famille Media Protection du NIST SP 800-53 et choisir une méthode de sanitization (échelle clear / purge / destroy) en fonction de la classification et du devenir du support.
6.1 Gestion des médias : inventaire, classification et politiques
Gérer activement les actifs organisationnels commence par un inventaire à jour de ces actifs. On ne protège bien que ce que l'on connaît : sans inventaire fiable des supports (disques, bandes, clés USB, sauvegardes), aucun contrôle de protection ne peut être appliqué de façon exhaustive. Protéger une information de valeur ou sensible en tant qu'actif exige de la défendre contre disclosure, alteration et destruction, quels que soient son emplacement et son format.
La classification de la donnée doit être traitée au plus tôt dans le data life cycle, idéalement au moment où la donnée est collectée ou générée. Classer tard, c'est laisser circuler des données non marquées dont on ignore le niveau de protection requis ; classer tôt, c'est conditionner tout le reste du cycle (marquage, handling, stockage, sanitization). C'est un piège d'examen classique : la bonne réponse à « quand classifier ? » est toujours « le plus tôt possible », à la création.
Lorsqu'elles sont développées, documentées et maintenues, les media protection policies and procedures donnent le ton, fixent une direction et décrivent une suite d'actions pas à pas pour la protection des médias. Ces contrôles doivent adresser plusieurs exigences : marking and labeling, handling, storage et destruction, afin de protéger l'information sensible tout au long de sa vie.
- La gestion des médias commence par un inventaire à jour des actifs
- Protéger contre disclosure, alteration et destruction, quel que soit l'emplacement ou le format
- Classifier au plus tôt : à la collecte ou à la génération de la donnée
- Les politiques de protection adressent marking, handling, storage et destruction
6.2 Marquage, étiquetage et limites de distribution
Les médias contenant de l'information sensible doivent être marqués de façon appropriée. Le marking n'est pas un détail administratif : il informe les subjects (utilisateurs, transporteurs, destinataires) des exigences spécifiques de handling et de protection nécessaires, et, le cas échéant, indique les limites de distribution. Une bande de sauvegarde étiquetée « Confidentiel - usage interne » dit immédiatement à qui la manipule quel niveau de soin appliquer et à qui elle ne doit pas être remise.
Il faut distinguer le marking (l'information de classification rendue visible, lisible par l'humain, sur l'étiquette ou l'emballage) du labeling au sens des métadonnées, mais dans le manuel D7 les deux servent le même but : porter à la connaissance de quiconque manipule le support le traitement requis. Sans marquage, un support sensible se confond avec un support banal et tombe hors du périmètre des contrôles de handling et de distribution.
Le marquage est ainsi le point d'articulation entre la classification (faite en amont) et les contrôles opérationnels qui suivent : il traduit une décision de classification en consigne pratique de manipulation. Piège d'examen : le marquage n'applique pas lui-même la protection, il informe et déclenche les contrôles de handling, de stockage et de distribution appropriés.
- Le marking informe des exigences de handling et de protection
- Le marquage indique aussi les limites de distribution
- Sans marquage, un support sensible échappe aux contrôles appropriés
- Le marquage traduit la classification en consigne opérationnelle, sans appliquer la protection lui-même
6.3 Contrôles de protection : stockage, accès, handling, environnement, transport
La protection physique et opérationnelle des médias repose sur cinq familles de contrôles complémentaires. Le storage consiste à ranger les médias dans des zones verrouillées (locked areas) et, plus généralement, dans des locaux physiquement sécurisés. L'access est restreint selon les rôles : on accorde l'accès selon les principes de need-to-know et on journalise chaque accès (logging), ce qui rend possible l'accountability ultérieure.
Le handling impose de manipuler les médias, lorsque c'est pertinent, avec un niveau de soin qui évite d'exposer le support à des sources de contamination. La protection environnementale (environment) défend le média contre diverses conditions : chaleur (heat), humidité (humidity), liquides, poussière (dust) et fumée (smoke), en tenant aussi compte des menaces d'intempéries extrêmes, inondations (floods), séismes (earthquakes) et incendies (fires). Un coffre ignifuge et climatisé répond directement à ces exigences.
Le transport des médias hors de la zone contrôlée, lorsqu'il a lieu, doit garantir l'accountability : on sait à tout moment qui détient le support, par qui il est passé, et on trace la chaîne de responsabilité. Piège d'examen : ces contrôles ne sont pas alternatifs mais cumulatifs - c'est une application directe de la defense in depth aux supports physiques. Restreindre l'accès ne dispense pas de protéger contre le feu, et vice versa.
- Storage : zones verrouillées et locaux physiquement sécurisés
- Access : rôles + need-to-know + journalisation des accès
- Handling : soin évitant les sources de contamination ; environment : heat, humidity, liquids, dust, smoke, weather, flood, quake, fire
- Transport hors zone contrôlée : accountability et chaîne de responsabilité
6.4 Sanitization, restriction des types de médias et chiffrement
La sanitization peut être requise avant la mise au rebut, en fin de cycle de vie. Elle est particulièrement importante si le média quitte le contrôle de l'organisation ou s'il sera recyclé pour un usage futur. La sanitization doit s'effectuer avec des outils et techniques appropriés, commensurate (proportionnés) à la security category ou à la classification du support. Selon la catégorisation, il peut exister des exigences spécifiques pour reviewing, approving, tracking, documenting et verifying les actions de sanitization et de disposal : un support secret ne se traite pas comme un support public, et chaque étape doit laisser une trace.
Pour des raisons de conformité aux politiques, l'usage de certains types de médias (par exemple les flash drives) peut être restreint ou totalement interdit dans certains environnements ou sur certains systèmes. Ces restrictions s'appliquent par des contrôles techniques (blocage des ports USB, allowlisting de périphériques, DLP), et non par la seule consigne écrite. De même, si la conformité l'exige, l'usage de devices non autorisés et non conformes peut être prohibé.
La donnée sensible peut être exposée à la fois data at rest et data in transit. Les données sensibles reposant sur des backup media, des clés USB, des disques externes peuvent être soumises au chiffrement, par politique interne ou mandat externe. Le chiffrement est un contrôle technique majeur, valable quel que soit l'état de la donnée (au repos ou en transmission) : c'est la réponse transverse qui protège la confidentialité même si le support est volé ou intercepté.
- La sanitization est proportionnée (commensurate) à la classification ou security category
- Processus tracé : review, approve, track, document, verify
- Restreindre les flash drives passe par des contrôles techniques, pas une simple politique
- Le chiffrement protège la donnée at rest comme in transit
6.5 NIST SP 800-53 Media Protection, 800-88 et data remanence
Le NIST SP 800-53 regroupe les contrôles de protection des médias dans une famille dédiée, Media Protection (MP). Selon le manuel D7, les contrôles liés à la protection des médias incluent : policies and procedures, access, marking, storage, transport, sanitization, use et downgrading. Cette liste est la réponse officielle à la question « Check Your Understanding » 7.5.2 et structure tout ce module : chaque leçon précédente correspond à un ou plusieurs de ces contrôles. Le downgrading (déclasser un support vers un niveau inférieur) et le use (encadrer l'usage autorisé d'un type de média) complètent storage, transport et sanitization déjà vus.
En complément du manuel, le NIST SP 800-88 (Guidelines for Media Sanitization, supplément CBK/cheat) définit une échelle de sanitization à trois niveaux, par sévérité croissante. Clear applique des techniques logiques standard (réécriture, reset) pour empêcher une récupération par des outils simples. Purge applique des techniques plus poussées (cryptographic erase, degaussing pour les supports magnétiques) rendant la récupération infaisable même en laboratoire. Destroy détruit physiquement le support (broyage, incinération, pulvérisation), seule garantie absolue, mais qui interdit toute réutilisation. Le choix monte l'échelle avec la classification et le devenir du support.
La notion sous-jacente est la data remanence (rémanence des données, concept CBK) : les données ne disparaissent pas réellement quand on les « supprime » ou qu'on formate un disque ; des résidus magnétiques ou électroniques subsistent et peuvent être récupérés. Toute la sanitization vise précisément à neutraliser cette rémanence. Piège d'examen : un simple delete ou format ne sanitize pas - il ne supprime que les pointeurs, la donnée reste récupérable jusqu'à un clear, purge ou destroy adapté.
- MP du NIST SP 800-53 : policies, access, marking, storage, transport, sanitization, use, downgrading
- NIST SP 800-88 (CBK) : échelle clear -> purge -> destroy par sévérité croissante
- Le choix de méthode monte avec la classification et le devenir du support
- Data remanence : delete/format ne supprime que les pointeurs, la donnée reste récupérable
Cas d'étude
Mise au rebut d'un lot de disques déclassés
Contexte : Une banque met hors service trois lots de disques. Lot A : SSD ayant hébergé des données clients classées « Secret », destinés à la destruction sans réutilisation. Lot B : HDD magnétiques classés « Confidentiel », à recycler en interne sur d'autres postes. Lot C : disques d'une salle de formation contenant uniquement des données publiques, à donner à une association. Le responsable demande une méthode de sanitization adaptée à chaque lot.
Question : Quelle méthode de l'échelle clear / purge / destroy retenir pour chaque lot, et pourquoi le degaussing convient-il au lot B mais pas au lot A ?
Voir l'analyse et la correction
Le choix doit être commensurate à la classification et tenir compte du devenir du support (réutilisation ou non) et de sa technologie. Lot A (Secret, pas de réutilisation) : destroy. La classification maximale et l'absence de réemploi justifient la destruction physique, seule garantie absolue contre la data remanence ; on documente, approuve et vérifie l'opération.
Lot B (Confidentiel, recyclage interne) : purge. Le support doit rester utilisable, donc on exclut destroy. Sur des HDD magnétiques, le degaussing (purge) efface le champ magnétique et rend la récupération infaisable. Attention : le degaussing ne fonctionne PAS sur des SSD (mémoire flash non magnétique) - c'est pourquoi il conviendrait au lot B mais serait inopérant sur les SSD du lot A, où l'on recourt au destroy (ou à un cryptographic erase si réutilisation).
Lot C (public, don externe) : clear suffit. Une réécriture logique empêche une récupération par outils simples ; le faible niveau de classification ne justifie pas une méthode plus coûteuse. Dans tous les cas, la banque doit review, approve, track, document et verify chaque action, conformément aux exigences proportionnelles à la catégorisation.
À retenir : On monte l'échelle clear -> purge -> destroy avec la classification et le non-réemploi ; et la technologie compte (degaussing pour magnétique, pas pour SSD).
- La méthode de sanitization est commensurate à la classification
- Le devenir du support (réutilisation) écarte ou non le destroy
- Le degaussing ne marche que sur les supports magnétiques
- Chaque action est review/approve/track/document/verify
Quand classifier la donnée ?
Le manuel est explicite : la classification se traite au plus tôt dans le data life cycle, à la collecte ou à la génération de la donnée. Si une question propose « au moment de l'archivage », « avant la destruction » ou « lors de l'audit », ce sont des distracteurs. La bonne réponse est toujours « le plus tôt possible », car la classification conditionne marquage, handling, stockage et sanitization de tout le reste du cycle.
Delete et format ne sont pas de la sanitization
À cause de la data remanence, supprimer un fichier ou formater un disque n'efface que les pointeurs : la donnée reste physiquement présente et récupérable. Une vraie sanitization exige clear (réécriture), purge (cryptographic erase, degaussing) ou destroy (destruction physique), choisis commensurate à la classification. Piège fréquent : confondre « disque formaté » et « disque sanitizé », ou croire que le degaussing fonctionne sur un SSD (faux : flash non magnétique).
Politique vs contrôle technique
Interdire les flash drives par une note de service est une politique ; cela ne devient un contrôle efficace que si c'est appliqué par des contrôles techniques (blocage des ports USB, allowlisting de périphériques, DLP). De même, le chiffrement data at rest / in transit est un contrôle technique qui protège la confidentialité même si le support est volé ou intercepté. Le manuel insiste : les restrictions de type de média « can be enforced through technical controls », pas par la seule règle écrite.
Point de contrôle — Point de contrôle
-
Selon le NIST SP 800-53, lequel de ces ensembles correspond aux contrôles de la famille Media Protection ?
- A Policies and procedures, access, marking, storage, transport, sanitization, use, downgrading
- B Firewall, IDS, antivirus, chiffrement, journalisation
- C Identification, authentication, authorization, accountability, auditing
- D Confidentiality, integrity, availability, authenticity, nonrepudiation
Réponse & justification
Réponse : A — Policies and procedures, access, marking, storage, transport, sanitization, use, downgrading
C'est la réponse exacte de la section 7.5.2 : la famille Media Protection couvre policies and procedures, access, marking, storage, transport, sanitization, use et downgrading. L'option 2 liste des contrôles techniques génériques hors famille MP. L'option 3 est le cycle d'accès IAAAA. L'option 4 énumère les cinq piliers de la sécurité, pas une famille de contrôles 800-53.
-
À quel moment du cycle de vie de la donnée la classification doit-elle idéalement être réalisée ?
- A Au plus tôt, lors de la collecte ou de la génération de la donnée
- B Au moment de l'archivage à long terme
- C Juste avant la sanitization et la destruction
- D Lors du premier audit de conformité annuel
Réponse & justification
Réponse : A — Au plus tôt, lors de la collecte ou de la génération de la donnée
Le manuel précise que la classification est traitée au plus tôt, quand la donnée est collectée ou générée, car elle conditionne marquage, handling, stockage et sanitization. Archiver, détruire ou auditer sont trop tardifs : la donnée aurait déjà circulé sans niveau de protection défini.
-
Des HDD magnétiques classés « Confidentiel » doivent être réaffectés en interne. Quelle méthode de l'échelle NIST SP 800-88 est la plus appropriée ?
- A Purge, par degaussing, car le support doit rester réutilisable
- B Destroy, par broyage physique du disque
- C Clear, suffisant car la donnée n'est que confidentielle
- D Un simple format rapide du disque
Réponse & justification
Réponse : A — Purge, par degaussing, car le support doit rester réutilisable
Le support doit rester réutilisable, ce qui exclut destroy. Pour un HDD magnétique confidentiel, le purge par degaussing rend la récupération infaisable tout en (cas général) permettant un réemploi avec reformatage. Clear est plus faible que ce que justifie le niveau confidentiel face à un réemploi. Un format rapide n'est pas une sanitization : la data remanence laisse la donnée récupérable.
-
Une organisation veut interdire l'usage des flash drives sur ses postes sensibles. Quelle approche est conforme à la recommandation du manuel ?
- A Appliquer la restriction par des contrôles techniques (blocage USB, allowlisting)
- B Diffuser une note de service interdisant les flash drives
- C Demander aux employés de signer une charte d'usage
- D Marquer les postes avec une étiquette « flash drives interdits »
Réponse & justification
Réponse : A — Appliquer la restriction par des contrôles techniques (blocage USB, allowlisting)
Le manuel indique que les restrictions de types de médias « can be enforced through technical controls ». Le blocage des ports USB ou l'allowlisting de périphériques appliquent réellement la règle. Une note, une charte ou une étiquette sont des contrôles administratifs utiles mais non contraignants : un utilisateur peut les ignorer, alors qu'un contrôle technique empêche physiquement l'usage.
Points essentiels à retenir
- La gestion des médias commence par un inventaire à jour ; la classification se fait au plus tôt, à la collecte ou génération.
- Le marquage informe du handling, de la protection et des limites de distribution, sans appliquer lui-même la protection.
- Les contrôles de protection sont cumulatifs : storage (zones verrouillées), access (need-to-know + logging), handling, environment (heat, humidity, liquids, dust, smoke, weather, flood, quake, fire), transport (accountability).
- La sanitization est commensurate à la classification et suit un processus review/approve/track/document/verify.
- La famille Media Protection du NIST SP 800-53 : policies, access, marking, storage, transport, sanitization, use, downgrading.
- NIST SP 800-88 (CBK) : échelle clear -> purge -> destroy ; data remanence : delete/format ne sanitize pas.
- Restreindre les types de médias et chiffrer la donnée at rest / in transit sont des contrôles techniques.
Gestion des incidents
Prérequis : Notions de kill chain et d'IoC (Domaine 4), bases de la forensique (Module 1 de ce domaine).
Dans tout environnement, des incidents surviendront : la question n'est pas de savoir si, mais comment l'organisation y répondra. Un event est un simple changement d'état d'un système ; il devient un incident dès qu'il existe une possibilité de harm. La façon dont l'organisation détecte, évalue, escalade, communique, contient et apprend de l'événement détermine l'ampleur de son impact sur les fonctions métier.
Ce module couvre le cadre normatif et opérationnel de l'incident management : les obligations de reporting (GDPR, HIPAA Breach Notification, PIPEDA, la règle des 36 heures du GLBA, le reporting des infrastructures critiques), les deux référentiels de cycle de vie - NIST SP 800-61 en quatre phases et ISO/IEC 27035 en cinq phases - puis le déroulé concret des activités de réponse : Preparation, Detection, Analysis, Response, Mitigation, Recovery, Reporting et Review.
Deux idées structurent l'ensemble. D'abord, la culture organisationnelle et le risk appetite pèsent autant que les procédures formelles. Ensuite, le SOC escalade mais ne décide pas seul : c'est le management qui prononce le retour à la normale. La forensique a déjà été traitée au Module 1 ; ici, on se concentre sur la root cause analysis, les communications et l'amélioration continue.
7.1 Event vs incident, standards et obligations de reporting
Un event est un changement d'état d'un système ; il devient un incident dès qu'il existe une possibilité de harm. Cette distinction n'est pas qu'académique : elle conditionne le déclenchement du processus de réponse et, surtout, des obligations légales de notification. Les organisations matures disposent de pratiques établies pour la détection, l'évaluation, l'escalade, la communication, la recovery et l'apprentissage.
Les processus de réponse à incident sont mandatés par de nombreux cadres réglementaires. Le GDPR de l'UE impose des délais stricts pour notifier une violation de données personnelles (PII). Aux États-Unis, la HIPAA Breach Notification Rule encadre la notification des compromissions de données de santé ; au Canada, le PIPEDA (Personal Information Protection and Electronic Documents Act) impose une obligation légale de notification des compromissions. Les opérateurs d'infrastructures critiques sont typiquement tenus par la loi nationale de signaler les cyberincidents aux autorités. Point d'examen majeur : sous le Gramm-Leach-Bliley Act (GLBA), les organismes de services financiers américains doivent désormais signaler à leurs régulateurs toute intrusion cyber de leur infrastructure dans un délai de 36 heures.
Les frameworks de sécurité traitent aussi l'incident response comme un contrôle essentiel. Parmi les standards qui l'imposent : PCI DSS, COBIT, les SOC Trust Services Criteria (SOC 2), la directive NIS 2016/1148 de l'UE et les régulations de la Banque centrale européenne. Piège d'examen : les délais, conséquences et procédures diffèrent selon les juridictions, mais l'obligation légale, elle, est claire pour chacune. Le professionnel ne maîtrise pas seul ces enjeux : il doit engager le legal counsel et les dirigeants.
- Event = changement d'état ; incident = possibilité de dommage
- GLBA : reporting d'une intrusion cyber sous 36 heures aux régulateurs
- GDPR, HIPAA Breach Notification, PIPEDA imposent la notification de compromission
- PCI DSS, COBIT, SOC 2, NIS 2016/1148 traitent l'incident response comme contrôle essentiel
7.2 Cycles de vie : NIST SP 800-61 et ISO/IEC 27035
Plusieurs référentiels guident la conduite de l'incident management, mais chaque organisation doit adapter son approche à ses obligations de conformité, sa mission, sa structure et sa culture. Les divergences portent surtout sur le nombre d'étapes ; le fond reste cohérent.
NIST SP 800-61 (Computer Security Incident Handling Guide) structure les activités en un cycle à quatre phases (Figure 7.8) : Preparation ; Detection and Analysis ; Containment, Eradication, and Recovery ; Post-Incident Activity. Notez que le cycle est itératif : les enseignements de la dernière phase réalimentent la Preparation, renforçant la posture pour les incidents futurs.
ISO/IEC 27035 (Information Security Incident Management) codifie le processus en cinq phases (Figure 7.9) : Planning and Preparation ; Detection and Reporting ; Assessment and Decision ; Response ; Lessons Learned. La correspondance avec NIST est directe : la phase Response d'ISO recouvre le triptyque Containment/Eradication/Recovery de NIST, et Lessons Learned correspond au Post-Incident Activity. Là où NIST fusionne Detection et Analysis, ISO sépare la Detection/Reporting de l'Assessment/Decision pour insister sur la décision de qualifier un event en incident.
Piège d'examen : si une question demande le standard ISO/IEC définissant la gestion d'incident en cinq phases, c'est ISO 27035. Si elle demande le cycle en quatre phases, c'est NIST SP 800-61. Ne confondez pas non plus ces standards de cycle de vie avec les standards purement forensiques (ISO 27037, 27041, 27042, 27043, 27050) traités au Module 1.
- NIST 800-61 : Preparation -> Detection & Analysis -> Containment/Eradication/Recovery -> Post-Incident
- ISO 27035 : Planning & Preparation -> Detection & Reporting -> Assessment & Decision -> Response -> Lessons Learned
- Response (ISO) = Containment/Eradication/Recovery (NIST) ; Lessons Learned = Post-Incident
- Le cycle est itératif : les leçons réalimentent la préparation
7.3 Culture, risk appetite et le rôle du SOC/CSIRT
Aucune réglementation ne peut effacer le poids de la culture organisationnelle. La personnalité des dirigeants et conseillers, formels ou informels, fixe un ton et une compréhension tacite qui déterminent à la fois comment l'organisation se prépare à la réponse à incident et avec quelle rigueur elle suivra ses propres préparatifs le moment venu. Cette culture établit le contexte des discussions sur la risk tolerance et le risk appetite ; elle peut peser plus que les processus de gouvernance formalisés.
Ce facteur a des effets concrets et parfois néfastes. La crainte de perdre la face, la réputation ou la confiance du marché peut pousser les équipes soit à étouffer une investigation pour reprendre vite l'exploitation, soit à la surchauffer en exigeant des conclusions rapides plutôt qu'exactes et défendables. Les lois, standards et régimes de conformité ne suppriment pas cet élément culturel ; au mieux, ils posent des guide rails pour garder l'organisation sur une trajectoire saine.
Beaucoup d'organisations disposent d'un Security Operations Center (SOC) ; d'autres confient cette fonction aux opérations réseau ou systèmes. Quel que soit son rattachement, son rôle premier est d'aider les dirigeants à prendre des décisions éclairées sur les actions d'urgence. Point d'examen capital : le SOC ne décide pas unilatéralement d'activer un site de secours ou d'arrêter l'exploitation. Il escalade l'événement et le besoin de décision urgente vers les managers responsables désignés - ou vers l'échelon supérieur en leur absence. Le SOC (ou CSIRT) agit en temps réel selon ses procédures, mais remonte toujours le fait d'avoir agi.
- La culture pèse autant, voire plus, que la gouvernance formelle
- La pression réputationnelle peut étouffer ou surchauffer une investigation
- La culture cadre le risk appetite et la risk tolerance
- Le SOC/CSIRT escalade et n'active jamais seul un site de secours ou un arrêt d'activité
7.4 Preparation, Detection et Analysis
Avant tout incident, l'organisation doit disposer d'une politique de réponse bien définie. Cette politique identifie les obligations de conformité, les responsabilités de reporting et les attentes de notification ; elle assigne, dote en ressources et communique les activités. Elle doit surtout préciser comment les incidents sont priorisés, car cela conditionne l'escalade, le partage d'information et l'autorité de décision. La préparation inclut la formation des intervenants, l'acquisition anticipée des logiciels spécialisés (pour que les responders aient l'expérience des outils), des fournitures et des zones de stockage. Chacun doit connaître ses responsabilités pour qu'un event soit correctement évalué et escaladé.
La Detection est l'étape la plus critique : repérer les premiers signes d'une kill chain en action. Il faut traquer alarmes, indicators of compromise (IoC) et même precursors. Les types d'events suspects à surveiller : buffer overflows en entrée (tentatives d'injection SQL), détection d'infection par l'antivirus, noms de fichiers à caractères inhabituels ou non imprimables, équipement sans définitions de malware à jour tentant de se connecter, redémarrage non planifié, host non géré rejoignant le réseau, modification d'un élément sous configuration baseline, échecs de login répétés depuis une IP inconnue, hausse d'e-mails rebondis ou en quarantaine, déviations inhabituelles du trafic réseau. Les IDS/IPS, pare-feux et systèmes de logging détectent ces events, mais doivent être réglés (signatures, seuils) pour minimiser les false positives.
L'Analysis est souvent le point faible : la détection capte les events à temps, mais la qualification en incident traîne faute d'analyse rapide. L'event correlation est ici décisif et repose sur de bonnes pratiques de log et configuration management : synchroniser le temps (time sync), normaliser les informations DNS, inventorier les adresses MAC acceptables. Ces données permettent d'associer un event à un autre. Une fois l'event qualifié d'incident, il faut le prioriser selon son impact et l'urgence, puis le documenter en reporting standardisé et le suivre jusqu'à résolution.
- La policy de préparation prioritise les incidents et conditionne l'escalade
- Detection = repérer tôt la kill chain via IoC, precursors et events suspects
- Régler IDS/IPS et logs (signatures, seuils) pour limiter les false positives
- Analysis = event correlation : time sync, normalisation DNS, inventaire MAC
7.5 Response, Mitigation, Recovery et root cause analysis
NIST 800-61 nomme ces activités Containment, Eradication and Recovery ; ISO 27035 les regroupe sous Response. Le cœur est le même : isoler les dégâts, éliminer la cause, restaurer les systèmes. Attention : vos actions pendant cette phase peuvent renforcer ou anéantir la capacité légale de l'organisation à répondre, car les recours juridiques dépendent de preuves préservées. Documentation, communication, décisions d'escalade et evidence preservation s'appliquent partout.
La Mitigation combine deux tâches logiquement distinctes mais souvent menées ensemble : containment et eradication. Le containment, c'est la quarantine : isoler les éléments suspects pour empêcher la propagation et examiner plus sûrement le causal agent. Tactiques typiques : déconnecter logiquement ou physiquement des systèmes/segments, couper des serveurs clés (DNS, DHCP, contrôle d'accès), couper les liens vers l'ISP, désactiver le Wi-Fi et les accès distants, fermer des connexions vers des services connus ou tous les services externes, couper extranets/VPN, suspendre l'accès fédéré des partenaires, désactiver des utilisateurs ou applications internes. Les mitigation sets de MITRE (enterprise et mobile) sont utiles avant, pendant ou après pour refermer une faille. L'eradication identifie et retire chaque instance du causal agent : pour un malware, nettoyer toute mémoire CPU, tout stockage local et cloud, ainsi que les backups, parfois jusqu'au reformatage bas niveau. Containment et eradication se chevauchent souvent.
La Recovery rétablit l'infrastructure, les applications, les données et les workflows à leur état normal d'avant incident, idéalement après la fin de l'eradication. La Remediation regroupe les changements de configuration urgents pour limiter la récurrence (ajuster seuils et alarmes, reset des mots de passe). Chaque étape de recovery doit être validée comme correctement réalisée. Enfin, éliminer la source est aussi essentiel qu'en traiter les effets : sans cela, l'équipe répare éternellement le même problème. D'où la root cause analysis appliquée en phase de response, avec des techniques formelles (Figure 7.13) : Pareto (80 % de la valeur via 20 % de l'effort), Five Whys (demander « pourquoi ? » jusqu'à la cause), Fishbone/Ishikawa (visualiser les causes), FMEA (Failure Mode Effects Analysis, identifier systématiquement les défaillances de composants), Fault Trees (logique booléenne pour identifier les défaillances).
- Response (ISO) = Containment + Eradication + Recovery (NIST)
- Containment = quarantine ; eradication = retirer toute trace du causal agent (y compris backups)
- Chaque étape de recovery doit être validée ; remediation limite la récurrence
- Root cause analysis en phase response : Pareto, Five Whys, Fishbone/Ishikawa, FMEA, Fault Trees
7.6 Reporting, Review et amélioration continue
L'une des dernières tâches de l'équipe de réponse est de signaler que les opérations de recovery sont terminées. Cette notification est un point de transition majeur. Point d'examen capital : l'équipe de réponse notifie au management que les systèmes sont prêts pour un usage normal, puis ce sont le management et les leaders qui décident de faire repasser l'organisation de l'état « incident response » à l'exploitation normale. Le SOC ne prend pas cette décision et n'en porte pas les responsabilités : c'est le management. Une fois la notification endossée et diffusée à ceux qui doivent agir, le SOC bascule vers les activités post-incident.
Le Review repose sur une documentation et une gestion des preuves rigoureuses. Si l'organisation envisage des sanctions civiles ou pénales, cette phase peut être différée ou conduite de façon à ne pas compromettre l'action légale ; sinon, le review doit être mené rapidement et de manière cohérente. Une réunion lessons-learned clarifie la séquence des événements et identifie les axes d'amélioration, mais l'organisation doit en fixer le ton. Si les participants pensent que le processus débouchera sur une punition, ils participeront moins. Une réunion lessons-learned n'est pas une inquisition : c'est un événement d'apprentissage, non punitif, et le management doit honorer cette attente.
Une fois les leçons documentées et reportées, le rapport alimente l'amélioration des processus - ce qui est particulièrement délicat, car les leçons soulignent souvent le besoin pour le management de se comporter différemment. L'introspection est difficile, et tous les niveaux de management doivent évaluer leur propre volonté de changer. Piège fréquent : produire force comptes rendus et changements de contrôles administratifs ne garantit pas que l'organisation apprenne vraiment. L'apprentissage doit se traduire par des changements de comportement vérifiables (verifiable changes in behavior). Communication, documentation et volonté de changer les processus défaillants sont critiques.
- Le management - pas le SOC - décide du retour à l'exploitation normale
- Le review peut être différé si des sanctions civiles/pénales sont envisagées
- La réunion lessons-learned est non punitive, sinon la participation chute
- L'apprentissage doit produire des changements de comportement vérifiables
Cas d'étude
Le SOC de SneakerNet face à une intrusion mondiale
Contexte : SneakerNet, premier fabricant mondial de chaussures de sport, présente un profil de risque élevé du fait de ses opérations connectées à l'échelle mondiale. À 02 h 00, le SOC observe simultanément : des buffer overflows répétés sur le serveur web e-commerce (tentatives d'injection SQL), une hausse d'e-mails en quarantaine vers des cadres, et un host non géré rejoignant le segment R&D. Keiko, responsable de la sécurité, doit prioriser les actions de détection, de réponse et de mitigation pour une réponse rapide et coordonnée.
Question : Comment Keiko devrait-elle prioriser et structurer la réponse, et quelle est la limite de l'autorité du SOC ?
Voir l'analyse et la correction
La priorisation se fait selon l'impact et l'urgence. L'injection SQL sur l'e-commerce menace des données clients (PII) et déclenche potentiellement le reporting GDPR/PCI DSS : priorité haute, containment immédiat (isoler le serveur web, couper les connexions suspectes). Le host non géré sur le segment R&D est un IoC de propagation : containment par quarantine (déconnexion logique du segment). Les e-mails en quarantaine sont déjà bloqués : surveillance et analyse, priorité moindre.
L'event correlation est décisive : synchroniser les horloges, normaliser les logs DNS et croiser les adresses MAC permettent de déterminer si ces trois events relèvent d'une même kill chain coordonnée ou d'incidents distincts. Sans cette corrélation, Keiko risque de traiter en silo une attaque unique.
Limite essentielle : le SOC contient et escalade, mais ne décide pas seul d'arrêter l'e-commerce mondial ni d'activer un site de secours. Keiko escalade le besoin de décision urgente aux managers désignés. Pour la mitigation, les MITRE mitigation sets fournissent des contre-mesures alignées sur les patterns d'attaque observés. La preservation des preuves doit accompagner chaque action, car des poursuites sont plausibles vu la valeur de la PII.
À retenir : Prioriser par impact/urgence, corréler les events avant de conclure, contenir par quarantine - et escalader la décision au management, jamais la prendre seul.
- La priorisation conditionne l'efficacité d'une réponse coordonnée
- Sans corrélation, trois events peuvent masquer une seule kill chain
- Le SOC agit en temps réel mais escalade les décisions stratégiques
- La preservation des preuves protège la capacité légale de l'organisation
Le SOC escalade, il ne décide pas
Piège récurrent : croire que le SOC active un site de secours, arrête l'exploitation ou prononce le retour à la normale. Faux. Le SOC contient en temps réel selon ses procédures, mais escalade le besoin de décision urgente aux managers responsables désignés. C'est le management qui décide d'arrêter l'activité et qui décide de repasser de « incident response » à exploitation normale. Si une question d'examen attribue ces décisions au SOC, c'est l'option à écarter.
NIST 4 phases vs ISO 27035 5 phases
Ne confondez pas les deux cycles. NIST SP 800-61 = 4 phases : Preparation ; Detection and Analysis ; Containment, Eradication and Recovery ; Post-Incident Activity. ISO/IEC 27035 = 5 phases : Planning and Preparation ; Detection and Reporting ; Assessment and Decision ; Response ; Lessons Learned. La phase Response d'ISO regroupe le Containment/Eradication/Recovery de NIST. Si la question demande « le standard ISO en cinq phases », répondez ISO 27035 ; « le cycle en quatre phases », NIST SP 800-61.
Containment n'est pas eradication
Containment = quarantine : isoler les éléments suspects pour stopper la propagation (déconnexion réseau, coupure de serveurs DNS/DHCP). Eradication = retirer chaque instance du causal agent, jusque dans la mémoire, le cloud et les backups (parfois reformatage bas niveau). Les deux se chevauchent souvent en pratique, mais restent logiquement distincts. Et surtout : éliminer la source (root cause) est aussi vital que traiter les effets, sinon l'équipe répare éternellement le même incident.
Point de contrôle — Point de contrôle
-
Sous le Gramm-Leach-Bliley Act (GLBA), de combien de temps une organisation de services financiers dispose-t-elle pour signaler à ses régulateurs une compromission cyber de PII client ?
- A 36 heures
- B 72 heures
- C 24 heures
- D 30 jours
Réponse & justification
Réponse : A — 36 heures
Le GLBA impose désormais aux organismes financiers américains de signaler toute intrusion cyber de leur infrastructure dans un délai de 36 heures. 72 heures correspond plutôt au délai de notification du GDPR (à l'autorité de contrôle) ; 24 heures et 30 jours ne sont pas la règle GLBA.
-
Quel standard ISO/IEC définit la gestion des incidents de sécurité en cinq phases ?
- A ISO/IEC 27035
- B ISO/IEC 27037
- C ISO/IEC 27001
- D NIST SP 800-61
Réponse & justification
Réponse : A — ISO/IEC 27035
ISO/IEC 27035 codifie la gestion d'incident en cinq phases : Planning and Preparation, Detection and Reporting, Assessment and Decision, Response, Lessons Learned. ISO 27037 concerne la preuve numérique (forensique). ISO 27001 est le SMSI. NIST SP 800-61 est un standard américain à quatre phases, pas un standard ISO/IEC.
-
Quels sont les quatre étapes principales d'une investigation cyber-forensique selon NIST ?
- A Collection, Examination, Analysis, Reporting
- B Preparation, Detection, Response, Recovery
- C Identification, Containment, Eradication, Recovery
- D Planning, Assessment, Decision, Lessons Learned
Réponse & justification
Réponse : A — Collection, Examination, Analysis, Reporting
Le cycle forensique NIST (SP 800-86) comporte quatre étapes : Collection, Examination, Analysis, Reporting. Les autres options mélangent des phases du cycle de réponse à incident (NIST 800-61) ou d'ISO 27035, qui ne sont pas le cycle forensique proprement dit.
-
Parmi ces standards, lesquels identifient l'incident response comme un contrôle essentiel de sécurité ?
- A PCI DSS, COBIT, SOC 2 (Trust Services Criteria), directive NIS 2016/1148
- B ISO 9001, ITIL, TOGAF, Zachman
- C FIPS 140-2, Common Criteria, FedRAMP uniquement
- D Aucun ; l'incident response n'est jamais un contrôle obligatoire
Réponse & justification
Réponse : A — PCI DSS, COBIT, SOC 2 (Trust Services Criteria), directive NIS 2016/1148
PCI DSS, COBIT, les SOC Trust Services Criteria (SOC 2) et la directive NIS 2016/1148 de l'UE imposent tous l'incident response comme contrôle essentiel. ISO 9001/ITIL/TOGAF/Zachman ne ciblent pas spécifiquement ce contrôle. La dernière option est fausse : l'incident response est bien mandatée par de nombreux cadres.
-
Après une intrusion, quelle technique de root cause analysis consiste à demander de façon répétée « pourquoi cela s'est-il produit ? » jusqu'à atteindre la cause profonde ?
- A Five Whys
- B Pareto Analysis
- C Fishbone (Ishikawa)
- D Fault Trees
Réponse & justification
Réponse : A — Five Whys
Les Five Whys consistent à demander « pourquoi ? » de manière répétée pour remonter à la cause racine. Pareto identifie 80 % de la valeur dans 20 % de l'effort. Fishbone/Ishikawa est un outil de visualisation des causes. Fault Trees applique la logique booléenne pour identifier les défaillances. FMEA, non listé ici, identifie systématiquement les défaillances de composants.
Points essentiels à retenir
- Un event devient un incident dès qu'il existe une possibilité de harm ; la réponse en détermine l'ampleur.
- Obligations de reporting : GDPR (PII), HIPAA Breach Notification, PIPEDA, GLBA (36 h), infrastructures critiques. PCI DSS, COBIT, SOC 2, NIS 2016/1148 imposent l'IR comme contrôle.
- NIST SP 800-61 = 4 phases ; ISO/IEC 27035 = 5 phases ; la Response d'ISO recouvre Containment/Eradication/Recovery.
- La culture et le risk appetite pèsent autant que les procédures ; le SOC/CSIRT escalade mais ne décide pas seul.
- Detection = repérer la kill chain via IoC/precursors ; Analysis = event correlation (time sync, DNS, MAC).
- Containment = quarantine ; eradication = retirer toute trace du causal agent ; root cause analysis (Pareto, Five Whys, Fishbone, FMEA, Fault Trees) en phase response.
- Le management - pas le SOC - décide du retour à la normale ; le lessons-learned est non punitif et doit produire des changements de comportement vérifiables.
Mesures détectives/préventives et gestion des correctifs
Prérequis : Notions de defense in depth, de SOC/SIEM et de gestion des changements (modules précédents du Domaine 7).
Exploiter et maintenir des mesures détectives et préventives (objectif 7.7) suppose un jugement professionnel : aucune liste d'outils n'est exhaustive, et chaque contrôle se choisit en fonction de la risk posture de l'organisation, de ses obligations et des limites des produits. Ce module passe en revue l'arsenal opérationnel - firewalls et NGFW intégrant IDS/IPS, allowed/blocked listing, services de sécurité tiers, sandboxing, honeypots, anti-malware et outils ML/AI - puis enchaîne sur la gestion des correctifs (objectif 7.8).
Le patch management n'est pas qu'une affaire technique : il s'articule avec le vulnerability management et le change management, et il porte ses propres pièges (interopérabilité, correctifs mal conçus, downtime, immutable infrastructure). L'examen teste votre capacité à ordonner le processus de patch et à distinguer détection (vulnerability management) et remédiation (patch management).
À la fin du module, vous saurez justifier le choix d'un contrôle opérationnel, comparer les approches anti-malware, conduire un processus de patch de bout en bout et prioriser les correctifs sur une infrastructure hétérogène.
8.1 Firewalls, NGFW, IDS/IPS et les décisions temps réel du SOC
La valeur opérationnelle des firewalls ne se surestime pas : un environnement de menaces en évolution rapide oblige l'organisation à évaluer en permanence leur performance et à modifier les règles selon les nouveaux vecteurs d'attaque. Le SOC doit être prêt à prendre des décisions en temps réel face à un changement de menace ou d'architecture. Ces besoins immédiats peuvent justifier un processus d'approbation distinct du circuit habituel, mais une documentation, des tests et un déploiement corrects doivent rester cohérents avec les exigences de change management de l'organisation.
Les firewalls de quatrième génération et next-generation (NGFW) absorbent désormais beaucoup de fonctions des anciennes générations d'IDS et d'IPS, en solutions host-based ou network-based. Le candidat doit reconnaître les fonctions de base d'un IDS (détecter et alerter) et d'un IPS (détecter et bloquer activement), sans se focaliser sur le shopping de produits spécifiques. L'examen attend la compréhension du principe, pas un comparatif commercial.
Une subtilité importante : comme un NGFW se reconfigure tout seul à partir de ses algorithmes de machine learning et d'IA, appliquer une approche de change management traditionnelle bride l'efficacité du dispositif. Il faut plutôt intégrer le NGFW à l'infrastructure de logging de l'organisation pour tracer ses performances : la surveillance de ses changements automatiques fait partie de la stratégie de monitoring, et non d'une procédure de changement classique qui figerait l'adaptation.
Piège d'examen : ne confondez pas IDS (détecte et alerte) et IPS (détecte et agit en bloquant). Et retenez que pour les dispositifs auto-adaptatifs, le bon réflexe est le logging/monitoring, pas le gel par un change control rigide.
- Le SOC ajuste les règles firewall en temps réel selon les nouveaux vecteurs
- Les NGFW intègrent désormais les fonctions IDS/IPS (host ou network)
- IDS détecte et alerte ; IPS détecte et bloque activement
- Un dispositif auto-adaptatif (ML/AI) se trace par logging, pas par change control rigide
8.2 Allowed listing vs blocked listing
Le filtrage des activités à partir de listes d'éléments autorisés ou bloqués est l'un des contrôles les plus efficaces pour minimiser les compromissions par malware. Pendant des décennies, on a parlé de whitelisting et de blacklisting ; les termes allowed et blocked sont aujourd'hui préférés, même si d'anciens et certains nouveaux travaux conservent l'ancienne terminologie.
L'allowed listing n'autorise l'exécution que des éléments préalablement approuvés et bloque tous les autres. Ce contrôle figure dans les frameworks ISO et NIST ; NIST fournit le SP 800-167 (Guide to Application Whitelisting) pour accompagner sa mise en œuvre. Les listes logicielles autorisées détectent et empêchent toute tentative de charger et d'exécuter un fichier programme, et alertent le personnel de sécurité si le code n'est pas préapprouvé. Le concept d'interdire l'exécution de logiciels non autorisés s'étend aussi aux actions utilisateur, aux ports et protocoles, aux adresses IP/plages, aux sites web et aux adresses MAC. L'organisation peut vérifier l'intégrité des programmes autorisés via des signatures numériques, des checksums cryptographiques ou des fonctions de hachage, avant exécution ou au démarrage du système.
La technique est efficace lorsque le nombre d'applications permises est faible : par nature, elle bloque les menaces inconnues, ce qui est un atout majeur. Mais à mesure que la diversité des systèmes et des missions augmente, l'allowed listing peut devenir trop restrictive pour les besoins métier. À l'inverse, le blocked listing interdit explicitement les applications listées ; tout ce qui n'est pas listé est admis, sous réserve des autres contrôles. Cette approche est particulièrement efficace contre des menaces spécifiques et connues, et sert souvent à écarter des nuisance applications qui consomment des ressources.
Piège d'examen : allowed listing = deny by default, idéal en environnement homogène et bloque l'inconnu ; blocked listing = allow by default, efficace contre des menaces connues mais inopérant contre l'inconnu. Les produits d'allowed listing et d'anti-malware convergent et intègrent désormais des fonctions l'un de l'autre.
- Allowed listing = deny by default ; bloque par nature les menaces inconnues
- Blocked listing = allow by default ; efficace contre les menaces connues
- NIST SP 800-167 guide l'application whitelisting (aussi dans ISO)
- Intégrité des programmes vérifiée par signatures, checksums ou hash
- Allowed listing devient trop restrictif quand la diversité du parc augmente
8.3 Services de sécurité tiers et due diligence contractuelle
Une organisation pour laquelle la sécurité n'est pas un core competency peut recourir à des services externes. L'exemple du manuel : un distributeur agricole n'a ni l'expertise ni les outils pour bâtir un programme de sécurité complet ; cela peut faire sens économiquement, sa compétence étant de vendre des produits agricoles, pas de sécuriser des données. Les services couramment offerts incluent : threat intelligence (veille open-source ou investigations propres sur les menaces visant une région, un secteur, un produit ou un client précis) ; network monitoring (surveillance à distance ou sur site, car détecter des attaques réseau exige analyse et expertise) ; physical security (services de gardiennage évitant l'embauche et les coûts de personnel) ; network management (souvent chargé de fonctions de sécurité - enforcement de la politique d'usage, monitoring, patch management, inventaire d'actifs, hébergement cloud) ; et audit (vérification/validation, scans de vulnérabilités, certification de conformité, maintenance de configuration).
Quel que soit le service, la due diligence est obligatoire pour confirmer la capacité réelle du prestataire à tenir les termes du contrat - d'autant plus que la sécurité exige une confiance forte. Les activités de due diligence comprennent : revue de la gouvernance (politique et procédures de sécurité du prestataire) ; SLAs (accord explicite sur ce qui constitue une exécution complète et exacte) ; NDAs (le prestataire protège les données du client et s'engage à ne pas en tirer parti à son profit) ; insurance/bonding (assurance responsabilité et, parfois, performance ou surety bond garantissant l'achèvement du travail et l'indemnisation en cas de négligence) ; audit/testing (autoriser le client à mener audits sur site, monitoring de performance ou pénétration tests) ; strong contract language (termes opposables et légitimes dans toutes les juridictions, revus par les conseils juridiques des deux parties) ; et regulatory approval (informer et obtenir l'accord des régulateurs si le service affecte la conformité).
Le secteur public diffère nettement du privé : les règles de procurement sont complexes et servent d'autres objectifs que le meilleur service au coût le plus bas (préférences pour certains groupes, contraintes politiques comme les embargos, développement de l'industrie locale, et forte accountability sur l'argent public). Repères : aux États-Unis, les Federal Acquisition Regulations (FAR) - des milliers de pages, non directement applicables aux États et sous-juridictions ; au Canada, les Government Contracting Regulations augmentées du manuel SACC (Standard Acquisition Clauses and Conditions) ; dans l'UE, les Public Procurement Policies fixant des minima augmentés par les exigences nationales.
Piège d'examen : la due diligence porte sur la capacité réelle du prestataire (governance, SLA, NDA, assurance, audit, langage contractuel, régulateurs), pas seulement sur le prix. Et n'oubliez pas que le contracting public obéit à des règles propres (FAR, SACC, EU procurement), distinctes du privé.
- Services tiers : threat intel, network monitoring, physical security, network management, audit
- Due diligence : governance, SLA, NDA, insurance/bonding, audit/testing, contrat, régulateurs
- La sécurité exige une confiance forte, donc une due diligence renforcée
- Contracting public distinct : FAR (US), SACC (Canada), EU procurement
8.4 Sandboxing, honeypots et honeynets
Lorsque le SOC reconnaît une menace, des décisions s'imposent en temps réel ou quasi réel. L'organisation doit disposer de politiques pour évaluer la menace et décider de recourir à un environnement de test isolé - une sandbox - afin de séparer la menace du reste du réseau. Les sandboxes sont souvent implémentées en environnement virtuel : faciles à provisionner, et si l'environnement est compromis, le dommage reste minime. Limite à connaître : de nombreux attaquants savent détecter qu'ils sont dans une sandbox et adaptent leur comportement pour échapper à l'analyse. Le sandboxing sert aussi à isoler une activité potentiellement malveillante avant de présenter l'information à l'utilisateur : plusieurs moteurs de messagerie, notamment Office365 de Microsoft, savent sandboxer les messages et faire détoner (detonating) les URLs ; si une activité inappropriée est détectée, le lien est désactivé avant l'affichage du message.
Un honeypot est une machine présente sur le réseau mais ne contenant ni donnée sensible ni donnée de valeur ; plusieurs honeypots reliés en réseau ou sous-réseau forment un honeynet. Les honeypots servent à distraire et occuper les intrus pour retarder leur accès aux données de production, et offrent l'occasion d'observer l'attaque en direct (sans risque appréciable) afin de mieux cerner sa nature, d'identifier éventuellement l'attaquant, d'évaluer ses outils et compétences, et de recueillir des preuves utiles pour une action légale. Ils sont typiquement placés dans la DMZ et doivent imiter l'architecture d'un environnement réel, avec des actifs simulés mimant le contenu de la production, pour convaincre l'attaquant qu'il s'agit d'une cible authentique. Certains prestataires offrent des réseaux simulés entiers (des centaines de devices, faux comptes, fausses données de carte).
Point de gouvernance crucial : honeypots et honeynets ne sont généralement pas faits pour appâter ou attirer les acteurs malveillants. Si chercheurs en sécurité et fournisseurs anti-spam les structurent parfois exactement pour cela, il est contre-productif pour la plupart des organisations de solliciter activement des attaques contre leur infrastructure. Enfin, dans presque toutes les juridictions, le hackback (hacker en retour l'attaquant qui vous a hacké) est illégal, souvent lourdement puni : aux États-Unis et au Royaume-Uni, c'est un piratage comme un autre, passible de poursuites pénales (felony), même si certaines juridictions, dont les États-Unis, envisagent de l'autoriser dans des circonstances limitées.
Piège d'examen : sandbox = isolement d'analyse (mais détectable par l'attaquant) ; honeypot = leurre placé en DMZ pour observer et collecter des preuves, pas pour appâter ; hackback = illégal. Ne confondez pas l'objectif défensif d'observation du honeypot avec une démarche offensive.
- Sandbox = isolement d'analyse, mais détectable par certains attaquants
- Office365 sandboxe les emails et fait détoner les URLs avant affichage
- Honeypot/honeynet = leurres en DMZ pour observer et collecter des preuves
- Ils ne doivent pas servir à appâter ; le hackback est illégal (felony)
8.5 Anti-malware : approches, zero-day et reputation monitoring
Une stratégie DiD réaliste intègre des solutions anti-malware (matérielles, logicielles ou mixtes), sur les devices réseau, les systèmes individuels et les endpoints mobiles. La plupart des frameworks identifient l'anti-malware d'endpoint comme un composant nécessaire de la defense in depth, géré via des plateformes dédiées intégrées au logging, au SOC et au SIEM ; l'intégration étroite à un SIEM ou SOAR est vitale. Comme le malware se propage largement par social engineering, la sensibilisation, l'éducation et la formation de tous les membres sont la première ligne de défense : email, pièces jointes et supports amovibles sont des vecteurs majeurs. Beaucoup de professionnels abandonnent la formation annuelle (longues vidéos cliquables) au profit du microtraining - de courtes séquences d'une minute réparties dans l'année - combiné au phishing awareness testing pour mesurer l'efficacité. Pour les PME, le manuel renvoie à des mesures de cyber hygiene de bon sens, dont l'Implementation Group 1 (IG1) du CIS pour le segment SOHO.
Tout l'antivirus est essentiellement réactif : il n'existe que parce que les malwares l'ont précédé. Il faut distinguer le scanning par signature connue des mesures génériques. Le manuel décrit trois approches, rapprochées (sans être identiques) des types d'IDS : known signature scanning (comme un IDS signature-based) - cherche des chaînes caractéristiques de virus connus, sait souvent nettoyer l'objet (mais le remplacement est plus sûr) ; activity monitoring (comme un IDS rule-based ou anomaly-based) - surveille et signale les activités suspectes, par exemple un appel de formatage de disque ou une altération de fichiers programme par un autre programme que l'OS ; et change detection (comme un IDS statistical-based) - compare régulièrement fichiers et configurations via un checksum ou CRC, parfois un hash/digest. La change detection est aussi appelée integrity-checking, mais le terme peut induire en erreur : si l'intégrité était déjà compromise avant l'établissement de la baseline, la technique est inopérante ; elle a aussi la plus forte probabilité de fausses alarmes car elle ignore si un changement est malveillant ou autorisé. À part, les heuristic scanners analysent du code inconnu en cherchant des sections suspectes (proches de l'activity monitoring), au prix de nombreux faux positifs.
Un zero-day (ou zero-hour) tire son nom de l'effet de surprise : un attaquant découvre une vulnérabilité non rapportée, développe un exploit et l'utilise avant toute défense ; le compte à rebours oppose black hats (attaquants), white hats (défenseurs) et gray hats (white hats utilisant des techniques offensives dans un cadre légal et éthique, comme l'ethical penetration testing). Pendant la zero-hour, aucun moteur antivirus ne protège un visiteur d'un site hébergeant du nouveau contenu malveillant. La parade : le web reputation monitoring, qui évalue les sites et leur attribue un score de réputation, typiquement de 0 à 100. Les cinq bandes citées en exemple : High Risk (1-20), Suspicious (21-40), Moderate Risk (41-60), Low Risk (61-80), Trustworthy (81-100) - de quoi bloquer, prudemment autoriser ou autoriser l'accès.
Enfin, les outils ML/AI repèrent des patterns malveillants non préétablis par les rule sets, KPIs et KRIs, et alertent sur davantage de menaces ; ils doivent être tunés pour les besoins de l'organisation, sous peine de décisions inadaptées et de coûts excessifs. Revers : ML/AI sont aussi accessibles aux attaquants (projets open-source), d'où un arms race permanent. Piège d'examen : signature -> connu ; activity monitoring/heuristique -> comportement et inconnu ; change detection -> intégrité par CRC/hash mais fausses alarmes et baseline potentiellement déjà corrompue.
- Trois approches : signature (connu), activity monitoring (comportement), change detection (intégrité CRC/hash)
- Heuristic scanners visent le code inconnu mais génèrent des faux positifs
- Zero-day/zero-hour : effet de surprise ; white/black/gray hats
- Web reputation : score 0-100, bandes High Risk -> Trustworthy
- ML/AI à tuner ; arms race car les attaquants y ont aussi accès
8.6 Patch management : défis et processus
Les faiblesses identifiées par risk assessment, threat modeling ou scanning se traitent par des changements de configuration, des correctifs logiciels ou des modifications de l'environnement (règles de firewall, réglages DLP). Distinction d'examen : le vulnerability management met l'accent sur la détection et l'évaluation des faiblesses, puis confie souvent la remédiation à un autre processus selon l'effort requis ; le patch management est la part qui applique et vérifie les correctifs. Toute modification du logiciel de production suit les procédures de change management de l'organisation.
Patcher est nécessaire mais comporte ses propres défis : interoperability (un correctif peut entrer en conflit avec un système interdépendant et provoquer une panne ; les vendors ne peuvent anticiper tous les environnements) ; poorly-crafted patches (un correctif mal conçu peut dégrader les performances, créer des problèmes d'interopérabilité, voire introduire de nouvelles vulnérabilités - risque accru pour le reactive patching) ; required downtime (le reboot fréquent interrompt les opérations et génère des coûts) ; virtualization-specific concerns (en cloud, la pratique a migré vers l'immutable infrastructure : on applique le correctif à une instance entièrement neuve et on bascule la charge, en CI/CD avec des outils comme Puppet, Chef ou Ansible déployant des baselines de sécurité) ; et timing (les organisations multi-fuseaux risquent une application non uniforme des correctifs).
Le secteur a répondu par un processus standard de patch ; chaque organisation crée sa propre politique en tenant compte de ces étapes (Figure 7.14) : recevoir la notification (vendor, tiers anti-malware/threat intel, ou actualités - veille au moins quotidienne) ; déterminer l'applicabilité/évaluation (tous n'utilisent pas le produit pareil ; le change management exige une analyse d'applicabilité et d'urgence) ; déterminer les impacts potentiels sur les autres systèmes et les risques additionnels ; tester sur un test bed isolé air-gapped reproduisant les interdépendances de la production (sans réplication 1:1), en testant aussi les procédures de rollback ; effectuer un full backup avant application (pour pouvoir revenir en arrière sans perte) ; appliquer selon les instructions du vendor, les best practices et le processus formel ; confirmer l'installation sur toutes les cibles avec des outils automatisés, vérifier que le correctif performe et mettre à jour les métriques de monitoring ; solliciter le user feedback (le help desk est partie prenante) ; rollback vers l'état antérieur si le correctif échoue ou a des effets inacceptables, selon des critères définis dans la Request for Change (RFC) et déclenchés automatiquement ; et tout documenter, en intégrant les enregistrements de patch à l'asset inventory.
Piège d'examen : ne confondez pas vulnerability management (détecter/évaluer) et patch management (appliquer/vérifier). Et retenez l'ordre logique - notifier, évaluer l'applicabilité, mesurer l'impact, tester en air-gapped, sauvegarder, appliquer, confirmer, recueillir le feedback, rollback si besoin, documenter - le test sur un bed isolé et le full backup précèdent toujours l'application en production.
- Vulnerability management détecte/évalue ; patch management applique/vérifie
- Défis : interopérabilité, correctifs mal conçus, downtime, immutable infra, timing
- Toujours tester en air-gapped et faire un full backup AVANT d'appliquer en production
- Cloud : immutable infrastructure et CI/CD (Puppet, Chef, Ansible)
- Rollback selon des critères de la RFC ; tout documenter dans l'asset inventory
Cas d'étude
Prioriser le patching sur une infrastructure hétérogène (SneakerNet)
Contexte : Keiko constate que SneakerNet n'a aucun processus défini d'évaluation et de test des correctifs, et que les employés ne sont pas notifiés de façon cohérente sur les patches nécessaires. L'infrastructure est diverse : serveurs on-prem, charges cloud, postes de travail, équipements réseau, et des sites répartis sur plusieurs fuseaux horaires.
Question : Comment Keiko peut-elle prioriser et coordonner l'application des correctifs de sécurité dans les temps, et quelle stratégie de patch et vulnerability management proposer ?
Voir l'analyse et la correction
D'abord, distinguer les deux disciplines : un vulnerability management qui détecte et évalue les faiblesses (scans réguliers, threat modeling), alimentant un patch management qui remédie. La priorisation se fonde sur l'applicabilité réelle (tous les actifs n'utilisent pas le produit pareil) et l'urgence (criticité de la vulnérabilité, exposition, valeur de l'actif) - c'est l'analyse exigée par le change management.
Ensuite, formaliser le processus de la Figure 7.14 : veille quotidienne des notifications (vendors, threat intel), évaluation d'applicabilité et d'impact, test sur un test bed air-gapped reproduisant les interdépendances, full backup, application selon les instructions, confirmation automatisée sur toutes les cibles, user feedback via le help desk (partie prenante), rollback selon des critères inscrits dans la RFC, et documentation dans l'asset inventory.
Pour coordonner sur un parc divers et multi-fuseaux : segmenter par type d'actif et fenêtre de maintenance pour éviter une application non uniforme (risque de timing) ; pour les charges cloud, adopter l'immutable infrastructure en CI/CD (Puppet, Chef, Ansible) afin de patcher une instance neuve et basculer la charge, réduisant le downtime ; centraliser les notifications et les métriques dans le SIEM. La gouvernance lie le tout au change management formel, avec des SLAs internes de remédiation par niveau de criticité.
À retenir : Priorité = applicabilité × urgence ; le patch management formalisé (Figure 7.14) s'appuie sur le vulnerability management pour la détection et sur le change management pour l'approbation, avec immutable infrastructure/CI/CD pour le cloud.
- La détection (vulnerability) précède et alimente la remédiation (patch)
- Le change management impose l'analyse d'applicabilité et d'urgence
- Le help desk est une partie prenante du processus de patch
- Le cloud privilégie l'immutable infrastructure pour limiter le downtime
Allowed vs blocked listing : sens du défaut
Allowed listing = deny by default : seul ce qui est préapprouvé s'exécute, donc l'inconnu (y compris les menaces nouvelles) est bloqué par nature - mais devient trop restrictif quand la diversité du parc augmente. Blocked listing = allow by default : tout est admis sauf ce qui est listé, donc efficace contre des menaces connues mais aveugle à l'inconnu. À l'examen, reliez allowed listing à la défense contre l'inconnu et au NIST SP 800-167, et blocked listing aux nuisance applications et menaces connues.
Honeypot d'observation, pas d'appât - et hackback illégal
Le but d'un honeypot (ou honeynet) est de distraire, observer et collecter des preuves, pas d'appâter activement des attaquants : solliciter des attaques est contre-productif pour la plupart des organisations. Placez-le en DMZ avec des actifs simulés crédibles. Surtout, ne franchissez jamais la ligne offensive : le hackback est illégal dans presque toutes les juridictions (felony aux États-Unis et au Royaume-Uni), même si certaines envisagent de l'autoriser sous conditions.
Vulnerability management vs patch management
Vulnerability management = détecter et évaluer les faiblesses, puis confier la remédiation. Patch management = appliquer et vérifier les correctifs. Si la question parle de scanning, d'évaluation ou de priorisation des faiblesses, pensez vulnerability management ; si elle parle d'appliquer, tester, confirmer ou faire un rollback, pensez patch management. Et rappelez-vous que le test sur test bed air-gapped et le full backup précèdent toujours l'application en production.
Change detection / integrity-checking : un nom trompeur
La change detection (souvent appelée integrity-checking) compare fichiers et configurations via un checksum, un CRC ou un hash. Mais le terme integrity-checking induit en erreur : si l'intégrité était déjà compromise avant l'établissement de la baseline, la technique est inopérante. Elle a aussi la plus forte probabilité de fausses alarmes, car elle ne sait pas si un changement est malveillant ou autorisé. À rapprocher d'un IDS statistical-based.
Point de contrôle — Point de contrôle
-
Une organisation au parc applicatif réduit et homogène veut un contrôle qui bloque par nature toute menace inconnue. Quelle approche est la plus adaptée ?
- A Allowed listing (deny by default)
- B Blocked listing (allow by default)
- C Heuristic scanning seul
- D Web reputation monitoring seul
Réponse & justification
Réponse : A — Allowed listing (deny by default)
L'allowed listing n'autorise que le préapprouvé et bloque tout le reste, donc l'inconnu par nature ; il excelle quand les applications permises sont peu nombreuses (parc homogène) - voir NIST SP 800-167. Le blocked listing laisse passer l'inconnu (allow by default). Heuristic scanning et web reputation complètent mais ne garantissent pas le blocage de l'inconnu.
-
Parmi ces propositions, laquelle est un exemple valable de tool ou technique de l'objectif 7.7 pour répondre aux menaces ?
- A Honeypots et honeynets
- B Le hackback proactif contre l'attaquant
- C La suppression de tout logging du NGFW
- D La désactivation du change management
Réponse & justification
Réponse : A — Honeypots et honeynets
Le Check Your Understanding 7.7 cite allowed/blocked listing, firewalls/IDS/IPS, sandboxing, honeypots/honeynets et anti-malware. Le hackback est illégal presque partout. Supprimer le logging du NGFW va à l'encontre de la stratégie de monitoring. Désactiver le change management n'est pas un contrôle de sécurité.
-
Quelle approche anti-malware compare régulièrement fichiers et configurations via un CRC ou un hash et présente la plus forte probabilité de fausses alarmes ?
- A Change detection (integrity-checking)
- B Known signature scanning
- C Activity monitoring
- D Web reputation monitoring
Réponse & justification
Réponse : A — Change detection (integrity-checking)
La change detection (rapprochée d'un IDS statistical-based) compare via checksum/CRC/hash et ne sait pas si un changement est malveillant ou autorisé, d'où le plus de fausses alarmes ; si l'intégrité était déjà compromise avant la baseline, elle est inopérante. Le signature scanning vise le connu, l'activity monitoring le comportement, le web reputation note les sites.
-
Dans le processus de patch management, quelle étape doit impérativement précéder l'application d'un correctif en production ?
- A Tester sur un test bed air-gapped puis réaliser un full backup
- B Solliciter le user feedback via le help desk
- C Documenter le correctif dans l'asset inventory
- D Déclencher automatiquement le rollback
Réponse & justification
Réponse : A — Tester sur un test bed air-gapped puis réaliser un full backup
Le manuel (Figure 7.14) place le test sur un test bed isolé air-gapped, puis le full backup, avant l'application en production. Le user feedback et la documentation viennent après l'application ; le rollback ne se déclenche qu'en cas d'échec, selon les critères de la RFC.
-
Quelle affirmation distingue correctement vulnerability management et patch management ?
- A Le vulnerability management détecte et évalue les faiblesses ; le patch management applique et vérifie les correctifs
- B Le patch management détecte les faiblesses ; le vulnerability management les corrige
- C Les deux désignent exactement le même processus
- D Le vulnerability management ne concerne que le cloud
Réponse & justification
Réponse : A — Le vulnerability management détecte et évalue les faiblesses ; le patch management applique et vérifie les correctifs
Le vulnerability management met l'accent sur la détection et l'évaluation, puis confie souvent la remédiation ; le patch management est la part qui applique et vérifie. L'option 2 inverse les rôles ; les deux ne sont pas identiques ; le vulnerability management n'est pas limité au cloud.
Points essentiels à retenir
- Le SOC ajuste les firewalls en temps réel ; les NGFW absorbent IDS/IPS et se tracent par logging, pas par un change control rigide.
- Allowed listing = deny by default (bloque l'inconnu, NIST SP 800-167) ; blocked listing = allow by default (menaces connues).
- Contracter un service tiers exige une due diligence : governance, SLA, NDA, insurance/bonding, audit, langage contractuel, régulateurs ; le contracting public (FAR, SACC, EU) est distinct.
- Sandbox = isolement d'analyse ; honeypot/honeynet = leurres en DMZ pour observer, pas appâter ; le hackback est illégal.
- Trois approches anti-malware : signature (connu), activity monitoring/heuristique (comportement/inconnu), change detection (intégrité CRC/hash, fortes fausses alarmes).
- Zero-day/zero-hour : effet de surprise ; web reputation score 0-100 ; ML/AI à tuner dans un arms race.
- Vulnerability management détecte/évalue ; patch management applique/vérifie ; test air-gapped et full backup avant production (Figure 7.14).
Stratégies de reprise : sauvegardes, RAID & haute disponibilité
Prérequis : Notions de BCDR (RPO/RTO), facette availability de la triade CIA, vocabulaire de continuité d'activité.
Garantir la disponibilité de l'information est l'un des piliers du métier de sécurité. Concevoir des systèmes assez résilients pour ne pas tomber en panne est essentiel, mais prévoir leur recovery quand ils tombent l'est tout autant. Ce module couvre l'ensemble des stratégies de reprise du Domaine 7 : sauvegardes (3-2-1, types full/differential/incremental, journaling, snapshot, CDP), choix du lieu de stockage, sites de reprise alternatifs (mirrored, hot, warm, cold, mobile, cloud), system resilience et haute availability (clustering, power, UPS, generators) et options de stockage (RAID, SAN, NAS).
L'examen teste ici votre maîtrise de distinctions opérationnelles fines : comment se comporte l'archive bit selon le type de sauvegarde, quelle data est perdue si une differential est corrompue, quel site de reprise répond à un RTO donné, ou quel niveau RAID tolère la perte de deux disques. Ces notions sont concrètes et chiffrables.
À la fin du module, vous saurez dimensionner une stratégie de sauvegarde (combien de versions, quels supports, quel emplacement), choisir un site de reprise selon le délai d'activation acceptable, et sélectionner une architecture de stockage qui élimine les single points of failure.
9.1 La stratégie de stockage 3-2-1 et les supports
Des sauvegardes exactes et complètes sont l'instrument central de la continuité d'activité et de la reprise après sinistre (BCDR) : c'est la facette availability de la triade CIA mise en pratique. La donnée de sauvegarde doit être stockée de façon à être disponible quand on en a besoin. La protection minimale, affinée par des décennies d'expérience, se résume dans la stratégie 3-2-1.
Trois chiffres, trois exigences. « 3 » : trois copies de la donnée, c'est-à-dire l'original plus deux sauvegardes. « 2 » : deux types de support différents, par exemple bande magnétique, lecteurs WORM (Write Once, Read Many), disques amovibles ou cloud. Le choix du support dépend du coût de stockage, de la vitesse de backup et de restore, de la compatibilité avec les pratiques héritées (legacy) et des garanties d'intégrité offertes. « 1 » : une copie offsite, hors site, car on ne peut pas répliquer une infrastructure à l'intérieur de l'infrastructure même que l'on cherche à protéger.
Les lecteurs WORM méritent une attention particulière à l'examen : leur propriété « écriture unique, lectures multiples » empêche toute altération ultérieure et constitue donc un support de choix pour la rétention réglementaire et la protection contre le ransomware ou la falsification.
Piège d'examen : 3-2-1 = trois copies, deux types de média, une copie offsite. Ne le confondez pas avec « trois emplacements » ou « deux emplacements » : la formulation correcte porte sur le nombre de copies, le nombre de types de support et une copie hors site, pas sur le nombre de lieux.
- 3-2-1 : 3 copies (original + 2), 2 types de support, 1 copie offsite
- WORM = écriture unique, lectures multiples : idéal contre l'altération et pour la rétention
- Le choix du support dépend du coût, de la vitesse et des garanties d'intégrité
- L'offsite protège contre un sinistre touchant le site de production lui-même
9.2 Emplacements de sauvegarde : onsite, offsite et cloud
L'endroit où le support est rangé structure toute la stratégie de sauvegarde. Trois grands choix existent. Onsite : l'organisation garde le contrôle total et la responsabilité de la donnée, stockée dans la production facility et immédiatement disponible pour une reprise. Le coût peut être proportionnellement plus élevé, surtout si une PME n'a ni la capacité datacenter ni les compétences internes pour sécuriser correctement ses backups.
Offsite : la donnée est transportée vers un lieu suffisamment éloigné et robuste pour ne pas être affecté par une défaillance catastrophique du site de production. Elle s'expose alors à un risque supplémentaire en transit et peut nécessiter des contrôles additionnels pour garantir son utilisabilité à l'arrivée ; l'organisation perd parfois une part de la gouvernance de sécurité au profit du prestataire. Le transport peut être physique (déplacement du support) ou s'appuyer sur le data vaulting, qui utilise les réseaux de données pour transférer l'information vers un support distant.
Cloud Backup-as-a-Service : certains CSP offrent la sauvegarde en service. Cela diffère des approches physiques onsite/offsite car la donnée est répliquée plusieurs fois à l'intérieur de l'environnement du CSP et reste disponible à la demande. Ces services proposent typiquement des niveaux online (accès quasi immédiat) et near-line (accès différé, moins coûteux), avec des coûts et disponibilités distincts.
Piège d'examen : data vaulting désigne le transfert offsite par le réseau, à ne pas confondre avec un simple transport physique de bandes. Online et near-line sont deux niveaux de service cloud, pas deux types de sauvegarde.
- Onsite : disponibilité immédiate, contrôle total, coût parfois élevé
- Offsite : protégé du sinistre local mais exposé en transit, gouvernance partagée
- Data vaulting = transfert offsite par le réseau, pas un transport physique
- Cloud BaaS : réplication chez le CSP, niveaux online et near-line
9.3 Types de sauvegarde et l'archive bit
Les approches de sauvegarde diffèrent par le temps nécessaire au backup et au restore, et par leur effet sur l'archive bit. Dans la plupart des OS, le système de fichiers signale qu'un fichier a changé via cet archive bit : il vaut 1 à la création du fichier, une tâche de sauvegarde le remet (« flip ») à 0 pour indiquer que le fichier a été archivé, et tout fichier créé ou modifié ensuite repasse le bit à 1.
Full : toute la donnée de l'environnement est copiée. C'est l'option la plus coûteuse et la plus longue, mais la plus complète ; elle remet l'archive bit à 0 (Figure 7.15). Differential : on copie toute la donnée modifiée ou créée depuis la dernière full (bit à 1), mais sans réinitialiser le bit à 0 (Figure 7.16). Conséquence : chaque differential est cumulative et grossit jusqu'à la prochaine full. Incremental : on copie tous les fichiers nouveaux ou modifiés depuis la dernière full ou la dernière incremental, puis on remet l'archive bit à 0 (Figure 7.17). Chaque incremental ne capture donc qu'un sous-ensemble défini, de taille gérable.
Le compromis est central pour l'examen. L'incremental rend le backup le plus rapide (peu de données chaque soir) mais le restore le plus lent : il faut la dernière full plus toutes les incremental successives. La differential rend le backup plus lourd au fil de la semaine (cumul) mais le restore plus simple : la dernière full plus une seule differential.
Piège d'examen : c'est la réinitialisation de l'archive bit qui distingue differential (ne le remet PAS à 0, donc cumulative) et incremental (le remet à 0, donc non cumulative). Mémorisez : differential ne touche pas le bit, incremental le remet à 0.
- Full : tout copié, archive bit remis à 0 (Figure 7.15)
- Differential : depuis la full, bit NON réinitialisé, cumulatif (Figure 7.16)
- Incremental : depuis la dernière sauvegarde, bit remis à 0 (Figure 7.17)
- Incremental = backup rapide mais restore lent ; differential = inverse
9.4 Journaling, snapshot, CDP et le nombre de versions
Deux stratégies de sauvegarde regardent la donnée plutôt que les fichiers. Le journaling, conçu à l'origine pour la reprise granulaire des bases de données, écrit chaque transaction dans un log au moment du commit ; ces journaux permettent de faire « rouler » une instance jusqu'à la dernière transaction validée. Il est aujourd'hui répandu dans les systèmes de fichiers (NTFS, HFS+) et offre une grande fiabilité face aux coupures momentanées de courant ou de connexion au stockage. Le journaling n'affecte pas l'archive bit. Le snapshot, propre aux environnements virtualisés, capture un miroir des blocs de données sans interrompre la production ; il reste habituellement sur le support de production jusqu'à sa copie ailleurs, et ses temps de restauration sont très rapides. Le snapshot capture l'archive bit dans sa position de production (il ne le modifie pas). On le confond souvent avec le cloning ou le mirroring, qui protègent la donnée mais offrent surtout un failover temps réel si le stockage primaire tombe.
La Continuous Data Protection (CDP) est une forme de snapshotting : à chaque changement d'un bloc, le bloc est snapshotté, ce qui permet une reprise à un point de transaction précis, rapidement et finement. La duplication a un coût en performance, mais la granularité de reprise vaut l'effort dans certains environnements.
Combien de versions garder ? Réutiliser le même volume en écrasant chaque sauvegarde précédente ne laisse qu'UNE version : la donnée modifiée entre deux backups est irrécupérable, et un processus défaillant fait de la production le seul exemplaire exact - le backup devient un single point of failure. À l'inverse, créer une nouvelle version à chaque fois consomme un volume considérable et sème la confusion sur la version la plus récente. Il faut trouver un juste milieu : assez de versions pour ne pas perdre toute capacité de reprise, sans rendre la gestion ingérable.
Validation : après chaque sauvegarde, quel que soit le type, l'organisation doit valider que la copie est complète et exacte, généralement via un integrity check et, selon la taille du jeu, par échantillonnage (sampling).
Piège d'examen : journaling et snapshot n'affectent pas l'archive bit ; CDP snapshotte chaque bloc modifié ; n'oubliez jamais l'étape de validation, car un backup non vérifié peut être un single point of failure silencieux.
- Journaling : log des transactions commitées ; n'affecte pas l'archive bit
- Snapshot : miroir de blocs, restore rapide, capture le bit en position de production
- CDP : snapshot de chaque bloc modifié, reprise à un point de transaction précis
- Garder assez de versions ; valider chaque backup (integrity check, sampling)
9.5 Sites de reprise et haute availability
Si l'environnement de production normal ne fonctionne plus, l'organisation a besoin d'une capacité de traitement alternative. Les types de sites se classent par leur délai d'activation. Mirrored : le site miroir fonctionne en parallèle de la production, traitant chaque transaction simultanément, si bien qu'à tout instant deux copies complètes et à jour existent en deux lieux séparés ; option la plus chère, réservée aux besoins de disponibilité maximale. Hot : site pleinement opérationnel avec tout le matériel, le logiciel et la donnée pour reprendre instantanément les fonctions critiques ; activation en minutes à heures. Warm : comme un hot mais sans la version courante des données et sans certains aspects fonctionnels prêts au failover instantané (eau, électricité raccordées mais à activer) ; activation en heures à jours. Cold : local vide sans matériel/logiciel/données, utilities éventuellement raccordées mais inactives ; option la moins chère mais activation en semaines voire mois, très dépendante de la supply chain IT. Mobile : installation portable montée sur un véhicule, pour un nombre très limité d'utilisateurs critiques, mais déployable n'importe où. Cloud : la donnée est chez un CSP, on reprend depuis n'importe quel lieu disposant d'un accès large bande.
Deux outils contractuels complètent ces options, surtout dans le secteur public : le JOA (joint operating agreement) et le MOU (memorandum of understanding), par lesquels deux organisations partagent un site si l'environnement de l'une est perturbé - efficace pour un impact localisé (un incendie d'un bâtiment) mais pas pour un sinistre métropolitain, qui touche souvent les deux partenaires. Le site alternatif doit être assez loin pour échapper au sinistre primaire, mais assez proche pour que le personnel clé l'atteigne en crise. On prévoit aussi des relocation kits (build courant des actifs IT critiques, version courante des données, clés de chiffrement, contacts), tenus à jour par l'équipe BCDR via le change management.
Pour minimiser le downtime, on recourt aussi à des multiple processing sites : contrairement au mirroring (deux copies complètes), ils fournissent collectivement assez de capacité pour soutenir les fonctions critiques, avec réplication des applications et données et prise en compte de la bande passante, des dépendances matérielles et des contraintes légales (data localization, privacy).
Côté system resilience et haute availability (HA), plusieurs techniques. Des spare components suffisants en inventaire permettent de remplacer tout élément du chemin critique (mais trop de spares coûte cher). Le clustering combine des systèmes (stockage, traitement, réseau) pour fournir une capacité constante : en active-active tous les nœuds traitent une part de la charge (load balancing), en active-passive un nœud reste inactif et n'est activé qu'en cas de fail. Le power enfin : un UPS fournit un courant temporaire immédiat le temps d'un arrêt propre (batteries deep-cycle, ou Flywheel Energy Storage cinétique, ou supercapacitors) ; un generator produit du courant local à partir de carburant (risque incendie/explosion et gaz toxiques) et doit être couplé à un transfer switch qui détecte la perte du secteur et démarre le générateur automatiquement.
Piège d'examen : associez le délai d'activation au type de site - minutes/heures = hot, heures/jours = warm, semaines/mois = cold. Le UPS ne sert qu'à un arrêt propre ou au relais vers un générateur, jamais à une autonomie longue.
La resilience d'un systeme repose sur trois leviers que l'examen associe souvent : la high availability (HA) maximise le temps de service via la redondance, la fault tolerance permet de continuer a fonctionner malgre la panne d'un composant (sans interruption percue), et la Quality of Service (QoS) garantit aux flux critiques la bande passante, la latence et la priorite necessaires meme en cas de congestion. HA vise la disponibilite, fault tolerance vise la continuite sans coupure, QoS vise la performance garantie des services prioritaires.
- Délais : mirrored (temps réel) < hot (min-h) < warm (h-jours) < cold (semaines-mois)
- JOA/MOU : partage de site, surtout secteur public, pour impacts localisés
- Clustering : active-active (load balancing) ou active-passive (nœud en attente)
- UPS = arrêt propre/relais ; generator + transfer switch = autonomie prolongée
- Resilience = HA (disponibilite) + fault tolerance (continuite sans coupure) + QoS (performance garantie).
9.6 Stockage : RAID, SAN et NAS
Au-delà du cloud, deux options de stockage méritent considération : les RAID et le stockage centralisé. Un RAID (redundant array of independent disks) augmente la disponibilité en virtualisant un volume sur plusieurs disques, afin qu'un jeu de données ne soit pas perdu si un disque tombe. Écrire la donnée sur plusieurs disques s'appelle le striping ; certaines configurations ajoutent des parity bits permettant de reconstituer le jeu complet si un disque échoue (les données stripées des disques voisins, combinées aux parity bits, comblent le trou).
Les niveaux à connaître (Figure 7.18). RAID 0 : striping sans parité, performances optimisées mais AUCUNE redondance. RAID 1 : mirroring, donnée dupliquée sur deux disques identiques ; si l'un tombe, son miroir prend le relais. RAID 2 : technique héritée, plus guère utilisée. RAID 3 et 4 : striping plus un disque de parité dédié - RAID 3 stripe à l'octet, RAID 4 au bloc ; le disque de parité dédié est un single point of failure, peu adapté à la HA. RAID 5 : données ET parité stripées sur plusieurs disques, offre la HA. RAID 6 : striping plus DEUX jeux de parité, tolère la perte de DEUX disques tout en gardant les performances de RAID 5. RAID 0+1 : on stripe (RAID 0) puis on mirrore (RAID 1). RAID 1+0 (« RAID 10 ») : on stripe sur deux jeux de disques dupliqués simultanément ; préférable à RAID 0+1. RAID 15 et 51 : combinent RAID 1 et RAID 5 (striping de parité + mirroring de tous les disques), réservés aux environnements très sensibles vu leur coût et leur impact sur la productivité.
Le stockage centralisé évite que la donnée éparpillée sur les endpoints soit perdue ou difficile à archiver, mais il crée un single point of failure et une cible unique s'il n'est pas protégé : centraliser exige donc redondance et backups sécurisés. Deux méthodes (Figure 7.19). Le SAN (storage area network) est un réseau de baies de stockage fournissant du volume aux serveurs ; il s'appuie sur des protocoles dédiés comme Fibre Channel et iSCSI, et présente le stockage comme des volumes (espace disque brut) montés sur l'OS comme un disque attaché - on raisonne en blocs. Le NAS (network-attached storage) est un serveur de fichiers centralisé accédé par de nombreux utilisateurs ; il maintient la hiérarchie de fichiers et présente la donnée sous forme de fichiers. Beaucoup de NAS (comme des SAN) utilisent iSCSI, qui gère l'espace de stockage en blocs logiques via des protocoles internet.
Piège d'examen : SAN = accès bloc (volumes bruts, Fibre Channel/iSCSI) ; NAS = accès fichier (le serveur gère la hiérarchie). Pour la tolérance de panne : RAID 0 = zéro redondance, RAID 5 = un disque, RAID 6 = deux disques, et RAID 10 est préféré à RAID 0+1.
- RAID 0 = striping sans redondance ; RAID 1 = mirroring
- RAID 5 tolère 1 disque ; RAID 6 (double parité) tolère 2 disques
- RAID 3/4 : disque de parité dédié = single point of failure ; RAID 10 préféré à 0+1
- SAN = blocs/volumes (Fibre Channel, iSCSI) ; NAS = fichiers (hiérarchie gérée par le serveur)
Cas d'étude
Combien de versions ? La planification de Keiko
Contexte : Keiko orchestre les sauvegardes des opérations nord-américaines de SneakerNet. Les employés travaillent entre 7 h et 20 h (heure de l'Est), du lundi au vendredi, huit heures par jour, répartis sur plusieurs fuseaux. Une sauvegarde full est réalisée le samedi soir, avec contrôles d'intégrité et répétition possible le dimanche en cas d'échec. Pendant la semaine, Keiko hésite entre differential et incremental.
Question : En differential, quelle donnée est capturée le mercredi soir ? En incremental, quelle donnée le jeudi soir ? Et si la differential du mardi soir est corrompue, quelle donnée est perdue ?
Voir l'analyse et la correction
Differential mercredi soir : comme la differential ne réinitialise pas l'archive bit, elle est cumulative depuis la dernière full (samedi). Le mercredi soir capture donc toute la donnée créée ou modifiée pendant les journées de travail du lundi, du mardi ET du mercredi.
Incremental jeudi soir : l'incremental remet le bit à 0 à chaque passage, donc chaque soir ne capture que les changements depuis la sauvegarde précédente. Le jeudi soir capture uniquement la donnée créée ou modifiée pendant la journée du jeudi.
Differential du mardi corrompue : chaque differential étant cumulative, la differential du mardi contient les changements du lundi et du mardi. Si elle est corrompue et que la differential du mercredi (qui les contiendrait aussi) n'existe pas encore ou n'est pas utilisée, on perd toute la donnée créée ou modifiée pendant les journées du lundi et du mardi. C'est le compromis : la differential simplifie le restore (full + une differential) mais la corruption d'une differential intermédiaire fait perdre tout le cumul qu'elle représentait à cette date.
Leçon de gouvernance : la validation post-backup (integrity check, sampling) et le maintien de plusieurs versions évitent qu'une seule copie corrompue devienne un single point of failure.
À retenir : Differential = cumulative depuis la full (Lun-Mer le mercredi) ; incremental = jour isolé (Jeu seul le jeudi) ; une differential corrompue fait perdre tout son cumul (Lun-Mar).
- La differential est cumulative car elle ne réinitialise pas l'archive bit
- L'incremental ne capture que les changements du jour, car elle remet le bit à 0
- Une differential corrompue fait perdre tout le cumul depuis la full jusqu'à cette date
- La validation et plusieurs versions empêchent un single point of failure
Choisir le bon site de reprise
Contexte : Une banque régionale exige que ses fonctions de paiement critiques redémarrent en moins d'une heure après un sinistre, avec des données quasi à jour. Une seconde entité du groupe, un service d'archivage non critique, peut tolérer plusieurs semaines d'indisponibilité et cherche surtout à minimiser le coût. La direction demande quelle stratégie de site convient à chacune.
Question : Quel type de site de reprise répond au besoin de la banque, et lequel à celui du service d'archivage ?
Voir l'analyse et la correction
Pour la banque, le RTO d'une heure avec des données quasi à jour exige un hot site : entièrement équipé en matériel, logiciel et données, son activation se mesure en minutes à heures et les fonctions critiques redémarrent quasi instantanément. Un mirrored site irait plus loin (deux copies temps réel) mais à un coût bien supérieur, justifié seulement si la disponibilité maximale est exigée. Un warm site ne tiendrait pas le délai (heures à jours, données non à jour).
Pour le service d'archivage, tolérant plusieurs semaines et soucieux du coût, le cold site est adapté : local vide, activation en semaines voire mois, mais option la moins chère. Investir dans un hot ou warm pour ce service serait un gaspillage de safeguard.
Le choix se fait toujours en alignant le délai d'activation acceptable (proche du RTO) sur le coût du site. Le site alternatif doit aussi être assez loin pour échapper au sinistre primaire mais assez proche pour le personnel clé, et l'organisation doit tenir à jour des relocation kits.
À retenir : RTO court et données à jour = hot site ; tolérance de semaines et coût minimal = cold site ; aligner le délai d'activation sur le RTO et le coût.
- Hot site : activation minutes-heures, données quasi à jour, coût élevé
- Cold site : activation semaines-mois, le moins cher
- Le délai d'activation doit correspondre au RTO de la fonction
- Le site alternatif : assez loin du sinistre, assez proche du personnel clé
3-2-1 : copies, supports, offsite (pas emplacements)
La formulation correcte de 3-2-1 est : trois copies de la donnée (original + deux backups), deux types de support différents (bande, WORM, disque amovible, cloud), et une copie offsite. L'examen propose souvent des distracteurs qui remplacent « types de support » par « emplacements » ou « copies » par « emplacements ». Retenez l'axe exact de chaque chiffre : 3 porte sur les copies, 2 sur les types de média, 1 sur la localisation hors site. Une copie WORM est un excellent deuxième type de support.
Archive bit : differential ne le réinitialise pas
Le piège classique oppose differential et incremental. La differential copie les changements depuis la dernière full et NE remet PAS l'archive bit à 0 : elle est donc cumulative et grossit chaque jour. L'incremental copie les changements depuis la dernière sauvegarde (full ou incremental) et REMET l'archive bit à 0 : chaque incremental ne contient qu'un jour. Conséquence sur le restore : incremental = full + toutes les incremental (long) ; differential = full + une seule differential (rapide). Journaling et snapshot, eux, n'affectent pas l'archive bit.
RAID : tolérance de panne et SAN vs NAS
RAID 0 n'apporte AUCUNE redondance (striping seul, pour la performance). RAID 1 = mirroring. RAID 5 tolère la perte d'UN disque (données et parité stripées). RAID 6 tolère la perte de DEUX disques (double parité). RAID 3 et 4 ont un disque de parité dédié, qui est un single point of failure. RAID 10 (1+0) est préféré à RAID 0+1. Côté stockage centralisé : SAN = accès en blocs (volumes bruts, Fibre Channel/iSCSI) ; NAS = accès en fichiers (le serveur gère la hiérarchie). Ne confondez pas le niveau de redondance d'un RAID avec une sauvegarde : un RAID protège du crash disque, pas de la suppression logique ni du ransomware.
Point de contrôle — Point de contrôle
-
La protection minimale recommande la stratégie 3-2-1. En quoi consiste-t-elle ?
- A Trois copies de la donnée, deux types de support différents, une copie offsite
- B Trois emplacements différents, deux types de support, une copie offsite
- C Trois copies de la donnée, deux emplacements de stockage, une copie offsite
- D Trois types de support, deux copies, un emplacement onsite
Réponse & justification
Réponse : A — Trois copies de la donnée, deux types de support différents, une copie offsite
3-2-1 = trois copies (original + deux backups), deux types de support (bande, WORM, disque amovible, cloud) et une copie offsite. Les distracteurs remplacent « copies » ou « types de support » par « emplacements » : le « 3 » porte sur les copies, le « 2 » sur les types de média, le « 1 » sur l'offsite.
-
Une full est réalisée samedi soir. En differential durant la semaine, quelle donnée la sauvegarde du mercredi soir capture-t-elle ?
- A Toute la donnée créée/modifiée lundi, mardi et mercredi
- B Uniquement la donnée créée/modifiée mercredi
- C Uniquement la donnée créée/modifiée depuis la dernière incremental
- D Toute la donnée de l'environnement, comme une full
Réponse & justification
Réponse : A — Toute la donnée créée/modifiée lundi, mardi et mercredi
La differential ne réinitialise pas l'archive bit : elle est cumulative depuis la dernière full. Mercredi soir, elle capture donc tous les changements de lundi, mardi et mercredi. La réponse « mercredi seul » correspondrait à une incremental, qui remet le bit à 0 chaque soir.
-
Une full est réalisée samedi soir. En incremental durant la semaine, quelle donnée la sauvegarde du jeudi soir capture-t-elle ?
- A Uniquement la donnée créée/modifiée durant la journée de jeudi
- B Toute la donnée créée/modifiée de lundi à jeudi
- C Toute la donnée de l'environnement
- D Uniquement la donnée modifiée depuis la dernière full, sans réinitialiser le bit
Réponse & justification
Réponse : A — Uniquement la donnée créée/modifiée durant la journée de jeudi
L'incremental remet l'archive bit à 0 à chaque passage ; chaque soir ne capture donc que les changements depuis la sauvegarde précédente. Jeudi soir = uniquement la donnée du jeudi. « Lun à jeu » décrirait une differential cumulative ; « sans réinitialiser le bit » contredit le fonctionnement de l'incremental.
-
En differential durant la semaine, la copie réalisée mardi soir est corrompue (et n'est détectée qu'après). Quelle donnée risque d'être perdue ?
- A Toute la donnée créée/modifiée durant les journées de lundi et mardi
- B Toute la donnée créée/modifiée durant la seule journée de mardi
- C Aucune, car la full du samedi suffit toujours
- D Toute la donnée de la semaine entière
Réponse & justification
Réponse : A — Toute la donnée créée/modifiée durant les journées de lundi et mardi
La differential du mardi étant cumulative, elle contient les changements de lundi et mardi. Si elle est corrompue, on perd ces deux journées (la full ne contient pas les changements postérieurs). « Mardi seul » serait le cas d'une incremental ; « aucune » ignore que les changements depuis la full ne sont pas dans la full elle-même.
-
Un volume modifie 8 Go par jour ouvré. Après une full le samedi, on restaure jeudi soir. Quelle option restaure le MOINS de jeux de sauvegarde, et laquelle le PLUS ?
- A Differential = full + 1 jeu (le moins) ; incremental = full + 4 jeux Lun-Jeu (le plus)
- B Incremental = full + 1 jeu (le moins) ; differential = full + 4 jeux (le plus)
- C Les deux restaurent exactement full + 4 jeux
- D Differential = full seule ; incremental = full seule
Réponse & justification
Réponse : A — Differential = full + 1 jeu (le moins) ; incremental = full + 4 jeux Lun-Jeu (le plus)
Pour restaurer au jeudi soir : en differential, il suffit de la full plus la differential du jeudi (cumulative = 32 Go), soit deux jeux seulement. En incremental, il faut la full plus les quatre incremental Lun, Mar, Mer, Jeu (4 × 8 = 32 Go), soit cinq jeux. La differential restaure plus vite (moins de jeux à enchaîner) ; l'incremental sauvegarde plus vite chaque soir mais restaure plus lentement.
-
Une organisation veut un stockage tolérant la perte simultanée de DEUX disques sans perte de données. Quel niveau RAID choisir ?
- A RAID 6
- B RAID 5
- C RAID 0
- D RAID 3
Réponse & justification
Réponse : A — RAID 6
RAID 6 utilise le striping et DEUX jeux de parité : deux disques peuvent tomber et la donnée reste récupérable. RAID 5 ne tolère qu'un seul disque. RAID 0 n'a aucune redondance. RAID 3 a un disque de parité dédié, qui est un single point of failure et ne tolère pas deux pannes.
Points essentiels à retenir
- 3-2-1 : trois copies (original + deux), deux types de support (dont WORM possible), une copie offsite.
- Emplacements : onsite (immédiat), offsite (data vaulting par réseau), cloud BaaS (online/near-line).
- Full remet l'archive bit à 0 ; differential ne le réinitialise pas (cumulative) ; incremental le remet à 0 (un jour).
- Restore : incremental = full + toutes les incremental (lent) ; differential = full + une differential (rapide).
- Journaling et snapshot n'affectent pas l'archive bit ; CDP snapshotte chaque bloc modifié ; toujours valider le backup.
- Sites de reprise par délai : mirrored (temps réel) < hot (min-h) < warm (h-jours) < cold (semaines-mois) ; JOA/MOU pour le partage.
- HA : spare components, clustering active-active/active-passive, load balancing, UPS (arrêt propre) + generator + transfer switch.
- RAID : 0 = aucune redondance ; 1 = mirroring ; 5 = un disque ; 6 = deux disques ; 10 préféré à 0+1.
- Stockage centralisé : SAN = blocs/volumes (Fibre Channel, iSCSI) ; NAS = fichiers ; un SAN/NAS centralisé est un single point of failure à protéger.
Reprise après sinistre et continuité d'activité
Prérequis : Notions de gestion des incidents et de gestion des risques (BIA, appétit au risque).
La continuité d'activité et la reprise après sinistre (Business Continuity and Disaster Recovery, BCDR) constituent l'environnement le plus exigeant qu'une organisation puisse affronter. L'analogie militaire « hard in training, easy in battle » résume la philosophie : ce qui n'a pas été préparé, testé et répété à froid se paie cher pendant la crise. Ce module couvre le processus complet de disaster recovery (7.11), les types de tests classés par intensité et coût (7.12), puis la planification de la continuité d'activité avec ses métriques temporelles clés (7.13).
Vous verrez qui peut déclencher la réponse BCDR (un cadre dirigeant désigné, pas n'importe qui), comment organiser les personnes (critical-path personnel vs responders), comment gérer les communications internes et externes, comment évaluer l'impact total, puis restaurer les opérations sans aggraver le sinistre.
Le coeur examinable du module réside dans les métriques : MTD, RTO et RPO, et le complément WRT (Work Recovery Time) du CBK. Savoir les distinguer et choisir un site de repli selon le RTO ou le MTD est testé sous forme de scénarios. La distinction incident vs disaster, et qui a l'autorité pour déclarer un disaster, est un piège récurrent.
10.1 Déclencher la réponse BCDR : critères et autorité
La continuité d'activité et la reprise après sinistre (BCDR) sont parfois l'environnement le plus stressant qu'une organisation rencontre, et c'est précisément pourquoi un plan BCDR bien rodé sert de meilleur entraînement au combat possible. L'esprit est celui des forces armées : « hard in training, easy in battle » - un entraînement dur, intense et répété conditionne les équipes à survivre et à agir sous pression. Chaque organisation adapte son plan BCDR à ses besoins propres, mais des principes communs structurent un processus type.
Déclencher la réponse a un coût considérable et un impact significatif, financier comme opérationnel, souvent absent du budget courant. La décision d'activer le plan doit donc reposer sur des criteria for initiating the response action : il est impossible de prévoir tous les contingency events, mais un jeu de lignes directrices guide la personne qui décidera le moment venu. Ces critères incluent typiquement la valeur monétaire (dollar value) des actifs affectés, le nombre d'utilisateurs touchés, la durée attendue d'indisponibilité (downtime) et la menace sur la santé et la sécurité des personnes (human health and safety).
La personne autorisée à prendre cette décision doit être de confiance et disposer d'un degré élevé d'autorité et de vision : il s'agit en général d'un membre de la senior management, voire du dirigeant de l'organisation. Pour décider correctement et au bon moment, elle s'appuie sur une information chain : un processus formel d'escalade des informations liées à l'incident, des sources professionnelles externes (agences gouvernementales, fournisseurs de threat intelligence payants) et des moyens informels (services d'actualité, réseaux sociaux).
Piège d'examen : l'autorité de déclencher la réponse - et de déclarer un disaster - n'appartient jamais à n'importe quel employé ni au seul service informatique ; elle est réservée à des cadres dirigeants pré-désignés. Inversement, ce sont les critères objectifs (montant, utilisateurs, downtime, safety) qui justifient la décision, pas l'intuition.
- « Hard in training, easy in battle » : le plan BCDR est le meilleur entraînement
- Critères d'initiation : valeur monétaire, utilisateurs affectés, downtime, santé/sécurité
- L'autorité de décision est un cadre dirigeant de confiance (senior management)
- L'information chain alimente la décision (escalade formelle + sources externes/informelles)
10.2 Le personnel BCDR : critical-path vs responders
Au-delà du cadre dirigeant qui autorise la réponse, le plan doit désigner précisément les personnes impliquées. Le manuel distingue deux populations. Les critical path personnel sont les personnels essentiels au maintien des fonctions opérationnelles de l'organisation pendant le contingency event. Ils ne gèrent pas forcément la réponse : ils ont des production tasks à assurer. Ils doivent être formés à leur rôle de crise : rejoindre l'alternate operating site, accéder aux archives de données, journaliser les transactions effectuées pendant la contingence.
Les responders sont les personnels qui pilotent le processus de réponse. Ils proviennent typiquement de plusieurs fonctions : IT (administrateurs, architectes, techniciens), Security (expertise spécifique cruciale), Legal (le general counsel garantit le respect réglementaire et la due diligence, et oriente la collecte/préservation des preuves pour d'éventuelles actions pénales ou civiles), HR (accès aux données privées des employés pour contacter le personnel ou les familles), Finance/accounting (suivi des coûts et transactions financières pendant l'événement), Public relations/communications (voix uniforme vers l'extérieur) et Management (un dirigeant supervise, approuve les dépenses et décide de la fin de la contingence).
Le point examinable majeur concerne l'affectation : nommer des individus précis a des avantages (ils peuvent être formés et s'entraîner), mais crée des points of failure. Pendant un disaster, l'organisation ne peut pas compter sur la présence de chaque individu. Il vaut donc mieux assigner des offices/departments aux tâches, et cross-train le personnel de ces bureaux pour qu'il assume les tâches de contingence au besoin. Un bon plan détaille chaque bureau assigné au point que n'importe quel membre, sans exposition préalable au sujet, puisse suivre les instructions et accomplir les tâches.
Piège d'examen : confondre critical-path personnel (qui font tourner l'activité) et responders (qui gèrent la crise) ; et croire qu'il faut nommer des individus plutôt que des bureaux cross-trained.
- Critical-path personnel maintiennent l'activité ; responders gèrent la réponse
- Responders : IT, Security, Legal, HR, Finance, PR/Comms, Management
- Assigner des offices/departments, pas des individus, et cross-train le personnel
- Nommer un individu crée un point of failure pendant un disaster
10.3 Communications, évaluation de l'impact et restauration
L'organisation doit maîtriser deux types de communications de contingence : interne et externe. En interne, il faut joindre tout le personnel pour l'informer des actions attendues (évacuer si l'on est sur site, rester chez soi si l'on n'est pas encore arrivé, rejoindre un site alternatif pour les responders et critical personnel). Deux modes existent : la push capability (messages automatiques envoyés à tout le personnel) et l'access capability (un clearinghouse central, par exemple un site web, que chacun peut consulter). Les canaux normaux pouvant être indisponibles (mobile, texto, Internet), des moyens alternatifs de mass communication doivent être une priorité. Les coordonnées d'urgence des employés étant rarement à jour, des tests et mises à jour réguliers s'imposent. Senior management doit arbitrer le compromis entre diffuser largement l'information et exposer des informations sensibles hors des canaux autorisés.
En externe, l'organisation devra joindre forces de l'ordre/secours, régulateurs, public/médias et partenaires (vendors, clients, end customers). Trois éléments sont cruciaux : un single voice (une voix unique optimale, car des déclarations multiples se contredisent et nourrissent la défiance), des trained communications professionals (capables d'informer sans admettre de responsabilité ni créer de liability), et la gestion d'une developing situation (mieux vaut dire « la situation évolue, l'information est encore incertaine » que publier des données qui devront être corrigées, surtout sur le timing de résolution).
L'assessment vise à calculer l'impact total de la contingence : il combine les dommages de l'événement lui-même et le coût des efforts de réponse (total impact = damage + response cost). Réalisé par les équipes comptables et d'audit avec l'appui des SME (valeur des actifs) et des RH (heures de production), il sert ensuite aux poursuites pénales, aux actions civiles, au reporting des investisseurs et à l'information des régulateurs.
Enfin, la restoration vise la reprise complète des opérations normales : retour au site primaire ou création d'un nouveau site primaire (beaucoup d'organisations conservent l'alternate site devenu le nouveau primaire). La restauration des données est à haut risque : réimporter l'archive et le journal des transactions de contingence peut endommager l'archive, l'enregistrement et l'environnement de production. Le timing est critique : revenir trop tôt menace la santé/sécurité ; rester trop longtemps en contingence coûte cher (sites alternatifs onéreux, personnel non productif payé, ou départs si non payé). La décision de revenir au normal revient à senior management.
- Interne : push (envoi automatique) vs access (clearinghouse) + moyens de masse alternatifs
- Externe : single voice, communicateurs formés, gérer une developing situation
- Impact total = dommages de l'événement + coût de la réponse (comptabilité/audit)
- Restauration : retour primaire ou nouveau site ; data restore à haut risque ; timing critique
10.4 Training, awareness et lessons learned continus
Un plan BCDR n'a de valeur que si les personnes savent l'exécuter. Le manuel distingue deux niveaux. Le personnel assigné à des tâches BCDR (responders, critical path et leurs suppléants/alternates) doit recevoir une formation formelle pour son rôle, ce qui inclut la participation à tous les tests. À l'échelle de toute l'organisation, l'ensemble du personnel doit être exposé à des awareness activities qui le préparent aux actions d'urgence : formation formelle (à l'embauche ou lors des tests annuels) complétée par une information informelle récurrente (newsletters, rappels, affiches).
Le processus de lessons learned est souvent mal compris. La vision classique consiste à attendre que tout soit revenu à la normale, puis à relire les journaux et à tirer les enseignements. Or l'une des leçons majeures de la pandémie de COVID-19 est que ce processus d'évaluation active, de décision, de direction et de revue des enseignements doit être continu (ongoing). La due diligence exige d'une équipe de management prudente qu'elle tire chaque leçon possible d'une expérience douloureuse : voyez le coût d'un événement disruptif comme des frais de scolarité (tuition) payés pour mieux se préparer la fois suivante.
Intégrer l'apprentissage des leçons au quotidien (jour après jour, semaine après semaine) du processus de gestion d'incident ou de disaster présente un avantage concret : les souvenirs et impressions sont plus frais, les preuves et artefacts sont plus proches de leur état au moment de l'événement, et l'analyse est plus révélatrice. On apprend aussi de ses réponses déjà engagées alors qu'il reste du chemin vers le « new normal ». Des événements disruptifs comme une pandémie peuvent imposer des mesures supplémentaires de santé et sécurité au travail ; des sources comme l'OMS (WHO) et les CDC américains fournissent des guidelines et bonnes pratiques.
Piège d'examen : les lessons learned ne sont pas une étape finale unique mais un processus continu ; et l'awareness vise tout le personnel, alors que le training formel vise les personnels assignés au BCDR.
- Training formel : responders, critical-path et alternates, avec participation aux tests
- Awareness : tout le personnel, formel + informel récurrent (newsletters, affiches)
- Lessons learned = processus continu (leçon COVID-19), pas une étape unique de fin
- L'apprentissage à chaud rend preuves et souvenirs plus fiables ; OMS/CDC pour la santé
10.5 Les cinq types de tests DR, classés par intensité
Tester ses plans permet d'identifier les écarts et de les corriger vite, pour ne pas gaspiller un temps précieux le jour d'un vrai disaster. Le professionnel de sécurité doit connaître les bénéfices et risques de chaque type de test. Le manuel les classe par intensité, coût et impact croissants.
Read-through / tabletop : activité contrôlée et isolée de role-playing réunissant uniquement les personnels chargés du DR et un modérateur, autour d'une salle de réunion avec tous les documents DR. Le modérateur présente une situation déclenchant une réponse DR ; les participants décrivent verbalement leurs actions et peuvent consulter les documents. C'est le test le moins intrusif et le moins cher ; excellent pour former des personnels nouveaux ou peu familiers et pour repérer les lacunes du plan.
Walk-through : similaire au tabletop, mais au lieu de rester autour de la table, les participants se déplacent vers chacun des lieux qu'ils devront visiter lors de la réponse. Ils peuvent encore se référer aux guides écrits et sont supervisés. Plus utile que le tabletop pour évaluer les limites physiques et établir le timing des activités ; à peine plus cher.
Simulation : un walk-through plus complexe et plus impliquant, pouvant mobiliser tout le personnel d'un bureau dans une situation d'urgence scriptée (un fire drill avec évacuation en est un exemple). Plus coûteux et plus perturbant pour la productivité (le travail est interrompu), mais plus de personnes y gagnent expérience et formation.
Parallel : pour les organisations qui utilisent des alternate operating sites. On mobilise réellement personnels et ressources vers le site alternatif et on y conduit les opérations - généralement un service ou une équipe à la fois. Bien plus cher et plus impactant que les précédents, mais offre l'assurance que la solution de repli fonctionne réellement.
Full interruption : implique toute l'organisation dans une situation scriptée mimant un vrai contingency event. Toutes les ressources, personnels et activités BCDR sont engagés. C'est de loin l'option la plus chère, au plus fort impact ; un grand soin est requis pour éviter que l'exercice ne devienne un vrai disaster. Réservé aux organisations qui ont les moyens de le planifier et l'exécuter correctement.
Communiquer les résultats du test aux parties intéressées (internes et externes : clients, partenaires, régulateurs) fait partie de l'exercice. Les rapports décrivent l'objectif, les aspects testés et surtout la pertinence de la stratégie DR. Ces résultats documentés sont des artefacts que les clients exigent souvent pour leur due diligence fournisseur, et qui sont examinés lors des audits SOC et ISO 27001.
- Ordre de coût/intensité croissants : tabletop < walk-through < simulation < parallel < full interruption
- Tabletop = discussion en salle ; walk-through = déplacement réel sans interruption
- Parallel = sites alternatifs mobilisés ; full interruption = toute l'organisation basculée
- Résultats documentés = artefacts de due diligence et d'audits SOC/ISO 27001
10.6 BCP, BIA et les métriques MTD, RTO, RPO (et WRT)
La business continuity planning (BCP) est une activité prudente, souvent obligatoire, qui prépare l'organisation à des événements disruptifs et altérants pour l'activité : catastrophes naturelles, épidémies, conflits géopolitiques, perte de personnel critique. L'objectif est d'assurer que l'organisation puisse continuer à fonctionner pendant et après une crise. Des standards nationaux et internationaux servent de guide ou de point de départ : NIST SP 800-34 (national, US) et ISO 22301 (international).
La Business Impact Analysis (BIA) identifie d'abord les fonctions mission-essential, puis analyse l'effet d'une disruption sur ces fonctions. Elle se mène en engageant les parties prenantes - surtout les mission/process owners, managers et personnels de département - pour déterminer la criticité de chaque processus ou service. La BIA produit des estimations temporelles, les fameuses MTD, RTO et RPO, pour lesquelles l'organisation peut s'appuyer sur des templates NIST.
Le MTD (Maximum Tolerable Downtime) est la durée totale d'interruption qu'un dirigeant accepte pour un processus métier ; il englobe toutes les considérations d'impact. Sans MTD, les planificateurs manquent de direction pour choisir une méthode de reprise et calibrer le niveau de détail des procédures. Le RTO (Recovery Time Objective) est la durée maximale pendant laquelle une ressource système peut rester indisponible avant un impact inacceptable sur les autres ressources, les processus métier et le MTD : il guide le choix des technologies de reprise. Le RPO (Recovery Point Objective) est le point dans le temps, avant la disruption, jusqu'auquel les données doivent être récupérées (sur la base de la sauvegarde la plus récente) : il dicte la fréquence des sauvegardes et borne la perte de données acceptable. Ces objectifs sont souvent communiqués aux clients dans un SLA.
Complément du CBK ISC2 (hors manuel D7) : le WRT (Work Recovery Time) est le temps nécessaire, une fois le système techniquement restauré (fin du RTO), pour reconfigurer, valider et reprendre le travail métier normal. La relation clé à retenir : MTD = RTO + WRT. Le RTO ne peut donc jamais dépasser le MTD, et il doit même lui laisser de la marge pour le WRT.
Le plan (BCP) doit être maintenu : revu, mis à jour et révisé ; certains éléments (listes de contacts) demandent des mises à jour plus fréquentes. Tester le BCP est crucial et, pour la conformité, doit avoir lieu à intervalles programmés - typiquement au minimum annuellement - et lors de changements organisationnels ou environnementaux significatifs. Les tests réutilisent les types vus pour le DR (tabletop, fonctionnel, full-scale).
Piège d'examen : choisir un site de repli, c'est comparer son temps de reprise au RTO/MTD - un hot site (reprise quasi immédiate) pour un RTO très court, un cold site seulement si le RTO/MTD le tolère. Et ne confondez pas RTO (temps pour rétablir le service) avec RPO (quantité de données perdue, exprimée en temps).
- BCP : NIST SP 800-34 (national) et ISO 22301 (international) ; BIA identifie les fonctions critiques
- MTD = downtime total tolérable ; RTO = délai de rétablissement ; RPO = perte de données acceptable
- MTD = RTO + WRT (complément CBK) ; le RTO ne dépasse jamais le MTD
- Choisir un site de repli = comparer son temps de reprise au RTO/MTD ; tester le BCP au moins annuellement
Cas d'étude
Revue BCDR de SneakerNet : incident ou disaster ?
Contexte : Keiko finalise une revue complète des plans BCDR de SneakerNet, qui opère sur des sites dans plusieurs pays. Un matin, un incendie mineur se déclenche dans une salle technique d'un site secondaire. Le système anti-incendie l'éteint, l'équipe locale isole la zone et l'événement est traité en quelques heures sans interruption des opérations. La semaine suivante, une coupure de courant prolongée frappe simultanément le site principal pendant qu'une attaque par déni de service sature les liaisons de secours : plusieurs contrôles échouent en même temps et l'organisation est dépassée.
Question : Lequel de ces deux événements est un incident et lequel est un disaster ? Qui peut identifier le premier, et qui a l'autorité de déclarer le second ?
Voir l'analyse et la correction
Un incident est un événement qui a le potentiel de nuire à l'organisation : c'est un événement déclencheur. S'il est géré rapidement et correctement, le problème s'arrête là. L'incendie mineur est un incident : éteint et confiné, il n'a pas dégénéré. Or, si l'incident n'est pas maîtrisé, qu'il croît en sévérité, ou si plusieurs incidents surviennent simultanément et que des contrôles échouent, l'organisation peut être submergée : c'est un disaster. La coïncidence coupure de courant prolongée + attaque DoS + échec des liaisons de secours correspond à ce basculement.
Qui peut identifier un incident ? Tout le monde - n'importe qui peut repérer une anomalie susceptible de causer un dommage, surtout avec un bon programme de security awareness. C'est précisément pourquoi l'identification est largement distribuée.
Qui peut déclarer un disaster ? Uniquement des membres du personnel pré-désignés, en général un membre de la senior management. La déclaration de disaster déclenche un plan coûteux et lourd de conséquences (dépenses hors budget, bascule vers un site alternatif) ; elle ne peut donc relever que d'une autorité de confiance disposant d'une vision et d'un pouvoir d'engagement suffisants. Keiko, en tant que professionnelle de sécurité, prépare et conseille, mais ne déclare pas le disaster elle-même.
À retenir : Incident = événement déclencheur identifiable par n'importe qui ; disaster = débordement déclaré uniquement par un cadre dirigeant pré-désigné.
- Un incident maîtrisé s'arrête ; non maîtrisé ou cumulé, il devient disaster
- N'importe qui identifie un incident ; seul un cadre désigné déclare un disaster
- Le professionnel de sécurité prépare et conseille, mais ne déclare pas le disaster
Qui peut déclarer un disaster ?
Distinguez bien identifier et déclarer. N'importe qui peut identifier un incident (toute anomalie potentiellement nuisible), d'autant mieux avec un programme d'awareness. Mais déclarer un disaster - et activer le plan BCDR - relève uniquement de membres du personnel pré-désignés, généralement de la senior management. La raison : la décision engage des coûts élevés et hors budget. À l'examen, méfiez-vous des options qui font déclarer un disaster par l'équipe IT, l'analyste SOC ou « le premier témoin » : c'est faux.
RTO vs RPO vs MTD
Trois métriques temporelles à ne jamais mélanger. RTO = combien de temps pour rétablir un service après une panne (oriente la technologie de reprise). RPO = jusqu'à quel point dans le passé les données doivent être récupérées, donc la perte de données acceptable (oriente la fréquence des sauvegardes). MTD = durée totale d'interruption tolérable pour le métier, plafond global. Mnémonique CBK : MTD = RTO + WRT, donc RTO ne dépasse jamais MTD. Pour choisir un site de repli, comparez son temps de reprise au RTO/MTD : RTO court -> hot site ; RTO long toléré -> cold site possible.
Classer les tests par coût et impact
L'examen aime tester l'ordre des tests DR. Du moins au plus intense : read-through/tabletop (discussion en salle), walk-through (déplacement réel mais sans interruption), simulation (scénario scripté impliquant un bureau, ex. fire drill), parallel (bascule réelle d'une équipe vers l'alternate site, primaire toujours actif), full interruption (bascule complète de toute l'organisation). Pièges classiques : croire que walk-through interrompt la production (non, c'est la simulation et au-delà) ; confondre parallel (primaire encore actif, repli testé en doublon) et full interruption (primaire coupé, le plus risqué et le plus cher).
Point de contrôle — Point de contrôle
-
Lors d'un disaster, quelles entités externes l'organisation peut-elle avoir besoin de joindre dans son plan de communication ?
- A Toutes les réponses ci-dessous
- B Les partenaires (vendors, clients, end customers) uniquement
- C Les régulateurs uniquement
- D Le public et les médias uniquement
Réponse & justification
Réponse : A — Toutes les réponses ci-dessous
Les communications externes peuvent devoir atteindre partenaires, régulateurs, public/médias et forces de l'ordre/secours. Aucune de ces catégories n'est suffisante seule : la bonne réponse est « toutes ». L'enjeu est d'établir une single voice (un porte-parole désigné) pour éviter des déclarations contradictoires qui nourriraient la défiance du public.
-
Pourquoi un parallel test est-il bénéfique pour une organisation qui utilise des alternate operating sites ?
- A Il vérifie réellement que la solution de repli fonctionne et donne expérience et connaissance des procédures, sans couper le site primaire
- B Il est le test le moins cher et le moins intrusif
- C Il évite toute mobilisation de personnel et de ressources
- D Il remplace la nécessité de maintenir le plan à jour
Réponse & justification
Réponse : A — Il vérifie réellement que la solution de repli fonctionne et donne expérience et connaissance des procédures, sans couper le site primaire
Le parallel test mobilise réellement personnels et ressources vers le site alternatif et y conduit des opérations : il donne l'assurance que la solution existe et fonctionne, plus l'expérience d'exécution des procédures, tout en gardant le primaire actif. C'est plus cher que tabletop/walk-through (réponses fausses) et il exige justement de mobiliser des ressources.
-
Un processus métier a un MTD de 12 heures. Trois sites de repli sont proposés : un hot site (reprise en 1 h), un warm site (reprise en 10 h) et un cold site (reprise en 36 h). Lequel est inacceptable au regard du MTD ?
- A Le cold site, car son temps de reprise (36 h) dépasse le MTD de 12 h
- B Le hot site, car il est trop rapide
- C Le warm site, car 10 h est trop proche de 12 h
- D Aucun, car le MTD n'a pas d'incidence sur le choix du site
Réponse & justification
Réponse : A — Le cold site, car son temps de reprise (36 h) dépasse le MTD de 12 h
Le choix d'un site de repli se fait en comparant son temps de reprise au RTO/MTD. Le MTD de 12 h est le plafond absolu d'interruption tolérable. Le cold site (36 h) le dépasse largement : inacceptable. Le hot site (1 h) et le warm site (10 h) respectent le MTD ; rien n'interdit un site « trop rapide ». Le MTD est précisément le critère de sélection, ce qui élimine la dernière option.
-
Dans la revue BCDR de SneakerNet, qui a l'autorité de déclarer officiellement un disaster ?
- A Des membres du personnel pré-désignés, en général de la senior management
- B N'importe quel employé qui constate l'anomalie
- C L'administrateur système de garde
- D L'analyste SOC qui détecte l'alerte le premier
Réponse & justification
Réponse : A — Des membres du personnel pré-désignés, en général de la senior management
Déclarer un disaster revient uniquement à des membres du personnel pré-désignés, généralement un cadre de la senior management, car la décision engage des coûts élevés et hors budget. À ne pas confondre avec identifier un incident, que n'importe qui peut faire (employé, admin, analyste SOC). Les trois autres options confondent identification et déclaration.
-
Quelle métrique exprime la quantité de données qu'une organisation accepte de perdre, en désignant le point dans le temps jusqu'auquel les données doivent être récupérées ?
- A RPO (Recovery Point Objective)
- B RTO (Recovery Time Objective)
- C MTD (Maximum Tolerable Downtime)
- D WRT (Work Recovery Time)
Réponse & justification
Réponse : A — RPO (Recovery Point Objective)
Le RPO désigne le point dans le temps, avant la disruption, jusqu'auquel les données doivent être récupérées sur la base de la sauvegarde la plus récente : il borne la perte de données et dicte la fréquence des sauvegardes. Le RTO est le délai de rétablissement du service, le MTD le plafond total d'interruption (MTD = RTO + WRT), et le WRT le temps de reprise du travail après restauration technique.
Points essentiels à retenir
- « Hard in training, easy in battle » : un plan BCDR rodé et testé est la meilleure préparation à la crise.
- Seuls des cadres dirigeants pré-désignés déclarent un disaster ; n'importe qui peut identifier un incident.
- Critical-path personnel maintiennent l'activité ; responders (IT, Security, Legal, HR, Finance, PR, Management) gèrent la réponse ; assigner des bureaux cross-trained, pas des individus.
- Communications : interne (push vs access, moyens de masse alternatifs) et externe (single voice, communicateurs formés, developing situation).
- Tests DR par coût croissant : tabletop < walk-through < simulation < parallel < full interruption ; résultats documentés pour due diligence et audits SOC/ISO 27001.
- BCP s'appuie sur NIST SP 800-34 et ISO 22301 ; la BIA identifie les fonctions critiques et produit MTD, RTO, RPO.
- MTD = downtime total tolérable, RTO = délai de rétablissement, RPO = perte de données ; MTD = RTO + WRT (CBK) ; choisir un site de repli en comparant son temps de reprise au RTO/MTD.
- Lessons learned = processus continu (leçon COVID-19) ; tester le BCP au moins annuellement et après tout changement significatif.
Sécurité physique et sûreté du personnel
Prérequis : Notions de defense in depth et de catégories de contrôles (administrative, technical, physical).
La sécurité de l'information ne s'arrête pas au pare-feu. Protéger un actif suppose de contrôler qui franchit la clôture, qui entre dans le datacenter, et de garantir que les personnes qui traitent l'information restent elles-mêmes en sécurité. Ce module couvre la sécurité physique du périmètre vers l'intérieur (contrôles d'accès, badges, CCTV, capteurs) puis la sûreté du personnel (voyages, duress codes, gestion des urgences, MDM).
Le fil conducteur est la defense in depth appliquée au monde physique : on empile des couches indépendantes, du property line jusqu'au coffre, de sorte qu'aucune barrière unique ne soit un point de défaillance. La même logique s'applique aux personnes : formation, monitoring, codes de détresse et plans d'évacuation forment des couches qui se renforcent.
L'examen attend que vous reliiez un objectif (empêcher une intrusion, protéger un voyageur, attribuer une action) au bon contrôle physique ou à la bonne procédure de sûreté, et que vous reteniez une règle d'or : la sécurité des personnes prime toujours sur la protection des biens.
11.1 Le périmètre : du property line aux zones protégées
La fonction première d'un système de contrôle d'accès est de garantir que seules les personnes autorisées pénètrent dans les zones contrôlées, et de réguler le flux des matériels qui y entrent et en sortent. Le public concerné est large : employés, visiteurs, clients, fournisseurs, grand public. Chaque application appelle des mesures différentes, calibrées sur des objectifs de sécurité, de coût et d'exploitation propres.
Le contrôle s'organise de l'extérieur vers l'intérieur, en couches concentriques. Il peut débuter dès la security property line, englobant par exemple les parkings, puis se resserrer sur les entrées du bâtiment, puis sur n'importe quelle zone interne selon la direction du management. On le calibre toujours sur le risque identifié et la valeur protectrice recherchée. Les protected areas typiques sont les entrées de plain-pied, les lobbies, les quais de chargement (loading docks), les ascenseurs et les zones internes sensibles abritant des données clients, de l'information propriétaire ou classifiée.
Historiquement, l'accès reposait sur des clés physiques. L'évolution vers les systèmes électroniques simplifie la gestion des droits : on révoque un badge en un clic, là où une clé perdue imposait de rechanger les serrures. Le professionnel de la sécurité doit souvent plaider pour de bonnes pratiques de facilities management et pour l'intégration des contrôles physiques avec les contrôles logiques et techniques - le bâtiment moderne étant un véritable system of systems.
Complément CPTED (provenance cheat) : le Crime Prevention Through Environmental Design conçoit l'environnement pour décourager l'intrusion via trois leviers : natural surveillance (visibilité, éclairage, fenêtres orientées vers les accès), natural access control (chemins et entrées canalisant les flux), et territoriality (marquages, clôtures basses, aménagement signalant une appropriation des lieux). Piège d'examen : CPTED relève de la prévention par le design, pas d'un capteur.
- Le contrôle se déploie en couches du property line vers les zones internes
- On calibre les mesures sur le risque, le coût et la valeur protectrice
- L'électronique remplace les clés physiques et simplifie la révocation des droits
- CPTED (cheat) prévient par le design : natural surveillance, natural access control, territoriality
11.2 Badges, enrollment station et types de cartes
Pour reconnaître un employé autorisé, le système a besoin d'une enrollment station : c'est le poste où l'on assigne et active le dispositif d'accès. Le plus souvent, un badge est produit et émis avec les identifiants de l'employé, l'enrollment station définissant les zones précises qui lui seront accessibles. En environnement haute sécurité, l'enrôlement peut aussi capturer des caractéristiques biometric. Le principe de fonctionnement est une comparaison : le système confronte le badge de la personne à une base vérifiée. Si l'authentification réussit, il émet les signaux qui ouvrent la porte ou le portail.
Ces systèmes sont typiquement intégrés aux logging systems de l'organisation pour documenter l'activité d'accès, autorisée comme non autorisée. Cette journalisation est essentielle : c'est elle qui fournit la traçabilité (accountability) en cas d'incident.
Une variété de types de cartes permet d'adapter le système à différents environnements. Les barcode cards portent un code-barres lisible optiquement, peu coûteux mais facile à copier. Les magnetic stripe cards stockent les données sur une piste magnétique, comme une carte bancaire classique. Les proximity cards sont lues sans contact à courte distance (RFID), pratiques pour les flux importants. Les smart cards embarquent une puce capable de traitement et de stockage chiffré, offrant le niveau de sécurité le plus élevé. Les hybrid cards combinent plusieurs technologies (par exemple proximity pour l'accès physique et puce à contact pour l'authentification logique).
Piège d'examen : la proximity card identifie sans contact mais n'est pas une smart card ; seule cette dernière effectue un traitement cryptographique embarqué.
- L'enrollment station assigne le badge et définit les zones accessibles
- Le système compare le badge à une base vérifiée, puis ouvre l'accès
- Journaliser les accès autorisés ET non autorisés assure l'accountability
- Hiérarchie de sécurité : barcode < magnetic stripe < proximity < smart ; hybrid combine
11.3 CCTV, capteurs extérieurs et contrôles internes en couches
La CCTV (closed-circuit TV) relie un réseau de caméras à des enregistreurs pour surveiller l'environnement. Elle est normalement intégrée au programme de sécurité global et monitorée de façon centralisée. Souple, elle excelle là où l'accès est difficile ou lorsqu'un forensic record est requis. Mais elle a des limites : le placement doit assurer la couverture sans porter atteinte aux expectations of privacy des individus. Historiquement câblée en coaxial dédié (coûteuse, sans redondance), elle est aujourd'hui souvent en IP/sans fil : installation moins chère, mais les caméras deviennent des équipements réseau exposés à de nombreuses attaques réseau.
À l'extérieur, plusieurs motion sensors complètent la CCTV : infrared, microwave, et lasers visant des récepteurs accordés. D'autres capteurs s'intègrent aux portes, portails et turnstiles. Les tentatives d'escalade de clôture se détectent par strain-sensitive cables et autres vibration sensors. Bien intégrés, ces capteurs périmétriques alertent dès qu'un intrus traverse un espace ouvert ou tente de percer la ligne de clôture.
À l'intérieur, l'approche en couches reste de mise. Le card reader contrôle l'accès à une pièce précise. Le Balanced Magnetic Switch (BMS) utilise un champ magnétique ou un contact mécanique pour décider si une alarme se déclenche (typiquement sur une porte ou fenêtre ouverte). Les acoustic sensors écoutent passivement les espaces. Les infrared linear beam sensors projettent un faisceau IR d'un émetteur vers un réflecteur : l'interruption du faisceau signale un passage. Les passive infrared (PIR) détectent les signatures de chaleur d'un intrus en comparant les récepteurs IR au niveau de fond habituel. L'automatic request to exit détecte automatiquement une personne approchant en direction de la sortie. Enfin, les dual-technology sensors combinent deux principes (par exemple PIR + microwave) : l'alarme n'est levée que si les deux concordent, ce qui réduit fortement les false alarms.
Complément CBK : mantraps, turnstiles et sally ports n'autorisent qu'une personne (ou véhicule) à la fois entre deux portes verrouillées, contrant le tailgating ; HVAC en positive pressure pousse l'air vers l'extérieur pour empêcher l'entrée de contaminants ou de fumée.
- La CCTV IP réduit les coûts mais expose les caméras aux attaques réseau
- Capteurs extérieurs : IR, microwave, laser, strain-sensitive cables, vibration
- BMS détecte une ouverture ; PIR détecte la chaleur ; beam IR détecte l'interruption d'un faisceau
- Dual-technology = deux principes concordants pour réduire les fausses alarmes
- CBK : mantraps/sally ports contre le tailgating ; HVAC positive pressure contre les contaminants
11.4 Sûreté en voyage et duress codes
Protéger l'information suppose de protéger les personnes qui la traitent. Les individus deviennent des cibles, surtout à l'étranger, où les risques diffèrent fortement de leur environnement habituel. Trois grandes menaces de voyage : le kidnapping for ransom (dans certains pays, un véritable modèle économique, d'où des polices d'assurance ransom et une préparation des modalités de gestion en amont) ; la surveillance par les foreign intelligence services (interrogatoire des contacts locaux, copie des passeports et appareils à la frontière ou à l'hôtel, fouille ou surveillance des chambres, parfois un local complaisant qui « tombe » sur vous) ; et les réseaux de facial recognition qui pistent les déplacements dans l'espace public, le personnel hôtelier rapportant aussi les mouvements.
Aspects de sûreté à considérer en déplacement ou en télétravail : ne pas emporter ce dont on n'a pas besoin (information, argent, électronique sont plus en sécurité à la maison) ; si on doit l'emporter, protéger légalement l'information, sachant que l'encryption peut être limitée par la loi de certaines juridictions ; mettre en place un secure remote access (lui aussi parfois restreint selon les juridictions) ; anticiper les jurisdictional/cross-border concerns sur les données franchissant les frontières ; assurer la personnel protection (orientation locale, formation, assurance médicale/vie, protection physique) ; et organiser la condition monitoring avec check-ins quotidiens, qui doit aussi déterminer si la personne agit sous contrainte.
Le duress code répond précisément à ce dernier point. Une personne menacée ou entravée dans ses mouvements doit pouvoir signaler discrètement sa situation, avec des code words autres que « je suis sous contrainte », intégrables dans une conversation normale et mémorisables sous stress extrême. Le code doit pouvoir être transmis par plusieurs canaux. Le personnel doit être formé et entraîné aux actions à mener. Les duress codes changent régulièrement, mais si une personne transmet un code expiré, un processus de réponse doit tout de même être déclenché : un code périmé peut révéler une véritable détresse.
Le 2FA renforce la sûreté : formé avant le départ, le voyageur doit pouvoir recevoir codes de vérification ou push notifications sur une trusted platform, ce qui mitige le spoofing. La social media exige aussi de la vigilance : éviter de révéler des informations exploitables pour pister déplacements ou activités, et désactiver le location-reporting des applications.
- Menaces de voyage : kidnapping/ransom, surveillance par renseignement, facial recognition
- Règle de base : si on n'en a pas besoin, on ne l'emporte pas
- Encryption et secure remote access peuvent être limités par certaines juridictions
- Duress code : discret, multi-canal, changé régulièrement ; répondre même à un code expiré
- 2FA sur trusted platform contre le spoofing ; couper le location-reporting des réseaux sociaux
11.5 Insider threat, gestion des urgences et MDM
L'insider threat désigne le risque provenant de l'intérieur de l'organisation. Il se matérialise quand une personne disposant d'une connaissance interne et d'autorisations en use, sciemment ou non, au détriment de l'organisation. Des indicateurs existent (comportements préoccupants observables), mais la détection reste difficile, précisément parce que l'acteur est légitime.
En gestion des urgences, une règle prime sur toutes : la sécurité des personnes est la priorité absolue. Tout plan d'urgence et de BCDR doit la placer au sommet ; aucune activité de protection des actifs ne doit mettre le personnel en danger. Le programme de sensibilisation doit couvrir : des systèmes de fire detection/suppression conçus d'abord pour protéger la santé humaine, avec des deluge systems sur toutes les voies d'évacuation et des fire marshals (et suppléants) formés et entraînés par zone ; une évacuation pratiquée régulièrement, tous connaissant sorties et procédures ; une coordination préalable avec les entités externes (forces de l'ordre, pompiers, secours médicaux) pour établir communication et familiarité avant l'événement ; la prise en compte des menaces localisées (catastrophe naturelle, météo) dans le plan et les seuils de déclenchement ; et, si la réponse implique de relocaliser du personnel critique vers un site distant, un budget permettant aussi de relocaliser les familles.
Complément CBK sur les classes de feu : Classe A (combustibles solides ordinaires : bois, papier - extinction par eau), Classe B (liquides/gaz inflammables - CO2 ou clean agents), Classe C (équipements électriques sous tension - surtout PAS d'eau ; CO2 ou clean agent), Classe D (métaux combustibles - agents secs spécifiques), Classe K (huiles et graisses de cuisine - agents chimiques humides). Les agents d'extinction incluent l'eau (dry pipe et wet pipe selon que la tuyauterie est remplie, et pre-action pour limiter les déclenchements accidentels en salle informatique), le CO2 et les FM-200/clean agents qui n'endommagent pas l'électronique.
Enfin, la Mobile Device Management (MDM). Il est déconseillé d'emporter un appareil dans une zone où ses équipements sont menacés : un téléphone coûteux n'est qu'une cible pour le vol, voire saisi ou copié. Mieux vaut acheter un burner phone bon marché et le détruire après usage. Le MDM permet de déployer et contrôler centralement les applications et mises à jour, et surtout de remote wipe (effacer) ou de bricking (rendre totalement inutilisable) un appareil perdu ou volé, selon les besoins de sécurité.
- L'insider threat est difficile à détecter car l'acteur est légitime
- Priorité absolue : la sécurité des personnes prime sur la protection des actifs
- Coordonner pompiers/secours/forces de l'ordre AVANT l'événement ; budgéter la relocalisation des familles
- CBK : feu électrique = Classe C, surtout pas d'eau ; clean agents et pre-action protègent l'électronique
- MDM : burner phone en zone à risque ; remote wipe ou bricking d'un appareil perdu
Cas d'étude
Le site rural ne craint rien ?
Contexte : Lors d'une visite de site, un facility manager affirme à Keiko que les contrôles de sécurité du périmètre ne sont pas une préoccupation : le site est isolé, rural, et reçoit peu de visiteurs. Le site héberge pourtant des données clients et des informations propriétaires de SneakerNet, organisation à présence mondiale.
Question : Comment Keiko doit-elle répondre, et comment articuler contrôles de périmètre et contrôles internes pour protéger les actifs critiques tout en préservant confidentiality et integrity ?
Voir l'analyse et la correction
L'isolement n'est pas un contrôle de sécurité : il réduit peut-être le flux de visiteurs, mais ne supprime ni les menaces (intrusion, vol ciblé, insider, catastrophe) ni la valeur des actifs hébergés. Or Risk dépend de la valeur de l'asset autant que de la menace ; des données clients et propriétaires conservent une valeur élevée quel que soit le code postal. Raisonner « pas de visiteurs donc pas de risque » confond exposition apparente et risque réel.
Keiko doit appliquer la defense in depth physique en couches. Au périmètre : sécuriser dès la property line (clôture, éclairage, CPTED pour la natural surveillance), capteurs extérieurs (IR, microwave, strain-sensitive cables sur la clôture), CCTV centralisée fournissant un forensic record. À l'entrée : enrollment station, badges, biométrie en zone sensible, et journalisation des accès autorisés ET non autorisés. À l'intérieur, en couches : card readers sur les salles de données, BMS sur portes et fenêtres, PIR et dual-technology sensors pour limiter les fausses alarmes, mantraps aux points critiques contre le tailgating.
Cette superposition protège la confidentiality (empêcher l'accès non autorisé aux données) et l'integrity (empêcher toute manipulation physique des systèmes), tout en générant la traçabilité nécessaire à l'accountability. La présence mondiale de SneakerNet impose en outre une cohérence des contrôles entre tous les sites : un maillon faible rural peut devenir le point d'entrée vers l'ensemble.
À retenir : L'isolement géographique n'est pas un contrôle : la valeur de l'actif, pas le flux de visiteurs, dicte le besoin de sécurité physique en couches.
- Le risque suit la valeur de l'actif, pas la fréquentation du site
- Empiler périmètre, entrée et contrôles internes en couches indépendantes
- Journaliser accès autorisés et non autorisés pour l'accountability
- Un site faible peut compromettre une organisation à présence mondiale
Proximity card n'est pas smart card
Une proximity card identifie sans contact (RFID) mais ne fait aucun traitement cryptographique : c'est un simple identifiant. Seule la smart card embarque une puce capable de calcul et de stockage chiffré. L'examen exploite cette confusion : si la question demande la carte offrant le plus haut niveau de sécurité ou une authentification forte embarquée, c'est smart card, pas proximity. La hybrid card combine les deux mondes (souvent proximity pour l'accès physique, puce à contact pour le logique).
Feu électrique : surtout pas d'eau (cbk)
Un feu impliquant des équipements électriques sous tension est de Classe C : l'eau y est dangereuse (conduction, électrocution, dégâts). La bonne réponse est un agent non conducteur : CO2 ou un clean agent (FM-200). En salle informatique, on préfère un système pre-action qui exige deux conditions avant décharge, limitant les déclenchements accidentels qui ruineraient l'électronique. Piège : ne pas répondre « sprinkler à eau » pour un feu électrique. Mémo des classes : A solides, B liquides/gaz, C électrique, D métaux, K cuisine.
La sécurité des personnes prime toujours
Dans tout plan d'urgence ou de BCDR, la sécurité des personnes est la priorité absolue : aucune activité de protection des actifs ne doit mettre le personnel en danger. Si une question oppose la sauvegarde de données ou de matériel à l'évacuation des employés, la bonne réponse est toujours de protéger les personnes d'abord. C'est un principe directeur du Domaine 7, pas un arbitrage coût/bénéfice.
Répondre même à un duress code expiré
Les duress codes changent régulièrement, mais un code expiré transmis par une personne ne doit jamais être ignoré : il peut signaler une vraie détresse de quelqu'un qui n'a pas eu accès au code à jour. Le piège attend une réponse « ignorer car le code n'est plus valide » ; la bonne pratique est de déclencher quand même le processus de réponse.
Point de contrôle — Point de contrôle
-
Parmi les aspects de sûreté à considérer lorsqu'un employé voyage ou travaille à distance, lequel est correctement formulé selon le manuel ?
- A Si ce n'est pas nécessaire, ne pas l'emporter ; l'encryption et le secure remote access peuvent être limités par certaines juridictions
- B Toujours emporter le maximum d'équipements pour rester productif en déplacement
- C Le chiffrement étant universellement autorisé, aucune contrainte juridique n'est à anticiper
- D La condition monitoring est facultative tant que l'employé répond à ses e-mails
Réponse & justification
Réponse : A — Si ce n'est pas nécessaire, ne pas l'emporter ; l'encryption et le secure remote access peuvent être limités par certaines juridictions
Le manuel insiste : ne pas emporter l'inutile, protéger légalement l'information, et savoir que chiffrement et accès distant peuvent être restreints selon la juridiction. Emporter le maximum augmente l'exposition au vol/saisie. Le chiffrement n'est pas universellement autorisé. La condition monitoring avec check-ins (et détection de duress) est essentielle, pas facultative.
-
Un Balanced Magnetic Switch (BMS) repose sur quel principe pour décider de déclencher une alarme ?
- A Un champ magnétique ou un contact mécanique signalant une ouverture
- B La comparaison de signatures de chaleur au niveau de fond
- C L'écoute passive des bruits dans un espace
- D L'interruption d'un faisceau infrarouge entre émetteur et réflecteur
Réponse & justification
Réponse : A — Un champ magnétique ou un contact mécanique signalant une ouverture
Le BMS utilise un champ magnétique ou un contact mécanique, typiquement sur une porte ou fenêtre, pour détecter une ouverture. La comparaison de chaleur décrit le PIR ; l'écoute passive décrit l'acoustic sensor ; l'interruption de faisceau décrit l'infrared linear beam sensor.
-
Un incendie se déclare sur un onduleur sous tension dans une salle serveur. Quelle est la classe de feu et l'agent d'extinction approprié ?
- A Classe C ; CO2 ou clean agent (FM-200), surtout pas d'eau
- B Classe A ; arrosage à l'eau par sprinkler
- C Classe K ; agent chimique humide
- D Classe D ; agent sec pour métaux
Réponse & justification
Réponse : A — Classe C ; CO2 ou clean agent (FM-200), surtout pas d'eau
Un équipement électrique sous tension correspond à un feu de Classe C : l'eau est proscrite (conduction, électrocution). On emploie un agent non conducteur, CO2 ou clean agent. La Classe A vise les solides ordinaires, la K les huiles de cuisine, la D les métaux combustibles. (Provenance cbk.)
-
Le CPTED propose de prévenir l'intrusion par l'aménagement de l'environnement. Lequel de ces leviers en fait partie ?
- A Natural surveillance, natural access control et territoriality
- B Dual-technology sensors et pre-action sprinklers
- C Enrollment station, badges et CCTV centralisée
- D Remote wipe, bricking et burner phones
Réponse & justification
Réponse : A — Natural surveillance, natural access control et territoriality
Le CPTED (provenance cheat) repose sur trois principes de design : natural surveillance, natural access control et territoriality. Les capteurs et sprinklers sont des contrôles techniques actifs ; l'enrollment/badges/CCTV sont des contrôles d'accès et de surveillance ; remote wipe et burner phones relèvent du MDM. Le CPTED prévient par la conception des lieux, pas par un dispositif.
-
Un voyageur transmet un duress code qui a été remplacé la semaine précédente. Quelle est la bonne conduite ?
- A Déclencher tout de même le processus de réponse : un code expiré peut signaler une détresse réelle
- B Ignorer le signal puisque le code n'est plus valide
- C Demander au voyageur de répéter le code à jour avant d'agir
- D Désactiver le compte du voyageur pour éviter un usage frauduleux
Réponse & justification
Réponse : A — Déclencher tout de même le processus de réponse : un code expiré peut signaler une détresse réelle
Le manuel est explicite : si une personne transmet un code expiré, un processus de réponse doit tout de même être initié. La personne peut être en réel danger sans avoir pu obtenir le code à jour. Ignorer ou exiger le bon code la met en péril ; désactiver son compte ne traite pas la situation de duress.
Points essentiels à retenir
- La sécurité physique se déploie en couches du property line vers les zones internes sensibles ; l'électronique remplace les clés physiques.
- L'enrollment station assigne badges et droits ; types de cartes par sécurité croissante : barcode, magnetic stripe, proximity, smart, hybrid combinant.
- CCTV IP réduit les coûts mais expose les caméras aux attaques réseau ; les dual-technology sensors réduisent les fausses alarmes ; le BMS détecte une ouverture par champ magnétique.
- En voyage : ne pas emporter l'inutile, anticiper les limites juridiques du chiffrement, assurer condition monitoring, 2FA sur trusted platform, et prudence sur les réseaux sociaux.
- Le duress code est discret, multi-canal, changé régulièrement ; un code expiré déclenche tout de même une réponse.
- La sécurité des personnes est la priorité absolue de tout plan d'urgence ; coordination externe préalable et relocalisation des familles si besoin.
- CBK/cheat : CPTED (surveillance/accès/territorialité), mantraps contre le tailgating, HVAC positive pressure, classes de feu A-K et agents (feu électrique = Classe C, pas d'eau).
- MDM : burner phone en zone à risque, remote wipe ou bricking d'un appareil perdu ou volé.
Synthèse du domaine
Les security operations sont la mise en oeuvre quotidienne des contrôles : investigations, logging et monitoring, gestion des incidents et des vulnérabilités, reprise et continuité. Protéger l'intégrité d'une investigation (order of volatility, chain of custody, admissibilité) prime sur la vitesse de remédiation. Le logging sous-tend toute l'analyse : IDS/IPS, SIEM, SOAR, ISCM, DLP et UEBA n'ont de valeur qu'avec du personnel formé pour interpréter les signaux. Les concepts fondamentaux (least privilege, need-to-know, separation of duties, PAM, job rotation, mandatory vacation, dual control) réduisent fraude et erreur. La gestion des incidents suit un cycle (NIST 800-61 : preparation, detection & analysis, containment/eradication/recovery, post-incident ; ISO 27035 en 5 phases) où le SOC escalade mais ne décide pas seul. La disponibilité repose sur les sauvegardes (3-2-1, full/incremental/differential), le RAID, la haute disponibilité, les sites de reprise (cold/warm/hot/mobile/cloud) et des objectifs chiffrés (RTO/RPO/MTD). Enfin, protéger l'information impose de protéger les personnes : sécurité physique en couches et sûreté du personnel.
Glossaire (Terms & Definitions)
Les termes-clés du Domaine 7, à maîtriser en anglais pour l'examen.
| Terme | Définition |
|---|---|
| Order of volatility | Ordre dans lequel collecter les preuves, du plus volatile (registres/cache, RAM) au moins volatile (disque, archives). |
| Chain of custody | Traçabilité documentée et continue d'une preuve : qui, quoi, quand, où, de la collecte à la présentation. |
| Write-blocking | Technologie empêchant toute écriture sur le support original pendant l'acquisition forensique. |
| Admissibility | Acceptabilité d'une preuve par le tribunal, fondée sur sa documentation et sa préservation. |
| eDiscovery | Découverte électronique : identification et production de preuves numériques (ISO 27050). |
| Event | Toute occurrence observable dans un système ou un réseau. |
| Precursor | Signal annonçant un possible changement de conditions modifiant le paysage de menace. |
| Indicator | Artefact suggérant qu'une attaque est imminente, en cours ou a eu lieu. |
| Indicator of Compromise (IoC) | Signal qu'une intrusion ou un malware se produit ou s'est produit. |
| IDS | Intrusion Detection System : détecte et alerte sur les accès non autorisés. |
| IPS | Intrusion Prevention System : détecte et agit automatiquement (bloque) sur les intrusions. |
| NIDS / NIPS | IDS/IPS basés réseau, placés sur des segments pour surveiller le trafic. |
| HIDS / HIPS | IDS/IPS basés hôte, agents installés sur les endpoints. |
| SIEM | Security Information and Event Management : agrège, normalise et corrèle les logs de sources variées. |
| SOAR | Security Orchestration, Automation and Response : automatise la réponse via playbooks et runbooks. |
| Playbook / Runbook | Séquence d'actions automatisées, linéaire (playbook) ou avec logique conditionnelle (runbook). |
| ISCM | Information Security Continuous Monitoring : conscience continue de la sécurité (NIST SP 800-137, 6 phases). |
| Egress monitoring / DLP | Surveillance et régulation des données quittant le périmètre (Data Loss Prevention). |
| Data at rest / in motion / in use | Trois états des données protégés par le DLP (stockage, transit, traitement). |
| Threat intelligence | Information de menace agrégée et analysée pour fournir le contexte des décisions. |
| ISAC | Information Sharing and Analysis Center : partage d'information cyber entre organisations. |
| UEBA | User and Entity Behavior Analytics : détecte les déviations comportementales des users et entities par ML. |
| Configuration Item (CI) | Composant nommé, possédé et géré par le change management, traité comme une entité unique. |
| CMDB | Configuration Management Database : enregistre l'état des configuration items. |
| Baseline | Inventaire total des composants constituant une instance complète d'un système. |
| Security baseline | Ensemble minimal acceptable de contrôles de sécurité associé à chaque CI. |
| SCAP | Security Content Automation Protocol : ingestion automatisée des changements de configuration. |
| Provisioning | Création de copies d'une baseline et placement dans les bons environnements. |
| RFC | Request for Change : documentation formelle d'un changement proposé. |
| CAB / CMB / CCB | Change Advisory / Management / Configuration Control Board : instance d'approbation des changements. |
| Regression testing | Tests vérifiant que seul le changement approuvé a modifié le comportement du système. |
| Least privilege | Niveau minimal de permissions nécessaires aux tâches, et rien de plus. |
| Need to know | Restriction d'accès à l'information selon le besoin réel d'en connaître. |
| Separation of duties (SoD) | Aucun individu ne peut compléter seul une action de confiance complète. |
| Privileged Account Management (PAM) | Gestion renforcée des comptes à privilèges (logging, MFA, JIT, audit). |
| Just-in-time (JIT) identity | Octroi de privilèges restreint à une tâche et un moment précis, puis révoqué. |
| Job rotation | Rotation régulière des rôles pour détecter la fraude et éviter les single points of failure. |
| Mandatory vacation | Congés obligatoires (avec suspension des accès) pour révéler les méfaits. |
| Dual control / dual custody | Deux personnes ou plus agissant simultanément pour une action critique (no lone zone). |
| SLA | Service-Level Agreement : accord contraignant définissant le niveau de service et les pénalités. |
| Sanitization | Effacement sécurisé d'un média avant disposal, proportionné à la classification. |
| Incident | Événement compromettant réellement ou potentiellement la CIA d'un système ou de l'information. |
| CSIRT / SOC | Équipe / centre de réponse aux incidents qui surveille et escalade les décisions urgentes. |
| Containment | Confinement : isoler les éléments suspects pour empêcher la propagation. |
| Eradication | Suppression de chaque instance de l'agent causal et de ses fichiers. |
| Recovery | Rétablissement et déclaration opérationnelle des systèmes, données et workflows. |
| Remediation | Changements de configuration limitant immédiatement la récurrence d'un incident. |
| Root cause analysis | Identification des causes profondes (Pareto, Five Whys, Ishikawa, FMEA, fault trees). |
| Patch management | Notification, test, déploiement et vérification systématiques des correctifs. |
| Vulnerability management | Identification, évaluation, priorisation et remédiation des faiblesses. |
| Allowed / blocked listing | Listes d'éléments autorisés (tout le reste bloqué) ou bloqués (tout le reste autorisé). |
| Sandbox | Environnement de test isolé pour évaluer ou détoner du code/contenu suspect. |
| Honeypot / honeynet | Machine(s) leurre sans données réelles pour distraire et observer les attaquants. |
| Zero-day | Exploitation d'une vulnérabilité non encore publiée ni corrigée. |
| 3-2-1 backup | 3 copies des données, 2 types de support, 1 copie offsite. |
| Archive bit | Bit indiquant qu'un fichier a été modifié (1) ou archivé (0). |
| Full / Differential / Incremental | Types de sauvegarde : tout ; depuis le dernier full ; depuis le dernier backup. |
| Journaling / Snapshot / CDP | Techniques de protection au niveau données (transactions, miroir de blocs, capture continue). |
| RAID | Redundant Array of Independent Disks : virtualise un volume sur plusieurs disques (striping, parité). |
| SAN / NAS | Stockage central : par blocs/volumes via serveurs (SAN) ou par fichiers sur le LAN (NAS). |
| Recovery site | Site alternatif de traitement : mirrored, hot, warm, cold, mobile ou cloud. |
| RTO | Recovery Time Objective : délai maximal de remise en service d'une ressource. |
| RPO | Recovery Point Objective : perte de données acceptable (point de restauration). |
| MTD | Maximum Tolerable Downtime : durée totale d'indisponibilité acceptable (MTD = RTO + WRT). |
| BIA | Business Impact Analysis : analyse de l'impact d'une disruption sur les fonctions essentielles. |
| DR test types | read-through/tabletop, walk-through, simulation, parallel, full-interruption (intensité croissante). |
| CPTED | Crime Prevention Through Environmental Design : surveillance, contrôle d'accès et territorialité naturels. |
| Duress code | Mot de code subtil signalant une situation de contrainte, changé régulièrement. |
| MDM | Mobile Device Management : contrôle centralisé des mobiles (wipe/bricking à distance). |
Points essentiels du domaine
Ce qu'il faut absolument retenir
- Order of volatility et chain of custody d'abord : une preuve mal préservée ou non documentée devient inutilisable, quelle que soit sa pertinence.
- IDS détecte et alerte ; IPS détecte et agit. SIEM agrège/normalise/corrèle ; SOAR automatise via playbooks/runbooks ; UEBA modélise le comportement normal des users et entities.
- Least privilege + need-to-know + separation of duties + PAM (avec JIT) forment une défense en couches contre la fraude et l'abus de privilèges.
- Incident management : NIST 800-61 (4 phases) ou ISO 27035 (5 phases). Le SOC escalade la décision ; le management décide du retour à la normale.
- Containment puis eradication puis recovery puis remediation ; la phase lessons learned doit produire des changements de comportement vérifiables, sans esprit punitif.
- Sauvegardes 3-2-1 (3 copies, 2 supports, 1 offsite). Differential = depuis le dernier full (archive bit conservé) ; incremental = depuis le dernier backup (archive bit remis à 0).
- RAID améliore la disponibilité, pas la sauvegarde. RAID 5 tolère 1 panne disque, RAID 6 en tolère 2, RAID 10 = striping + mirroring.
- Choisir le site de reprise selon le MTD : cold (semaines/mois), warm (heures/jours), hot (minutes/heures), mirrored (temps réel). RTO = délai de remise en service ; RPO = perte de données acceptable.
- Tests DR par intensité croissante : read-through/tabletop, walk-through, simulation, parallel, full-interruption.
- Protéger l'information = protéger les personnes : sécurité physique en couches (CPTED, badges, CCTV, capteurs) et sûreté du personnel (voyages, duress codes, MDM).