Cours — Domaine 7 · 13% · 18 h

Opérations de sécurité

Cours complet du Domaine 7 (Security Operations, 13 % de l'examen), structuré en 11 modules pour environ 18 heures d'apprentissage. Il couvre l'intégralité du manuel officiel ISC2 : investigations et forensique numérique, journalisation et monitoring (IDS/IPS, SIEM, SOAR, ISCM, DLP, UEBA), configuration et change management, concepts fondamentaux d'opérations (least privilege, separation of duties, PAM), protection des ressources, gestion des incidents, mesures détectives et préventives, patch et vulnerability management, stratégies de reprise (sauvegardes, RAID, haute disponibilité), disaster recovery et continuité d'activité, sécurité physique et sûreté du personnel.

C'est le domaine le plus opérationnel du CBK : il transforme la gouvernance et l'architecture des domaines précédents en pratiques quotidiennes mesurables.

Objectifs d'apprentissage

À la fin de ce cours, vous saurez

  • Conduire une investigation numérique dans les règles : order of volatility, chain of custody, admissibilité des preuves.
  • Concevoir une chaîne de logging et de monitoring efficace (IDS/IPS, SIEM, SOAR, ISCM, DLP, UEBA) et en connaître les limites.
  • Appliquer les concepts fondamentaux d'opérations : need-to-know, least privilege, separation of duties, PAM, job rotation, mandatory vacation.
  • Piloter la gestion des incidents de la détection aux lessons learned (NIST 800-61, ISO 27035), CSIRT/SOC et root cause analysis.
  • Choisir et dimensionner une stratégie de reprise : sauvegardes 3-2-1, RAID, haute disponibilité, sites cold/warm/hot, RTO/RPO/MTD.
  • Tester un plan de disaster recovery et de continuité, et sécuriser le périmètre physique et le personnel.

Prérequis : Avoir parcouru le Domaine 1 (risk management, investigations, BCP) et le Domaine 5 (IAM : least privilege, PAM, JIT) facilite la lecture. Une culture réseau (D4) et architecture (D3) aide pour IDS/IPS, RAID et sites de reprise. Aucun prérequis bloquant.

Parcours conseillé

Parcours conseillé en 5 sessions d'environ 3 à 4 h, à étaler sur 3 à 4 semaines. Refaire les checkpoints de chaque module avant de passer à la session suivante, puis le quiz complet (150+ Q) en révision finale.

  1. Session 1 - Investigations & supervision

    MODULE 1 · MODULE 2 · MODULE 3

    Forensique, order of volatility, chain of custody ; logging, IDS/IPS, SIEM, SOAR, ISCM, DLP, UEBA.

  2. Session 2 - Configuration, opérations & ressources

    MODULE 4 · MODULE 5 · MODULE 6

    Change/config management, baselines ; least privilege, SoD, PAM ; protection et sanitization des médias.

  3. Session 3 - Incidents & défenses

    MODULE 7 · MODULE 8

    Cycle de réponse à incident, CSIRT, RCA ; firewalls, honeypots, anti-malware, patch & vuln management.

  4. Session 4 - Reprise & continuité

    MODULE 9 · MODULE 10

    Sauvegardes 3-2-1, RAID, HA ; sites de reprise, tests DR, BIA, RTO/RPO/MTD, BCP.

  5. Session 5 - Physique & personnel

    MODULE 11

    Périmètre, CPTED, capteurs, feu ; sûreté du personnel, voyages, duress codes, MDM. Puis quiz complet.

Module 1 Objectif Investigations Objectif Forensique numérique Objectif Chain of custody Objectif Order of volatility Objectif eDiscovery Objectif Standards ISO 100 min Intermédiaire

Investigations et forensique numérique

Prérequis : Concepts fondamentaux du Domaine 1 (CIA, accountability) et notions de base sur la preuve juridique.

Une investigation ne se déclenche pas seulement après une cyberattaque : elle peut être administrative, criminelle, civile ou réglementaire, chacune avec son niveau de preuve et ses règles juridiques propres. Le security professional doit savoir reconnaître le type d'enquête en cours, car il conditionne tout le reste : qui mène, quelle rigueur de preuve, quelles obligations légales.

Ce module couvre le coeur opérationnel de la forensique : les quatre tenets de présentation de la preuve (admissibility, accuracy, comprehensibility, objectivity), l'order of volatility, la chain of custody, le write-blocking, l'arbitrage entre vitesse de réponse et préservation des preuves, ainsi que le cycle forensique NIST en quatre phases et les standards ISO 27037 à 27050.

À la fin, vous saurez ordonner une collecte selon la volatilité, documenter une chain of custody défendable en justice, choisir d'externaliser vers un professionnel certifié (voire licencié comme private investigator selon la juridiction), et situer chaque standard ISO forensique dans le cycle de vie de l'investigation.

Objectifs pédagogiques

  • Distinguer les quatre types d'investigation (administrative, criminelle, civile, réglementaire) et leur niveau de preuve
  • Énoncer les quatre tenets de présentation de la preuve et expliquer pourquoi chacun est critique
  • Ordonner une collecte selon l'order of volatility et justifier l'arbitrage vitesse vs préservation
  • Maintenir une chain of custody défendable et appliquer le write-blocking
  • Situer le cycle forensique NIST (4 phases, SP 800-86) et les standards ISO 27037/27041/27042/27043/27050

Critères de réussite

  • Je sais identifier le type d'investigation à partir d'un scénario et en déduire le standard de preuve
  • Je sais citer admissibility, accuracy, comprehensibility et objectivity et défendre l'un d'eux
  • Je sais ordonner RAM, cache, disque et archives par volatilité décroissante
  • Je sais expliquer ce qu'une chain of custody doit consigner et pourquoi un write-blocker est requis
  • Je sais associer chaque standard ISO forensique à sa phase et nommer les 4 phases NIST

1.1 Types d'investigations et eDiscovery

Tableau des types d'investigation et de leurs standards de preuve
Figure 1.1 · Tableau des types d'investigation et de leurs standards de preuve

Toute investigation n'a pas la même finalité ni le même niveau de preuve. Une administrative investigation est interne à l'organisation : elle vise à établir des faits liés à une violation de politique ou à un dysfonctionnement RH ; son standard de preuve est faible et son issue va du rappel à l'ordre au licenciement. Une criminal investigation est menée par les forces de l'ordre lorsqu'une loi pénale est violée ; elle exige le standard de preuve le plus élevé (beyond a reasonable doubt) et peut conduire à des sanctions pénales. Une civil investigation oppose des parties privées (rupture de contrat, litige commercial) avec un standard plus faible (preponderance of evidence). Une regulatory investigation est conduite par une autorité (régulateur sectoriel, autorité de protection des données) pour vérifier la conformité à une réglementation, avec des sanctions administratives à la clé.

Le type d'investigation conditionne tout : qui mène, quelles preuves sont recevables, quelles obligations légales s'appliquent. Confondre une enquête interne avec une procédure pénale - ou inversement - expose l'organisation à invalider ses preuves ou à enfreindre les droits des personnes.

L'eDiscovery (electronic discovery) est le processus d'identification, de préservation, de collecte et de production d'informations stockées électroniquement (ESI) en réponse à une demande dans le cadre d'un litige ou d'une enquête. Le standard ISO 27050 encadre l'eDiscovery, en cohérence avec des modèles comme l'EDRM. Piège d'examen : l'eDiscovery n'est pas la forensique ; c'est le cadre de gestion de l'ESI à produire, alors que la forensique est l'analyse technique des supports. Une preservation obligation (legal hold) peut imposer de geler des données dès l'anticipation d'un litige, sous peine de spoliation.

Mots-clés EN Administrative investigation Criminal investigation Civil investigation Regulatory investigation eDiscovery ISO 27050 Legal hold
Points clés
  • Quatre types : administrative, criminal, civil, regulatory - standards de preuve distincts
  • Criminal = beyond a reasonable doubt ; civil = preponderance of evidence
  • Le type d'enquête conditionne qui mène, la recevabilité et les obligations légales
  • eDiscovery (ISO 27050) gère l'ESI à produire ; un legal hold prévient la spoliation

1.2 Types de preuve, recevabilité et les quatre tenets

Les quatre tenets de présentation de la preuve
Figure 1.2 · Les quatre tenets de présentation de la preuve

Porter un dossier numérique devant un tribunal soulève une question décisive : l'admissibility. Une preuve n'est utile que si la cour l'accepte. Or toute preuve altérée n'est pas automatiquement irrecevable, et toute preuve intacte n'est pas automatiquement acceptée : tout dépend de la manière dont elle a été documentée, préservée et présentée. C'est précisément pourquoi le manuel recommande de recourir à des professionnels dédiés de la forensique et de la collecte de preuves.

Le manuel énonce quatre tenets que le security professional doit respecter pour présenter une preuve, surtout devant une cour. Admissibility : seule une preuve acceptable par la cour peut être présentée ; c'est la cour qui signale ce qui est irrecevable. Accuracy : la preuve doit être vraie et claire. Comprehensibility : même si l'organisation cherche à raconter une histoire cohérente, elle ne peut pas dissimuler une preuve contraire à cette histoire ; retenir une preuve défavorable peut, dans certains cas, constituer une infraction. Objectivity : la preuve doit valoir par elle-même, sur une base factuelle ; sauf invitation de la cour ou du conseil, le professionnel ne doit pas introduire d'opinion subjective.

Piège d'examen : ne confondez pas admissibility (la cour accepte ou non) et accuracy (la preuve est exacte) ; et retenez que la comprehensibility interdit de cacher les éléments à décharge, ce qui surprend les candidats qui imaginent l'enquêteur comme un avocat partisan. La documentation est le fil rouge qui sécurise les quatre tenets.

Un principe fondateur eclaire pourquoi la preuve numerique existe : le Locard's exchange principle (principe d'echange de Locard) enonce que tout contact laisse une trace. Transpose au numerique, chaque action d'un attaquant (connexion, commande, transfert) depose des artefacts (logs, fichiers temporaires, entrees de registre, metadonnees) et en emporte d'autres. C'est ce qui rend l'investigation possible : il n'existe pas d'intrusion sans trace, seulement des traces que l'on n'a pas encore su collecter ou correler.

Mots-clés EN Admissibility Accuracy Comprehensibility Objectivity Documentation Spoliation Locard's exchange principle
Points clés
  • Les quatre tenets : admissibility, accuracy, comprehensibility, objectivity
  • Preuve altérée ≠ forcément irrecevable ; preuve intacte ≠ forcément acceptée
  • Comprehensibility interdit de cacher les éléments contraires (à décharge)
  • Objectivity proscrit l'opinion subjective sauf demande de la cour
  • Locard's exchange principle : tout contact laisse une trace ; aucune intrusion n'est sans artefacts.

1.3 Order of volatility et préservation vs vitesse de réponse

Échelle de l'order of volatility, des registres CPU aux archives
Figure 1.3 · Échelle de l'order of volatility, des registres CPU aux archives

Toutes les données ne survivent pas également au temps et aux manipulations. L'order of volatility classe les sources de preuve de la plus volatile à la plus durable, dictant l'ordre dans lequel les collecter. En haut de l'échelle se trouvent les registres et caches CPU, puis la mémoire RAM, puis l'état réseau et les tables de connexions, puis les fichiers temporaires et l'espace disque actif, et enfin les supports de stockage durables (disques, archives, sauvegardes). On collecte d'abord le plus volatile.

La volatilité de la RAM est un détail crucial mais souvent négligé. Les données en random-access memory sont extrêmement volatiles : dès qu'on coupe l'alimentation ou qu'on éteint le système, le contenu de la RAM devient irrécupérable par des moyens ordinaires. D'où un dilemme central : en cas d'incident, éteindre les machines peut stopper la propagation d'un malware, mais peut aussi détruire des preuves clés nécessaires à une investigation ultérieure.

C'est l'arbitrage entre speed of response (limiter le dommage et le risque) et préservation des preuves. La collecte de preuve est un processus sensible : agir trop vite pour contenir l'attaque peut effacer la mémoire vive ; agir trop lentement laisse le dommage s'étendre. Le bon réflexe forensique est souvent de capturer la RAM (memory dump) avant toute coupure, lorsque c'est compatible avec la sécurité des personnes et la limitation du risque. Piège d'examen : si une question oppose « éteindre vite pour stopper le malware » et « préserver la preuve volatile », le raisonnement attendu est de capturer le volatile d'abord, sauf danger immédiat. Order of volatility = ordre de collecte, du plus éphémère au plus durable.

Mots-clés EN Order of volatility RAM volatility Memory dump Speed of response Evidence preservation
Points clés
  • Collecter du plus volatile (registres, cache, RAM) au plus durable (disques, archives)
  • La RAM est irrécupérable dès l'extinction : capturer un memory dump d'abord
  • Arbitrage clé : speed of response (contenir) vs preservation (preuve volatile)
  • Capturer le volatile avant de couper, sauf danger immédiat pour les personnes

1.4 Chain of custody, write-blocking et conduite des interviews

Maillons d'une chain of custody de la collecte à la présentation
Figure 1.4 · Maillons d'une chain of custody de la collecte à la présentation

La chain of custody (chaîne de possession) est la traçabilité documentée d'une preuve depuis sa collecte jusqu'à sa présentation. Elle doit répondre aux questions impératives - qui, quoi, où, pourquoi, quand - pour chaque manipulation de la preuve. La documentation doit être si complète qu'une autre personne, partant du même matériel d'origine, pourrait suivre le processus documenté et aboutir à la même analyse. Elle inclut toutes les étapes : collecte/capture, analyse et stockage de la preuve.

La préservation de l'original est un principe cardinal. Le professionnel doit éviter toute modification non enregistrée ou involontaire. Cela passe par l'usage de la write-blocking technology, qui empêche toute écriture sur le support saisi pendant la copie ; par le contrôle des accès externes ; et par la maîtrise des émissions électromagnétiques. L'analyse doit, autant que possible, se faire sur des copies (bit-level copies) et non sur l'original. Tous ces efforts de préservation doivent eux-mêmes être documentés.

Les interviews suivent des bonnes pratiques précises : enregistrer quand c'est possible (en notifiant la personne et en consignant la notification, selon les lois locales) ; ne jamais mener un entretien seul (multiparty interviews) ; préserver les droits du sujet, l'informer qu'il peut refuser l'entretien (même si ce refus peut entraîner un licenciement) et, si la loi ou le contrat l'exige, lui permettre d'être accompagné. Piège d'examen : un write-blocker garantit l'intégrité (donc l'admissibility), pas la confidentialité ; et la chain of custody se brise dès qu'un maillon de traçabilité manque, rendant la preuve attaquable.

Mots-clés EN Chain of custody Write-blocking Bit-level copy Multiparty interview Subject's rights Electromagnetic emissions
Points clés
  • Chain of custody = qui/quoi/où/pourquoi/quand, à chaque manipulation
  • Préserver l'original : write-blocking, analyse sur bit-level copies, contrôle des accès
  • Documenter aussi les efforts de préservation eux-mêmes
  • Interviews : enregistrer, multiparty, préserver les droits et l'option de refus

1.5 Le cycle forensique NIST et la forensic readiness

Les quatre phases du cycle forensique NIST en boucle
Figure 1.5 · Figure 7.11 · Cycle forensique NIST

Une fois l'investigation lancée, elle se déroule en quatre phases, conformes au modèle simplifié du NIST (SP 800-86, Guide to Integrating Forensic Techniques into Incident Response), illustrées en Figure 7.11. Collection : la scène est sécurisée ; les données liées à l'événement sont identifiées, étiquetées, enregistrées et collectées, en préservant leur intégrité. Examination : les données sont soumises à des outils et techniques forensiques pour identifier et extraire l'information pertinente tout en protégeant son intégrité. Analysis : les résultats de l'examen sont inspectés pour obtenir l'information qui répond aux questions ayant déclenché l'investigation. Reporting : on rapporte les résultats, en décrivant les actions menées, en déterminant les actions complémentaires nécessaires et en recommandant des améliorations du processus forensique.

Cette conduite repose sur plusieurs prérequis organisationnels. L'organisation doit disposer d'un programme forensique structuré et doté de ressources, avec le soutien et l'autorité nécessaires. Les personnes ayant des responsabilités forensiques doivent être désignées et formées en amont de l'incident, avec les bons outils. Les pratiques doivent se conformer au système juridique de la juridiction concernée. Enfin, les processus métier doivent être structurés avant l'incident pour soutenir l'analyse forensique : c'est la forensic readiness.

La collecte exige des outils spécialisés (copies bit-level de disques, capture de l'état système, copie des journaux) qui doivent être maintenus et reconnus comme méthodes valides par le système juridique. La virtualisation et le cloud compliquent l'identification et la collecte, imposant souvent de coordonner avec un fournisseur. Piège d'examen : l'ordre NIST est Collection -> Examination -> Analysis -> Reporting ; ne confondez pas examination (extraire l'information) et analysis (l'interpréter au regard des questions de l'enquête).

Mots-clés EN Collection Examination Analysis Reporting NIST SP 800-86 Forensic readiness
Points clés
  • Cycle NIST (SP 800-86) : Collection -> Examination -> Analysis -> Reporting
  • Examination extrait l'information ; Analysis l'interprète
  • Forensic readiness : programme structuré, personnel formé en amont, conformité juridique
  • Cloud et virtualisation imposent souvent une collecte coordonnée avec le fournisseur

1.6 Standards forensiques ISO et recours aux professionnels certifiés

Cartographie des standards forensiques ISO 27037 à 27050
Figure 1.6 · Figure 7.10 · Standards forensiques ISO

Le modèle simplifié du NIST est cohérent avec une famille de standards ISO qui couvre le cycle de vie de la preuve numérique, illustrée en Figure 7.10. ISO/IEC 27037 porte sur l'identification, la collecte, l'acquisition et la préservation des preuves numériques : c'est la norme de référence sur le terrain de collecte. ISO/IEC 27041 traite de l'assurance et de la garantie d'adéquation des méthodes d'investigation. ISO/IEC 27042 porte sur l'analyse et l'interprétation des preuves numériques. ISO/IEC 27043 décrit les principes et processus généraux d'investigation des incidents. ISO/IEC 27050, enfin, encadre l'eDiscovery (gestion de l'ESI à produire). Des standards nationaux existent aussi, influencés par les règles de preuve et systèmes juridiques propres à chaque juridiction.

La plupart des organisations n'ont pas de professionnels forensiques formés à demeure : c'est une discipline très spécifique, exigeant formation et expérience, pour une activité rare dans la plupart des métiers. Face à un besoin de forensique, la tentation est de confier la tâche à un membre de l'équipe sécurité ou de l'IT : ce n'est pas recommandé. Mieux vaut recourir à un contractant externe certifié - et licencié si nécessaire.

Dans certaines juridictions (par exemple les États du Texas et du Michigan aux États-Unis), l'analyse forensique ne peut être réalisée comme service rémunéré que si l'analyste est licencié par l'État, au titre de la profession de private investigator. Il faut donc intégrer toutes les lois applicables dans la politique de collecte, d'analyse et de présentation des preuves. Rappel des premiers intervenants : en cas d'incendie, d'intervention policière ou médicale, les first responders ont des priorités supérieures (la safety of human life) qui peuvent les amener à perturber la scène ; et beaucoup d'anomalies sont d'abord traitées par le help desk, non comme une scène de crime potentielle. Piège d'examen : externaliser vers un professionnel certifié/licencié n'est pas un luxe, c'est ce qui sécurise l'admissibility et respecte les contraintes juridiques locales.

Mots-clés EN ISO/IEC 27037 ISO/IEC 27041 ISO/IEC 27042 ISO/IEC 27043 ISO/IEC 27050 Private investigator licensing First responders
Points clés
  • 27037 collecte/préservation, 27041 assurance, 27042 analyse, 27043 processus, 27050 eDiscovery
  • Le modèle NIST est cohérent avec ces standards ISO
  • Externaliser vers un professionnel certifié plutôt que l'équipe IT/sécurité
  • Certaines juridictions exigent une licence private investigator pour la forensique payante

Cas d'étude

Cas · Cas d'étude

Une investigation à cheval sur deux juridictions

Contexte : Une entreprise française détecte une exfiltration de données depuis un serveur applicatif hébergé chez un fournisseur cloud au Texas. La machine compromise tourne encore : la RAM contient probablement les processus malveillants actifs et des clés de chiffrement en clair. L'équipe IT, pressée par la direction, veut éteindre immédiatement le serveur pour stopper l'exfiltration, puis confier l'analyse à un administrateur système interne. Le DPO rappelle qu'une procédure pourrait suivre, en France comme aux États-Unis.

Question : Dans quel ordre collecter les preuves, et qui doit conduire l'analyse compte tenu des juridictions en jeu ?

Topics traités Order of volatilityChain of custodyJuridictions et licensingForensic readiness
Voir l'analyse et la correction

Éteindre d'abord le serveur détruirait la RAM, irrécupérable par des moyens ordinaires, et avec elle les processus actifs et les clés en clair : ce serait sacrifier la preuve la plus volatile au nom de la speed of response. Le bon réflexe forensique est de respecter l'order of volatility : capturer un memory dump et l'état réseau d'abord, puis seulement isoler/éteindre la machine, en réalisant une bit-level copy du disque via un write-blocker. Chaque geste est consigné dans la chain of custody (qui/quoi/où/pourquoi/quand).

Le choix de l'analyste n'est pas neutre. Confier la tâche à un administrateur interne est déconseillé : la forensique exige des compétences spécifiques et, surtout, le serveur est au Texas, où l'analyse forensique payante exige une licence private investigator. Il faut donc un contractant externe certifié et, si nécessaire, licencié dans la juridiction concernée.

Enfin, le DPO a raison : avec deux juridictions, il faut impliquer le legal counsel, déclencher un legal hold pour éviter la spoliation, et veiller à ce que les méthodes de collecte soient reconnues valides par les systèmes juridiques français et texan - cohérence avec ISO 27037 (collecte/préservation) et 27042 (analyse).

À retenir : Capturer le volatile avant d'éteindre, externaliser vers un professionnel certifié/licencié dans la bonne juridiction, et documenter la chain of custody : la preuve la plus précieuse est souvent la plus fragile.

Éléments d'apprentissage clés
  • La RAM se capture avant toute extinction, sauf danger immédiat pour les personnes
  • Une enquête transfrontalière exige legal counsel, legal hold et méthodes reconnues
  • La forensique payante peut requérir une licence private investigator selon l'État
  • La chain of custody se documente à chaque manipulation
Piège d'examen

Examination ≠ Analysis

Dans le cycle NIST (SP 800-86), Examination et Analysis sont deux phases distinctes. Examination extrait l'information pertinente des données collectées à l'aide d'outils forensiques. Analysis interprète cette information au regard des questions qui ont déclenché l'investigation. L'examen produit la matière brute ; l'analyse en tire le sens. L'ordre complet est Collection -> Examination -> Analysis -> Reporting. Inverser ou fusionner ces deux phases est un piège fréquent.

Piège d'examen

Vitesse de réponse vs preuve volatile

Éteindre vite une machine peut stopper la propagation d'un malware, mais détruit la RAM, irrécupérable par des moyens ordinaires. Si une question oppose « contenir au plus vite » et « préserver la preuve », le raisonnement attendu est de capturer le volatile d'abord (memory dump), conformément à l'order of volatility, sauf danger immédiat pour la safety des personnes. La collecte de preuve est un trade-off entre speed of response et préservation, pas un choix automatique en faveur de la rapidité.

Piège d'examen

Comprehensibility : on ne cache pas les preuves à décharge

Le tenet de comprehensibility surprend souvent : même si l'organisation veut présenter une histoire cohérente, elle ne peut pas dissimuler une preuve contraire à cette histoire. Retenir une preuve défavorable peut, dans certains cas, constituer une infraction. Le security professional n'est pas un avocat partisan : couplé à l'objectivity (pas d'opinion subjective sauf demande de la cour), ce principe impose une présentation complète et factuelle, pas une sélection orientée.

Point de contrôle — Point de contrôle

  1. Lors de la présentation d'une preuve devant un tribunal, quel tenet impose de ne pas dissimuler une preuve contraire à l'histoire que l'organisation veut raconter ?

    • A Comprehensibility
    • B Admissibility
    • C Accuracy
    • D Objectivity
    Réponse & justification

    Réponse : A — Comprehensibility

    La comprehensibility interdit de retenir une preuve contraire, ce qui peut même être une infraction. L'admissibility concerne l'acceptation de la preuve par la cour. L'accuracy exige que la preuve soit vraie et claire. L'objectivity proscrit l'opinion subjective. Seule la comprehensibility vise la dissimulation d'éléments à décharge.

  2. Un security professional ajoute son interprétation personnelle des intentions de l'attaquant dans son témoignage, sans que la cour ou le conseil le lui demande. Quel tenet enfreint-il ?

    • A Objectivity
    • B Comprehensibility
    • C Admissibility
    • D Accuracy
    Réponse & justification

    Réponse : A — Objectivity

    L'objectivity impose que la preuve vaille par elle-même sur une base factuelle ; sauf demande de la cour ou du conseil, le professionnel ne doit pas introduire d'opinion subjective. La comprehensibility vise la non-dissimulation, l'admissibility l'acceptation par la cour, l'accuracy la véracité. Ajouter une opinion non sollicitée enfreint l'objectivity.

  3. Selon le manuel, qu'est-ce qui détermine en pratique qu'une preuve sera acceptée ou non par la cour (admissibility) ?

    • A La façon dont elle a été documentée, préservée et présentée
    • B Le seul fait qu'elle n'ait jamais été altérée
    • C Sa quantité, plus il y en a mieux c'est
    • D L'ancienneté de la preuve par rapport à l'incident
    Réponse & justification

    Réponse : A — La façon dont elle a été documentée, préservée et présentée

    Le manuel précise que toute preuve altérée n'est pas forcément irrecevable et que toute preuve intacte n'est pas forcément acceptée : tout dépend de sa documentation, sa préservation et sa présentation. L'intégrité seule (jamais altérée) ne suffit donc pas, ce qui invalide la deuxième option ; quantité et ancienneté ne sont pas des critères pertinents.

  4. Quel tenet est directement engagé lorsque la cour signale qu'une partie de la preuve soumise n'est pas acceptable et ne peut être présentée ?

    • A Admissibility
    • B Objectivity
    • C Accuracy
    • D Comprehensibility
    Réponse & justification

    Réponse : A — Admissibility

    L'admissibility signifie que seule une preuve acceptable par la cour peut être présentée, et c'est la cour qui informe le professionnel de ce qui est irrecevable - exactement le scénario décrit. L'accuracy porte sur la véracité, l'objectivity sur l'absence d'opinion, la comprehensibility sur la non-dissimulation : aucune ne décrit le rejet par la cour.

Points essentiels à retenir

  • Quatre types d'investigation : administrative, criminal, civil, regulatory, avec des standards de preuve distincts (beyond a reasonable doubt vs preponderance of evidence).
  • Les quatre tenets de présentation : admissibility, accuracy, comprehensibility, objectivity ; la documentation les sécurise tous.
  • Order of volatility : collecter du plus volatile (RAM) au plus durable ; capturer la RAM avant d'éteindre, sauf danger immédiat.
  • Chain of custody : qui/quoi/où/pourquoi/quand à chaque manipulation ; préserver l'original via write-blocking et bit-level copies.
  • Cycle forensique NIST (SP 800-86) : Collection -> Examination -> Analysis -> Reporting ; la forensic readiness se prépare en amont.
  • Standards ISO : 27037 (collecte/préservation), 27041 (assurance), 27042 (analyse), 27043 (processus), 27050 (eDiscovery).
  • Externaliser vers un professionnel certifié, voire licencié (private investigator selon la juridiction), plutôt que l'équipe IT interne.
Module 2 Objectif Journalisation Objectif Détection d'intrusion Objectif IDS/IPS Objectif Threat hunting Objectif IoC 110 min Intermédiaire

Journalisation et détection d'intrusion

Prérequis : Maîtrise de la triade CIA, du cycle IAAAA et de la defense in depth (Domaine 1).

On ne peut défendre que ce que l'on observe. Ce module relie deux piliers complémentaires des Security Operations : la journalisation (logging), qui produit la matière première de toute investigation, et la détection d'intrusion, qui transforme ce flux de signaux en alertes exploitables. Vous apprendrez à distinguer un simple event d'un precursor, d'un indicator et d'un indicator of compromise (IoC), à structurer un programme de log management selon NIST SP 800-92 et ISO 27001 A.12.4, et à raisonner sur l'intrusion à travers la triade CIA étendue (CIANA+PS).

La seconde moitié du module porte sur les IDS et IPS : leurs définitions, leur placement (perimeter, host-based, network-based) illustré par la Figure 7.1, et les quatre grandes méthodes de détection (deviation, signature, pattern matching, heuristic). Vous verrez aussi comment le threat hunting, le threat modeling, MITRE ATT&CK et les solutions EDR/XDR prolongent la détection vers une posture proactive.

L'examen teste surtout des distinctions fines (IDS vs IPS, signature vs deviation, precursor vs indicator) et des choix de placement. L'objectif est de relier chaque signal à la bonne mécanique de détection et chaque actif à la bonne couche de surveillance.

Objectifs pédagogiques

  • Expliquer pourquoi logging et monitoring sont indispensables aux Security Operations et au forensic
  • Distinguer event, precursor, indicator et indicator of compromise (IoC)
  • Structurer un programme de log management selon NIST SP 800-92 et ISO 27001 A.12.4
  • Différencier IDS et IPS et choisir le bon placement (perimeter, HIDS/HIPS, NIDS/NIPS)
  • Comparer les méthodes de détection (deviation, signature, pattern matching, heuristic) et situer EDR/XDR et le threat hunting

Critères de réussite

  • Je sais classer un signal donné en precursor, indicator ou IoC et justifier mon choix
  • Je sais citer les phases d'un cycle de log management et les rattacher à NIST SP 800-92 / ISO 27001 A.12.4
  • Je sais choisir entre IDS et IPS selon la tolérance au risque de blocage et à la latence
  • Je sais placer un capteur NIDS/NIPS ou un agent HIDS/HIPS au bon endroit dans une architecture donnée
  • Je sais identifier la méthode de détection (signature, deviation, heuristic) la mieux adaptée à une menace donnée

2.1 Pourquoi journaliser : events, precursors, indicators et IoC

Chaîne reliant event, precursor, indicator et indicator of compromise
Figure 2.1 · Du signal brut à l'IoC : classification des events

La journalisation n'est pas une formalité de conformité : c'est la mémoire de l'organisation. Sans logs, impossible de détecter une attaque en cours, de reconstruire la séquence d'un incident, ni de produire les preuves recevables d'une enquête forensic. Les signaux capturés par les systèmes, applications et équipements réseau permettent de reconstituer un enchaînement d'événements pour le troubleshooting, la recovery et l'investigation légale post-incident. C'est aussi la base de l'accountability vue au Domaine 1 : sans trace, aucune action n'est imputable.

Tout part de l'event, c'est-à-dire tout fait observable dans un système. Les events (ou les signaux qu'ils produisent) se classent ensuite en deux familles. Un precursor est un signal suggérant un possible changement de conditions, interne ou externe, susceptible de modifier le threat landscape : une montée de tensions sociales, des griefs d'employés ou de clients devenant viraux sur les réseaux sociaux. Les precursors servent à ajuster en quasi temps réel les seuils d'alarme et la sensibilité des capteurs, voire à durcir le niveau de challenge exigé lors de l'authentification. Un indicator, lui, suggère qu'une action non autorisée est sur le point de se produire, est en cours, ou a déjà eu lieu.

Le cas le plus critique est l'indicator of compromise (IoC) : un signal qu'une intrusion, un malware ou un ensemble d'événements hostiles prédéfinis se produit ou s'est produit. Exemples : une tentative de contournement d'une allowed/blocked list (signe d'installation de malware), ou des connexions depuis des IP ou des régions où aucun utilisateur authentifié ne devrait se trouver. Les IoC doivent être traités en priorité immédiate par les humains du SOC. Piège d'examen : un precursor anticipe un changement de contexte, un indicator signale une activité non autorisée, et un IoC est un indicator de haute confiance prouvant qu'une compromission est en cours ou avérée.

Tout journaliser sans filtre noie l'analyste sous le bruit. Le clipping level est le seuil au-dessous duquel des evenements repetitifs et benins ne declenchent pas d'alerte : par exemple, tolerer trois echecs d'authentification avant de signaler le quatrieme. Bien regle, il reduit les faux positifs et fait ressortir les anomalies reelles ; mal regle, il masque une attaque lente (low and slow) sous le seuil. Le clipping level se definit a partir d'une baseline d'activite normale et s'ajuste avec l'experience.

Mots-clés EN Event Precursor Indicator Indicator of compromise (IoC) Threat landscape Forensic evidence Clipping level
Points clés
  • Sans logs : ni détection, ni reconstruction d'incident, ni preuve forensic, ni accountability
  • Event -> precursor (changement de contexte à venir) ou indicator (activité non autorisée)
  • IoC = indicator de haute confiance d'une compromission en cours ou avérée
  • Les IoC sont prioritaires pour traitement humain immédiat au SOC
  • Clipping level : seuil anti-bruit ; trop haut, il masque une attaque low and slow.

2.2 Le cycle de log management : NIST SP 800-92 et ISO 27001 A.12.4

Cycle de vie du log management de la génération à la disposition
Figure 2.2 · Cycle de vie du log management (NIST SP 800-92)

Tout framework de sécurité traite la journalisation d'une manière ou d'une autre. Deux références dominent l'examen. NIST SP 800-92, Guide to Computer Security Log Management, décrit une pratique de log management largement applicable à tout système d'information. ISO 27001 aborde le sujet dans son Annexe A, contrôle A.12.4 Logging and Monitoring. Connaître ces deux ancrages permet de répondre aux questions qui demandent la source normative d'une bonne pratique de journalisation.

Un programme de log management bien structuré couvre un cycle de vie complet : conformité et standards de logging ; politiques de logging à travers le cycle de vie des systèmes et de l'information ; infrastructure de logging ; génération, collecte et normalisation des logs ; protection des logs de leur création à leur disposition (archivage ou destruction défendable) ; enfin revue, analytique et reporting. Chaque étape a sa logique de sécurité : la normalisation rend comparables des formats hétérogènes, la protection garantit l'intégrité et la non-altération des preuves, l'archivage et la destruction défendable répondent aux exigences de rétention légale.

La plupart des indicators et certains precursors peuvent être capturés et journalisés par le matériel, les OS, les applications et les équipements de gestion réseau. Mais accumuler des logs ne suffit pas : sans collecte centralisée, normalisation et revue, le volume noie l'analyste. C'est précisément le rôle d'un SIEM (Security Information and Event Management), qui agrège, normalise, corrèle et stocke ces logs - sujet d'un module ultérieur. Piège d'examen : la protection des logs « de la création à la disposition » inclut la destruction défendable (defensible destruction), pas seulement l'archivage ; et NIST SP 800-92 est LE guide dédié au log management, à ne pas confondre avec SP 800-137 (continuous monitoring).

Mots-clés EN NIST SP 800-92 ISO 27001 A.12.4 Log normalization Defensible destruction Log lifecycle SIEM
Points clés
  • NIST SP 800-92 = guide dédié au log management ; ISO 27001 A.12.4 = Logging and Monitoring
  • Cycle : compliance -> policies -> infrastructure -> génération/collecte/normalisation -> protection -> revue/reporting
  • Protection des logs « de la création à la disposition » : archivage OU destruction défendable
  • Le SIEM agrège, normalise, corrèle et stocke ; il ne remplace pas la politique de logging

2.3 L'intrusion : CIANA+PS, zero trust, insiders et outsiders

Zones contrôlées séparées par des ethical walls et points d'intrusion
Figure 2.3 · Intrusion sous zero trust : zones contrôlées et accès

Une entrée non autorisée dans l'environnement d'une organisation, en particulier dans ses systèmes d'information, peut affecter tous les éléments de la triade CIA, ou du jeu élargi CIANA+PS (Confidentiality, Integrity, Availability, Nonrepudiation, Authenticity + Privacy, Safety). L'intrusion n'est donc pas qu'une affaire de confidentialité : un attaquant qui pousse des applications en fail state pour en prendre le contrôle attaque aussi l'availability. L'examen attend que vous reliiez une intrusion donnée au bon attribut compromis, parfois plusieurs à la fois.

Traditionnellement, « intrusion » désignait l'accès non autorisé d'attaquants externes, par opposition aux menaces internes. Cette vision est aujourd'hui jugée naïve au regard de la croissance de l'insider threat. À mesure que les systèmes se complexifient et adoptent les principes d'une zero trust architecture, l'intrusion doit être redéfinie comme tout mouvement ou toute tentative non authentifiée et non autorisée d'entrer dans une zone, un système, un sous-système, un domaine ou un sous-domaine contrôlé, par un user (humain ou non humain) ou un subject au sens du contrôle d'accès.

Certains tenants du zero trust soutiennent que les mots « insider » et « outsider » détournent l'attention des vrais enjeux : la bonne implémentation du contrôle d'accès. Dans une organisation cloisonnée par des ethical walls séparant des zones sensibles, un Subject 1 autorisé pour une zone mais pas pour les autres est à la fois « insider » de l'organisation et « outsider » de ces autres zones. En termes d'IAM, les étiquettes insider/outsider ne portent aucun sens : seul compte l'état authentifié et autorisé du subject vis-à-vis de la ressource. Piège d'examen : sous zero trust, on ne raisonne pas « interne vs externe » mais « authentifié et autorisé, ou non » pour chaque tentative d'accès, indépendamment de la position réseau.

Mots-clés EN Intrusion CIANA+PS Zero trust architecture Insider threat Ethical wall Subject
Points clés
  • Une intrusion peut toucher tout CIANA+PS, pas seulement la confidentiality
  • Zero trust redéfinit l'intrusion : tout accès non authentifié/non autorisé, où qu'il soit
  • Les étiquettes insider/outsider n'ont pas de sens en termes d'IAM
  • Un même subject peut être insider de l'organisation et outsider d'une zone

2.4 IDS vs IPS et leur placement (Figure 7.1)

Schéma de placement des capteurs NIDS et NIPS entre internet, DMZ et LAN interne
Figure 2.4 · Figure 7.1 · Placement NIDS/NIPS

Deux classes conceptuelles de mécanismes anti-intrusion existent. Un IDS (intrusion detection system) surveille l'environnement et reconnaît automatiquement les tentatives malveillantes d'accès non autorisé, puis alerte un humain (souvent au SOC ou à l'IT) pour analyse et suite à donner : il détecte mais n'agit pas. Un IPS (intrusion prevention system) surveille de même mais agit automatiquement dès qu'il reconnaît une tentative malveillante, et notifie ensuite qu'une action a été prise. La plupart des solutions modernes peuvent fonctionner en mode IDS ou IPS, l'organisation choisissant le comportement optimal. La distinction d'examen est nette : IDS = détecter et alerter ; IPS = détecter et bloquer.

Le placement se décline en trois familles, illustrées par la Figure 7.1. Le perimeter placement positionne le capteur en bordure du réseau, dans la DMZ, pour inspecter le trafic entrant et sortant ; selon la technologie, il travaille avec les gateways ou en tient lieu. Le host-based installe des agents HIDS/HIPS sur les endpoints pour détecter le trafic suspect entre hôtes : c'est une couche de defense in depth si l'attaquant a franchi le périmètre, et cela peut aussi révéler des menaces internes. Le network-based place des éléments NIDS/NIPS en divers points du réseau pour surveiller le trafic interne et repérer l'activité malveillante latérale.

L'organisation n'est pas limitée à un seul placement : combiner plusieurs emplacements est recommandé, ce que montre la Figure 7.1 avec NIPS en DMZ (north-south) et NIDS sur les segments LAN internes (east-west). Pièges d'examen : un IPS mal réglé peut bloquer une transaction légitime (perte de disponibilité), là où un IDS au pire génère une alerte à trier ; et le host-based protège un hôte précis, tandis que le network-based surveille un segment - on les combine, on ne les oppose pas.

Mots-clés EN IDS IPS Perimeter placement HIDS/HIPS NIDS/NIPS DMZ
Points clés
  • IDS détecte et alerte ; IPS détecte et bloque automatiquement
  • Trois placements : perimeter (DMZ), host-based (HIDS/HIPS), network-based (NIDS/NIPS)
  • Host-based protège un hôte ; network-based surveille un segment ; on les combine
  • Un IPS mal réglé peut bloquer du trafic légitime et nuire à l'availability

2.5 Méthodes de détection, threat hunting, MITRE ATT&CK et trade-offs

Comparaison des méthodes de détection deviation, signature, pattern matching et heuristic
Figure 2.5 · Méthodes de détection IDS/IPS

Un IDS/IPS détecte l'activité malveillante de plusieurs façons. La deviation apprend une baseline d'activité normale pour l'organisation, puis traite tout écart comme suspect. La signature reconnaît des patterns d'attaque connus dans le trafic et l'activité. Le pattern matching scanne le trafic à la recherche de motifs de valeurs prédéfinis (fragments de noms, de mots, combinaisons ou proximités, fréquences d'occurrence, watermarks) pouvant trahir une fuite de données sensibles, qu'elle soit east-west (latérale) ou north-south (vers ou depuis l'extérieur). L'heuristic pousse plus loin : des algorithmes de machine learning enrichissent en continu la connaissance de l'environnement, forme avancée de l'analyse par déviation. Piège classique : la signature ne détecte que le connu (faible contre une menace zero-day) ; la deviation/heuristic peut détecter l'inconnu mais au prix de faux positifs.

La détection moderne se prolonge en threat hunting proactif, devenu une mission à part entière avec l'essor du Wi-Fi nouvelle génération, de l'IoT et du edge/fog computing. Le threat modeling construit des patterns ou typologies décrivant le comportement des threat actors et leurs actions ; nombre de ces typologies sont publiées par MITRE, notamment via le framework ATT&CK (attack.mitre.org). Ces typologies alimentent l'EDR (endpoint detection and response) et le XDR (extended detection and response), qui couvrent une portée temporelle plus large que les HIDS/NIDS classiques : leurs case files peuvent s'étendre sur des mois ou des années, et leurs modèles ML s'appuient sur l'expérience de toute la communauté cyber, filtrable selon le contexte propre de l'organisation. EDR et XDR partagent beaucoup avec le user and entity behavior modeling (UEBA).

Tout système impose des trade-offs. Maintenance : les systèmes par signature exigent des mises à jour régulières des signatures, ceux par baseline une mise à jour à chaque évolution du référentiel. Overhead : tout déploiement pèse sur la productivité, la capacité et la performance, d'où le choix de protéger en priorité les actifs de grande valeur. False positives : chaque réponse a un coût (perte de fonctionnalité ou effort de traitement), à mettre en regard du bénéfice de risque évité. Agility : les attaquants apprennent plus vite que les défenseurs, même si le partage communautaire (cas SUNBURST/SolarWinds) peut rééquilibrer. Learning period : tout outil qui doit « apprendre » la norme génère beaucoup de faux positifs au début. Latency : les IDS/IPS ajoutent souvent une latence notable au trafic. Piège d'examen : pondérer le coût des réponses (faux positifs compris) face au bénéfice attendu est une décision de gestion du risque, pas un réglage purement technique.

Mots-clés EN Deviation Signature Pattern matching Heuristic MITRE ATT&CK EDR/XDR Threat hunting
Points clés
  • Signature = connu uniquement ; deviation/heuristic = inconnu mais faux positifs
  • Pattern matching repère les fuites de données east-west et north-south (DLP)
  • MITRE ATT&CK fournit des typologies alimentant EDR/XDR et le threat hunting
  • Trade-offs : maintenance, overhead, false positives, agility, learning period, latency

Cas d'étude

Cas · Cas d'étude

Bangladesh Bank / SWIFT : la détection qui a manqué

Contexte : En février 2016, des attaquants infiltrent le réseau de la banque centrale du Bangladesh et émettent des ordres de virement SWIFT frauduleux pour près d'un milliard de dollars depuis le compte de la banque à la Federal Reserve de New York. Pour couvrir leurs traces, un malware sur mesure altère l'application SWIFT Alliance Access, supprime les enregistrements de transactions et manipule l'imprimante générant les confirmations papier. Plusieurs virements aboutissent (81 millions de dollars détournés) avant que la fraude ne soit repérée, en partie grâce à une faute de frappe dans un nom de bénéficiaire.

Question : Quels mécanismes de journalisation et de détection (file integrity monitoring, DLP, SIEM, IDS/IPS) auraient pu détecter l'attaque plus tôt, et à quel attribut CIANA+PS chacun se rattache-t-il ?

Topics traités File integrity monitoringDLP / pattern matchingIDS par deviationSIEM et corrélationIntegrity et IoC
Voir l'analyse et la correction

L'altération de l'application SWIFT et la suppression des enregistrements visent l'integrity : un file integrity monitoring (FIM) aurait généré un IoC en détectant la modification non autorisée des binaires et des journaux applicatifs, signal de haute confiance d'une compromission.

Les ordres frauduleux sortants à destination de comptes inhabituels (aux Philippines et au Sri Lanka) sont du trafic north-south anormal : un IDS/IPS par deviation, comparant l'activité à la baseline des flux SWIFT habituels de la banque, aurait signalé l'écart ; un moteur de pattern matching/DLP aurait pu repérer des combinaisons de valeurs suspectes. Ces flux touchent confidentiality (exfiltration d'ordres) et availability/integrity du système de paiement.

Un SIEM aurait corrélé ces signaux disparates (FIM, logs SWIFT, connexions hors horaires, suppression de logs) en une alerte unique de haute probabilité, là où, isolés, chaque event passait inaperçu. La suppression même des logs aurait dû déclencher une alerte : un SIEM avec stockage sécurisé et déporté empêche l'attaquant d'effacer la preuve localement. Enfin, des connexions depuis des sources inhabituelles pendant un week-end constituaient des indicators classiques.

La leçon de gouvernance : aucun contrôle isolé n'aurait suffi ; c'est la combinaison FIM (integrity), DLP/pattern matching (confidentiality), IDS par deviation (availability) et SIEM (corrélation) en defense in depth qui transforme des events épars en IoC actionnable.

À retenir : La détection efficace nait de la corrélation de signaux multiples (FIM, DLP, IDS par deviation, SIEM) ; un stockage de logs sécurisé et déporté est crucial car l'effacement des logs est lui-même un IoC.

Éléments d'apprentissage clés
  • Une modification non autorisée de binaires/logs est un IoC d'integrity détectable par FIM
  • Un IDS par deviation repère un flux SWIFT sortant hors baseline
  • Le SIEM corrèle des events isolés en une alerte unique de haute confiance
  • L'effacement des logs est un IoC ; stocker les logs hors de portée de l'attaquant
Piège d'examen

Precursor vs indicator vs IoC

Trois niveaux à ne pas confondre. Un precursor annonce un possible changement de contexte qui pourrait modifier le threat landscape (tensions sociales, grief viral) : il ajuste les seuils, il ne prouve rien. Un indicator suggère qu'une action non autorisée est imminente, en cours ou passée. Un IoC est un indicator de haute confiance prouvant qu'une intrusion ou un malware se produit ou s'est produit (tentative de contournement d'une allowed/blocked list, login depuis une région interdite). Mot-clé : « possible changement de conditions » -> precursor ; « compromission avérée » -> IoC.

Piège d'examen

IDS détecte, IPS bloque

L'IDS détecte et alerte un humain ; il n'interrompt pas le trafic. L'IPS détecte ET agit automatiquement pour bloquer. Conséquence d'examen : un IPS mal réglé peut bloquer une transaction légitime (false positive coûteux, atteinte à l'availability), tandis qu'un IDS au pire submerge l'analyste d'alertes. Si la question privilégie le zéro faux-blocage (environnement critique sans tolérance à l'interruption), penchez IDS ; si elle privilégie l'arrêt automatique d'une attaque connue, penchez IPS. La plupart des produits font les deux : c'est un choix de configuration, pas de produit.

Piège d'examen

Signature vs deviation : le zero-day

La détection par signature ne reconnaît que les attaques connues : elle est aveugle face à une menace zero-day, et exige des mises à jour régulières de signatures. La détection par deviation (et sa forme avancée heuristic) apprend une baseline et peut donc repérer l'inconnu, mais paie ce pouvoir par des faux positifs, surtout pendant la learning period initiale. À l'examen : « nouvelle attaque jamais vue » -> deviation/heuristic ; « attaque connue, base de signatures à jour » -> signature. Le pattern matching, lui, cible les fuites de données (rôle DLP), pas les patterns d'attaque.

Point de contrôle — Point de contrôle

  1. Le SOC observe plusieurs tentatives de connexion depuis une plage d'adresses IP d'un pays où aucun employé authentifié ne devrait se trouver. Comment qualifier ce signal ?

    • A Un indicator of compromise (IoC)
    • B Un precursor
    • C Un simple event sans signification
    • D Une baseline de deviation
    Réponse & justification

    Réponse : A — Un indicator of compromise (IoC)

    Une connexion depuis une région où aucun utilisateur authentifié ne devrait se trouver est l'exemple type d'IoC : un signal de haute confiance qu'une intrusion se produit. Un precursor annoncerait un changement de contexte (tensions, grief viral), pas une activité non autorisée directe. Un event « sans signification » est faux ici. La baseline de deviation est la référence apprise, pas un signal.

  2. Une banque exige qu'aucune transaction légitime ne soit jamais bloquée automatiquement, mais veut être alertée de toute activité suspecte pour analyse humaine. Quelle solution privilégier ?

    • A Un IDS, qui détecte et alerte sans interrompre le trafic
    • B Un IPS, qui bloque automatiquement toute activité suspecte
    • C Un pare-feu stateless en coupure
    • D La désactivation de toute journalisation pour réduire la latence
    Réponse & justification

    Réponse : A — Un IDS, qui détecte et alerte sans interrompre le trafic

    L'IDS détecte et alerte un humain sans bloquer : il évite tout faux-blocage d'une transaction légitime, exigence du scénario. L'IPS bloquerait automatiquement, donc risquerait un false positive coûteux sur une transaction valide. Un pare-feu stateless ne répond pas au besoin de détection comportementale. Désactiver la journalisation supprimerait justement la capacité de détection et de preuve.

  3. Une organisation veut détecter des attaques entièrement nouvelles, jamais répertoriées. Quelle méthode de détection est la plus adaptée, et quel en est le principal inconvénient ?

    • A Deviation/heuristic ; inconvénient : davantage de faux positifs
    • B Signature ; inconvénient : trop de faux positifs
    • C Pattern matching ; inconvénient : ne détecte que les fuites de données
    • D Signature ; inconvénient : nécessite une learning period
    Réponse & justification

    Réponse : A — Deviation/heuristic ; inconvénient : davantage de faux positifs

    La détection par deviation (et sa forme heuristic par ML) apprend une baseline et peut repérer l'inconnu, dont les attaques zero-day ; son prix est un taux de faux positifs plus élevé, surtout durant la learning period. La signature ne reconnaît que le connu, donc inadaptée au nouveau. Le pattern matching cible les fuites de données, pas la nouveauté des attaques. La learning period concerne les systèmes par baseline, pas la signature.

  4. Dans la Figure 7.1, un capteur surveille le trafic interne entre segments LAN pour repérer un déplacement latéral d'attaquant ayant déjà franchi le périmètre. De quel type de placement s'agit-il ?

    • A Network-based (NIDS/NIPS) sur un segment interne
    • B Perimeter placement dans la DMZ
    • C Host-based (HIDS/HIPS) sur un endpoint unique
    • D Aucun placement ne couvre le trafic interne
    Réponse & justification

    Réponse : A — Network-based (NIDS/NIPS) sur un segment interne

    Surveiller le trafic interne entre segments pour détecter un déplacement latéral (east-west) est le rôle d'un NIDS/NIPS network-based placé sur un segment interne. Le perimeter placement inspecte le trafic north-south en bordure/DMZ. Le host-based protège un hôte précis, pas un segment entier. L'affirmation qu'aucun placement ne couvre l'interne est fausse : NIDS/NIPS et HIDS/HIPS le font, et on les combine en defense in depth.

Points essentiels à retenir

  • Sans logs, pas de détection, pas de reconstruction d'incident, pas de preuve forensic ni d'accountability.
  • Event -> precursor (changement de contexte) ou indicator ; un IoC est un indicator de haute confiance d'une compromission.
  • NIST SP 800-92 est le guide dédié au log management ; ISO 27001 A.12.4 couvre Logging and Monitoring.
  • Sous zero trust, l'intrusion est tout accès non authentifié/non autorisé (CIANA+PS) ; insider/outsider n'ont pas de sens en IAM.
  • IDS détecte et alerte ; IPS détecte et bloque ; placements perimeter, host-based (HIDS/HIPS) et network-based (NIDS/NIPS) se combinent.
  • Signature = connu ; deviation/heuristic = inconnu mais faux positifs ; MITRE ATT&CK, EDR/XDR et threat hunting prolongent la détection ; trade-offs : maintenance, overhead, false positives, agility, learning period, latency.
Module 3 Objectif SIEM/SEM/SIM Objectif SOAR Objectif Continuous monitoring ISCM Objectif Egress/DLP Objectif Threat intelligence Objectif UEBA 120 min Intermédiaire

Monitoring, SIEM/SOAR et threat intelligence

Prérequis : Notions de logging, IDS/IPS, et de classification des données. Module M2 du Domaine 7 recommandé.

Collecter des logs ne sert à rien si personne ne les corrèle, ne les comprend et n'agit. Ce module décrit la chaîne moderne de surveillance des opérations de sécurité : le SIEM qui agrège et corrèle, le SOAR qui orchestre et automatise la réponse, le continuous monitoring (ISCM) qui ne dort jamais, le DLP qui surveille la sortie des données, la threat intelligence qui anticipe, et l'UEBA qui repère l'anormal par apprentissage automatique.

L'examen teste surtout vos distinctions : SIEM vs SEM vs SIM, playbook vs runbook, ingress vs egress, data at rest vs in motion vs in use, threat intelligence externe vs interne, strict vs loose enforcement. Il teste aussi votre lucidité : aucune de ces technologies n'est infaillible, comme l'a montré SolarWinds/SUNBURST.

À la fin du module, vous saurez positionner chaque outil dans la chaîne défensive, choisir le bon modèle de responsabilité (self-hosted, cloud, hybride, SIEMaaS) et expliquer pourquoi l'automatisation ne remplace jamais l'analyste humain.

Objectifs pédagogiques

  • Définir le SIEM, le distinguer du SEM et du SIM, et énumérer ses fonctions (aggregation, normalization, correlation, secure storage, analysis, reporting, real-time monitoring)
  • Expliquer le SOAR (orchestration, automation, response) et différencier playbook et runbook
  • Décrire le continuous monitoring / ISCM (NIST SP 800-137) et le situer face à ISO 27004, COBIT et PCI DSS
  • Distinguer ingress et egress monitoring, et expliquer le DLP (rule sets, états des données, fonctions)
  • Expliquer la threat intelligence (externe/interne, ISAC, intelligence cycle) et l'UEBA (composants, MITRE ATT&CK, enforcement, convergence avec le SIEM)
  • Identifier les limites du monitoring (évasion, log tampering, attaques lentes, cloud/CSP, SolarWinds)

Critères de réussite

  • Je sais expliquer ce que recouvre chacune des sept fonctions d'un SIEM et pourquoi SIEM est un terme marketing combinant SEM et SIM
  • Je sais choisir le bon modèle de responsabilité SIEM (self-hosted, cloud self-manage, hybride, SIEMaaS) selon les compétences internes
  • Je sais différencier playbook (séquence linéaire) et runbook (logique conditionnelle), et ingress de egress
  • Je sais classer une donnée en at rest, in motion ou in use et associer le bon agent DLP
  • Je sais expliquer pourquoi SIEM et UEBA convergent et ce que l'UEBA apporte que le SIEM seul ne fait pas

3.1 Le SIEM : SEM + SIM, et ses sept fonctions

Sources de logs (firewalls, IDS, serveurs) convergeant vers un moteur SIEM central
Figure 3.1 · Figure 7.2 · Architecture SIEM

Une organisation typique fait tourner une multitude de systèmes de détection (firewalls, IDS, IPS, hôtes Windows et UNIX) répartis dans les segments réseau et sur les hôtes critiques. Le nombre et la diversité de ces sources rendent le travail de surveillance ingérable à la main. Le SIEM (Security Information and Event Management) répond à ce problème en centralisant la donnée de sécurité dans une interface unique. Le terme SIEM est en réalité un descripteur marketing qui fusionne deux familles d'outils antérieures : le SIM (Security Information Management), orienté collecte et analyse a posteriori des logs, et le SEM (Security Event Management), orienté détection et réponse aux incidents en temps réel. Comprendre cette filiation explique pourquoi un SIEM fait à la fois de l'archivage historique et de l'alerte temps réel.

Les fonctions communes d'un SIEM sont au nombre de sept. Aggregation : il collecte les informations de tout l'environnement (firewalls, IDS/IPS, outils de performance IT, équipements réseau, hôtes/endpoints, anti-malware) dans un dépôt centralisé. Normalization : il harmonise des formats hétérogènes en une représentation standardisée, évitant à l'analyste de répéter des revues de log sur chaque système. Correlation : il assigne mathématiquement poids et probabilité aux activités pour estimer automatiquement qu'un flux de logs constitue une attaque réelle, et si elle touche plusieurs hôtes ou réseaux. Secure storage : il archive de façon sécurisée des logs précieux à la fois pour l'organisation et pour les attaquants.

Les trois dernières fonctions : Analysis (analyses automatisées par scripts et heuristiques), Reporting (restitution historique et courante de l'activité), et Real-time monitoring (surveillance et détection de menaces en temps réel permettant une réaction rapide). La Figure 7.2 montre des serveurs physiques, mais en pratique toutes ces fonctions tournent souvent sur des VMs hébergées en cloud privé on-premises, public ou hybride.

Piège d'examen : ne confondez pas les composants. Le SEM capture les événements temps réel (il peut servir de brique au DLP) ; le SIM gère l'information de log dans la durée. Le SIEM est leur somme, pas un troisième modèle distinct.

Mots-clés EN SIEM SEM SIM Aggregation Normalization Correlation Secure storage Real-time monitoring
Points clés
  • SIEM = terme marketing combinant SEM (temps réel) et SIM (historique)
  • Sept fonctions : aggregation, normalization, correlation, secure storage, analysis, reporting, real-time monitoring
  • Le SIEM tourne souvent sur des VMs en cloud privé, public ou hybride
  • La correlation pondère les événements pour estimer une attaque multi-hôtes

3.2 SIEM-as-a-service : répartition des responsabilités

Spectre de répartition des responsabilités SIEM entre organisation et MSSP
Figure 3.2 · Figure 7.2 · Architecture SIEM

Comme pour les modèles de service cloud, le SIEM en tant que service (qui n'a pas encore d'acronyme universellement reconnu) confronte l'organisation à un ensemble total de responsabilités et de fonctions à assurer, mais avec différentes façons de répartir ces responsabilités entre l'interne et un prestataire tiers. La chaîne défensive complète suit les mêmes étapes que n'importe quel système IT : identification et analyse des besoins, build/buy/rent, déploiement et exploitation. Le curseur de répartition peut se positionner à plusieurs endroits du spectre.

Self-hosted, self-managed : l'organisation fait tout elle-même, ce qui exige un éventail intimidant de compétences clés à maintenir en interne. Cloud SIEM, self-manage : un MSSP (Managed Security Services Provider) hébergé en cloud gère la couche opérationnelle intermédiaire (collecte et agrégation des données SIEM) ; l'organisation conserve le placement et l'exploitation des capteurs de détection, puis la corrélation et les actions de réponse. La gestion globale de la chaîne menace-vulnérabilité-réponse reste chez l'organisation.

Hybrid self-hosted : l'organisation choisit, installe et maintient les systèmes SIEM, capteurs et matériels ; le MSSP partage avec elle la collecte, l'agrégation et la corrélation, en partenaire du processus global. SIEM as a Service : le prestataire prend en charge toutes les tâches jusqu'au point où l'organisation répond aux données SIEM ou les exploite dans sa gestion d'incident et ses autres processus de sécurité.

Piège d'examen : plus on délègue, moins on a besoin de compétences internes, mais la responsabilité finale de l'usage des données et de la décision de réponse incombe presque toujours à l'organisation, sauf dans le modèle SIEMaaS le plus complet. C'est une déclinaison directe du modèle de responsabilité partagée du cloud appliquée à la sécurité.

Mots-clés EN SIEM as a Service MSSP Self-hosted, self-managed Hybrid self-hosted Shared responsibility
Points clés
  • Quatre modèles : self-hosted/self-managed, cloud self-manage, hybrid self-hosted, SIEMaaS
  • Le MSSP prend en charge la couche opérationnelle selon le modèle choisi
  • Plus on délègue, moins de compétences internes requises
  • La décision de réponse reste à l'organisation sauf SIEMaaS complet

3.3 SOAR : orchestration, automatisation et réponse

Pipeline SOAR reliant orchestration, automation et response avec playbooks et runbooks
Figure 3.3 · Pipeline SOAR : orchestration, automation, response

Beaucoup d'incidents ont des causes connues et des solutions bien définies. Automatiser ces réponses allège la charge des équipes de réponse aux incidents et accélère le recovery. Le SOAR (Security Orchestration, Automation, and Response) est comparable, à certains égards, au CI/CD : les deux s'appuient massivement sur les données de processus détaillées générées par les nombreux outils de leur domaine, et les deux apportent un degré supérieur d'automatisation et d'intégration. Le CI/CD le fait pour l'intégration, le test et la livraison des unités logicielles ; le SOAR rend un service analogue aux professionnels de sécurité en rassemblant toutes les données de monitoring et de contrôle et en les intégrant dans des workflows qui automatisent des processus qui exigeraient sinon une coordination humaine.

Le SOAR repose sur trois processus principaux. Security Orchestration : réunir les divers « îlots d'automatisation de sécurité » déjà en place (next-generation firewalls, SIEMs, autres stacks technologiques), souvent fournis par des éditeurs différents, ce qui rend l'orchestration manuelle difficile et chronophage ; des workflows spécifient les séquences de tâches de chaque activité d'orchestration. Security Automation : transformer ces workflows en exécution conditionnellement déclenchée de playbooks ou de runbooks.

La distinction playbook / runbook est un point d'examen classique. Les playbooks sont généralement des séquences linéaires de tâches. Les runbooks contiennent une logique conditionnelle qui contrôle l'exécution de branches et de suites d'activités. Certains systèmes SOAR appliquent même différents degrés de ML au développement, à l'exécution et au suivi de performance des runbooks et des playbooks. Security Response : fournir l'ensemble complet de ces capacités d'orchestration et d'automatisation pour renforcer la réponse aux incidents.

Piège d'examen : playbook = linéaire, runbook = conditionnel (logique de branchement). Et le SOAR n'invente pas la détection : il orchestre et automatise la réponse à partir de données que le SIEM et les autres outils ont déjà produites.

Mots-clés EN SOAR Security orchestration Playbook Runbook CI/CD analogy
Points clés
  • SOAR = Orchestration + Automation + Response, analogue au CI/CD
  • Orchestration relie les îlots d'automatisation existants par des workflows
  • Playbook = linéaire ; runbook = conditionnel avec branches
  • Le SOAR automatise la réponse à partir des données déjà collectées

3.4 Continuous monitoring et ISCM (NIST SP 800-137)

Cycle continu en six phases de l'ISCM selon le NIST SP 800-137
Figure 3.4 · Figure 7.3 · Cycle ISCM (NIST 800-137)

Le continuous monitoring, formalisé sous le nom d'Information Security Continuous Monitoring (ISCM) et couplé à l'automatisation, est désormais la norme des opérations d'entreprise. L'ISCM maintient une conscience permanente de la sécurité de l'information, des vulnérabilités et des menaces pour soutenir les décisions de gestion des risques. Il part du principe que les actifs informationnels sont exposés aux risques 24 heures sur 24, 7 jours sur 7, toute l'année (jours fériés et arrêts d'activité inclus), et que l'organisation doit planifier, financer, maintenir et surveiller ses systèmes dans cette perspective.

Le NIST SP 800-137 fournit un cadre en six phases pour mettre en œuvre une stratégie ISCM (Figure 7.3). Le terme ISCM n'est pas employé par l'ISO, mais le concept y est exprimé dans l'ISO/IEC 27004:2016 (Monitoring, Measurement, Analysis and Evaluation) comme « mesure quantitative continue de la pertinence de l'ISMS ». D'autres référentiels - COBIT (Control Objectives for Information and Related Technology) et PCI DSS (Payment Card Industry Data Security Standard) - attendent également une surveillance continue de la performance des contrôles.

La différence avec le passé est subtile mais testable. Auparavant, les frameworks suggéraient que ces phases pouvaient se chevaucher ou que certaines survenaient plus souvent que d'autres. Dans l'ISCM, ces phases sont toutes conduites en continu tout au long de la journée, en se chevauchant, à mesure que des événements font apparaître de nouveaux précurseurs et indicateurs. Les processus métier qui rendent l'ISCM possible incluent des inventaires exhaustifs, l'établissement de métriques de performance pour les contrôles, des processus de réponse aux incidents, et des activités d'amélioration continue des processus. Encore faut-il disposer des outils et de l'infrastructure pour collecter, analyser et reporter sur l'environnement surveillé.

Piège d'examen : ISCM = NIST SP 800-137 (six phases), continu et permanent ; le terme n'est pas ISO, mais ISO 27004, COBIT et PCI DSS portent le même esprit de surveillance continue. Ne reliez pas ISCM à l'ISO directement.

Mots-clés EN ISCM NIST SP 800-137 ISO/IEC 27004 COBIT PCI DSS
Points clés
  • ISCM = conscience permanente des risques, 24/7/365
  • NIST SP 800-137 = six phases, toutes conduites en continu et chevauchantes
  • ISO 27004, COBIT et PCI DSS portent le même esprit, sans le terme ISCM
  • Prérequis : inventaires, métriques de contrôles, réponse aux incidents, amélioration continue

3.5 Egress monitoring et DLP : sortir n'est pas anodin

Trois états des données (at rest, in motion, in use) couverts par des agents DLP
Figure 3.5 · États des données protégés par le DLP

Selon que le risque provient du trafic entrant ou sortant, des outils différents s'appliquent. L'ingress monitoring surveille et évalue tout le trafic entrant et les tentatives d'accès ; ses outils de logging et d'alerte incluent firewalls, gateways, serveurs d'authentification distante, IDS/IPS, solutions SIEM et anti-malware, qui doivent être maintenus et patchés (signatures, configurations). L'egress monitoring régule la donnée quittant l'environnement IT. Le terme employé est « DLP » - un descripteur marketing sans définition standard, parfois « data leak protection » ou « data loss protection » - utilisé ici comme synonyme d'egress monitoring.

Le DLP compare la donnée qui sort au regard d'un rule set pour décider si l'action est autorisée. Ce rule set peut reposer sur trois mécanismes. Signature : certains types de données suivent des chaînes facilement identifiables (un DLP réglé contre l'egress de cartes bancaires cherche et séquestre toute chaîne de 15 à 20 caractères numériques). Pattern matching : le DLP cherche des motifs, par exemple deux mots commençant chacun par une majuscule pour restreindre l'export de noms propres, ou la fréquence d'un mot dans un document pour bloquer la sortie d'information propriétaire. Labeling : les actifs sensibles sont étiquetés (« copyright », « proprietary », « confidential ») et reconnus par l'outil.

Le DLP se déploie selon trois états des données. Data at rest : agents placés dans les emplacements de stockage (bases, archives). Data in motion : logiciel inspectant le trafic sortant. Data in use : agents installés sur les endpoints, crucial en BYOD et en cloud où l'utilisateur traite la donnée de l'organisation sur ses propres appareils. L'effort global de protection inclut data discovery/classification, monitoring (email et pièces jointes, copie sur média portable, FTP, publication web, applications/API) et enforcement, calibré selon l'appétit risque/bénéfice : training (rappel de politique), attribution (l'utilisateur confirme son intention et accepte la responsabilité), ou stringency/prevention (blocage, verrouillage du compte, alerte au management).

Piège d'examen : DLP = egress (sortie), pas ingress. Les fonctions que le DLP sert (compliance, security, training/awareness, due diligence, asset management) ne sont pas ses états (at rest / in motion / in use) ni ses mécanismes de règle (signature / pattern / labeling). Un défi actuel : déployer DLP et ISCM dans une zero trust architecture, pas seulement au périmètre.

Mots-clés EN Ingress monitoring Egress monitoring DLP Data at rest Data in motion Data in use Labeling
Points clés
  • Ingress = entrant ; egress = sortant ; DLP est de l'egress monitoring
  • Rule sets DLP : signature, pattern matching, labeling
  • États : data at rest, in motion, in use (BYOD/cloud)
  • Enforcement : training, attribution, stringency/prevention selon l'appétit risque

3.6 Threat intelligence, UEBA et limites du monitoring

Cycle de renseignement du FBI : planification, collecte, traitement, analyse, diffusion
Figure 3.6 · Figure 7.4 · Cycle de renseignement (FBI)

La threat intelligence est le processus structuré d'identification des menaces de l'organisation, à partir de sources externes et internes. La threat intelligence externe inclut la recherche open-source, le threat modeling et l'information fournie par des tiers : éditeurs, entités gouvernementales, ou ISAC (Information Sharing and Analysis Centers) et organisations similaires ; elle révèle des menaces déjà identifiées ailleurs. La threat intelligence interne résulte de la surveillance des systèmes et activités de l'environnement : logs système/événement/application, reporting d'incidents, résultats d'investigations forensiques, CMDB et inventaires (qui repèrent des cibles attrayantes), et l'environnement IAM (privilèges élevés, activité inhabituelle). Les grandes organisations structurent cela en un intelligence cycle ; l'exemple de référence est le cycle de renseignement du FBI (Figure 7.4), qui organise la collecte, le raffinement et la diffusion.

L'UEBA (User and Entity Behavior Analytics) ajoute le « e » d'entity (Gartner, 2017) à l'analyse comportementale historiquement centrée utilisateur. La raison : un attaquant sophistiqué utilise plusieurs identifiants utilisateurs volés en se déplaçant latéralement, mais souvent depuis une poignée d'identités au niveau device (adresse MAC ou IP). L'UEBA s'appuie sur le ML et l'IA et comporte trois composants : use cases, analytics et data (Figure 7.5, le « policier » et la « loupe » jouant l'analytics et l'intervention). Il construit un template de comportement normal par observation dans le temps, peuplé de use cases représentant des typologies d'attaque connues (malicious insider, identité compromise, zero-day) - le framework MITRE ATT&CK fournit beaucoup de ces use cases pour entraîner l'UEBA.

L'enforcement de l'UEBA se règle entre strict (plus de false positives, gêne le travail légitime) et loose, main légère sur le « kill switch » (plus de false negatives, peut laisser passer un intrus). L'UEBA s'appuie sur les données du logging et du SIEM et est souvent une fonction analytique de l'environnement SIEM : la distinction paraît floue car les deux exploitent les mêmes données. Ils sont en fait complémentaires - le SIEM assure réponse aux incidents et automatisation, l'UEBA se concentre sur l'analyse de gros volumes ; l'activité anormale détectée par l'UEBA est passée au SIEM pour action. Certains analystes estiment que SIEM et UEBA convergent au point de rendre la distinction caduque.

Enfin, le monitoring n'est jamais parfait. Les attaquants déjouent la corrélation en manipulant les horloges système ou en supprimant les logs, ou exécutent leurs attaques lentement pour ne pas franchir les seuils d'alerte. Les environnements de logging legacy ne chiffraient ni n'authentifiaient le trafic de log, vulnérable à un tampering indétectable. Le cloud pose des défis propres : forte virtualisation, dépendance aux API et à la bonne volonté du CSP de partager les logs, coût prohibitif d'extraction des logs. L'exemple le plus frappant est SolarWinds / SUNBURST : l'attaquant opérait dans des environnements surveillés par l'IDS Einstein 2 du DHS sans déclencher d'alerte, en retardant l'initialisation du payload, en s'appuyant sur des systèmes de confiance et des certificats numériques suggérant la légitimité. La leçon : automatisation, IA et collecte massive ne suffisent pas ; il faut du personnel formé pour relier les événements à leur sens pour le risque.

Mots-clés EN Threat intelligence ISAC Intelligence cycle UEBA MITRE ATT&CK Strict vs loose enforcement SUNBURST
Points clés
  • Threat intelligence externe (ISAC, vendors, OSINT) vs interne (logs, IAM, forensics)
  • UEBA = user + entity ; trois composants : use cases, analytics, data ; entraîné par MITRE ATT&CK
  • Enforcement strict (faux positifs) vs loose (faux négatifs) ; SIEM et UEBA convergent
  • Limites : log tampering, attaques lentes, cloud/CSP, SolarWinds/SUNBURST ; l'humain reste indispensable

Cas d'étude

Cas · Scénario appliqué

Waxbill UAV : la CSO arbitre entre SIEM et UEBA

Contexte : Waxbill UAV conçoit des drones de surveillance pour des clients gouvernementaux. Sa CSO dispose déjà d'un SIEM mature qui agrège et corrèle les logs de tout le parc et déclenche des playbooks de réponse. Pourtant, un audit révèle qu'un ingénieur de confiance a exfiltré des plans de vol sur six mois, en se déplaçant latéralement avec plusieurs identifiants empruntés et en restant sous les seuils d'alerte du SIEM. La direction demande à la CSO si investir dans une plateforme UEBA apporterait un bénéfice réel, et comment futureproofer l'architecture face à des attaquants patients et furtifs.

Question : Quel bénéfice l'UEBA apporte-t-il que le SIEM seul ne procure pas dans ce cas, et comment positionner les deux pour futureproofer la détection ?

Topics traités Attaque lente sous les seuils d'alerteMouvement latéral et identités multiplesComplémentarité SIEM / UEBAEnforcement strict vs looseFutureproofing par convergence
Voir l'analyse et la correction

Le SIEM excelle à agréger, normaliser et corréler des événements connus, puis à déclencher une réponse. Mais il raisonne par seuils et règles : une attaque lente, distribuée sur plusieurs identifiants empruntés et sous les seuils, ne déclenche pas d'alerte - exactement le profil de cet ingénieur, et l'écho du schéma SUNBURST.

L'UEBA comble ce trou. En ajoutant la dimension entity à l'analyse user, il repère qu'un attaquant utilise plusieurs user IDs depuis une poignée d'identités device (MAC/IP). Par ML/IA, il construit un template de comportement normal et détecte l'écart : un ingénieur qui accède soudain à des plans hors de son périmètre habituel, à des horaires anormaux, est un carton jaune (Figure 7.5). Peuplé de use cases MITRE ATT&CK (malicious insider, identité compromise), il identifie des typologies que le SIEM n'a pas encodées en règle.

Les deux ne s'opposent pas : ils sont complémentaires. L'UEBA est souvent une fonction analytique de l'environnement SIEM ; il analyse de gros volumes et passe l'activité anormale au SIEM pour action (réponse, automatisation). Le bon arbitrage de la CSO : ne pas remplacer le SIEM, mais lui adjoindre l'UEBA, en réglant l'enforcement entre strict (plus de faux positifs, gêne les ingénieurs) et loose (plus de faux négatifs, risque de laisser filer un intrus) selon l'appétit risque. Futureproofing : SIEM et UEBA convergent, donc investir dans cette convergence prépare la détection des attaques inconnues et furtives à venir.

À retenir : Le SIEM corrèle le connu par règles et seuils ; l'UEBA détecte l'anormal et l'inconnu par ML. Complémentaires et convergents, ils se déploient ensemble - l'UEBA en fonction analytique passant l'anomalie au SIEM pour action.

Éléments d'apprentissage clés
  • Le SIEM ne détecte pas ce qu'aucune règle ni seuil n'encode ; l'UEBA repère l'écart au comportement normal
  • L'UEBA relie plusieurs user IDs à une identité entity (device) pour démasquer le mouvement latéral
  • MITRE ATT&CK fournit les use cases d'entraînement (malicious insider, zero-day)
  • On ajoute l'UEBA au SIEM, on ne le remplace pas ; l'anomalie remonte au SIEM pour action
  • Régler l'enforcement (strict/loose) selon l'appétit risque, et miser sur la convergence pour futureproofer
Piège d'examen

SIEM vs SEM vs SIM

SIEM est un terme marketing qui fusionne deux familles : SIM (Security Information Management), centré collecte et analyse a posteriori des logs, et SEM (Security Event Management), centré détection et réponse en temps réel. Le SIEM est leur somme, pas un troisième modèle indépendant. À l'examen, si une question oppose « gestion de l'information historique » et « événements temps réel », pensez SIM vs SEM ; le composant SEM peut servir de brique au DLP en capturant les événements en temps réel.

Piège d'examen

Playbook vs runbook, ingress vs egress

Deux paires souvent inversées. Playbook = séquence linéaire de tâches ; runbook = logique conditionnelle avec branches et suites. Ingress monitoring = trafic entrant (firewalls, gateways, IDS/IPS, SIEM) ; egress monitoring = trafic sortant, et c'est là qu'intervient le DLP. Retenez : DLP régule ce qui SORT (egress) ; il compare la donnée sortante à un rule set (signature, pattern matching, labeling).

Piège d'examen

ISCM n'est pas un terme ISO

Le terme ISCM vient du NIST SP 800-137 (six phases continues). Il n'est pas employé dans les publications ISO, mais le concept y figure : l'ISO/IEC 27004:2016 parle de « mesure quantitative continue de la pertinence de l'ISMS ». COBIT et PCI DSS attendent aussi une surveillance continue des contrôles. Piège : ne reliez pas « ISCM » directement à l'ISO ; reliez-le au NIST, et sachez que l'esprit (continuous monitoring) traverse plusieurs référentiels.

Piège d'examen

DLP : ne pas confondre états, mécanismes et fonctions

Le DLP se décline sur trois axes distincts que l'examen aime mélanger. États des données : at rest (stockage), in motion (transit), in use (endpoint, BYOD/cloud). Mécanismes de rule set : signature, pattern matching, labeling. Fonctions servies : compliance, security, training/awareness, due diligence, asset management. Un agent DLP « data in use » n'est pas une « fonction de compliance » ; ce sont trois grilles de lecture différentes du même outil.

Point de contrôle — Point de contrôle

  1. Quelle affirmation décrit le mieux la nature du SIEM ?

    • A Un terme marketing fusionnant le SEM (temps réel) et le SIM (historique)
    • B Un standard ISO définissant la corrélation de logs
    • C Un outil exclusivement temps réel, sans archivage
    • D Un protocole d'échange de logs entre firewalls
    Réponse & justification

    Réponse : A — Un terme marketing fusionnant le SEM (temps réel) et le SIM (historique)

    Le SIEM est un descripteur marketing combinant le SEM (détection/réponse temps réel) et le SIM (collecte/analyse historique). Ce n'est pas un standard ISO, ni un simple outil temps réel (il archive aussi via secure storage), ni un protocole.

  2. Dans un SOAR, quelle est la différence entre un playbook et un runbook ?

    • A Le playbook est une séquence linéaire ; le runbook contient une logique conditionnelle
    • B Le playbook est conditionnel ; le runbook est linéaire
    • C Le playbook concerne l'ingress, le runbook l'egress
    • D Le playbook est humain, le runbook est forcément piloté par IA
    Réponse & justification

    Réponse : A — Le playbook est une séquence linéaire ; le runbook contient une logique conditionnelle

    Les playbooks sont des séquences linéaires de tâches ; les runbooks ajoutent une logique conditionnelle contrôlant branches et suites. L'option 2 inverse les deux. Ingress/egress et IA ne définissent pas cette distinction (certains SOAR appliquent du ML aux deux).

  3. Quel cadre fournit les six phases de l'Information Security Continuous Monitoring (ISCM) ?

    • A NIST SP 800-137
    • B ISO/IEC 27004:2016
    • C PCI DSS
    • D COBIT
    Réponse & justification

    Réponse : A — NIST SP 800-137

    Le NIST SP 800-137 définit le cadre ISCM en six phases. L'ISO/IEC 27004 exprime le concept (mesure continue de la pertinence de l'ISMS) sans employer le terme ISCM. PCI DSS et COBIT attendent une surveillance continue mais ne fournissent pas ces six phases.

  4. Un DLP est configuré pour bloquer toute chaîne de 15 à 20 caractères numériques quittant le réseau. Quel mécanisme de rule set et quel état de données sont en jeu ?

    • A Signature, sur data in motion
    • B Labeling, sur data at rest
    • C Pattern matching, sur data in use
    • D Signature, sur data at rest
    Réponse & justification

    Réponse : A — Signature, sur data in motion

    Reconnaître une chaîne numérique identifiable (type carte bancaire) relève de la signature. Comme la donnée quitte le réseau (trafic sortant inspecté), c'est du data in motion. Le labeling repose sur des étiquettes ; le pattern matching cherche des motifs (majuscules, fréquence) ; data at rest concerne le stockage, pas le trafic sortant.

  5. Pourquoi a-t-on ajouté le « E » (entity) à l'UEBA, et qu'apporte-t-il face au SIEM seul ?

    • A Un attaquant utilise plusieurs user IDs depuis peu d'identités device ; l'UEBA détecte l'anormal par ML là où le SIEM raisonne par règles/seuils
    • B L'entity remplace le SIEM en archivant les logs historiques
    • C L'entity désigne les firewalls ; l'UEBA ne sert qu'à l'ingress
    • D L'UEBA n'utilise ni ML ni IA, contrairement au SIEM
    Réponse & justification

    Réponse : A — Un attaquant utilise plusieurs user IDs depuis peu d'identités device ; l'UEBA détecte l'anormal par ML là où le SIEM raisonne par règles/seuils

    Le « E » reconnaît qu'un attaquant sophistiqué emprunte plusieurs user IDs en se déplaçant latéralement depuis une poignée d'identités device (MAC/IP). L'UEBA, via ML/IA et des use cases MITRE ATT&CK, détecte l'écart au comportement normal, là où le SIEM corrèle du connu par règles et seuils. Ils sont complémentaires et convergents, pas substituables ; c'est l'UEBA (pas le SIEM) qui s'appuie sur le ML/IA.

Points essentiels à retenir

  • SIEM est un terme marketing fusionnant SEM (temps réel) et SIM (historique) ; sept fonctions : aggregation, normalization, correlation, secure storage, analysis, reporting, real-time monitoring.
  • SIEM-as-a-service se décline en self-hosted/self-managed, cloud self-manage, hybrid self-hosted et SIEMaaS, selon les compétences internes et le rôle du MSSP.
  • SOAR = orchestration + automation + response (analogie CI/CD) ; playbook = linéaire, runbook = conditionnel.
  • ISCM (NIST SP 800-137, six phases continues) maintient une conscience permanente des risques ; le concept se retrouve dans ISO 27004, COBIT et PCI DSS, mais le terme est NIST.
  • Ingress = entrant, egress = sortant ; le DLP fait de l'egress monitoring avec rule sets (signature, pattern, labeling), états (at rest/in motion/in use) et enforcement gradué.
  • Threat intelligence externe (ISAC, vendors, OSINT) et interne (logs, IAM, forensics) s'organise en intelligence cycle (ex : FBI).
  • UEBA (user + entity, ML/IA, trois composants, MITRE ATT&CK) détecte l'anormal et converge avec le SIEM ; enforcement strict (faux positifs) vs loose (faux négatifs).
  • Le monitoring n'est jamais parfait : log tampering, attaques lentes, défis cloud/CSP, SolarWinds/SUNBURST ; l'analyste humain formé reste indispensable.
Module 4 Objectif configuration management Objectif baselines Objectif CMDB Objectif change management Objectif change control Objectif ITIL 110 min Intermédiaire

Configuration & change management

Prérequis : Notions de gestion des actifs (Domaine 2) et de cycle de vie des systèmes. Familiarité avec least privilege et separation of duties.

La configuration management définit l'état connu et approuvé des systèmes, tandis que la change management gouverne le passage d'un état à un autre. Ensemble, elles répondent à deux questions d'examen récurrentes : « comment garantir qu'un système reste dans une configuration sûre et documentée ? » et « comment modifier ce système sans introduire de risque non maîtrisé ? »

Ce module couvre les Configuration Items (CIs), la CMDB, les cinq types de baselines, l'automatisation via SCAP, IaC et CI/CD, puis l'organisation des Change Management Boards (CMB/CCB). Il enchaîne sur la change management proprement dite : distinction change management / change control, regression testing, niveaux ITIL v4 Change Enablement, standards (NIST SP 800-128, ISO 27001 A.12.1.2) et le cycle complet de la RFC au rollback.

Le fil rouge est la documentation : chaque phase produit des enregistrements, et le manuel insiste sur le fait que toutes les phases du processus exigent une documentation exacte et complète.

Objectifs pédagogiques

  • Définir un Configuration Item, un change set et le rôle de la CMDB
  • Énumérer et distinguer les cinq types de baselines (enumerated, configuration, build/deployment, modification/patch, security)
  • Expliquer le security baselining, les CIS benchmarks, SCAP, les gold images et l'apport de l'IaC/CI-CD
  • Distinguer change management et change control et situer le rôle du CMB/CCB et de la senior management
  • Décrire les niveaux ITIL v4 (standard, emergency, normal) et les phases majeures du cycle de change, du RFC au rollback

Critères de réussite

  • Je sais classer un livrable donné dans le bon type de baseline parmi les cinq
  • Je sais expliquer pourquoi l'image sprawl a poussé vers le provisioning par IaC/CI-CD
  • Je sais différencier change management (décider) et change control (comptabiliser et vérifier)
  • Je sais ranger un changement dans le bon niveau ITIL et nommer les quatre phases majeures du cycle
  • Je sais justifier qu'une exception à une baseline passe par une RFC documentée et l'accord du business owner via le CMB

4.1 Configuration Items, change set et CMDB

Schéma reliant CIs, change set et CMDB au cœur de la configuration management
Figure 4.1 · CIs, change set et CMDB

La configuration management est la discipline qui établit et maintient l'état connu et approuvé d'un système. Son unité élémentaire est le Configuration Item (CI) : tout composant nommé, possédé et géré par le processus de change management. Un CI peut être un serveur, un paquet logiciel, un fichier de configuration, un script de déploiement, du mobile code ou un contenu exécutable. Le manuel insiste : la change management ne concerne pas que le logiciel ; matériel, firmware, données, wetware (la connaissance tacite des humains) et connaissance explicite (procédures, formations, supports) doivent tous être évalués pour l'impact d'un changement et gérés ensemble comme CIs d'un même change package.

Un change set (ou change package) regroupe l'ensemble des CIs affectés par un changement donné, afin de les approuver et de les déployer de manière cohérente. Cette notion de regroupement est indépendante de la méthodologie de développement utilisée : qu'on travaille en cascade ou en agile, on bundle les changements en paquets pour les besoins de développement, de test, de déploiement et de release planning.

La Configuration Management Database (CMDB) est le référentiel qui recense les CIs, leurs attributs et leurs relations. Les outils de provisioning y inscrivent automatiquement la création ou le déploiement d'un système, en précisant le script approuvé utilisé. La CMDB est donc la source de vérité qui relie configuration et change management : sans elle, impossible de savoir quel est l'état approuvé ni ce qui a réellement changé.

Piège d'examen : un CI n'est pas qu'un objet technique. Une procédure ou un savoir-faire humain (wetware) peut être un CI ; l'oublier conduit à sous-estimer l'impact d'un changement organisationnel.

Mots-clés EN Configuration Item (CI) Change set / change package CMDB Wetware Mobile code Configuration management
Points clés
  • Un CI est tout composant nommé géré par la change management
  • Hardware, firmware, software, data, wetware et connaissance explicite peuvent être des CIs
  • Un change set regroupe les CIs d'un même changement, hors de toute méthodologie
  • La CMDB est la source de vérité reliant configuration et change management

4.2 Les cinq types de baselines

Les cinq types de baselines disposés du plus large (inventaire) au plus ciblé (sécurité)
Figure 4.2 · Les cinq types de baselines

Une baseline est un inventaire total et de référence des composants d'un système à un instant donné. Elle sert de point de comparaison : tout écart par rapport à la baseline est un changement à expliquer. Le manuel distingue cinq types de baselines, et l'examen attend que vous sachiez les énumérer et les différencier.

La enumerated baseline est l'inventaire exhaustif de tous les composants d'un système (le « total inventory »). La configuration baseline fige l'état de configuration approuvé : valeurs de paramètres, services activés, réglages de durcissement. La build ou deployment baseline est l'image de référence à partir de laquelle on construit et déploie une instance, souvent reçue d'une supply chain puis validée. La modification, update ou patch baseline capture l'état après application de correctifs ou de mises à jour, et sert à fabriquer un deployment package adapté à l'environnement local. Enfin, la security baseline définit l'ensemble minimal de contrôles de sécurité, dicté par une exigence de conformité ou défini en interne par l'organisation.

Le security baselining mérite une attention particulière : il fixe le minimum de contrôles que tout système doit satisfaire. Le manuel rappelle de rester focalisé sur la façon dont les autorités de conformité ou les partenaires contractuels perçoivent les menaces et la réponse minimale attendue, plutôt que de se laisser dicter par le seul paysage de menaces externe.

Piège d'examen : la question 7.3 Check Your Understanding porte exactement sur cette énumération. Ne confondez pas la build/deployment baseline (image de construction) avec la modification/patch baseline (état après correctifs) ; et rappelez-vous que la security baseline est un sous-ensemble orienté contrôles, pas l'inventaire complet.

Mots-clés EN Baseline Enumerated baseline Configuration baseline Build/deployment baseline Modification/patch baseline Security baseline
Points clés
  • Cinq baselines : enumerated, configuration, build/deployment, modification/patch, security
  • La baseline est le point de comparaison ; tout écart est un changement
  • Le security baselining fixe le minimum de contrôles (conformité ou interne)
  • Build/deployment (construction) ≠ modification/patch (après correctifs)

4.3 Automatisation : CIS, SCAP, gold images et IaC/CI-CD

Chaîne d'automatisation du baselining : CIS, SCAP, gold images puis IaC/CI-CD
Figure 4.3 · Automatisation du baselining

Gérer manuellement une security baseline sur un seul système est simple, mais la complexité explose avec le nombre de systèmes, la diversité des besoins métier et des exigences de conformité, et la multiplication des CIs. Déterminer le bon span of control de la baseline (de un à des milliers de systèmes) devient un enjeu de gestion à part entière. Cette complexité a conduit les organisations à automatiser le baselining.

Des catalogues et outils de référence existent. Les CIS benchmarks fournissent des configurations durcies par technologie ; le manuel cite aussi le Microsoft Security Compliance Toolkit, le NIST macOS security framework, le Secure Host Baseline du gouvernement américain et l'IT-Grundschutz du BSI allemand. Le Security Content Automation Protocol (SCAP) standardise l'expression et l'évaluation de la conformité : des outils vendor évaluent un système au regard de la baseline, ingèrent les changements de configuration via SCAP, et peuvent restreindre l'exploitation du système tant que la baseline n'est pas satisfaite, tout en fournissant un reporting de conformité.

Dans le cloud, l'approche a évolué. On s'appuyait sur des gold images, configurées proprement puis copiées à la demande. Mais l'image sprawl - la prolifération incontrôlée d'images divergentes - a rendu cette méthode ingérable en entreprise. Désormais, le provisioning et la promotion des changements de configuration en production via Infrastructure as Code (IaC) et CI/CD garantissent un déploiement cohérent des baselines. Les scripts ou « recipes » sont eux-mêmes suivis comme CIs et approuvés pour déploiement.

Piège d'examen : les gold images ne sont pas la « bonne réponse moderne ». Le manuel les présente comme dépassées par l'image sprawl ; la réponse attendue en environnement cloud est le provisioning par IaC/CI-CD, où les recipes sont des CIs versionnés et approuvés.

Mots-clés EN CIS benchmarks SCAP Gold image Image sprawl Infrastructure as Code (IaC) CI/CD Span of control
Points clés
  • L'automatisation gère le span of control de la baseline sur de nombreux systèmes
  • SCAP standardise l'évaluation ; les CIS benchmarks fournissent des configs durcies
  • L'image sprawl a rendu les gold images ingérables en entreprise
  • Le provisioning IaC/CI-CD déploie les baselines ; les recipes sont des CIs approuvés

4.4 Change Management Board, span of control et Figure 7.6

Diagramme de chevauchement des activités de change management gérées par le CMB
Figure 4.4 · Figure 7.6 · Activités de change management

La plupart des organisations disposent d'une hiérarchie d'autorités d'approbation, calibrée selon le niveau de risque que présente un changement. Le Change Management Board (CMB), aussi appelé Configuration Control Board (CCB), supervise de façon centralisée les activités liées au changement : il structure l'engagement des parties prenantes, formalise l'approbation, et garantit que les changements sont correctement dotés en ressources et implémentés. Les responsabilités et le span of control du CMB varient fortement d'une organisation à l'autre.

Le périmètre d'intérêt du CMB peut englober tous les aspects de la change management qui concernent l'équipe sécurité. La Figure 7.6 illustre que ces activités - provisioning, baselining, patch, configuration et vulnerability management - se chevauchent. Certaines organisations ne distinguent pas ces activités, d'autres les cloisonnent en silos distincts ; le CMB les coordonne dans le contexte des pratiques de change management plus larges. Le CMB doit aussi viser l'amélioration continue des processus et des outils qu'il contrôle, l'automatisation fournissant les métriques pour mesurer les gains.

Un indicateur d'efficacité clé est le niveau de déviation du parc de production par rapport aux baselines, ainsi que le nombre d'exceptions accordées : un nombre croissant d'exceptions signale que les baselines ne répondent plus aux besoins métier et doivent être réévaluées. Enfin, le manuel est catégorique : la senior management reste la clé. Si la direction s'exempte elle-même de la conformité ou refuse d'imposer les standards, le message est clair - la change management ne compte pas. À l'inverse, son exemplarité garantit l'application cohérente des contrôles.

Piège d'examen : le rôle décisif de la senior management n'est pas symbolique. L'examen valorise la réponse « tone at the top » : sans exemplarité de la direction, aucun outil ni CMB ne suffit.

Mots-clés EN Change Management Board (CMB) Configuration Control Board (CCB) Span of control Baseline exception Senior management example Continuous process improvement
Points clés
  • CMB = CCB : supervise, formalise l'approbation et dote les changements en ressources
  • Figure 7.6 : provisioning, baselining, patch, configuration et vulnerability management se chevauchent
  • Hausse des exceptions aux baselines = baselines à réévaluer
  • La senior management est la clé : sans exemplarité, la change management échoue

4.5 Change management vs change control, regression testing, standards et niveaux ITIL

Comparaison change management / change control et trois niveaux de changement ITIL
Figure 4.5 · Change management, change control et niveaux ITIL

La change management est la discipline qui fait passer du current state au future state. Elle comprend trois grandes activités : décider de changer, faire le changement, et confirmer qu'il a été correctement accompli. La change management se concentre sur la décision de changer et aboutit aux approbations données aux équipes de support, développeurs et utilisateurs pour démarrer les modifications. La change control désigne, elle, les processus comptables détaillés qui identifient chaque composant affecté puis vérifient que les actions appropriées ont bien été menées. Le regression testing confirme que le comportement du système n'a été altéré que par le changement approuvé, sans comportement anormal supplémentaire.

Certaines cultures séparent change management et change control en deux processus distincts, d'autres non. De même, le caractère formel ou non du regression testing - intégré au processus ou « laissé à l'utilisateur final » - dépend des pratiques locales, sauf exigence contractuelle ou de conformité explicite. Point essentiel : la change management ne concerne pas que les bug fixes ou la fermeture de vulnérabilités. Ajouter une fonctionnalité ou changer l'apparence d'un affichage sont aussi des changements ; tout changement doit être managé.

Plusieurs standards encadrent la pratique. NIST SP 800-128 guide la configuration management orientée sécurité ; ISO 27001 Annexe A 12.1.2 fait de la change management un contrôle nécessaire pour les changements affectant la sécurité de l'information ; PRINCE2 et le PMBOK du PMI l'abordent sous l'angle de la gestion de projet. Le plus largement adopté côté IT est ITIL v4, sous le nom de Change Enablement, qui fournit des lignes directrices larges adaptables à la culture et aux contraintes de chaque organisation.

ITIL distingue trois niveaux de changement selon l'urgence et le risque : les standard changes (relativement peu risqués, suivant des procédures établies, souvent pré-approuvés), les emergency changes (à implémenter immédiatement), et les normal changes (tous les autres). Cette flexibilité reflète que chaque organisation a des processus d'approbation différents selon le risque. Piège d'examen : un standard change n'est pas « un changement ordinaire » - c'est un changement de faible risque, répétable et pré-autorisé. Le « changement ordinaire » est précisément le normal change.

Mots-clés EN Change management Change control Regression testing ITIL v4 Change Enablement Standard change Emergency change Normal change NIST SP 800-128
Points clés
  • Change management = décider ; change control = comptabiliser et vérifier
  • Le regression testing confirme l'absence de comportement anormal
  • Standards : NIST SP 800-128, ISO 27001 A.12.1.2, PRINCE2, PMBOK, ITIL v4
  • Trois niveaux ITIL : standard (pré-approuvé), emergency (immédiat), normal (le reste)

4.6 Le cycle de la RFC au rollback : phases majeures et release/deployment

Flux du cycle de changement : RFC, revue/approbation CAB, implémentation, release
Figure 4.6 · Du RFC au rollback : le flux de changement

Toutes les pratiques majeures de change management traitent un noyau commun d'activités qui démarre par une Request for Change (RFC) et progresse à travers les étapes de développement, de test et de release jusqu'à la mise à disposition des utilisateurs. Chaque étape est soumise à une décision formalisée et produit des enregistrements documentant ses résultats.

La Change Initiation produit la RFC, qui peut naître de suggestions d'utilisateurs, de tickets help desk ou d'autres entrées. Elle couvre l'identification des besoins de changement, l'évaluation des risques, la priorisation et la documentation de la RFC. La Change Review and Approval évalue la complétude des RFCs, les affecte au bon processus d'autorisation selon le risque, organise les revues de parties prenantes et l'allocation des ressources, puis prononce approbations ou rejets - tous documentés. L'Implementation and Evaluation planifie et teste le changement, vérifie les procédures de rollback, implémente, évalue le bon fonctionnement et documente le changement en production. Le rollback plan définit l'autorité de retour arrière, qui peut être immédiat ou planifié comme un changement ultérieur si le monitoring révèle des performances insuffisantes. La Release and Deployment Planning and Control gère les mouvements entre environnements (prototypage, développement, intégration, tests d'acceptation, security assessment).

Trois termes sont régulièrement confondus à l'examen. Le deployment est le déplacement contrôlé, inventorié et géré d'un système entre environnements (par exemple de l'intégration développeur vers le test système). La delivery est le déploiement dans l'environnement de l'utilisateur final pour son usage. La release est le mouvement d'un système ou change package vers la production pour un usage immédiat par les utilisateurs finaux.

Piège d'examen : ne réduisez pas la vérification du rollback à une formalité. Vérifier les procédures de rollback fait partie de l'Implementation and Evaluation, avant l'implémentation. Et retenez la réponse de la 7.9 Check Your Understanding : toutes les phases du processus exigent une documentation exacte et complète, pas seulement l'initiation.

Mots-clés EN Request for Change (RFC) Change Initiation Rollback plan Deployment Delivery Release
Points clés
  • Phases majeures : initiation (RFC), review & approval, implementation & evaluation, release & deployment planning
  • La vérification du rollback précède l'implémentation
  • Deployment (entre environnements) ≠ delivery (chez l'utilisateur) ≠ release (en production immédiate)
  • Toutes les phases exigent une documentation exacte et complète (7.9)

Cas d'étude

Cas · Cas d'étude

Une exception de baseline en urgence

Contexte : Un bureau opérationnel veut mettre en production un nouveau système métier qui ne respecte pas un paramètre de la security baseline de l'organisation (un service réseau requis par l'application est normalement désactivé par la baseline). La direction métier juge le besoin urgent. Le security professional est sollicité pour faire passer le changement le plus vite possible.

Question : Comment structurer cette exception de baseline sans court-circuiter la gouvernance, et qui doit donner son accord ?

Topics traités Security baselineRFC et exceptionBusiness owner / system ownerCompensating controlsCMB
Voir l'analyse et la correction

L'urgence ne supprime pas la documentation : même un emergency change au sens ITIL produit des enregistrements. La bonne démarche est d'ouvrir une RFC qui documente les risques opérationnels, la façon dont les déviations à la security baseline sont structurées, et le coût des contrôles alternatifs (compensating controls) qui couvriront le service réseau exposé.

L'exemption du système requiert la concurrence du business owner du système déployé, car c'est lui qui porte les risques opérationnels associés. Le CMB travaille alors avec le system owner pour identifier un niveau de contrôle acceptable : il ne s'agit pas d'ignorer la baseline, mais d'accorder une exception tracée et compensée.

Enfin, cette exception doit être comptabilisée. Le nombre d'exceptions accordées est un indicateur d'efficacité : si elles se multiplient, c'est la security baseline elle-même qui doit être réévaluée. Céder à la pression sans RFC ni accord du business owner reviendrait à laisser la production dériver hors de tout état approuvé.

À retenir : Une exception de baseline passe par une RFC documentée (risques, déviations, contrôles alternatifs) et la concurrence du business owner via le CMB ; l'urgence ne dispense jamais de documentation.

Éléments d'apprentissage clés
  • L'exemption d'un système exige l'accord du business owner qui porte le risque
  • La RFC documente risques, déviations et coût des contrôles alternatifs
  • Le CMB fixe avec le system owner un niveau de contrôle acceptable
  • Le suivi des exceptions sert d'indicateur de pertinence des baselines
Piège d'examen

Change management vs change control

Ne les confondez pas. Change management = la décision de changer (du current state vers le future state) qui aboutit aux approbations. Change control = la comptabilité détaillée qui identifie chaque composant affecté et vérifie que les actions appropriées ont été menées. Le regression testing relève de cette vérification : il confirme que seul le changement approuvé a modifié le comportement. Si la question parle de décider/approuver, c'est management ; si elle parle d'identifier les composants et de vérifier l'exécution, c'est control.

Piège d'examen

Standard change ≠ changement ordinaire

Piège ITIL classique. Le standard change n'est pas le changement « habituel » : c'est un changement de faible risque, répétable, suivant une procédure établie et souvent pré-approuvé (pas de passage au CMB à chaque fois). Le changement « ordinaire » qui n'est ni à faible risque préautorisé ni urgent est le normal change. L'emergency change, lui, doit être implémenté immédiatement. Trois niveaux : standard, emergency, normal.

Piège d'examen

Gold images dépassées par l'image sprawl

Ne choisissez pas « gold images » comme bonne pratique cloud moderne. Le manuel les présente comme une approche rendue ingérable par l'image sprawl (prolifération d'images divergentes). La réponse attendue en environnement cloud est le provisioning par IaC et CI/CD, où les scripts/recipes sont suivis comme CIs et approuvés, garantissant un déploiement cohérent des baselines.

Piège d'examen

Documentation : toutes les phases, pas une seule

À la question « quelle phase du processus de change management inclut une phase de documentation ? », la bonne réponse n'est ni initiation, ni review/approval, ni implementation seules : c'est « toutes les phases exigent une documentation exacte et complète ». RFC, approbations, rejets et changements de l'environnement de production sont tous documentés. C'est la réponse de la 7.9 Check Your Understanding.

Point de contrôle — Point de contrôle

  1. Une baseline est un inventaire total des composants d'un système. Lequel de ces ensembles correspond aux types de baselines reconnus par le manuel ?

    • A Enumerated, configuration, build/deployment, modification/patch, security
    • B Hot, warm, cold, mobile, mirror
    • C Standard, emergency, normal, urgent, deferred
    • D Preventive, detective, corrective, deterrent, compensating
    Réponse & justification

    Réponse : A — Enumerated, configuration, build/deployment, modification/patch, security

    Le manuel (7.3) liste cinq baselines : enumerated, configuration, build/deployment, modification/update/patch, et security. Hot/warm/cold sont des sites de reprise (BCP/DRP). Standard/emergency/normal sont les niveaux de changement ITIL. Preventive/detective/corrective sont des fonctions de contrôle. Seule la première liste correspond aux types de baselines.

  2. Dans le processus de change management, quelle phase inclut une phase de documentation ?

    • A Toutes les phases exigent une documentation exacte et complète
    • B L'initiation uniquement, car elle produit la RFC
    • C La review and approval uniquement, car elle enregistre les approbations
    • D L'implementation uniquement, car elle modifie la production
    Réponse & justification

    Réponse : A — Toutes les phases exigent une documentation exacte et complète

    Réponse de la 7.9 Check Your Understanding : la documentation est vitale et présente à toutes les phases. RFCs, approbations, rejets et changements de l'environnement de production sont tous documentés. Chaque phase isolée inclut bien de la documentation, mais aucune n'est la seule : la bonne réponse les englobe toutes.

  3. ITIL v4 Change Enablement distingue trois niveaux de changement selon l'urgence. Lequel décrit un changement de faible risque, répétable et suivant une procédure établie ?

    • A Standard change
    • B Emergency change
    • C Normal change
    • D Request for Change
    Réponse & justification

    Réponse : A — Standard change

    Le standard change est relativement peu risqué et suit des procédures établies (souvent pré-approuvé). L'emergency change doit être implémenté immédiatement. Le normal change est tout ce qui ne tombe dans aucun des deux autres niveaux. La RFC n'est pas un niveau mais le document initiant le cycle. Le piège est d'assimiler standard à « ordinaire » : l'ordinaire est le normal change.

  4. Une organisation déplace un système de l'intégration développeur vers le test système, puis plus tard le met en production pour usage immédiat des utilisateurs finaux. Quels termes désignent respectivement ces deux mouvements ?

    • A Deployment puis release
    • B Release puis deployment
    • C Delivery puis baselining
    • D Provisioning puis rollback
    Réponse & justification

    Réponse : A — Deployment puis release

    Le deployment est tout mouvement contrôlé, inventorié et géré entre environnements (ici intégration vers test). La release est le mouvement vers la production pour usage immédiat des utilisateurs finaux. La delivery serait le déploiement dans l'environnement de l'utilisateur final. Provisioning et rollback désignent d'autres activités (création d'instances, retour arrière). L'ordre et les définitions sont des pièges fréquents.

Points essentiels à retenir

  • Un Configuration Item (CI) est tout composant nommé géré par la change management ; hardware, software, data et même le wetware peuvent en être ; la CMDB les recense.
  • Cinq baselines : enumerated, configuration, build/deployment, modification/patch, security ; la security baseline fixe le minimum de contrôles.
  • L'image sprawl a dépassé les gold images ; le provisioning par IaC/CI-CD, piloté par SCAP et les CIS benchmarks, déploie les baselines de façon cohérente.
  • Le CMB (= CCB) supervise et approuve ; la Figure 7.6 montre le chevauchement des activités ; la senior management est la clé de l'efficacité.
  • Change management (décider) ≠ change control (comptabiliser et vérifier) ; le regression testing confirme l'absence de comportement anormal.
  • Standards : NIST SP 800-128, ISO 27001 A.12.1.2, PRINCE2, PMBOK, ITIL v4 ; trois niveaux ITIL : standard, emergency, normal.
  • Cycle du RFC au rollback : initiation, review & approval, implementation & evaluation, release & deployment ; toutes les phases exigent une documentation exacte et complète.
  • Distinguez deployment (entre environnements), delivery (chez l'utilisateur) et release (production immédiate).
Module 5 Objectif least privilege Objectif need-to-know Objectif separation of duties Objectif privileged account management Objectif job rotation Objectif dual control 90 min Intermédiaire

Concepts fondamentaux des opérations de sécurité

Prérequis : Notions de contrôle d'accès (RBAC, MFA, zero trust) et de defense in depth.

Les opérations de sécurité ne reposent pas seulement sur des outils : elles s'appuient sur un petit ensemble de principes structurants qui orientent la conception des contrôles d'accès, des workflows et de la gestion des privilèges. Ce module couvre ces fondations : least privilege, need-to-know, separation of duties, privileged account management (PAM), job rotation, mandatory vacations, dual control et service-level agreements.

Le fil conducteur est la defense in depth (défense par couches) appliquée au contrôle d'accès : aucun de ces principes n'est suffisant seul, mais leur combinaison réduit drastiquement les chances de fraude, d'erreur et d'abus de privilèges. L'examen teste surtout votre capacité à distinguer des principes voisins (least privilege vs need-to-know, SoD vs dual control) et à choisir la mesure adaptée à un risque donné.

À la fin du module, vous saurez relier un objectif opérationnel (limiter un accès, prévenir une fraude, contenir un compte à privilèges) au bon principe et au bon mécanisme de contrôle d'accès.

Objectifs pédagogiques

  • Expliquer la defense in depth comme cadre d'intégration des modèles de contrôle d'accès
  • Distinguer least privilege, need-to-know, two-person integrity et separation of duties
  • Décrire le privileged account management (PAM) : classes de comptes et mesures de mitigation
  • Relier job rotation, mandatory vacations et dual control à la prévention de la fraude
  • Caractériser un service-level agreement (SLA) et ses limites

Critères de réussite

  • Je sais choisir entre least privilege et need-to-know selon qu'il s'agit de droits ou d'information
  • Je sais décrire un achat bifurqué (bifurcated purchasing) comme exemple de separation of duties
  • Je sais citer au moins quatre mesures de mitigation des comptes à privilèges, dont la just-in-time identity
  • Je sais expliquer pourquoi une mandatory vacation impose de suspendre temporairement les accès
  • Je sais distinguer dual control (deux actions simultanées) de separation of duties (étapes réparties)

5.1 Defense in depth comme cadre des modèles de contrôle d'accès

Couches de contrôle d'accès intégrées en défense par couches autour d'un actif
Figure 5.1 · Figure 7.7 · Contrôle d'accès en défense par couches

Aucun modèle de contrôle d'accès n'est suffisant à lui seul. La defense in depth (défense par couches) consiste à superposer plusieurs modèles et mécanismes - RBAC, MAC, DAC, MFA, zero trust - de sorte qu'une défaillance d'une couche soit rattrapée par la suivante. Appliquée au contrôle d'accès, elle intègre des politiques administratives, des mécanismes techniques (ACL, authentification, journalisation) et des barrières physiques en un dispositif cohérent.

La Figure 7.7 du manuel illustre cette intégration : les principes fondamentaux (least privilege, need-to-know, separation of duties) y sont implémentés à travers les différentes couches plutôt que par un seul contrôle. Par exemple, le besoin d'en connaître se traduit administrativement par une NDA, techniquement par du RBAC sur un domaine virtuel isolé, et physiquement par un local sécurisé.

Le message clé pour les opérations de sécurité : on ne choisit pas UN principe contre les autres, on les combine en couches. Piège d'examen : croire qu'un mécanisme unique (par exemple le seul RBAC) suffit à appliquer le least privilege ET le need-to-know. C'est la combinaison de couches qui réalise réellement la défense en profondeur.

Mots-clés EN Defense in depth Layered defense RBAC Zero trust Access control model
Points clés
  • Aucun modèle d'accès n'est suffisant seul : on les superpose en couches
  • La Figure 7.7 montre les principes implémentés à travers administrative, technical et physical
  • Need-to-know se concrétise par NDA + RBAC sur domaine virtuel + local sécurisé
  • Combiner les principes, ne pas les opposer

5.2 Least privilege, need-to-know et two-person integrity

Comparaison entre least privilege (droits) et need-to-know (information)
Figure 5.2 · Least privilege et need-to-know dans la défense par couches

Le least privilege (moindre privilège) impose que chaque sujet ne reçoive que les droits strictement nécessaires à sa fonction, ni plus ni moins. Exemple type : un employé chargé de saisir les factures fournisseurs (invoice clerk) doit pouvoir créer une facture, mais pas approuver un paiement ni modifier la liste des fournisseurs. Limiter ses droits réduit la surface d'erreur et de fraude.

Le need-to-know (besoin d'en connaître) est le pendant côté information : un sujet n'accède qu'aux informations dont il a un besoin légitime et démontré pour accomplir sa tâche. La distinction d'examen est cruciale : le least privilege porte sur les actions/permissions (que puis-je faire), le need-to-know porte sur l'information (que puis-je connaître). On peut avoir le privilège de lire un répertoire sans avoir le besoin d'en connaître chaque fichier.

Le need-to-know se met en oeuvre par des dispositifs comme l'ethical wall (muraille de Chine séparant des équipes en conflit d'intérêts), des NDA juridiquement contraignantes, et techniquement par de la virtualisation combinée à du RBAC : pour des clients concurrents servis par la même entreprise, on isole chaque client dans des réseaux, serveurs et données virtuels distincts, l'accès étant restreint par RBAC aux seuls intervenants validés ayant signé la NDA.

La two-person integrity (intégrité à deux personnes) ajoute une exigence : certaines actions ne peuvent être accomplies sans qu'au moins deux individus soient impliqués, afin qu'aucun ne puisse agir seul sur un actif critique. Piège d'examen : ne confondez pas least privilege (étendue des droits) et need-to-know (étendue de l'information).

Mots-clés EN Least privilege Need-to-know Two-person integrity Ethical wall NDA Virtualization + RBAC
Points clés
  • Least privilege = étendue des DROITS ; need-to-know = étendue de l'INFORMATION
  • Invoice clerk : créer une facture oui, approuver un paiement non
  • Need-to-know s'applique via ethical wall, NDA, virtualisation + RBAC
  • Clients concurrents : domaines virtuels distincts, accès RBAC aux signataires de la NDA
  • Two-person integrity : aucune action critique par un seul individu

5.3 Separation of duties et les workflows d'approbation

Workflow d'achat bifurqué séparant signature du PO et émission du chèque
Figure 5.3 · Separation of duties · l'achat bifurqué

La separation of duties (SoD, séparation des tâches) signifie qu'aucune personne ne peut accomplir seule un processus sensible de bout en bout. Son but est de réduire les chances de fraude en exigeant la collusion d'au moins deux acteurs. L'exemple classique est l'achat bifurqué (bifurcated purchasing) : le responsable des achats signe le bon de commande (purchase order, PO) mais ne peut pas émettre de chèque ; le comptable peut émettre le chèque, mais seulement sur la base d'un PO signé par un responsable.

Des seuils renforcent le dispositif : les paiements dépassant des limites prédéfinies, ou des transmissions de fonds inhabituelles, exigent l'approbation d'un responsable plus senior. Cette SoD, appliquée par les mécanismes de contrôle d'accès des applications financières et de leurs bases de données, participe à la défense contre les whaling attacks - des attaques de phishing visant à tromper des dirigeants pour qu'ils autorisent de gros virements vers des entités inconnues.

Mettre en place une SoD commence par la conception du workflow et des tâches : on identifie les étapes critiques nécessitant l'approbation d'une deuxième, voire d'une troisième personne. Cela requiert des control flows (l'information remonte vers l'approbateur, qui approuve, rejette ou renvoie l'action vers une autorité supérieure) et des control loops, qui doivent être examinés de près pour s'assurer qu'ils sont correctement conçus. On choisit ensuite le bon assortiment de technologies de contrôle d'accès pour les implémenter. Piège d'examen : la SoD ne prévient pas la fraude par collusion ; c'est la collusion qui la contourne, raison pour laquelle on la complète par job rotation et mandatory vacations.

Mots-clés EN Separation of duties Bifurcated purchasing Purchase order (PO) Whaling attack Control flow Control loop
Points clés
  • SoD : aucune personne ne complète seule un processus sensible
  • Achat bifurqué : signer le PO et émettre le chèque sont séparés
  • Seuils + approbation senior pour paiements inhabituels = défense anti-whaling
  • Conception : workflows, control flows et control loops à examiner
  • La SoD est contournée par la collusion -> compléter par rotation/vacances

5.4 Privileged account management (PAM) et just-in-time identity

Gestion des comptes à privilèges avec octroi just-in-time limité dans le temps
Figure 5.4 · PAM · privilèges en just-in-time identity

Les comptes à privilèges (privileged accounts) disposent de permissions supérieures à celles des utilisateurs normaux. Plusieurs classes les utilisent : les systems administrators (responsables des OS, du déploiement applicatif et de la performance), le help desk / support IT (qui doivent voir ou manipuler endpoints, serveurs et plateformes applicatives), les security analysts (qui peuvent exiger un accès rapide à toute l'infrastructure), ainsi que des comptes créés par client ou par projet pour donner à une équipe un contrôle accru sur ses données et applications.

Cette délégation suppose une grande confiance, car un abus de ces privilèges peut nuire à l'organisation. Les mesures de mitigation typiques sont : un logging plus détaillé que pour les comptes ordinaires (dissuasion et contrôle administratif auditables) ; un contrôle d'accès plus strict, avec MFA pour tous et une authentification renforcée avant l'octroi des privilèges ; la just-in-time (JIT) identity, qui restreint l'usage des privilèges aux tâches précises et aux moments où l'utilisateur les exécute ; le traitement des comptes à privilèges comme temporaires (durée limitée à un besoin et à un projet, de quelques jours à quelques mois) ; une vérification de confiance plus poussée (background checks approfondis, NDA plus strictes, politiques d'usage acceptable renforcées, acceptation d'enquêtes financières, réévaluations périodiques) ; et un audit accru de l'activité.

Le PAM illustre le granularity-of-controls problem (problème de granularité des contrôles). À un extrême, un paradigme zero trust qui valide chaque action atomique a un coût réel ; à l'autre, une authentification unique au premier sign-on autorisant ensuite toutes les actions est une architecture de total trust, bien trop risquée. Le professionnel de sécurité recommande où placer ce threshold knob (curseur de seuil) lors de la planification, de l'implémentation et de l'usage opérationnel temps réel. Piège d'examen : la JIT identity ne supprime pas les comptes à privilèges, elle limite leur fenêtre d'usage à l'instant et à la tâche.

Mots-clés EN Privileged account Just-in-time identity PAM Granularity of controls Threshold knob MFA
Points clés
  • Classes : sysadmins, help desk, security analysts, comptes par client/projet
  • Mitigations : logging détaillé, AC plus strict + MFA, JIT identity, comptes temporaires, vetting approfondi, audit accru
  • JIT identity restreint les privilèges à la tâche et au moment précis
  • Granularité : entre zero trust (coûteux) et total trust (trop risqué)
  • Le professionnel règle le threshold knob de confiance

5.5 Job rotation et mandatory vacations

Rotation des postes et congés obligatoires comme contrôles de détection de fraude
Figure 5.5 · Job rotation et mandatory vacations · contrôles RH de détection

Le job rotation (rotation des postes) fait changer régulièrement les employés de rôles et de tâches. Cela renforce la sécurité de plusieurs manières : un employé impliqué dans une malversation peut être démasqué lorsque son remplaçant prend le poste après la rotation ; l'organisation n'a pas de single point of failure, car de nombreux agents auront acquis l'expérience opérationnelle de la plupart des processus métier (atout pour la continuité d'activité et la reprise après sinistre) ; et le moral comme la cohésion d'équipe s'améliorent par le partage des compétences, créant un climat où chacun protège les autres et l'organisation.

Les systèmes de contrôle d'accès jouent ici un rôle essentiel. La stratégie de rotation doit décrire clairement comment un individu acquiert et perd des tâches assignées, ainsi que les autorités associées, lors de sa transition d'un rôle à l'autre. Une collaboration entre la human resources management (HRM) et l'IAM (provisioning) reflète ces changements dans les systèmes et les privilèges. L'access accounting et les audits d'usage des comptes vérifient que la passation de tâches a bien été effectuée du point de vue des tentatives d'accès.

Les mandatory vacations (congés obligatoires) visent à réduire la fraude et l'embezzlement (détournement) et à révéler des malversations. Le concept vient du secteur financier : chaque employé doit prendre plusieurs jours consécutifs de congé pendant qu'un collègue couvre ses responsabilités, ce qui accroît les chances de détecter une malversation commise par l'absent. Certaines organisations vont plus loin avec un forced vacation program imposant des congés à des dates précises. L'aspect le plus souvent négligé : il faut suspendre temporairement tout ou partie des privilèges d'accès de l'employé en congé, et placer des seuils d'alarme rehaussés sur l'usage de son identité et des ressources qu'il utilise habituellement. Piège d'examen : si l'accès reste actif pendant le congé, le mécanisme perd son intérêt de détection.

Mots-clés EN Job rotation Single point of failure Mandatory vacation Forced vacation Embezzlement HRM + IAM
Points clés
  • Job rotation : démasque la fraude, supprime le single point of failure, améliore le moral
  • Transitions reflétées par HRM + IAM ; audits d'usage pour vérifier la passation
  • Mandatory vacation : congé consécutif couvert par un collègue, détecte la fraude
  • Forced vacation : congés imposés à dates fixes
  • Suspendre les accès pendant le congé, sinon la détection est inopérante

5.6 Dual control et service-level agreements (SLA)

Dual control exigeant deux actions simultanées dans une no lone zone
Figure 5.6 · Dual control et no lone zones

Le dual custody, aussi appelé dual control (double contrôle), offre une architecture de contrôle d'accès plus sûre en exigeant que deux personnes ou plus accomplissent simultanément des actions séparées pour réaliser une action critique. De nombreux systèmes militaires, par exemple, ne peuvent armer et tirer une arme sans deux actions distinctes (tourner une clé, saisir une commande) effectuées par deux personnes physiquement isolées à une ou deux secondes d'intervalle ; les overrides de processus critiques pour la sûreté reposent souvent sur du dual control.

Un autre usage protège des informations très sensibles ou des actifs physiques uniques : on les place dans un local spécialement construit, en exigeant qu'au moins deux personnes y maintiennent une vigilance ou y interviennent conjointement. Ces zones sont appelées no lone zones (zones sans isolé) ; les laboratoires de R&D y recourent souvent. Dans un usage plus courant, les banques chiffrent les données de cartes via des hardware security modules (HSM) : déchiffrer ces informations exige des actions indépendantes de deux administrateurs de sécurité (parfois plus) physiquement présents au HSM. Distinction d'examen : la separation of duties répartit des étapes successives entre plusieurs personnes, tandis que le dual control exige des actions simultanées de plusieurs personnes pour une même action.

Le service-level agreement (SLA) est un accord documenté et juridiquement contraignant entre un fournisseur de service et un ou plusieurs clients. Il définit le niveau de service attendu et les pénalités si ces niveaux ne sont pas atteints. Un SLA peut couvrir diverses métriques : disponibilité (availability), fiabilité (reliability) et temps de réponse (response time). Point clé : avoir un SLA ne garantit pas que le fournisseur le respectera toujours. Le client obtient l'assurance de conformité par des revues, des assessments et du monitoring. Piège d'examen : un SLA est un engagement assorti de pénalités, pas une garantie technique de disponibilité.

Mots-clés EN Dual control Dual custody No lone zone HSM Service-level agreement Availability / reliability / response time
Points clés
  • Dual control : deux actions SIMULTANÉES de personnes distinctes
  • No lone zones et HSM : déchiffrement à deux administrateurs présents
  • SoD = étapes successives réparties ; dual control = actions simultanées
  • SLA : accord contraignant, métriques availability/reliability/response time
  • Un SLA n'est pas une garantie : assurance par reviews/assessments/monitoring

Cas d'étude

Cas · Activité

Équilibrer need-to-know, least privilege et SoD par la défense par couches

Contexte : En examinant les données de sécurité, Keiko et l'équipe SneakerNet constatent que des employés de toute l'organisation accèdent fréquemment à des informations propriétaires qui devraient être réservées à des équipes précises. La direction veut réduire ce risque d'accès non autorisé sans paralyser l'activité quotidienne.

Question : Comment Keiko peut-elle équilibrer les principes de need-to-know / least privilege, de separation of duties et de responsabilités pour atténuer le risque d'accès non autorisé ?

Topics traités Defense in depthNeed-to-know et least privilegeSeparation of dutiesRBAC et virtualisation
Voir l'analyse et la correction

La réponse n'est pas un contrôle unique mais une layered defense (défense par couches), conforme à la Figure 7.7. Sur le plan administratif, Keiko cartographie quelles équipes ont un need-to-know légitime sur chaque jeu de données propriétaires et fait signer des NDA. Sur le plan technique, elle applique le least privilege via du RBAC : chaque rôle ne reçoit que les droits nécessaires, et l'information propriétaire est isolée (au besoin par virtualisation par équipe ou par client). Sur le plan des processus, elle introduit de la separation of duties sur les actions sensibles (par exemple, accorder un accès exige une demande + une approbation par une personne distincte), avec des control flows et control loops tracés.

La délégation des capacités de gestion et de protection des actifs informationnels va à divers personnels - encadrement, support, direction - avec des niveaux d'autorité et de responsabilité différents. Cette délégation reste conditionnée à la trustworthiness (fiabilité) des intéressés. Le contrôle d'accès, le logging et les audits d'usage donnent la visibilité nécessaire pour vérifier que les accès correspondent réellement aux besoins.

Aucun principe ne suffit seul : le need-to-know borne l'information, le least privilege borne les droits, la SoD empêche qu'une personne agisse seule, et la défense par couches les intègre en un dispositif cohérent et auditable.

À retenir : Mitiger l'accès non autorisé exige une défense par couches qui combine need-to-know, least privilege et SoD, conditionnée à la trustworthiness.

Éléments d'apprentissage clés
  • Implémenter chaque principe à travers plusieurs couches plutôt qu'un seul contrôle
  • La délégation reste conditionnée à la fiabilité des personnes
  • Logging et audits d'usage vérifient l'adéquation accès/besoin
Piège d'examen

Least privilege vs need-to-know

Ces deux principes sont voisins mais distincts. Le least privilege porte sur les DROITS et actions (que peut faire le sujet : lire, écrire, exécuter), le need-to-know porte sur l'INFORMATION (à quoi le sujet a un besoin légitime d'accéder). Un administrateur peut détenir le privilège technique de lire un partage entier sans avoir le besoin d'en connaître chaque fichier. À l'examen : si la question parle d'étendue de permissions, c'est least privilege ; si elle parle de cloisonnement de l'information (ethical wall, NDA, isolement par client), c'est need-to-know.

Piège d'examen

Separation of duties vs dual control

Ne confondez pas ces deux contrôles. La separation of duties répartit des étapes SUCCESSIVES d'un processus entre plusieurs personnes (l'une signe le PO, l'autre émet le chèque) : le but est qu'aucune ne complète le processus seule. Le dual control (dual custody) exige des actions SIMULTANÉES de deux personnes pour une seule et même action critique (deux clés tournées en même temps, deux administrateurs au HSM). SoD = séquence répartie ; dual control = simultanéité. Les deux réduisent la fraude, mais le dual control vise une action atomique unique.

Piège d'examen

L'accès oublié pendant la mandatory vacation

Une mandatory vacation n'a de valeur de détection que si les privilèges d'accès de l'employé absent sont temporairement suspendus (ou placés sous seuils d'alarme rehaussés). Si l'employé conserve un accès actif et continue à agir à distance pendant son congé, la fraude qu'on cherchait à révéler reste dissimulée. C'est l'aspect le plus souvent négligé d'une telle politique. Reliez-le aussi à la JIT identity : on coupe l'accès quand le besoin disparaît.

Piège d'examen

Le SLA n'est pas une garantie

Un service-level agreement définit un niveau de service attendu (availability, reliability, response time) et des pénalités, mais ne garantit en rien que le fournisseur l'atteindra toujours. C'est un engagement contractuel assorti de sanctions, pas une garantie technique. Le client obtient l'assurance de conformité par des reviews, assessments et monitoring continus. À l'examen, méfiez-vous d'une réponse affirmant qu'un SLA assure à lui seul la disponibilité.

Point de contrôle — Point de contrôle

  1. Un consultant possède le droit technique de lire l'ensemble d'un partage de fichiers, mais l'organisation veut limiter ce qu'il peut effectivement consulter aux seuls dossiers du projet sur lequel il travaille. Quel principe ce cloisonnement de l'information illustre-t-il ?

    • A Need-to-know
    • B Least privilege
    • C Dual control
    • D Job rotation
    Réponse & justification

    Réponse : A — Need-to-know

    Limiter l'INFORMATION accessible à ce dont le sujet a un besoin légitime relève du need-to-know. Le least privilege porterait sur l'étendue des DROITS (que peut-il faire), ici déjà accordés techniquement. Le dual control exige deux actions simultanées, le job rotation fait tourner les postes : hors sujet. Le piège est d'assimiler need-to-know et least privilege.

  2. Pour déchiffrer des données de carte protégées par un HSM, deux administrateurs de sécurité doivent effectuer simultanément des actions séparées, tous deux physiquement présents. Quel contrôle est mis en oeuvre ?

    • A Dual control
    • B Separation of duties
    • C Least privilege
    • D Mandatory vacation
    Réponse & justification

    Réponse : A — Dual control

    Deux personnes accomplissant SIMULTANÉMENT des actions séparées pour une même action critique = dual control (dual custody). La separation of duties répartirait des étapes SUCCESSIVES d'un processus (signer le PO puis émettre le chèque), pas des actions simultanées. Least privilege et mandatory vacation ne décrivent pas ce mécanisme.

  3. Une équipe sécurité veut limiter l'usage des privilèges d'un administrateur aux seules tâches en cours et aux moments précis où il les exécute, plutôt que de lui laisser des droits permanents. Quelle mesure de PAM répond le mieux à ce besoin ?

    • A Just-in-time (JIT) identity
    • B Logging plus détaillé des comptes à privilèges
    • C Background check approfondi
    • D Politique d'usage acceptable plus stricte
    Réponse & justification

    Réponse : A — Just-in-time (JIT) identity

    La just-in-time identity octroie les privilèges tâche par tâche, moment par moment, et les retire ensuite : c'est exactement la restriction temporelle demandée. Le logging détaillé, le background check et la politique d'usage sont d'autres mesures de mitigation utiles, mais aucune ne restreint la FENÊTRE d'usage des privilèges comme le fait la JIT identity.

  4. Pourquoi une politique de mandatory vacation doit-elle impérativement s'accompagner de la suspension temporaire des accès de l'employé en congé ?

    • A Sinon l'employé peut continuer à dissimuler une fraude en agissant à distance pendant son congé
    • B Pour réduire le coût des licences logicielles inutilisées
    • C Parce que le RGPD interdit tout accès pendant un congé
    • D Pour forcer le remplaçant à utiliser ses propres identifiants
    Réponse & justification

    Réponse : A — Sinon l'employé peut continuer à dissimuler une fraude en agissant à distance pendant son congé

    La mandatory vacation n'a de valeur de détection que si un remplaçant prend réellement le poste sans que l'absent puisse intervenir. Si ses accès restent actifs, il peut continuer à masquer une malversation à distance, et le mécanisme échoue. Les autres réponses sont fausses : il ne s'agit ni de coût de licences, ni d'une interdiction RGPD, ni d'une question d'identifiants du remplaçant.

Points essentiels à retenir

  • La defense in depth intègre les modèles de contrôle d'accès en couches (Figure 7.7) : aucun principe ne suffit seul.
  • Least privilege borne les DROITS, need-to-know borne l'INFORMATION ; ne pas les confondre.
  • La separation of duties répartit des étapes successives (achat bifurqué) pour bloquer la fraude par un seul acteur et contrer les whaling attacks.
  • Le PAM mitige les comptes à privilèges : logging détaillé, AC strict + MFA, JIT identity, comptes temporaires, vetting approfondi, audit accru ; régler le threshold knob entre zero trust et total trust.
  • Job rotation et mandatory vacations sont des contrôles RH de détection ; suspendre les accès pendant le congé est indispensable.
  • Le dual control exige deux actions simultanées (no lone zones, HSM) ; un SLA est un engagement à pénalités, pas une garantie de disponibilité.
Module 6 Objectif Gestion des médias Objectif Marquage et étiquetage Objectif Contrôles de protection Objectif Sanitization Objectif Chiffrement at rest / in transit 70 min Intermédiaire

Protection des ressources et gestion des médias

Prérequis : Notions de classification de l'information (Domaine 2) et de cycle de vie de la donnée.

Préserver la sécurité opérationnelle des ressources, c'est protéger en continu l'information contre la disclosure, l'alteration et la destruction, quels que soient son emplacement et son format. La protection des médias combine des contrôles techniques et non techniques empilés sur plusieurs couches pour atteindre les objectifs de sécurité.

Ce module suit le cycle de vie du média : inventaire et classification dès la collecte, marquage et étiquetage qui informent le handling et la distribution, contrôles de stockage, d'accès, d'environnement et de transport, puis sanitization proportionnée à la classification au moment de la mise au rebut. Il couvre aussi la restriction des types de médias (flash drives) par contrôles techniques et le chiffrement des données data at rest et data in transit.

À la fin, vous saurez aligner chaque contrôle de média sur la famille Media Protection du NIST SP 800-53 et choisir une méthode de sanitization (échelle clear / purge / destroy) en fonction de la classification et du devenir du support.

Objectifs pédagogiques

  • Expliquer pourquoi un inventaire à jour et une classification précoce fondent la gestion des médias
  • Relier marquage et étiquetage aux exigences de handling et aux limites de distribution
  • Énumérer les contrôles de protection des médias : storage, access, handling, environment, transport
  • Décrire la sanitization proportionnée à la classification et son processus review/approve/track/document/verify
  • Situer chaque contrôle dans la famille Media Protection du NIST SP 800-53 et l'échelle 800-88

Critères de réussite

  • Je sais justifier que la classification se fait au plus tôt dans le cycle de vie de la donnée
  • Je sais lister les huit contrôles Media Protection du NIST SP 800-53
  • Je sais choisir entre clear, purge et destroy selon la classification et le devenir du média
  • Je sais expliquer pourquoi le chiffrement protège la donnée at rest comme in transit
  • Je sais distinguer un contrôle technique (blocage des flash drives) d'un contrôle non technique (politique)

6.1 Gestion des médias : inventaire, classification et politiques

Cycle de vie du média : inventaire, classification, marquage, stockage, transport, sanitization
Figure 6.1 · Cycle de vie du média et points de contrôle de protection

Gérer activement les actifs organisationnels commence par un inventaire à jour de ces actifs. On ne protège bien que ce que l'on connaît : sans inventaire fiable des supports (disques, bandes, clés USB, sauvegardes), aucun contrôle de protection ne peut être appliqué de façon exhaustive. Protéger une information de valeur ou sensible en tant qu'actif exige de la défendre contre disclosure, alteration et destruction, quels que soient son emplacement et son format.

La classification de la donnée doit être traitée au plus tôt dans le data life cycle, idéalement au moment où la donnée est collectée ou générée. Classer tard, c'est laisser circuler des données non marquées dont on ignore le niveau de protection requis ; classer tôt, c'est conditionner tout le reste du cycle (marquage, handling, stockage, sanitization). C'est un piège d'examen classique : la bonne réponse à « quand classifier ? » est toujours « le plus tôt possible », à la création.

Lorsqu'elles sont développées, documentées et maintenues, les media protection policies and procedures donnent le ton, fixent une direction et décrivent une suite d'actions pas à pas pour la protection des médias. Ces contrôles doivent adresser plusieurs exigences : marking and labeling, handling, storage et destruction, afin de protéger l'information sensible tout au long de sa vie.

Mots-clés EN Media management Asset inventory Data classification Data life cycle Media protection policy
Points clés
  • La gestion des médias commence par un inventaire à jour des actifs
  • Protéger contre disclosure, alteration et destruction, quel que soit l'emplacement ou le format
  • Classifier au plus tôt : à la collecte ou à la génération de la donnée
  • Les politiques de protection adressent marking, handling, storage et destruction

6.2 Marquage, étiquetage et limites de distribution

Étiquette de média indiquant niveau de classification et limites de distribution
Figure 6.2 · Le marquage relie la classification aux contrôles de handling et de distribution

Les médias contenant de l'information sensible doivent être marqués de façon appropriée. Le marking n'est pas un détail administratif : il informe les subjects (utilisateurs, transporteurs, destinataires) des exigences spécifiques de handling et de protection nécessaires, et, le cas échéant, indique les limites de distribution. Une bande de sauvegarde étiquetée « Confidentiel - usage interne » dit immédiatement à qui la manipule quel niveau de soin appliquer et à qui elle ne doit pas être remise.

Il faut distinguer le marking (l'information de classification rendue visible, lisible par l'humain, sur l'étiquette ou l'emballage) du labeling au sens des métadonnées, mais dans le manuel D7 les deux servent le même but : porter à la connaissance de quiconque manipule le support le traitement requis. Sans marquage, un support sensible se confond avec un support banal et tombe hors du périmètre des contrôles de handling et de distribution.

Le marquage est ainsi le point d'articulation entre la classification (faite en amont) et les contrôles opérationnels qui suivent : il traduit une décision de classification en consigne pratique de manipulation. Piège d'examen : le marquage n'applique pas lui-même la protection, il informe et déclenche les contrôles de handling, de stockage et de distribution appropriés.

Mots-clés EN Marking Labeling Handling requirements Distribution limitation Subject
Points clés
  • Le marking informe des exigences de handling et de protection
  • Le marquage indique aussi les limites de distribution
  • Sans marquage, un support sensible échappe aux contrôles appropriés
  • Le marquage traduit la classification en consigne opérationnelle, sans appliquer la protection lui-même

6.3 Contrôles de protection : stockage, accès, handling, environnement, transport

Couches de contrôle autour d'un média : stockage verrouillé, accès, environnement, transport
Figure 6.3 · Defense in depth appliquée aux supports physiques

La protection physique et opérationnelle des médias repose sur cinq familles de contrôles complémentaires. Le storage consiste à ranger les médias dans des zones verrouillées (locked areas) et, plus généralement, dans des locaux physiquement sécurisés. L'access est restreint selon les rôles : on accorde l'accès selon les principes de need-to-know et on journalise chaque accès (logging), ce qui rend possible l'accountability ultérieure.

Le handling impose de manipuler les médias, lorsque c'est pertinent, avec un niveau de soin qui évite d'exposer le support à des sources de contamination. La protection environnementale (environment) défend le média contre diverses conditions : chaleur (heat), humidité (humidity), liquides, poussière (dust) et fumée (smoke), en tenant aussi compte des menaces d'intempéries extrêmes, inondations (floods), séismes (earthquakes) et incendies (fires). Un coffre ignifuge et climatisé répond directement à ces exigences.

Le transport des médias hors de la zone contrôlée, lorsqu'il a lieu, doit garantir l'accountability : on sait à tout moment qui détient le support, par qui il est passé, et on trace la chaîne de responsabilité. Piège d'examen : ces contrôles ne sont pas alternatifs mais cumulatifs - c'est une application directe de la defense in depth aux supports physiques. Restreindre l'accès ne dispense pas de protéger contre le feu, et vice versa.

Mots-clés EN Locked areas Need-to-know access Contamination sources Environmental conditions Accountability in transport
Points clés
  • Storage : zones verrouillées et locaux physiquement sécurisés
  • Access : rôles + need-to-know + journalisation des accès
  • Handling : soin évitant les sources de contamination ; environment : heat, humidity, liquids, dust, smoke, weather, flood, quake, fire
  • Transport hors zone contrôlée : accountability et chaîne de responsabilité

6.4 Sanitization, restriction des types de médias et chiffrement

Échelle de sanitization à trois niveaux clear, purge, destroy
Figure 6.4 · Échelle de sanitization (clear/purge/destroy)

La sanitization peut être requise avant la mise au rebut, en fin de cycle de vie. Elle est particulièrement importante si le média quitte le contrôle de l'organisation ou s'il sera recyclé pour un usage futur. La sanitization doit s'effectuer avec des outils et techniques appropriés, commensurate (proportionnés) à la security category ou à la classification du support. Selon la catégorisation, il peut exister des exigences spécifiques pour reviewing, approving, tracking, documenting et verifying les actions de sanitization et de disposal : un support secret ne se traite pas comme un support public, et chaque étape doit laisser une trace.

Pour des raisons de conformité aux politiques, l'usage de certains types de médias (par exemple les flash drives) peut être restreint ou totalement interdit dans certains environnements ou sur certains systèmes. Ces restrictions s'appliquent par des contrôles techniques (blocage des ports USB, allowlisting de périphériques, DLP), et non par la seule consigne écrite. De même, si la conformité l'exige, l'usage de devices non autorisés et non conformes peut être prohibé.

La donnée sensible peut être exposée à la fois data at rest et data in transit. Les données sensibles reposant sur des backup media, des clés USB, des disques externes peuvent être soumises au chiffrement, par politique interne ou mandat externe. Le chiffrement est un contrôle technique majeur, valable quel que soit l'état de la donnée (au repos ou en transmission) : c'est la réponse transverse qui protège la confidentialité même si le support est volé ou intercepté.

Mots-clés EN Sanitization Commensurate Review/approve/track/document/verify Technical control Data at rest Data in transit
Points clés
  • La sanitization est proportionnée (commensurate) à la classification ou security category
  • Processus tracé : review, approve, track, document, verify
  • Restreindre les flash drives passe par des contrôles techniques, pas une simple politique
  • Le chiffrement protège la donnée at rest comme in transit

6.5 NIST SP 800-53 Media Protection, 800-88 et data remanence

Échelle clear, purge, destroy face aux contrôles Media Protection du NIST 800-53
Figure 6.5 · Échelle de sanitization (clear/purge/destroy)

Le NIST SP 800-53 regroupe les contrôles de protection des médias dans une famille dédiée, Media Protection (MP). Selon le manuel D7, les contrôles liés à la protection des médias incluent : policies and procedures, access, marking, storage, transport, sanitization, use et downgrading. Cette liste est la réponse officielle à la question « Check Your Understanding » 7.5.2 et structure tout ce module : chaque leçon précédente correspond à un ou plusieurs de ces contrôles. Le downgrading (déclasser un support vers un niveau inférieur) et le use (encadrer l'usage autorisé d'un type de média) complètent storage, transport et sanitization déjà vus.

En complément du manuel, le NIST SP 800-88 (Guidelines for Media Sanitization, supplément CBK/cheat) définit une échelle de sanitization à trois niveaux, par sévérité croissante. Clear applique des techniques logiques standard (réécriture, reset) pour empêcher une récupération par des outils simples. Purge applique des techniques plus poussées (cryptographic erase, degaussing pour les supports magnétiques) rendant la récupération infaisable même en laboratoire. Destroy détruit physiquement le support (broyage, incinération, pulvérisation), seule garantie absolue, mais qui interdit toute réutilisation. Le choix monte l'échelle avec la classification et le devenir du support.

La notion sous-jacente est la data remanence (rémanence des données, concept CBK) : les données ne disparaissent pas réellement quand on les « supprime » ou qu'on formate un disque ; des résidus magnétiques ou électroniques subsistent et peuvent être récupérés. Toute la sanitization vise précisément à neutraliser cette rémanence. Piège d'examen : un simple delete ou format ne sanitize pas - il ne supprime que les pointeurs, la donnée reste récupérable jusqu'à un clear, purge ou destroy adapté.

Mots-clés EN Media Protection family (MP) Downgrading Clear Purge Destroy Data remanence
Points clés
  • MP du NIST SP 800-53 : policies, access, marking, storage, transport, sanitization, use, downgrading
  • NIST SP 800-88 (CBK) : échelle clear -> purge -> destroy par sévérité croissante
  • Le choix de méthode monte avec la classification et le devenir du support
  • Data remanence : delete/format ne supprime que les pointeurs, la donnée reste récupérable

Cas d'étude

Cas · Cas d'étude

Mise au rebut d'un lot de disques déclassés

Contexte : Une banque met hors service trois lots de disques. Lot A : SSD ayant hébergé des données clients classées « Secret », destinés à la destruction sans réutilisation. Lot B : HDD magnétiques classés « Confidentiel », à recycler en interne sur d'autres postes. Lot C : disques d'une salle de formation contenant uniquement des données publiques, à donner à une association. Le responsable demande une méthode de sanitization adaptée à chaque lot.

Question : Quelle méthode de l'échelle clear / purge / destroy retenir pour chaque lot, et pourquoi le degaussing convient-il au lot B mais pas au lot A ?

Topics traités Sanitization proportionnéeÉchelle clear/purge/destroyData remanenceDegaussing et limites SSD
Voir l'analyse et la correction

Le choix doit être commensurate à la classification et tenir compte du devenir du support (réutilisation ou non) et de sa technologie. Lot A (Secret, pas de réutilisation) : destroy. La classification maximale et l'absence de réemploi justifient la destruction physique, seule garantie absolue contre la data remanence ; on documente, approuve et vérifie l'opération.

Lot B (Confidentiel, recyclage interne) : purge. Le support doit rester utilisable, donc on exclut destroy. Sur des HDD magnétiques, le degaussing (purge) efface le champ magnétique et rend la récupération infaisable. Attention : le degaussing ne fonctionne PAS sur des SSD (mémoire flash non magnétique) - c'est pourquoi il conviendrait au lot B mais serait inopérant sur les SSD du lot A, où l'on recourt au destroy (ou à un cryptographic erase si réutilisation).

Lot C (public, don externe) : clear suffit. Une réécriture logique empêche une récupération par outils simples ; le faible niveau de classification ne justifie pas une méthode plus coûteuse. Dans tous les cas, la banque doit review, approve, track, document et verify chaque action, conformément aux exigences proportionnelles à la catégorisation.

À retenir : On monte l'échelle clear -> purge -> destroy avec la classification et le non-réemploi ; et la technologie compte (degaussing pour magnétique, pas pour SSD).

Éléments d'apprentissage clés
  • La méthode de sanitization est commensurate à la classification
  • Le devenir du support (réutilisation) écarte ou non le destroy
  • Le degaussing ne marche que sur les supports magnétiques
  • Chaque action est review/approve/track/document/verify
Piège d'examen

Quand classifier la donnée ?

Le manuel est explicite : la classification se traite au plus tôt dans le data life cycle, à la collecte ou à la génération de la donnée. Si une question propose « au moment de l'archivage », « avant la destruction » ou « lors de l'audit », ce sont des distracteurs. La bonne réponse est toujours « le plus tôt possible », car la classification conditionne marquage, handling, stockage et sanitization de tout le reste du cycle.

Piège d'examen

Delete et format ne sont pas de la sanitization

À cause de la data remanence, supprimer un fichier ou formater un disque n'efface que les pointeurs : la donnée reste physiquement présente et récupérable. Une vraie sanitization exige clear (réécriture), purge (cryptographic erase, degaussing) ou destroy (destruction physique), choisis commensurate à la classification. Piège fréquent : confondre « disque formaté » et « disque sanitizé », ou croire que le degaussing fonctionne sur un SSD (faux : flash non magnétique).

Piège d'examen

Politique vs contrôle technique

Interdire les flash drives par une note de service est une politique ; cela ne devient un contrôle efficace que si c'est appliqué par des contrôles techniques (blocage des ports USB, allowlisting de périphériques, DLP). De même, le chiffrement data at rest / in transit est un contrôle technique qui protège la confidentialité même si le support est volé ou intercepté. Le manuel insiste : les restrictions de type de média « can be enforced through technical controls », pas par la seule règle écrite.

Point de contrôle — Point de contrôle

  1. Selon le NIST SP 800-53, lequel de ces ensembles correspond aux contrôles de la famille Media Protection ?

    • A Policies and procedures, access, marking, storage, transport, sanitization, use, downgrading
    • B Firewall, IDS, antivirus, chiffrement, journalisation
    • C Identification, authentication, authorization, accountability, auditing
    • D Confidentiality, integrity, availability, authenticity, nonrepudiation
    Réponse & justification

    Réponse : A — Policies and procedures, access, marking, storage, transport, sanitization, use, downgrading

    C'est la réponse exacte de la section 7.5.2 : la famille Media Protection couvre policies and procedures, access, marking, storage, transport, sanitization, use et downgrading. L'option 2 liste des contrôles techniques génériques hors famille MP. L'option 3 est le cycle d'accès IAAAA. L'option 4 énumère les cinq piliers de la sécurité, pas une famille de contrôles 800-53.

  2. À quel moment du cycle de vie de la donnée la classification doit-elle idéalement être réalisée ?

    • A Au plus tôt, lors de la collecte ou de la génération de la donnée
    • B Au moment de l'archivage à long terme
    • C Juste avant la sanitization et la destruction
    • D Lors du premier audit de conformité annuel
    Réponse & justification

    Réponse : A — Au plus tôt, lors de la collecte ou de la génération de la donnée

    Le manuel précise que la classification est traitée au plus tôt, quand la donnée est collectée ou générée, car elle conditionne marquage, handling, stockage et sanitization. Archiver, détruire ou auditer sont trop tardifs : la donnée aurait déjà circulé sans niveau de protection défini.

  3. Des HDD magnétiques classés « Confidentiel » doivent être réaffectés en interne. Quelle méthode de l'échelle NIST SP 800-88 est la plus appropriée ?

    • A Purge, par degaussing, car le support doit rester réutilisable
    • B Destroy, par broyage physique du disque
    • C Clear, suffisant car la donnée n'est que confidentielle
    • D Un simple format rapide du disque
    Réponse & justification

    Réponse : A — Purge, par degaussing, car le support doit rester réutilisable

    Le support doit rester réutilisable, ce qui exclut destroy. Pour un HDD magnétique confidentiel, le purge par degaussing rend la récupération infaisable tout en (cas général) permettant un réemploi avec reformatage. Clear est plus faible que ce que justifie le niveau confidentiel face à un réemploi. Un format rapide n'est pas une sanitization : la data remanence laisse la donnée récupérable.

  4. Une organisation veut interdire l'usage des flash drives sur ses postes sensibles. Quelle approche est conforme à la recommandation du manuel ?

    • A Appliquer la restriction par des contrôles techniques (blocage USB, allowlisting)
    • B Diffuser une note de service interdisant les flash drives
    • C Demander aux employés de signer une charte d'usage
    • D Marquer les postes avec une étiquette « flash drives interdits »
    Réponse & justification

    Réponse : A — Appliquer la restriction par des contrôles techniques (blocage USB, allowlisting)

    Le manuel indique que les restrictions de types de médias « can be enforced through technical controls ». Le blocage des ports USB ou l'allowlisting de périphériques appliquent réellement la règle. Une note, une charte ou une étiquette sont des contrôles administratifs utiles mais non contraignants : un utilisateur peut les ignorer, alors qu'un contrôle technique empêche physiquement l'usage.

Points essentiels à retenir

  • La gestion des médias commence par un inventaire à jour ; la classification se fait au plus tôt, à la collecte ou génération.
  • Le marquage informe du handling, de la protection et des limites de distribution, sans appliquer lui-même la protection.
  • Les contrôles de protection sont cumulatifs : storage (zones verrouillées), access (need-to-know + logging), handling, environment (heat, humidity, liquids, dust, smoke, weather, flood, quake, fire), transport (accountability).
  • La sanitization est commensurate à la classification et suit un processus review/approve/track/document/verify.
  • La famille Media Protection du NIST SP 800-53 : policies, access, marking, storage, transport, sanitization, use, downgrading.
  • NIST SP 800-88 (CBK) : échelle clear -> purge -> destroy ; data remanence : delete/format ne sanitize pas.
  • Restreindre les types de médias et chiffrer la donnée at rest / in transit sont des contrôles techniques.
Module 7 Objectif Incident management Objectif NIST 800-61 Objectif ISO 27035 Objectif Root cause analysis Objectif Communications Objectif Lessons learned 130 min Intermédiaire

Gestion des incidents

Prérequis : Notions de kill chain et d'IoC (Domaine 4), bases de la forensique (Module 1 de ce domaine).

Dans tout environnement, des incidents surviendront : la question n'est pas de savoir si, mais comment l'organisation y répondra. Un event est un simple changement d'état d'un système ; il devient un incident dès qu'il existe une possibilité de harm. La façon dont l'organisation détecte, évalue, escalade, communique, contient et apprend de l'événement détermine l'ampleur de son impact sur les fonctions métier.

Ce module couvre le cadre normatif et opérationnel de l'incident management : les obligations de reporting (GDPR, HIPAA Breach Notification, PIPEDA, la règle des 36 heures du GLBA, le reporting des infrastructures critiques), les deux référentiels de cycle de vie - NIST SP 800-61 en quatre phases et ISO/IEC 27035 en cinq phases - puis le déroulé concret des activités de réponse : Preparation, Detection, Analysis, Response, Mitigation, Recovery, Reporting et Review.

Deux idées structurent l'ensemble. D'abord, la culture organisationnelle et le risk appetite pèsent autant que les procédures formelles. Ensuite, le SOC escalade mais ne décide pas seul : c'est le management qui prononce le retour à la normale. La forensique a déjà été traitée au Module 1 ; ici, on se concentre sur la root cause analysis, les communications et l'amélioration continue.

Objectifs pédagogiques

  • Distinguer un event d'un incident et expliquer le rôle des standards de reporting (GDPR, HIPAA, PIPEDA, GLBA 36h, infrastructures critiques)
  • Comparer le cycle NIST SP 800-61 (4 phases) et le modèle ISO/IEC 27035 (5 phases)
  • Expliquer comment la culture et le risk appetite influencent la réponse à incident, et le rôle d'escalade non décisionnel du SOC/CSIRT
  • Dérouler les activités de réponse : Detection, Analysis (event correlation), Response, Mitigation (containment + eradication), Recovery, Reporting, Review
  • Choisir une technique de root cause analysis (Pareto, Five Whys, Fishbone, FMEA, Fault Trees) et conduire des communications aux parties prenantes

Critères de réussite

  • Je sais ordonner les 4 phases NIST 800-61 et les 5 phases ISO 27035 et les mettre en correspondance
  • Je sais citer la règle des 36 heures du GLBA et quatre standards qui imposent l'incident response comme contrôle
  • Je sais expliquer pourquoi le SOC escalade au lieu de décider seul un retour à la normale
  • Je sais nommer trois éléments d'event correlation (time sync, normalisation DNS, inventaire MAC) et leur utilité
  • Je sais associer une technique de root cause analysis à un objectif d'investigation donné

7.1 Event vs incident, standards et obligations de reporting

Cycle de réponse à incident en quatre phases selon NIST 800-61
Figure 7.1 · Figure 7.8 · Cycle de réponse à incident (NIST 800-61)

Un event est un changement d'état d'un système ; il devient un incident dès qu'il existe une possibilité de harm. Cette distinction n'est pas qu'académique : elle conditionne le déclenchement du processus de réponse et, surtout, des obligations légales de notification. Les organisations matures disposent de pratiques établies pour la détection, l'évaluation, l'escalade, la communication, la recovery et l'apprentissage.

Les processus de réponse à incident sont mandatés par de nombreux cadres réglementaires. Le GDPR de l'UE impose des délais stricts pour notifier une violation de données personnelles (PII). Aux États-Unis, la HIPAA Breach Notification Rule encadre la notification des compromissions de données de santé ; au Canada, le PIPEDA (Personal Information Protection and Electronic Documents Act) impose une obligation légale de notification des compromissions. Les opérateurs d'infrastructures critiques sont typiquement tenus par la loi nationale de signaler les cyberincidents aux autorités. Point d'examen majeur : sous le Gramm-Leach-Bliley Act (GLBA), les organismes de services financiers américains doivent désormais signaler à leurs régulateurs toute intrusion cyber de leur infrastructure dans un délai de 36 heures.

Les frameworks de sécurité traitent aussi l'incident response comme un contrôle essentiel. Parmi les standards qui l'imposent : PCI DSS, COBIT, les SOC Trust Services Criteria (SOC 2), la directive NIS 2016/1148 de l'UE et les régulations de la Banque centrale européenne. Piège d'examen : les délais, conséquences et procédures diffèrent selon les juridictions, mais l'obligation légale, elle, est claire pour chacune. Le professionnel ne maîtrise pas seul ces enjeux : il doit engager le legal counsel et les dirigeants.

Mots-clés EN Event vs incident GLBA 36-hour rule HIPAA Breach Notification Rule PIPEDA GDPR breach notification Incident response as a control
Points clés
  • Event = changement d'état ; incident = possibilité de dommage
  • GLBA : reporting d'une intrusion cyber sous 36 heures aux régulateurs
  • GDPR, HIPAA Breach Notification, PIPEDA imposent la notification de compromission
  • PCI DSS, COBIT, SOC 2, NIS 2016/1148 traitent l'incident response comme contrôle essentiel

7.2 Cycles de vie : NIST SP 800-61 et ISO/IEC 27035

Les cinq phases circulaires du modèle ISO 27035
Figure 7.2 · Figure 7.9 · Phases ISO 27035

Plusieurs référentiels guident la conduite de l'incident management, mais chaque organisation doit adapter son approche à ses obligations de conformité, sa mission, sa structure et sa culture. Les divergences portent surtout sur le nombre d'étapes ; le fond reste cohérent.

NIST SP 800-61 (Computer Security Incident Handling Guide) structure les activités en un cycle à quatre phases (Figure 7.8) : Preparation ; Detection and Analysis ; Containment, Eradication, and Recovery ; Post-Incident Activity. Notez que le cycle est itératif : les enseignements de la dernière phase réalimentent la Preparation, renforçant la posture pour les incidents futurs.

ISO/IEC 27035 (Information Security Incident Management) codifie le processus en cinq phases (Figure 7.9) : Planning and Preparation ; Detection and Reporting ; Assessment and Decision ; Response ; Lessons Learned. La correspondance avec NIST est directe : la phase Response d'ISO recouvre le triptyque Containment/Eradication/Recovery de NIST, et Lessons Learned correspond au Post-Incident Activity. Là où NIST fusionne Detection et Analysis, ISO sépare la Detection/Reporting de l'Assessment/Decision pour insister sur la décision de qualifier un event en incident.

Piège d'examen : si une question demande le standard ISO/IEC définissant la gestion d'incident en cinq phases, c'est ISO 27035. Si elle demande le cycle en quatre phases, c'est NIST SP 800-61. Ne confondez pas non plus ces standards de cycle de vie avec les standards purement forensiques (ISO 27037, 27041, 27042, 27043, 27050) traités au Module 1.

Mots-clés EN NIST SP 800-61 ISO/IEC 27035 Detection and Analysis Assessment and Decision Post-Incident Activity Iterative cycle
Points clés
  • NIST 800-61 : Preparation -> Detection & Analysis -> Containment/Eradication/Recovery -> Post-Incident
  • ISO 27035 : Planning & Preparation -> Detection & Reporting -> Assessment & Decision -> Response -> Lessons Learned
  • Response (ISO) = Containment/Eradication/Recovery (NIST) ; Lessons Learned = Post-Incident
  • Le cycle est itératif : les leçons réalimentent la préparation

7.3 Culture, risk appetite et le rôle du SOC/CSIRT

Flux de communication entre SOC et parties prenantes de l'organisation
Figure 7.3 · Figure 7.12 · Communications de réponse à incident

Aucune réglementation ne peut effacer le poids de la culture organisationnelle. La personnalité des dirigeants et conseillers, formels ou informels, fixe un ton et une compréhension tacite qui déterminent à la fois comment l'organisation se prépare à la réponse à incident et avec quelle rigueur elle suivra ses propres préparatifs le moment venu. Cette culture établit le contexte des discussions sur la risk tolerance et le risk appetite ; elle peut peser plus que les processus de gouvernance formalisés.

Ce facteur a des effets concrets et parfois néfastes. La crainte de perdre la face, la réputation ou la confiance du marché peut pousser les équipes soit à étouffer une investigation pour reprendre vite l'exploitation, soit à la surchauffer en exigeant des conclusions rapides plutôt qu'exactes et défendables. Les lois, standards et régimes de conformité ne suppriment pas cet élément culturel ; au mieux, ils posent des guide rails pour garder l'organisation sur une trajectoire saine.

Beaucoup d'organisations disposent d'un Security Operations Center (SOC) ; d'autres confient cette fonction aux opérations réseau ou systèmes. Quel que soit son rattachement, son rôle premier est d'aider les dirigeants à prendre des décisions éclairées sur les actions d'urgence. Point d'examen capital : le SOC ne décide pas unilatéralement d'activer un site de secours ou d'arrêter l'exploitation. Il escalade l'événement et le besoin de décision urgente vers les managers responsables désignés - ou vers l'échelon supérieur en leur absence. Le SOC (ou CSIRT) agit en temps réel selon ses procédures, mais remonte toujours le fait d'avoir agi.

Mots-clés EN Risk appetite Risk tolerance Organizational culture SOC Escalation Guide rails
Points clés
  • La culture pèse autant, voire plus, que la gouvernance formelle
  • La pression réputationnelle peut étouffer ou surchauffer une investigation
  • La culture cadre le risk appetite et la risk tolerance
  • Le SOC/CSIRT escalade et n'active jamais seul un site de secours ou un arrêt d'activité

7.4 Preparation, Detection et Analysis

Étapes successives d'une kill chain d'attaque
Figure 7.4 · Étapes d'une kill chain

Avant tout incident, l'organisation doit disposer d'une politique de réponse bien définie. Cette politique identifie les obligations de conformité, les responsabilités de reporting et les attentes de notification ; elle assigne, dote en ressources et communique les activités. Elle doit surtout préciser comment les incidents sont priorisés, car cela conditionne l'escalade, le partage d'information et l'autorité de décision. La préparation inclut la formation des intervenants, l'acquisition anticipée des logiciels spécialisés (pour que les responders aient l'expérience des outils), des fournitures et des zones de stockage. Chacun doit connaître ses responsabilités pour qu'un event soit correctement évalué et escaladé.

La Detection est l'étape la plus critique : repérer les premiers signes d'une kill chain en action. Il faut traquer alarmes, indicators of compromise (IoC) et même precursors. Les types d'events suspects à surveiller : buffer overflows en entrée (tentatives d'injection SQL), détection d'infection par l'antivirus, noms de fichiers à caractères inhabituels ou non imprimables, équipement sans définitions de malware à jour tentant de se connecter, redémarrage non planifié, host non géré rejoignant le réseau, modification d'un élément sous configuration baseline, échecs de login répétés depuis une IP inconnue, hausse d'e-mails rebondis ou en quarantaine, déviations inhabituelles du trafic réseau. Les IDS/IPS, pare-feux et systèmes de logging détectent ces events, mais doivent être réglés (signatures, seuils) pour minimiser les false positives.

L'Analysis est souvent le point faible : la détection capte les events à temps, mais la qualification en incident traîne faute d'analyse rapide. L'event correlation est ici décisif et repose sur de bonnes pratiques de log et configuration management : synchroniser le temps (time sync), normaliser les informations DNS, inventorier les adresses MAC acceptables. Ces données permettent d'associer un event à un autre. Une fois l'event qualifié d'incident, il faut le prioriser selon son impact et l'urgence, puis le documenter en reporting standardisé et le suivre jusqu'à résolution.

Mots-clés EN Indicators of compromise Precursor Kill chain Event correlation Time synchronization False positive
Points clés
  • La policy de préparation prioritise les incidents et conditionne l'escalade
  • Detection = repérer tôt la kill chain via IoC, precursors et events suspects
  • Régler IDS/IPS et logs (signatures, seuils) pour limiter les false positives
  • Analysis = event correlation : time sync, normalisation DNS, inventaire MAC

7.5 Response, Mitigation, Recovery et root cause analysis

Cinq techniques d'analyse de cause racine : Pareto, Five Whys, Ishikawa, FMEA, Fault Trees
Figure 7.5 · Figure 7.13 · Techniques d'analyse de cause racine

NIST 800-61 nomme ces activités Containment, Eradication and Recovery ; ISO 27035 les regroupe sous Response. Le cœur est le même : isoler les dégâts, éliminer la cause, restaurer les systèmes. Attention : vos actions pendant cette phase peuvent renforcer ou anéantir la capacité légale de l'organisation à répondre, car les recours juridiques dépendent de preuves préservées. Documentation, communication, décisions d'escalade et evidence preservation s'appliquent partout.

La Mitigation combine deux tâches logiquement distinctes mais souvent menées ensemble : containment et eradication. Le containment, c'est la quarantine : isoler les éléments suspects pour empêcher la propagation et examiner plus sûrement le causal agent. Tactiques typiques : déconnecter logiquement ou physiquement des systèmes/segments, couper des serveurs clés (DNS, DHCP, contrôle d'accès), couper les liens vers l'ISP, désactiver le Wi-Fi et les accès distants, fermer des connexions vers des services connus ou tous les services externes, couper extranets/VPN, suspendre l'accès fédéré des partenaires, désactiver des utilisateurs ou applications internes. Les mitigation sets de MITRE (enterprise et mobile) sont utiles avant, pendant ou après pour refermer une faille. L'eradication identifie et retire chaque instance du causal agent : pour un malware, nettoyer toute mémoire CPU, tout stockage local et cloud, ainsi que les backups, parfois jusqu'au reformatage bas niveau. Containment et eradication se chevauchent souvent.

La Recovery rétablit l'infrastructure, les applications, les données et les workflows à leur état normal d'avant incident, idéalement après la fin de l'eradication. La Remediation regroupe les changements de configuration urgents pour limiter la récurrence (ajuster seuils et alarmes, reset des mots de passe). Chaque étape de recovery doit être validée comme correctement réalisée. Enfin, éliminer la source est aussi essentiel qu'en traiter les effets : sans cela, l'équipe répare éternellement le même problème. D'où la root cause analysis appliquée en phase de response, avec des techniques formelles (Figure 7.13) : Pareto (80 % de la valeur via 20 % de l'effort), Five Whys (demander « pourquoi ? » jusqu'à la cause), Fishbone/Ishikawa (visualiser les causes), FMEA (Failure Mode Effects Analysis, identifier systématiquement les défaillances de composants), Fault Trees (logique booléenne pour identifier les défaillances).

Mots-clés EN Containment Eradication Remediation MITRE mitigation sets Five Whys FMEA Fault Trees
Points clés
  • Response (ISO) = Containment + Eradication + Recovery (NIST)
  • Containment = quarantine ; eradication = retirer toute trace du causal agent (y compris backups)
  • Chaque étape de recovery doit être validée ; remediation limite la récurrence
  • Root cause analysis en phase response : Pareto, Five Whys, Fishbone/Ishikawa, FMEA, Fault Trees

7.6 Reporting, Review et amélioration continue

Communications de l'équipe de réponse vers le management et les utilisateurs
Figure 7.6 · Figure 7.12 · Communications de réponse à incident

L'une des dernières tâches de l'équipe de réponse est de signaler que les opérations de recovery sont terminées. Cette notification est un point de transition majeur. Point d'examen capital : l'équipe de réponse notifie au management que les systèmes sont prêts pour un usage normal, puis ce sont le management et les leaders qui décident de faire repasser l'organisation de l'état « incident response » à l'exploitation normale. Le SOC ne prend pas cette décision et n'en porte pas les responsabilités : c'est le management. Une fois la notification endossée et diffusée à ceux qui doivent agir, le SOC bascule vers les activités post-incident.

Le Review repose sur une documentation et une gestion des preuves rigoureuses. Si l'organisation envisage des sanctions civiles ou pénales, cette phase peut être différée ou conduite de façon à ne pas compromettre l'action légale ; sinon, le review doit être mené rapidement et de manière cohérente. Une réunion lessons-learned clarifie la séquence des événements et identifie les axes d'amélioration, mais l'organisation doit en fixer le ton. Si les participants pensent que le processus débouchera sur une punition, ils participeront moins. Une réunion lessons-learned n'est pas une inquisition : c'est un événement d'apprentissage, non punitif, et le management doit honorer cette attente.

Une fois les leçons documentées et reportées, le rapport alimente l'amélioration des processus - ce qui est particulièrement délicat, car les leçons soulignent souvent le besoin pour le management de se comporter différemment. L'introspection est difficile, et tous les niveaux de management doivent évaluer leur propre volonté de changer. Piège fréquent : produire force comptes rendus et changements de contrôles administratifs ne garantit pas que l'organisation apprenne vraiment. L'apprentissage doit se traduire par des changements de comportement vérifiables (verifiable changes in behavior). Communication, documentation et volonté de changer les processus défaillants sont critiques.

Mots-clés EN Return to normal Lessons-learned meeting Non-punitive culture Verifiable behavior change Process improvement
Points clés
  • Le management - pas le SOC - décide du retour à l'exploitation normale
  • Le review peut être différé si des sanctions civiles/pénales sont envisagées
  • La réunion lessons-learned est non punitive, sinon la participation chute
  • L'apprentissage doit produire des changements de comportement vérifiables

Cas d'étude

Cas · Scénario appliqué

Le SOC de SneakerNet face à une intrusion mondiale

Contexte : SneakerNet, premier fabricant mondial de chaussures de sport, présente un profil de risque élevé du fait de ses opérations connectées à l'échelle mondiale. À 02 h 00, le SOC observe simultanément : des buffer overflows répétés sur le serveur web e-commerce (tentatives d'injection SQL), une hausse d'e-mails en quarantaine vers des cadres, et un host non géré rejoignant le segment R&D. Keiko, responsable de la sécurité, doit prioriser les actions de détection, de réponse et de mitigation pour une réponse rapide et coordonnée.

Question : Comment Keiko devrait-elle prioriser et structurer la réponse, et quelle est la limite de l'autorité du SOC ?

Topics traités Priorisation par impact et urgenceEvent correlation (time sync, DNS, MAC)Containment par quarantineEscalade vs décisionMITRE mitigation sets
Voir l'analyse et la correction

La priorisation se fait selon l'impact et l'urgence. L'injection SQL sur l'e-commerce menace des données clients (PII) et déclenche potentiellement le reporting GDPR/PCI DSS : priorité haute, containment immédiat (isoler le serveur web, couper les connexions suspectes). Le host non géré sur le segment R&D est un IoC de propagation : containment par quarantine (déconnexion logique du segment). Les e-mails en quarantaine sont déjà bloqués : surveillance et analyse, priorité moindre.

L'event correlation est décisive : synchroniser les horloges, normaliser les logs DNS et croiser les adresses MAC permettent de déterminer si ces trois events relèvent d'une même kill chain coordonnée ou d'incidents distincts. Sans cette corrélation, Keiko risque de traiter en silo une attaque unique.

Limite essentielle : le SOC contient et escalade, mais ne décide pas seul d'arrêter l'e-commerce mondial ni d'activer un site de secours. Keiko escalade le besoin de décision urgente aux managers désignés. Pour la mitigation, les MITRE mitigation sets fournissent des contre-mesures alignées sur les patterns d'attaque observés. La preservation des preuves doit accompagner chaque action, car des poursuites sont plausibles vu la valeur de la PII.

À retenir : Prioriser par impact/urgence, corréler les events avant de conclure, contenir par quarantine - et escalader la décision au management, jamais la prendre seul.

Éléments d'apprentissage clés
  • La priorisation conditionne l'efficacité d'une réponse coordonnée
  • Sans corrélation, trois events peuvent masquer une seule kill chain
  • Le SOC agit en temps réel mais escalade les décisions stratégiques
  • La preservation des preuves protège la capacité légale de l'organisation
Piège d'examen

Le SOC escalade, il ne décide pas

Piège récurrent : croire que le SOC active un site de secours, arrête l'exploitation ou prononce le retour à la normale. Faux. Le SOC contient en temps réel selon ses procédures, mais escalade le besoin de décision urgente aux managers responsables désignés. C'est le management qui décide d'arrêter l'activité et qui décide de repasser de « incident response » à exploitation normale. Si une question d'examen attribue ces décisions au SOC, c'est l'option à écarter.

Piège d'examen

NIST 4 phases vs ISO 27035 5 phases

Ne confondez pas les deux cycles. NIST SP 800-61 = 4 phases : Preparation ; Detection and Analysis ; Containment, Eradication and Recovery ; Post-Incident Activity. ISO/IEC 27035 = 5 phases : Planning and Preparation ; Detection and Reporting ; Assessment and Decision ; Response ; Lessons Learned. La phase Response d'ISO regroupe le Containment/Eradication/Recovery de NIST. Si la question demande « le standard ISO en cinq phases », répondez ISO 27035 ; « le cycle en quatre phases », NIST SP 800-61.

Piège d'examen

Containment n'est pas eradication

Containment = quarantine : isoler les éléments suspects pour stopper la propagation (déconnexion réseau, coupure de serveurs DNS/DHCP). Eradication = retirer chaque instance du causal agent, jusque dans la mémoire, le cloud et les backups (parfois reformatage bas niveau). Les deux se chevauchent souvent en pratique, mais restent logiquement distincts. Et surtout : éliminer la source (root cause) est aussi vital que traiter les effets, sinon l'équipe répare éternellement le même incident.

Point de contrôle — Point de contrôle

  1. Sous le Gramm-Leach-Bliley Act (GLBA), de combien de temps une organisation de services financiers dispose-t-elle pour signaler à ses régulateurs une compromission cyber de PII client ?

    • A 36 heures
    • B 72 heures
    • C 24 heures
    • D 30 jours
    Réponse & justification

    Réponse : A — 36 heures

    Le GLBA impose désormais aux organismes financiers américains de signaler toute intrusion cyber de leur infrastructure dans un délai de 36 heures. 72 heures correspond plutôt au délai de notification du GDPR (à l'autorité de contrôle) ; 24 heures et 30 jours ne sont pas la règle GLBA.

  2. Quel standard ISO/IEC définit la gestion des incidents de sécurité en cinq phases ?

    • A ISO/IEC 27035
    • B ISO/IEC 27037
    • C ISO/IEC 27001
    • D NIST SP 800-61
    Réponse & justification

    Réponse : A — ISO/IEC 27035

    ISO/IEC 27035 codifie la gestion d'incident en cinq phases : Planning and Preparation, Detection and Reporting, Assessment and Decision, Response, Lessons Learned. ISO 27037 concerne la preuve numérique (forensique). ISO 27001 est le SMSI. NIST SP 800-61 est un standard américain à quatre phases, pas un standard ISO/IEC.

  3. Quels sont les quatre étapes principales d'une investigation cyber-forensique selon NIST ?

    • A Collection, Examination, Analysis, Reporting
    • B Preparation, Detection, Response, Recovery
    • C Identification, Containment, Eradication, Recovery
    • D Planning, Assessment, Decision, Lessons Learned
    Réponse & justification

    Réponse : A — Collection, Examination, Analysis, Reporting

    Le cycle forensique NIST (SP 800-86) comporte quatre étapes : Collection, Examination, Analysis, Reporting. Les autres options mélangent des phases du cycle de réponse à incident (NIST 800-61) ou d'ISO 27035, qui ne sont pas le cycle forensique proprement dit.

  4. Parmi ces standards, lesquels identifient l'incident response comme un contrôle essentiel de sécurité ?

    • A PCI DSS, COBIT, SOC 2 (Trust Services Criteria), directive NIS 2016/1148
    • B ISO 9001, ITIL, TOGAF, Zachman
    • C FIPS 140-2, Common Criteria, FedRAMP uniquement
    • D Aucun ; l'incident response n'est jamais un contrôle obligatoire
    Réponse & justification

    Réponse : A — PCI DSS, COBIT, SOC 2 (Trust Services Criteria), directive NIS 2016/1148

    PCI DSS, COBIT, les SOC Trust Services Criteria (SOC 2) et la directive NIS 2016/1148 de l'UE imposent tous l'incident response comme contrôle essentiel. ISO 9001/ITIL/TOGAF/Zachman ne ciblent pas spécifiquement ce contrôle. La dernière option est fausse : l'incident response est bien mandatée par de nombreux cadres.

  5. Après une intrusion, quelle technique de root cause analysis consiste à demander de façon répétée « pourquoi cela s'est-il produit ? » jusqu'à atteindre la cause profonde ?

    • A Five Whys
    • B Pareto Analysis
    • C Fishbone (Ishikawa)
    • D Fault Trees
    Réponse & justification

    Réponse : A — Five Whys

    Les Five Whys consistent à demander « pourquoi ? » de manière répétée pour remonter à la cause racine. Pareto identifie 80 % de la valeur dans 20 % de l'effort. Fishbone/Ishikawa est un outil de visualisation des causes. Fault Trees applique la logique booléenne pour identifier les défaillances. FMEA, non listé ici, identifie systématiquement les défaillances de composants.

Points essentiels à retenir

  • Un event devient un incident dès qu'il existe une possibilité de harm ; la réponse en détermine l'ampleur.
  • Obligations de reporting : GDPR (PII), HIPAA Breach Notification, PIPEDA, GLBA (36 h), infrastructures critiques. PCI DSS, COBIT, SOC 2, NIS 2016/1148 imposent l'IR comme contrôle.
  • NIST SP 800-61 = 4 phases ; ISO/IEC 27035 = 5 phases ; la Response d'ISO recouvre Containment/Eradication/Recovery.
  • La culture et le risk appetite pèsent autant que les procédures ; le SOC/CSIRT escalade mais ne décide pas seul.
  • Detection = repérer la kill chain via IoC/precursors ; Analysis = event correlation (time sync, DNS, MAC).
  • Containment = quarantine ; eradication = retirer toute trace du causal agent ; root cause analysis (Pareto, Five Whys, Fishbone, FMEA, Fault Trees) en phase response.
  • Le management - pas le SOC - décide du retour à la normale ; le lessons-learned est non punitif et doit produire des changements de comportement vérifiables.
Module 8 Objectif Mesures détectives Objectif Mesures préventives Objectif Anti-malware Objectif Patch management Objectif Services tiers 120 min Intermédiaire

Mesures détectives/préventives et gestion des correctifs

Prérequis : Notions de defense in depth, de SOC/SIEM et de gestion des changements (modules précédents du Domaine 7).

Exploiter et maintenir des mesures détectives et préventives (objectif 7.7) suppose un jugement professionnel : aucune liste d'outils n'est exhaustive, et chaque contrôle se choisit en fonction de la risk posture de l'organisation, de ses obligations et des limites des produits. Ce module passe en revue l'arsenal opérationnel - firewalls et NGFW intégrant IDS/IPS, allowed/blocked listing, services de sécurité tiers, sandboxing, honeypots, anti-malware et outils ML/AI - puis enchaîne sur la gestion des correctifs (objectif 7.8).

Le patch management n'est pas qu'une affaire technique : il s'articule avec le vulnerability management et le change management, et il porte ses propres pièges (interopérabilité, correctifs mal conçus, downtime, immutable infrastructure). L'examen teste votre capacité à ordonner le processus de patch et à distinguer détection (vulnerability management) et remédiation (patch management).

À la fin du module, vous saurez justifier le choix d'un contrôle opérationnel, comparer les approches anti-malware, conduire un processus de patch de bout en bout et prioriser les correctifs sur une infrastructure hétérogène.

Objectifs pédagogiques

  • Décrire le rôle des firewalls, NGFW, IDS et IPS et les décisions temps réel du SOC
  • Distinguer allowed listing et blocked listing et leurs cas d'usage (NIST SP 800-167)
  • Évaluer la valeur des services de sécurité tiers et la due diligence contractuelle associée
  • Comparer sandboxing, honeypots/honeynets et leurs limites légales (hackback)
  • Comparer les approches anti-malware (signature, activity monitoring, change detection, heuristique)
  • Ordonner le processus de patch management et le situer face au vulnerability et au change management

Critères de réussite

  • Je sais choisir entre allowed et blocked listing selon la diversité du parc
  • Je sais lister les activités de due diligence avant de contracter un service de sécurité tiers
  • Je sais associer une approche anti-malware (signature, activité, changement, heuristique) à son équivalent IDS
  • Je sais ordonner les étapes du patch management de la notification au rollback documenté
  • Je sais distinguer vulnerability management (détection) et patch management (remédiation)

8.1 Firewalls, NGFW, IDS/IPS et les décisions temps réel du SOC

Comparaison d'un IDS qui alerte et d'un IPS qui bloque derrière un NGFW
Figure 8.1 · Comparaison d'un IDS qui alerte et d'un IPS qui bloque derrière un NGFW

La valeur opérationnelle des firewalls ne se surestime pas : un environnement de menaces en évolution rapide oblige l'organisation à évaluer en permanence leur performance et à modifier les règles selon les nouveaux vecteurs d'attaque. Le SOC doit être prêt à prendre des décisions en temps réel face à un changement de menace ou d'architecture. Ces besoins immédiats peuvent justifier un processus d'approbation distinct du circuit habituel, mais une documentation, des tests et un déploiement corrects doivent rester cohérents avec les exigences de change management de l'organisation.

Les firewalls de quatrième génération et next-generation (NGFW) absorbent désormais beaucoup de fonctions des anciennes générations d'IDS et d'IPS, en solutions host-based ou network-based. Le candidat doit reconnaître les fonctions de base d'un IDS (détecter et alerter) et d'un IPS (détecter et bloquer activement), sans se focaliser sur le shopping de produits spécifiques. L'examen attend la compréhension du principe, pas un comparatif commercial.

Une subtilité importante : comme un NGFW se reconfigure tout seul à partir de ses algorithmes de machine learning et d'IA, appliquer une approche de change management traditionnelle bride l'efficacité du dispositif. Il faut plutôt intégrer le NGFW à l'infrastructure de logging de l'organisation pour tracer ses performances : la surveillance de ses changements automatiques fait partie de la stratégie de monitoring, et non d'une procédure de changement classique qui figerait l'adaptation.

Piège d'examen : ne confondez pas IDS (détecte et alerte) et IPS (détecte et agit en bloquant). Et retenez que pour les dispositifs auto-adaptatifs, le bon réflexe est le logging/monitoring, pas le gel par un change control rigide.

Mots-clés EN NGFW IDS IPS SOC Real-time decision Host-based / network-based
Points clés
  • Le SOC ajuste les règles firewall en temps réel selon les nouveaux vecteurs
  • Les NGFW intègrent désormais les fonctions IDS/IPS (host ou network)
  • IDS détecte et alerte ; IPS détecte et bloque activement
  • Un dispositif auto-adaptatif (ML/AI) se trace par logging, pas par change control rigide

8.2 Allowed listing vs blocked listing

Deux colonnes opposant allowed listing (deny by default) et blocked listing (allow by default)
Figure 8.2 · Allowed vs blocked listing

Le filtrage des activités à partir de listes d'éléments autorisés ou bloqués est l'un des contrôles les plus efficaces pour minimiser les compromissions par malware. Pendant des décennies, on a parlé de whitelisting et de blacklisting ; les termes allowed et blocked sont aujourd'hui préférés, même si d'anciens et certains nouveaux travaux conservent l'ancienne terminologie.

L'allowed listing n'autorise l'exécution que des éléments préalablement approuvés et bloque tous les autres. Ce contrôle figure dans les frameworks ISO et NIST ; NIST fournit le SP 800-167 (Guide to Application Whitelisting) pour accompagner sa mise en œuvre. Les listes logicielles autorisées détectent et empêchent toute tentative de charger et d'exécuter un fichier programme, et alertent le personnel de sécurité si le code n'est pas préapprouvé. Le concept d'interdire l'exécution de logiciels non autorisés s'étend aussi aux actions utilisateur, aux ports et protocoles, aux adresses IP/plages, aux sites web et aux adresses MAC. L'organisation peut vérifier l'intégrité des programmes autorisés via des signatures numériques, des checksums cryptographiques ou des fonctions de hachage, avant exécution ou au démarrage du système.

La technique est efficace lorsque le nombre d'applications permises est faible : par nature, elle bloque les menaces inconnues, ce qui est un atout majeur. Mais à mesure que la diversité des systèmes et des missions augmente, l'allowed listing peut devenir trop restrictive pour les besoins métier. À l'inverse, le blocked listing interdit explicitement les applications listées ; tout ce qui n'est pas listé est admis, sous réserve des autres contrôles. Cette approche est particulièrement efficace contre des menaces spécifiques et connues, et sert souvent à écarter des nuisance applications qui consomment des ressources.

Piège d'examen : allowed listing = deny by default, idéal en environnement homogène et bloque l'inconnu ; blocked listing = allow by default, efficace contre des menaces connues mais inopérant contre l'inconnu. Les produits d'allowed listing et d'anti-malware convergent et intègrent désormais des fonctions l'un de l'autre.

Mots-clés EN Allowed listing Blocked listing NIST SP 800-167 Integrity verification Nuisance application Deny by default
Points clés
  • Allowed listing = deny by default ; bloque par nature les menaces inconnues
  • Blocked listing = allow by default ; efficace contre les menaces connues
  • NIST SP 800-167 guide l'application whitelisting (aussi dans ISO)
  • Intégrité des programmes vérifiée par signatures, checksums ou hash
  • Allowed listing devient trop restrictif quand la diversité du parc augmente

8.3 Services de sécurité tiers et due diligence contractuelle

Schéma des services de sécurité tiers et des étapes de due diligence
Figure 8.3 · Schéma des services de sécurité tiers et des étapes de due diligence

Une organisation pour laquelle la sécurité n'est pas un core competency peut recourir à des services externes. L'exemple du manuel : un distributeur agricole n'a ni l'expertise ni les outils pour bâtir un programme de sécurité complet ; cela peut faire sens économiquement, sa compétence étant de vendre des produits agricoles, pas de sécuriser des données. Les services couramment offerts incluent : threat intelligence (veille open-source ou investigations propres sur les menaces visant une région, un secteur, un produit ou un client précis) ; network monitoring (surveillance à distance ou sur site, car détecter des attaques réseau exige analyse et expertise) ; physical security (services de gardiennage évitant l'embauche et les coûts de personnel) ; network management (souvent chargé de fonctions de sécurité - enforcement de la politique d'usage, monitoring, patch management, inventaire d'actifs, hébergement cloud) ; et audit (vérification/validation, scans de vulnérabilités, certification de conformité, maintenance de configuration).

Quel que soit le service, la due diligence est obligatoire pour confirmer la capacité réelle du prestataire à tenir les termes du contrat - d'autant plus que la sécurité exige une confiance forte. Les activités de due diligence comprennent : revue de la gouvernance (politique et procédures de sécurité du prestataire) ; SLAs (accord explicite sur ce qui constitue une exécution complète et exacte) ; NDAs (le prestataire protège les données du client et s'engage à ne pas en tirer parti à son profit) ; insurance/bonding (assurance responsabilité et, parfois, performance ou surety bond garantissant l'achèvement du travail et l'indemnisation en cas de négligence) ; audit/testing (autoriser le client à mener audits sur site, monitoring de performance ou pénétration tests) ; strong contract language (termes opposables et légitimes dans toutes les juridictions, revus par les conseils juridiques des deux parties) ; et regulatory approval (informer et obtenir l'accord des régulateurs si le service affecte la conformité).

Le secteur public diffère nettement du privé : les règles de procurement sont complexes et servent d'autres objectifs que le meilleur service au coût le plus bas (préférences pour certains groupes, contraintes politiques comme les embargos, développement de l'industrie locale, et forte accountability sur l'argent public). Repères : aux États-Unis, les Federal Acquisition Regulations (FAR) - des milliers de pages, non directement applicables aux États et sous-juridictions ; au Canada, les Government Contracting Regulations augmentées du manuel SACC (Standard Acquisition Clauses and Conditions) ; dans l'UE, les Public Procurement Policies fixant des minima augmentés par les exigences nationales.

Piège d'examen : la due diligence porte sur la capacité réelle du prestataire (governance, SLA, NDA, assurance, audit, langage contractuel, régulateurs), pas seulement sur le prix. Et n'oubliez pas que le contracting public obéit à des règles propres (FAR, SACC, EU procurement), distinctes du privé.

Mots-clés EN Threat intelligence SLA NDA Insurance / bonding FAR SACC Regulatory approval
Points clés
  • Services tiers : threat intel, network monitoring, physical security, network management, audit
  • Due diligence : governance, SLA, NDA, insurance/bonding, audit/testing, contrat, régulateurs
  • La sécurité exige une confiance forte, donc une due diligence renforcée
  • Contracting public distinct : FAR (US), SACC (Canada), EU procurement

8.4 Sandboxing, honeypots et honeynets

Honeypot et honeynet placés en DMZ pour observer un attaquant
Figure 8.4 · Honeypot et honeynet en DMZ

Lorsque le SOC reconnaît une menace, des décisions s'imposent en temps réel ou quasi réel. L'organisation doit disposer de politiques pour évaluer la menace et décider de recourir à un environnement de test isolé - une sandbox - afin de séparer la menace du reste du réseau. Les sandboxes sont souvent implémentées en environnement virtuel : faciles à provisionner, et si l'environnement est compromis, le dommage reste minime. Limite à connaître : de nombreux attaquants savent détecter qu'ils sont dans une sandbox et adaptent leur comportement pour échapper à l'analyse. Le sandboxing sert aussi à isoler une activité potentiellement malveillante avant de présenter l'information à l'utilisateur : plusieurs moteurs de messagerie, notamment Office365 de Microsoft, savent sandboxer les messages et faire détoner (detonating) les URLs ; si une activité inappropriée est détectée, le lien est désactivé avant l'affichage du message.

Un honeypot est une machine présente sur le réseau mais ne contenant ni donnée sensible ni donnée de valeur ; plusieurs honeypots reliés en réseau ou sous-réseau forment un honeynet. Les honeypots servent à distraire et occuper les intrus pour retarder leur accès aux données de production, et offrent l'occasion d'observer l'attaque en direct (sans risque appréciable) afin de mieux cerner sa nature, d'identifier éventuellement l'attaquant, d'évaluer ses outils et compétences, et de recueillir des preuves utiles pour une action légale. Ils sont typiquement placés dans la DMZ et doivent imiter l'architecture d'un environnement réel, avec des actifs simulés mimant le contenu de la production, pour convaincre l'attaquant qu'il s'agit d'une cible authentique. Certains prestataires offrent des réseaux simulés entiers (des centaines de devices, faux comptes, fausses données de carte).

Point de gouvernance crucial : honeypots et honeynets ne sont généralement pas faits pour appâter ou attirer les acteurs malveillants. Si chercheurs en sécurité et fournisseurs anti-spam les structurent parfois exactement pour cela, il est contre-productif pour la plupart des organisations de solliciter activement des attaques contre leur infrastructure. Enfin, dans presque toutes les juridictions, le hackback (hacker en retour l'attaquant qui vous a hacké) est illégal, souvent lourdement puni : aux États-Unis et au Royaume-Uni, c'est un piratage comme un autre, passible de poursuites pénales (felony), même si certaines juridictions, dont les États-Unis, envisagent de l'autoriser dans des circonstances limitées.

Piège d'examen : sandbox = isolement d'analyse (mais détectable par l'attaquant) ; honeypot = leurre placé en DMZ pour observer et collecter des preuves, pas pour appâter ; hackback = illégal. Ne confondez pas l'objectif défensif d'observation du honeypot avec une démarche offensive.

Mots-clés EN Sandbox Detonation Honeypot Honeynet DMZ Hackback
Points clés
  • Sandbox = isolement d'analyse, mais détectable par certains attaquants
  • Office365 sandboxe les emails et fait détoner les URLs avant affichage
  • Honeypot/honeynet = leurres en DMZ pour observer et collecter des preuves
  • Ils ne doivent pas servir à appâter ; le hackback est illégal (felony)

8.5 Anti-malware : approches, zero-day et reputation monitoring

Trois approches anti-malware (signature, activité, changement) et leurs équivalents IDS
Figure 8.5 · Approches anti-malware et équivalents IDS

Une stratégie DiD réaliste intègre des solutions anti-malware (matérielles, logicielles ou mixtes), sur les devices réseau, les systèmes individuels et les endpoints mobiles. La plupart des frameworks identifient l'anti-malware d'endpoint comme un composant nécessaire de la defense in depth, géré via des plateformes dédiées intégrées au logging, au SOC et au SIEM ; l'intégration étroite à un SIEM ou SOAR est vitale. Comme le malware se propage largement par social engineering, la sensibilisation, l'éducation et la formation de tous les membres sont la première ligne de défense : email, pièces jointes et supports amovibles sont des vecteurs majeurs. Beaucoup de professionnels abandonnent la formation annuelle (longues vidéos cliquables) au profit du microtraining - de courtes séquences d'une minute réparties dans l'année - combiné au phishing awareness testing pour mesurer l'efficacité. Pour les PME, le manuel renvoie à des mesures de cyber hygiene de bon sens, dont l'Implementation Group 1 (IG1) du CIS pour le segment SOHO.

Tout l'antivirus est essentiellement réactif : il n'existe que parce que les malwares l'ont précédé. Il faut distinguer le scanning par signature connue des mesures génériques. Le manuel décrit trois approches, rapprochées (sans être identiques) des types d'IDS : known signature scanning (comme un IDS signature-based) - cherche des chaînes caractéristiques de virus connus, sait souvent nettoyer l'objet (mais le remplacement est plus sûr) ; activity monitoring (comme un IDS rule-based ou anomaly-based) - surveille et signale les activités suspectes, par exemple un appel de formatage de disque ou une altération de fichiers programme par un autre programme que l'OS ; et change detection (comme un IDS statistical-based) - compare régulièrement fichiers et configurations via un checksum ou CRC, parfois un hash/digest. La change detection est aussi appelée integrity-checking, mais le terme peut induire en erreur : si l'intégrité était déjà compromise avant l'établissement de la baseline, la technique est inopérante ; elle a aussi la plus forte probabilité de fausses alarmes car elle ignore si un changement est malveillant ou autorisé. À part, les heuristic scanners analysent du code inconnu en cherchant des sections suspectes (proches de l'activity monitoring), au prix de nombreux faux positifs.

Un zero-day (ou zero-hour) tire son nom de l'effet de surprise : un attaquant découvre une vulnérabilité non rapportée, développe un exploit et l'utilise avant toute défense ; le compte à rebours oppose black hats (attaquants), white hats (défenseurs) et gray hats (white hats utilisant des techniques offensives dans un cadre légal et éthique, comme l'ethical penetration testing). Pendant la zero-hour, aucun moteur antivirus ne protège un visiteur d'un site hébergeant du nouveau contenu malveillant. La parade : le web reputation monitoring, qui évalue les sites et leur attribue un score de réputation, typiquement de 0 à 100. Les cinq bandes citées en exemple : High Risk (1-20), Suspicious (21-40), Moderate Risk (41-60), Low Risk (61-80), Trustworthy (81-100) - de quoi bloquer, prudemment autoriser ou autoriser l'accès.

Enfin, les outils ML/AI repèrent des patterns malveillants non préétablis par les rule sets, KPIs et KRIs, et alertent sur davantage de menaces ; ils doivent être tunés pour les besoins de l'organisation, sous peine de décisions inadaptées et de coûts excessifs. Revers : ML/AI sont aussi accessibles aux attaquants (projets open-source), d'où un arms race permanent. Piège d'examen : signature -> connu ; activity monitoring/heuristique -> comportement et inconnu ; change detection -> intégrité par CRC/hash mais fausses alarmes et baseline potentiellement déjà corrompue.

Mots-clés EN Known signature scanning Activity monitoring Change detection Heuristic scanner Zero-day / zero-hour Web reputation monitoring CIS IG1
Points clés
  • Trois approches : signature (connu), activity monitoring (comportement), change detection (intégrité CRC/hash)
  • Heuristic scanners visent le code inconnu mais génèrent des faux positifs
  • Zero-day/zero-hour : effet de surprise ; white/black/gray hats
  • Web reputation : score 0-100, bandes High Risk -> Trustworthy
  • ML/AI à tuner ; arms race car les attaquants y ont aussi accès

8.6 Patch management : défis et processus

Étapes ordonnées du patch management, de la notification au rollback documenté
Figure 8.6 · Figure 7.14 · Étapes du patch management

Les faiblesses identifiées par risk assessment, threat modeling ou scanning se traitent par des changements de configuration, des correctifs logiciels ou des modifications de l'environnement (règles de firewall, réglages DLP). Distinction d'examen : le vulnerability management met l'accent sur la détection et l'évaluation des faiblesses, puis confie souvent la remédiation à un autre processus selon l'effort requis ; le patch management est la part qui applique et vérifie les correctifs. Toute modification du logiciel de production suit les procédures de change management de l'organisation.

Patcher est nécessaire mais comporte ses propres défis : interoperability (un correctif peut entrer en conflit avec un système interdépendant et provoquer une panne ; les vendors ne peuvent anticiper tous les environnements) ; poorly-crafted patches (un correctif mal conçu peut dégrader les performances, créer des problèmes d'interopérabilité, voire introduire de nouvelles vulnérabilités - risque accru pour le reactive patching) ; required downtime (le reboot fréquent interrompt les opérations et génère des coûts) ; virtualization-specific concerns (en cloud, la pratique a migré vers l'immutable infrastructure : on applique le correctif à une instance entièrement neuve et on bascule la charge, en CI/CD avec des outils comme Puppet, Chef ou Ansible déployant des baselines de sécurité) ; et timing (les organisations multi-fuseaux risquent une application non uniforme des correctifs).

Le secteur a répondu par un processus standard de patch ; chaque organisation crée sa propre politique en tenant compte de ces étapes (Figure 7.14) : recevoir la notification (vendor, tiers anti-malware/threat intel, ou actualités - veille au moins quotidienne) ; déterminer l'applicabilité/évaluation (tous n'utilisent pas le produit pareil ; le change management exige une analyse d'applicabilité et d'urgence) ; déterminer les impacts potentiels sur les autres systèmes et les risques additionnels ; tester sur un test bed isolé air-gapped reproduisant les interdépendances de la production (sans réplication 1:1), en testant aussi les procédures de rollback ; effectuer un full backup avant application (pour pouvoir revenir en arrière sans perte) ; appliquer selon les instructions du vendor, les best practices et le processus formel ; confirmer l'installation sur toutes les cibles avec des outils automatisés, vérifier que le correctif performe et mettre à jour les métriques de monitoring ; solliciter le user feedback (le help desk est partie prenante) ; rollback vers l'état antérieur si le correctif échoue ou a des effets inacceptables, selon des critères définis dans la Request for Change (RFC) et déclenchés automatiquement ; et tout documenter, en intégrant les enregistrements de patch à l'asset inventory.

Piège d'examen : ne confondez pas vulnerability management (détecter/évaluer) et patch management (appliquer/vérifier). Et retenez l'ordre logique - notifier, évaluer l'applicabilité, mesurer l'impact, tester en air-gapped, sauvegarder, appliquer, confirmer, recueillir le feedback, rollback si besoin, documenter - le test sur un bed isolé et le full backup précèdent toujours l'application en production.

Mots-clés EN Patch management Vulnerability management Air-gapped test bed Immutable infrastructure CI/CD RFC Rollback
Points clés
  • Vulnerability management détecte/évalue ; patch management applique/vérifie
  • Défis : interopérabilité, correctifs mal conçus, downtime, immutable infra, timing
  • Toujours tester en air-gapped et faire un full backup AVANT d'appliquer en production
  • Cloud : immutable infrastructure et CI/CD (Puppet, Chef, Ansible)
  • Rollback selon des critères de la RFC ; tout documenter dans l'asset inventory

Cas d'étude

Cas · Scénario appliqué

Prioriser le patching sur une infrastructure hétérogène (SneakerNet)

Contexte : Keiko constate que SneakerNet n'a aucun processus défini d'évaluation et de test des correctifs, et que les employés ne sont pas notifiés de façon cohérente sur les patches nécessaires. L'infrastructure est diverse : serveurs on-prem, charges cloud, postes de travail, équipements réseau, et des sites répartis sur plusieurs fuseaux horaires.

Question : Comment Keiko peut-elle prioriser et coordonner l'application des correctifs de sécurité dans les temps, et quelle stratégie de patch et vulnerability management proposer ?

Topics traités Patch vs vulnerability managementPriorisation par applicabilité et urgenceTest air-gapped et full backupImmutable infrastructure et CI/CDCoordination multi-fuseaux
Voir l'analyse et la correction

D'abord, distinguer les deux disciplines : un vulnerability management qui détecte et évalue les faiblesses (scans réguliers, threat modeling), alimentant un patch management qui remédie. La priorisation se fonde sur l'applicabilité réelle (tous les actifs n'utilisent pas le produit pareil) et l'urgence (criticité de la vulnérabilité, exposition, valeur de l'actif) - c'est l'analyse exigée par le change management.

Ensuite, formaliser le processus de la Figure 7.14 : veille quotidienne des notifications (vendors, threat intel), évaluation d'applicabilité et d'impact, test sur un test bed air-gapped reproduisant les interdépendances, full backup, application selon les instructions, confirmation automatisée sur toutes les cibles, user feedback via le help desk (partie prenante), rollback selon des critères inscrits dans la RFC, et documentation dans l'asset inventory.

Pour coordonner sur un parc divers et multi-fuseaux : segmenter par type d'actif et fenêtre de maintenance pour éviter une application non uniforme (risque de timing) ; pour les charges cloud, adopter l'immutable infrastructure en CI/CD (Puppet, Chef, Ansible) afin de patcher une instance neuve et basculer la charge, réduisant le downtime ; centraliser les notifications et les métriques dans le SIEM. La gouvernance lie le tout au change management formel, avec des SLAs internes de remédiation par niveau de criticité.

À retenir : Priorité = applicabilité × urgence ; le patch management formalisé (Figure 7.14) s'appuie sur le vulnerability management pour la détection et sur le change management pour l'approbation, avec immutable infrastructure/CI/CD pour le cloud.

Éléments d'apprentissage clés
  • La détection (vulnerability) précède et alimente la remédiation (patch)
  • Le change management impose l'analyse d'applicabilité et d'urgence
  • Le help desk est une partie prenante du processus de patch
  • Le cloud privilégie l'immutable infrastructure pour limiter le downtime
Piège d'examen

Allowed vs blocked listing : sens du défaut

Allowed listing = deny by default : seul ce qui est préapprouvé s'exécute, donc l'inconnu (y compris les menaces nouvelles) est bloqué par nature - mais devient trop restrictif quand la diversité du parc augmente. Blocked listing = allow by default : tout est admis sauf ce qui est listé, donc efficace contre des menaces connues mais aveugle à l'inconnu. À l'examen, reliez allowed listing à la défense contre l'inconnu et au NIST SP 800-167, et blocked listing aux nuisance applications et menaces connues.

Piège d'examen

Honeypot d'observation, pas d'appât - et hackback illégal

Le but d'un honeypot (ou honeynet) est de distraire, observer et collecter des preuves, pas d'appâter activement des attaquants : solliciter des attaques est contre-productif pour la plupart des organisations. Placez-le en DMZ avec des actifs simulés crédibles. Surtout, ne franchissez jamais la ligne offensive : le hackback est illégal dans presque toutes les juridictions (felony aux États-Unis et au Royaume-Uni), même si certaines envisagent de l'autoriser sous conditions.

Piège d'examen

Vulnerability management vs patch management

Vulnerability management = détecter et évaluer les faiblesses, puis confier la remédiation. Patch management = appliquer et vérifier les correctifs. Si la question parle de scanning, d'évaluation ou de priorisation des faiblesses, pensez vulnerability management ; si elle parle d'appliquer, tester, confirmer ou faire un rollback, pensez patch management. Et rappelez-vous que le test sur test bed air-gapped et le full backup précèdent toujours l'application en production.

Piège d'examen

Change detection / integrity-checking : un nom trompeur

La change detection (souvent appelée integrity-checking) compare fichiers et configurations via un checksum, un CRC ou un hash. Mais le terme integrity-checking induit en erreur : si l'intégrité était déjà compromise avant l'établissement de la baseline, la technique est inopérante. Elle a aussi la plus forte probabilité de fausses alarmes, car elle ne sait pas si un changement est malveillant ou autorisé. À rapprocher d'un IDS statistical-based.

Point de contrôle — Point de contrôle

  1. Une organisation au parc applicatif réduit et homogène veut un contrôle qui bloque par nature toute menace inconnue. Quelle approche est la plus adaptée ?

    • A Allowed listing (deny by default)
    • B Blocked listing (allow by default)
    • C Heuristic scanning seul
    • D Web reputation monitoring seul
    Réponse & justification

    Réponse : A — Allowed listing (deny by default)

    L'allowed listing n'autorise que le préapprouvé et bloque tout le reste, donc l'inconnu par nature ; il excelle quand les applications permises sont peu nombreuses (parc homogène) - voir NIST SP 800-167. Le blocked listing laisse passer l'inconnu (allow by default). Heuristic scanning et web reputation complètent mais ne garantissent pas le blocage de l'inconnu.

  2. Parmi ces propositions, laquelle est un exemple valable de tool ou technique de l'objectif 7.7 pour répondre aux menaces ?

    • A Honeypots et honeynets
    • B Le hackback proactif contre l'attaquant
    • C La suppression de tout logging du NGFW
    • D La désactivation du change management
    Réponse & justification

    Réponse : A — Honeypots et honeynets

    Le Check Your Understanding 7.7 cite allowed/blocked listing, firewalls/IDS/IPS, sandboxing, honeypots/honeynets et anti-malware. Le hackback est illégal presque partout. Supprimer le logging du NGFW va à l'encontre de la stratégie de monitoring. Désactiver le change management n'est pas un contrôle de sécurité.

  3. Quelle approche anti-malware compare régulièrement fichiers et configurations via un CRC ou un hash et présente la plus forte probabilité de fausses alarmes ?

    • A Change detection (integrity-checking)
    • B Known signature scanning
    • C Activity monitoring
    • D Web reputation monitoring
    Réponse & justification

    Réponse : A — Change detection (integrity-checking)

    La change detection (rapprochée d'un IDS statistical-based) compare via checksum/CRC/hash et ne sait pas si un changement est malveillant ou autorisé, d'où le plus de fausses alarmes ; si l'intégrité était déjà compromise avant la baseline, elle est inopérante. Le signature scanning vise le connu, l'activity monitoring le comportement, le web reputation note les sites.

  4. Dans le processus de patch management, quelle étape doit impérativement précéder l'application d'un correctif en production ?

    • A Tester sur un test bed air-gapped puis réaliser un full backup
    • B Solliciter le user feedback via le help desk
    • C Documenter le correctif dans l'asset inventory
    • D Déclencher automatiquement le rollback
    Réponse & justification

    Réponse : A — Tester sur un test bed air-gapped puis réaliser un full backup

    Le manuel (Figure 7.14) place le test sur un test bed isolé air-gapped, puis le full backup, avant l'application en production. Le user feedback et la documentation viennent après l'application ; le rollback ne se déclenche qu'en cas d'échec, selon les critères de la RFC.

  5. Quelle affirmation distingue correctement vulnerability management et patch management ?

    • A Le vulnerability management détecte et évalue les faiblesses ; le patch management applique et vérifie les correctifs
    • B Le patch management détecte les faiblesses ; le vulnerability management les corrige
    • C Les deux désignent exactement le même processus
    • D Le vulnerability management ne concerne que le cloud
    Réponse & justification

    Réponse : A — Le vulnerability management détecte et évalue les faiblesses ; le patch management applique et vérifie les correctifs

    Le vulnerability management met l'accent sur la détection et l'évaluation, puis confie souvent la remédiation ; le patch management est la part qui applique et vérifie. L'option 2 inverse les rôles ; les deux ne sont pas identiques ; le vulnerability management n'est pas limité au cloud.

Points essentiels à retenir

  • Le SOC ajuste les firewalls en temps réel ; les NGFW absorbent IDS/IPS et se tracent par logging, pas par un change control rigide.
  • Allowed listing = deny by default (bloque l'inconnu, NIST SP 800-167) ; blocked listing = allow by default (menaces connues).
  • Contracter un service tiers exige une due diligence : governance, SLA, NDA, insurance/bonding, audit, langage contractuel, régulateurs ; le contracting public (FAR, SACC, EU) est distinct.
  • Sandbox = isolement d'analyse ; honeypot/honeynet = leurres en DMZ pour observer, pas appâter ; le hackback est illégal.
  • Trois approches anti-malware : signature (connu), activity monitoring/heuristique (comportement/inconnu), change detection (intégrité CRC/hash, fortes fausses alarmes).
  • Zero-day/zero-hour : effet de surprise ; web reputation score 0-100 ; ML/AI à tuner dans un arms race.
  • Vulnerability management détecte/évalue ; patch management applique/vérifie ; test air-gapped et full backup avant production (Figure 7.14).
Module 9 Objectif Sauvegardes 3-2-1 Objectif Types de backup Objectif Sites de reprise Objectif Haute disponibilité Objectif RAID Objectif Stockage centralisé SAN/NAS 130 min Intermédiaire

Stratégies de reprise : sauvegardes, RAID & haute disponibilité

Prérequis : Notions de BCDR (RPO/RTO), facette availability de la triade CIA, vocabulaire de continuité d'activité.

Garantir la disponibilité de l'information est l'un des piliers du métier de sécurité. Concevoir des systèmes assez résilients pour ne pas tomber en panne est essentiel, mais prévoir leur recovery quand ils tombent l'est tout autant. Ce module couvre l'ensemble des stratégies de reprise du Domaine 7 : sauvegardes (3-2-1, types full/differential/incremental, journaling, snapshot, CDP), choix du lieu de stockage, sites de reprise alternatifs (mirrored, hot, warm, cold, mobile, cloud), system resilience et haute availability (clustering, power, UPS, generators) et options de stockage (RAID, SAN, NAS).

L'examen teste ici votre maîtrise de distinctions opérationnelles fines : comment se comporte l'archive bit selon le type de sauvegarde, quelle data est perdue si une differential est corrompue, quel site de reprise répond à un RTO donné, ou quel niveau RAID tolère la perte de deux disques. Ces notions sont concrètes et chiffrables.

À la fin du module, vous saurez dimensionner une stratégie de sauvegarde (combien de versions, quels supports, quel emplacement), choisir un site de reprise selon le délai d'activation acceptable, et sélectionner une architecture de stockage qui élimine les single points of failure.

Objectifs pédagogiques

  • Décrire la stratégie 3-2-1 et justifier ses trois exigences (copies, supports, offsite)
  • Distinguer les sauvegardes full, differential et incremental par leur effet sur l'archive bit et leur coût de restauration
  • Comparer les sites de reprise mirrored, hot, warm, cold, mobile et cloud par leur délai d'activation
  • Expliquer les techniques de haute availability : spare components, clustering, load balancing et alimentation de secours
  • Identifier les niveaux RAID et les architectures SAN vs NAS adaptés à un besoin de HA

Critères de réussite

  • Je sais appliquer 3-2-1 à un cas et nommer un support WORM comme deuxième type de média
  • Je sais prédire la data capturée et l'état de l'archive bit pour chaque type de sauvegarde un jour donné
  • Je sais calculer le volume et le temps relatif d'une restauration full vs incremental vs differential
  • Je sais associer un RTO (minutes, heures, jours, semaines) au bon type de site de reprise
  • Je sais choisir le niveau RAID qui tolère la perte de un ou deux disques et distinguer SAN (blocs) de NAS (fichiers)

9.1 La stratégie de stockage 3-2-1 et les supports

Schéma de la stratégie 3-2-1 : trois copies, deux supports, une copie hors site
Figure 9.1 · Figure 7.15-7.17 · Sauvegardes full/differential/incremental & 3-2-1

Des sauvegardes exactes et complètes sont l'instrument central de la continuité d'activité et de la reprise après sinistre (BCDR) : c'est la facette availability de la triade CIA mise en pratique. La donnée de sauvegarde doit être stockée de façon à être disponible quand on en a besoin. La protection minimale, affinée par des décennies d'expérience, se résume dans la stratégie 3-2-1.

Trois chiffres, trois exigences. « 3 » : trois copies de la donnée, c'est-à-dire l'original plus deux sauvegardes. « 2 » : deux types de support différents, par exemple bande magnétique, lecteurs WORM (Write Once, Read Many), disques amovibles ou cloud. Le choix du support dépend du coût de stockage, de la vitesse de backup et de restore, de la compatibilité avec les pratiques héritées (legacy) et des garanties d'intégrité offertes. « 1 » : une copie offsite, hors site, car on ne peut pas répliquer une infrastructure à l'intérieur de l'infrastructure même que l'on cherche à protéger.

Les lecteurs WORM méritent une attention particulière à l'examen : leur propriété « écriture unique, lectures multiples » empêche toute altération ultérieure et constitue donc un support de choix pour la rétention réglementaire et la protection contre le ransomware ou la falsification.

Piège d'examen : 3-2-1 = trois copies, deux types de média, une copie offsite. Ne le confondez pas avec « trois emplacements » ou « deux emplacements » : la formulation correcte porte sur le nombre de copies, le nombre de types de support et une copie hors site, pas sur le nombre de lieux.

Mots-clés EN 3-2-1 backup strategy WORM Media type Offsite copy BCDR
Points clés
  • 3-2-1 : 3 copies (original + 2), 2 types de support, 1 copie offsite
  • WORM = écriture unique, lectures multiples : idéal contre l'altération et pour la rétention
  • Le choix du support dépend du coût, de la vitesse et des garanties d'intégrité
  • L'offsite protège contre un sinistre touchant le site de production lui-même

9.2 Emplacements de sauvegarde : onsite, offsite et cloud

Trois emplacements de sauvegarde : onsite, offsite et cloud BaaS
Figure 9.2 · Figure 7.15-7.17 · Sauvegardes full/differential/incremental & 3-2-1

L'endroit où le support est rangé structure toute la stratégie de sauvegarde. Trois grands choix existent. Onsite : l'organisation garde le contrôle total et la responsabilité de la donnée, stockée dans la production facility et immédiatement disponible pour une reprise. Le coût peut être proportionnellement plus élevé, surtout si une PME n'a ni la capacité datacenter ni les compétences internes pour sécuriser correctement ses backups.

Offsite : la donnée est transportée vers un lieu suffisamment éloigné et robuste pour ne pas être affecté par une défaillance catastrophique du site de production. Elle s'expose alors à un risque supplémentaire en transit et peut nécessiter des contrôles additionnels pour garantir son utilisabilité à l'arrivée ; l'organisation perd parfois une part de la gouvernance de sécurité au profit du prestataire. Le transport peut être physique (déplacement du support) ou s'appuyer sur le data vaulting, qui utilise les réseaux de données pour transférer l'information vers un support distant.

Cloud Backup-as-a-Service : certains CSP offrent la sauvegarde en service. Cela diffère des approches physiques onsite/offsite car la donnée est répliquée plusieurs fois à l'intérieur de l'environnement du CSP et reste disponible à la demande. Ces services proposent typiquement des niveaux online (accès quasi immédiat) et near-line (accès différé, moins coûteux), avec des coûts et disponibilités distincts.

Piège d'examen : data vaulting désigne le transfert offsite par le réseau, à ne pas confondre avec un simple transport physique de bandes. Online et near-line sont deux niveaux de service cloud, pas deux types de sauvegarde.

Mots-clés EN Onsite Offsite Data vaulting Backup-as-a-Service Online vs near-line
Points clés
  • Onsite : disponibilité immédiate, contrôle total, coût parfois élevé
  • Offsite : protégé du sinistre local mais exposé en transit, gouvernance partagée
  • Data vaulting = transfert offsite par le réseau, pas un transport physique
  • Cloud BaaS : réplication chez le CSP, niveaux online et near-line

9.3 Types de sauvegarde et l'archive bit

Comparaison des sauvegardes full, differential et incremental et de l'archive bit
Figure 9.3 · Figure 7.15-7.17 · Sauvegardes full/differential/incremental & 3-2-1

Les approches de sauvegarde diffèrent par le temps nécessaire au backup et au restore, et par leur effet sur l'archive bit. Dans la plupart des OS, le système de fichiers signale qu'un fichier a changé via cet archive bit : il vaut 1 à la création du fichier, une tâche de sauvegarde le remet (« flip ») à 0 pour indiquer que le fichier a été archivé, et tout fichier créé ou modifié ensuite repasse le bit à 1.

Full : toute la donnée de l'environnement est copiée. C'est l'option la plus coûteuse et la plus longue, mais la plus complète ; elle remet l'archive bit à 0 (Figure 7.15). Differential : on copie toute la donnée modifiée ou créée depuis la dernière full (bit à 1), mais sans réinitialiser le bit à 0 (Figure 7.16). Conséquence : chaque differential est cumulative et grossit jusqu'à la prochaine full. Incremental : on copie tous les fichiers nouveaux ou modifiés depuis la dernière full ou la dernière incremental, puis on remet l'archive bit à 0 (Figure 7.17). Chaque incremental ne capture donc qu'un sous-ensemble défini, de taille gérable.

Le compromis est central pour l'examen. L'incremental rend le backup le plus rapide (peu de données chaque soir) mais le restore le plus lent : il faut la dernière full plus toutes les incremental successives. La differential rend le backup plus lourd au fil de la semaine (cumul) mais le restore plus simple : la dernière full plus une seule differential.

Piège d'examen : c'est la réinitialisation de l'archive bit qui distingue differential (ne le remet PAS à 0, donc cumulative) et incremental (le remet à 0, donc non cumulative). Mémorisez : differential ne touche pas le bit, incremental le remet à 0.

Mots-clés EN Archive bit Full backup Differential backup Incremental backup
Points clés
  • Full : tout copié, archive bit remis à 0 (Figure 7.15)
  • Differential : depuis la full, bit NON réinitialisé, cumulatif (Figure 7.16)
  • Incremental : depuis la dernière sauvegarde, bit remis à 0 (Figure 7.17)
  • Incremental = backup rapide mais restore lent ; differential = inverse

9.4 Journaling, snapshot, CDP et le nombre de versions

Journaling, snapshot et CDP comparés aux sauvegardes par fichiers
Figure 9.4 · Figure 7.15-7.17 · Sauvegardes full/differential/incremental & 3-2-1

Deux stratégies de sauvegarde regardent la donnée plutôt que les fichiers. Le journaling, conçu à l'origine pour la reprise granulaire des bases de données, écrit chaque transaction dans un log au moment du commit ; ces journaux permettent de faire « rouler » une instance jusqu'à la dernière transaction validée. Il est aujourd'hui répandu dans les systèmes de fichiers (NTFS, HFS+) et offre une grande fiabilité face aux coupures momentanées de courant ou de connexion au stockage. Le journaling n'affecte pas l'archive bit. Le snapshot, propre aux environnements virtualisés, capture un miroir des blocs de données sans interrompre la production ; il reste habituellement sur le support de production jusqu'à sa copie ailleurs, et ses temps de restauration sont très rapides. Le snapshot capture l'archive bit dans sa position de production (il ne le modifie pas). On le confond souvent avec le cloning ou le mirroring, qui protègent la donnée mais offrent surtout un failover temps réel si le stockage primaire tombe.

La Continuous Data Protection (CDP) est une forme de snapshotting : à chaque changement d'un bloc, le bloc est snapshotté, ce qui permet une reprise à un point de transaction précis, rapidement et finement. La duplication a un coût en performance, mais la granularité de reprise vaut l'effort dans certains environnements.

Combien de versions garder ? Réutiliser le même volume en écrasant chaque sauvegarde précédente ne laisse qu'UNE version : la donnée modifiée entre deux backups est irrécupérable, et un processus défaillant fait de la production le seul exemplaire exact - le backup devient un single point of failure. À l'inverse, créer une nouvelle version à chaque fois consomme un volume considérable et sème la confusion sur la version la plus récente. Il faut trouver un juste milieu : assez de versions pour ne pas perdre toute capacité de reprise, sans rendre la gestion ingérable.

Validation : après chaque sauvegarde, quel que soit le type, l'organisation doit valider que la copie est complète et exacte, généralement via un integrity check et, selon la taille du jeu, par échantillonnage (sampling).

Piège d'examen : journaling et snapshot n'affectent pas l'archive bit ; CDP snapshotte chaque bloc modifié ; n'oubliez jamais l'étape de validation, car un backup non vérifié peut être un single point of failure silencieux.

Mots-clés EN Journaling Snapshot Continuous Data Protection (CDP) Cloning / mirroring Single point of failure Backup validation
Points clés
  • Journaling : log des transactions commitées ; n'affecte pas l'archive bit
  • Snapshot : miroir de blocs, restore rapide, capture le bit en position de production
  • CDP : snapshot de chaque bloc modifié, reprise à un point de transaction précis
  • Garder assez de versions ; valider chaque backup (integrity check, sampling)

9.5 Sites de reprise et haute availability

Sites de reprise cold, warm, hot et mobile classés par délai d'activation
Figure 9.5 · Sites de reprise : cold/warm/hot/mobile

Si l'environnement de production normal ne fonctionne plus, l'organisation a besoin d'une capacité de traitement alternative. Les types de sites se classent par leur délai d'activation. Mirrored : le site miroir fonctionne en parallèle de la production, traitant chaque transaction simultanément, si bien qu'à tout instant deux copies complètes et à jour existent en deux lieux séparés ; option la plus chère, réservée aux besoins de disponibilité maximale. Hot : site pleinement opérationnel avec tout le matériel, le logiciel et la donnée pour reprendre instantanément les fonctions critiques ; activation en minutes à heures. Warm : comme un hot mais sans la version courante des données et sans certains aspects fonctionnels prêts au failover instantané (eau, électricité raccordées mais à activer) ; activation en heures à jours. Cold : local vide sans matériel/logiciel/données, utilities éventuellement raccordées mais inactives ; option la moins chère mais activation en semaines voire mois, très dépendante de la supply chain IT. Mobile : installation portable montée sur un véhicule, pour un nombre très limité d'utilisateurs critiques, mais déployable n'importe où. Cloud : la donnée est chez un CSP, on reprend depuis n'importe quel lieu disposant d'un accès large bande.

Deux outils contractuels complètent ces options, surtout dans le secteur public : le JOA (joint operating agreement) et le MOU (memorandum of understanding), par lesquels deux organisations partagent un site si l'environnement de l'une est perturbé - efficace pour un impact localisé (un incendie d'un bâtiment) mais pas pour un sinistre métropolitain, qui touche souvent les deux partenaires. Le site alternatif doit être assez loin pour échapper au sinistre primaire, mais assez proche pour que le personnel clé l'atteigne en crise. On prévoit aussi des relocation kits (build courant des actifs IT critiques, version courante des données, clés de chiffrement, contacts), tenus à jour par l'équipe BCDR via le change management.

Pour minimiser le downtime, on recourt aussi à des multiple processing sites : contrairement au mirroring (deux copies complètes), ils fournissent collectivement assez de capacité pour soutenir les fonctions critiques, avec réplication des applications et données et prise en compte de la bande passante, des dépendances matérielles et des contraintes légales (data localization, privacy).

Côté system resilience et haute availability (HA), plusieurs techniques. Des spare components suffisants en inventaire permettent de remplacer tout élément du chemin critique (mais trop de spares coûte cher). Le clustering combine des systèmes (stockage, traitement, réseau) pour fournir une capacité constante : en active-active tous les nœuds traitent une part de la charge (load balancing), en active-passive un nœud reste inactif et n'est activé qu'en cas de fail. Le power enfin : un UPS fournit un courant temporaire immédiat le temps d'un arrêt propre (batteries deep-cycle, ou Flywheel Energy Storage cinétique, ou supercapacitors) ; un generator produit du courant local à partir de carburant (risque incendie/explosion et gaz toxiques) et doit être couplé à un transfer switch qui détecte la perte du secteur et démarre le générateur automatiquement.

Piège d'examen : associez le délai d'activation au type de site - minutes/heures = hot, heures/jours = warm, semaines/mois = cold. Le UPS ne sert qu'à un arrêt propre ou au relais vers un générateur, jamais à une autonomie longue.

La resilience d'un systeme repose sur trois leviers que l'examen associe souvent : la high availability (HA) maximise le temps de service via la redondance, la fault tolerance permet de continuer a fonctionner malgre la panne d'un composant (sans interruption percue), et la Quality of Service (QoS) garantit aux flux critiques la bande passante, la latence et la priorite necessaires meme en cas de congestion. HA vise la disponibilite, fault tolerance vise la continuite sans coupure, QoS vise la performance garantie des services prioritaires.

Mots-clés EN Hot site Warm site Cold site JOA / MOU Clustering active-active / active-passive Transfer switch UPS Quality of Service (QoS) Fault tolerance
Points clés
  • Délais : mirrored (temps réel) < hot (min-h) < warm (h-jours) < cold (semaines-mois)
  • JOA/MOU : partage de site, surtout secteur public, pour impacts localisés
  • Clustering : active-active (load balancing) ou active-passive (nœud en attente)
  • UPS = arrêt propre/relais ; generator + transfer switch = autonomie prolongée
  • Resilience = HA (disponibilite) + fault tolerance (continuite sans coupure) + QoS (performance garantie).

9.6 Stockage : RAID, SAN et NAS

Niveaux RAID 0, 1, 5, 6 et combinaisons, avec striping et parité
Figure 9.6 · Figure 7.18 · Niveaux RAID

Au-delà du cloud, deux options de stockage méritent considération : les RAID et le stockage centralisé. Un RAID (redundant array of independent disks) augmente la disponibilité en virtualisant un volume sur plusieurs disques, afin qu'un jeu de données ne soit pas perdu si un disque tombe. Écrire la donnée sur plusieurs disques s'appelle le striping ; certaines configurations ajoutent des parity bits permettant de reconstituer le jeu complet si un disque échoue (les données stripées des disques voisins, combinées aux parity bits, comblent le trou).

Les niveaux à connaître (Figure 7.18). RAID 0 : striping sans parité, performances optimisées mais AUCUNE redondance. RAID 1 : mirroring, donnée dupliquée sur deux disques identiques ; si l'un tombe, son miroir prend le relais. RAID 2 : technique héritée, plus guère utilisée. RAID 3 et 4 : striping plus un disque de parité dédié - RAID 3 stripe à l'octet, RAID 4 au bloc ; le disque de parité dédié est un single point of failure, peu adapté à la HA. RAID 5 : données ET parité stripées sur plusieurs disques, offre la HA. RAID 6 : striping plus DEUX jeux de parité, tolère la perte de DEUX disques tout en gardant les performances de RAID 5. RAID 0+1 : on stripe (RAID 0) puis on mirrore (RAID 1). RAID 1+0 (« RAID 10 ») : on stripe sur deux jeux de disques dupliqués simultanément ; préférable à RAID 0+1. RAID 15 et 51 : combinent RAID 1 et RAID 5 (striping de parité + mirroring de tous les disques), réservés aux environnements très sensibles vu leur coût et leur impact sur la productivité.

Le stockage centralisé évite que la donnée éparpillée sur les endpoints soit perdue ou difficile à archiver, mais il crée un single point of failure et une cible unique s'il n'est pas protégé : centraliser exige donc redondance et backups sécurisés. Deux méthodes (Figure 7.19). Le SAN (storage area network) est un réseau de baies de stockage fournissant du volume aux serveurs ; il s'appuie sur des protocoles dédiés comme Fibre Channel et iSCSI, et présente le stockage comme des volumes (espace disque brut) montés sur l'OS comme un disque attaché - on raisonne en blocs. Le NAS (network-attached storage) est un serveur de fichiers centralisé accédé par de nombreux utilisateurs ; il maintient la hiérarchie de fichiers et présente la donnée sous forme de fichiers. Beaucoup de NAS (comme des SAN) utilisent iSCSI, qui gère l'espace de stockage en blocs logiques via des protocoles internet.

Piège d'examen : SAN = accès bloc (volumes bruts, Fibre Channel/iSCSI) ; NAS = accès fichier (le serveur gère la hiérarchie). Pour la tolérance de panne : RAID 0 = zéro redondance, RAID 5 = un disque, RAID 6 = deux disques, et RAID 10 est préféré à RAID 0+1.

Mots-clés EN Striping Parity bits RAID 5 RAID 6 RAID 1+0 (RAID 10) SAN NAS
Points clés
  • RAID 0 = striping sans redondance ; RAID 1 = mirroring
  • RAID 5 tolère 1 disque ; RAID 6 (double parité) tolère 2 disques
  • RAID 3/4 : disque de parité dédié = single point of failure ; RAID 10 préféré à 0+1
  • SAN = blocs/volumes (Fibre Channel, iSCSI) ; NAS = fichiers (hiérarchie gérée par le serveur)

Cas d'étude

Cas · Activité

Combien de versions ? La planification de Keiko

Contexte : Keiko orchestre les sauvegardes des opérations nord-américaines de SneakerNet. Les employés travaillent entre 7 h et 20 h (heure de l'Est), du lundi au vendredi, huit heures par jour, répartis sur plusieurs fuseaux. Une sauvegarde full est réalisée le samedi soir, avec contrôles d'intégrité et répétition possible le dimanche en cas d'échec. Pendant la semaine, Keiko hésite entre differential et incremental.

Question : En differential, quelle donnée est capturée le mercredi soir ? En incremental, quelle donnée le jeudi soir ? Et si la differential du mardi soir est corrompue, quelle donnée est perdue ?

Topics traités Comportement de l'archive bitCumul differential vs incrementalImpact d'une sauvegarde corrompueValidation et nombre de versions
Voir l'analyse et la correction

Differential mercredi soir : comme la differential ne réinitialise pas l'archive bit, elle est cumulative depuis la dernière full (samedi). Le mercredi soir capture donc toute la donnée créée ou modifiée pendant les journées de travail du lundi, du mardi ET du mercredi.

Incremental jeudi soir : l'incremental remet le bit à 0 à chaque passage, donc chaque soir ne capture que les changements depuis la sauvegarde précédente. Le jeudi soir capture uniquement la donnée créée ou modifiée pendant la journée du jeudi.

Differential du mardi corrompue : chaque differential étant cumulative, la differential du mardi contient les changements du lundi et du mardi. Si elle est corrompue et que la differential du mercredi (qui les contiendrait aussi) n'existe pas encore ou n'est pas utilisée, on perd toute la donnée créée ou modifiée pendant les journées du lundi et du mardi. C'est le compromis : la differential simplifie le restore (full + une differential) mais la corruption d'une differential intermédiaire fait perdre tout le cumul qu'elle représentait à cette date.

Leçon de gouvernance : la validation post-backup (integrity check, sampling) et le maintien de plusieurs versions évitent qu'une seule copie corrompue devienne un single point of failure.

À retenir : Differential = cumulative depuis la full (Lun-Mer le mercredi) ; incremental = jour isolé (Jeu seul le jeudi) ; une differential corrompue fait perdre tout son cumul (Lun-Mar).

Éléments d'apprentissage clés
  • La differential est cumulative car elle ne réinitialise pas l'archive bit
  • L'incremental ne capture que les changements du jour, car elle remet le bit à 0
  • Une differential corrompue fait perdre tout le cumul depuis la full jusqu'à cette date
  • La validation et plusieurs versions empêchent un single point of failure
Cas · Scénario appliqué

Choisir le bon site de reprise

Contexte : Une banque régionale exige que ses fonctions de paiement critiques redémarrent en moins d'une heure après un sinistre, avec des données quasi à jour. Une seconde entité du groupe, un service d'archivage non critique, peut tolérer plusieurs semaines d'indisponibilité et cherche surtout à minimiser le coût. La direction demande quelle stratégie de site convient à chacune.

Question : Quel type de site de reprise répond au besoin de la banque, et lequel à celui du service d'archivage ?

Topics traités Délais d'activation par type de siteAlignement RTO et coûtDistance du site alternatifRelocation kits
Voir l'analyse et la correction

Pour la banque, le RTO d'une heure avec des données quasi à jour exige un hot site : entièrement équipé en matériel, logiciel et données, son activation se mesure en minutes à heures et les fonctions critiques redémarrent quasi instantanément. Un mirrored site irait plus loin (deux copies temps réel) mais à un coût bien supérieur, justifié seulement si la disponibilité maximale est exigée. Un warm site ne tiendrait pas le délai (heures à jours, données non à jour).

Pour le service d'archivage, tolérant plusieurs semaines et soucieux du coût, le cold site est adapté : local vide, activation en semaines voire mois, mais option la moins chère. Investir dans un hot ou warm pour ce service serait un gaspillage de safeguard.

Le choix se fait toujours en alignant le délai d'activation acceptable (proche du RTO) sur le coût du site. Le site alternatif doit aussi être assez loin pour échapper au sinistre primaire mais assez proche pour le personnel clé, et l'organisation doit tenir à jour des relocation kits.

À retenir : RTO court et données à jour = hot site ; tolérance de semaines et coût minimal = cold site ; aligner le délai d'activation sur le RTO et le coût.

Éléments d'apprentissage clés
  • Hot site : activation minutes-heures, données quasi à jour, coût élevé
  • Cold site : activation semaines-mois, le moins cher
  • Le délai d'activation doit correspondre au RTO de la fonction
  • Le site alternatif : assez loin du sinistre, assez proche du personnel clé
Piège d'examen

3-2-1 : copies, supports, offsite (pas emplacements)

La formulation correcte de 3-2-1 est : trois copies de la donnée (original + deux backups), deux types de support différents (bande, WORM, disque amovible, cloud), et une copie offsite. L'examen propose souvent des distracteurs qui remplacent « types de support » par « emplacements » ou « copies » par « emplacements ». Retenez l'axe exact de chaque chiffre : 3 porte sur les copies, 2 sur les types de média, 1 sur la localisation hors site. Une copie WORM est un excellent deuxième type de support.

Piège d'examen

Archive bit : differential ne le réinitialise pas

Le piège classique oppose differential et incremental. La differential copie les changements depuis la dernière full et NE remet PAS l'archive bit à 0 : elle est donc cumulative et grossit chaque jour. L'incremental copie les changements depuis la dernière sauvegarde (full ou incremental) et REMET l'archive bit à 0 : chaque incremental ne contient qu'un jour. Conséquence sur le restore : incremental = full + toutes les incremental (long) ; differential = full + une seule differential (rapide). Journaling et snapshot, eux, n'affectent pas l'archive bit.

Piège d'examen

RAID : tolérance de panne et SAN vs NAS

RAID 0 n'apporte AUCUNE redondance (striping seul, pour la performance). RAID 1 = mirroring. RAID 5 tolère la perte d'UN disque (données et parité stripées). RAID 6 tolère la perte de DEUX disques (double parité). RAID 3 et 4 ont un disque de parité dédié, qui est un single point of failure. RAID 10 (1+0) est préféré à RAID 0+1. Côté stockage centralisé : SAN = accès en blocs (volumes bruts, Fibre Channel/iSCSI) ; NAS = accès en fichiers (le serveur gère la hiérarchie). Ne confondez pas le niveau de redondance d'un RAID avec une sauvegarde : un RAID protège du crash disque, pas de la suppression logique ni du ransomware.

Point de contrôle — Point de contrôle

  1. La protection minimale recommande la stratégie 3-2-1. En quoi consiste-t-elle ?

    • A Trois copies de la donnée, deux types de support différents, une copie offsite
    • B Trois emplacements différents, deux types de support, une copie offsite
    • C Trois copies de la donnée, deux emplacements de stockage, une copie offsite
    • D Trois types de support, deux copies, un emplacement onsite
    Réponse & justification

    Réponse : A — Trois copies de la donnée, deux types de support différents, une copie offsite

    3-2-1 = trois copies (original + deux backups), deux types de support (bande, WORM, disque amovible, cloud) et une copie offsite. Les distracteurs remplacent « copies » ou « types de support » par « emplacements » : le « 3 » porte sur les copies, le « 2 » sur les types de média, le « 1 » sur l'offsite.

  2. Une full est réalisée samedi soir. En differential durant la semaine, quelle donnée la sauvegarde du mercredi soir capture-t-elle ?

    • A Toute la donnée créée/modifiée lundi, mardi et mercredi
    • B Uniquement la donnée créée/modifiée mercredi
    • C Uniquement la donnée créée/modifiée depuis la dernière incremental
    • D Toute la donnée de l'environnement, comme une full
    Réponse & justification

    Réponse : A — Toute la donnée créée/modifiée lundi, mardi et mercredi

    La differential ne réinitialise pas l'archive bit : elle est cumulative depuis la dernière full. Mercredi soir, elle capture donc tous les changements de lundi, mardi et mercredi. La réponse « mercredi seul » correspondrait à une incremental, qui remet le bit à 0 chaque soir.

  3. Une full est réalisée samedi soir. En incremental durant la semaine, quelle donnée la sauvegarde du jeudi soir capture-t-elle ?

    • A Uniquement la donnée créée/modifiée durant la journée de jeudi
    • B Toute la donnée créée/modifiée de lundi à jeudi
    • C Toute la donnée de l'environnement
    • D Uniquement la donnée modifiée depuis la dernière full, sans réinitialiser le bit
    Réponse & justification

    Réponse : A — Uniquement la donnée créée/modifiée durant la journée de jeudi

    L'incremental remet l'archive bit à 0 à chaque passage ; chaque soir ne capture donc que les changements depuis la sauvegarde précédente. Jeudi soir = uniquement la donnée du jeudi. « Lun à jeu » décrirait une differential cumulative ; « sans réinitialiser le bit » contredit le fonctionnement de l'incremental.

  4. En differential durant la semaine, la copie réalisée mardi soir est corrompue (et n'est détectée qu'après). Quelle donnée risque d'être perdue ?

    • A Toute la donnée créée/modifiée durant les journées de lundi et mardi
    • B Toute la donnée créée/modifiée durant la seule journée de mardi
    • C Aucune, car la full du samedi suffit toujours
    • D Toute la donnée de la semaine entière
    Réponse & justification

    Réponse : A — Toute la donnée créée/modifiée durant les journées de lundi et mardi

    La differential du mardi étant cumulative, elle contient les changements de lundi et mardi. Si elle est corrompue, on perd ces deux journées (la full ne contient pas les changements postérieurs). « Mardi seul » serait le cas d'une incremental ; « aucune » ignore que les changements depuis la full ne sont pas dans la full elle-même.

  5. Un volume modifie 8 Go par jour ouvré. Après une full le samedi, on restaure jeudi soir. Quelle option restaure le MOINS de jeux de sauvegarde, et laquelle le PLUS ?

    • A Differential = full + 1 jeu (le moins) ; incremental = full + 4 jeux Lun-Jeu (le plus)
    • B Incremental = full + 1 jeu (le moins) ; differential = full + 4 jeux (le plus)
    • C Les deux restaurent exactement full + 4 jeux
    • D Differential = full seule ; incremental = full seule
    Réponse & justification

    Réponse : A — Differential = full + 1 jeu (le moins) ; incremental = full + 4 jeux Lun-Jeu (le plus)

    Pour restaurer au jeudi soir : en differential, il suffit de la full plus la differential du jeudi (cumulative = 32 Go), soit deux jeux seulement. En incremental, il faut la full plus les quatre incremental Lun, Mar, Mer, Jeu (4 × 8 = 32 Go), soit cinq jeux. La differential restaure plus vite (moins de jeux à enchaîner) ; l'incremental sauvegarde plus vite chaque soir mais restaure plus lentement.

  6. Une organisation veut un stockage tolérant la perte simultanée de DEUX disques sans perte de données. Quel niveau RAID choisir ?

    • A RAID 6
    • B RAID 5
    • C RAID 0
    • D RAID 3
    Réponse & justification

    Réponse : A — RAID 6

    RAID 6 utilise le striping et DEUX jeux de parité : deux disques peuvent tomber et la donnée reste récupérable. RAID 5 ne tolère qu'un seul disque. RAID 0 n'a aucune redondance. RAID 3 a un disque de parité dédié, qui est un single point of failure et ne tolère pas deux pannes.

Points essentiels à retenir

  • 3-2-1 : trois copies (original + deux), deux types de support (dont WORM possible), une copie offsite.
  • Emplacements : onsite (immédiat), offsite (data vaulting par réseau), cloud BaaS (online/near-line).
  • Full remet l'archive bit à 0 ; differential ne le réinitialise pas (cumulative) ; incremental le remet à 0 (un jour).
  • Restore : incremental = full + toutes les incremental (lent) ; differential = full + une differential (rapide).
  • Journaling et snapshot n'affectent pas l'archive bit ; CDP snapshotte chaque bloc modifié ; toujours valider le backup.
  • Sites de reprise par délai : mirrored (temps réel) < hot (min-h) < warm (h-jours) < cold (semaines-mois) ; JOA/MOU pour le partage.
  • HA : spare components, clustering active-active/active-passive, load balancing, UPS (arrêt propre) + generator + transfer switch.
  • RAID : 0 = aucune redondance ; 1 = mirroring ; 5 = un disque ; 6 = deux disques ; 10 préféré à 0+1.
  • Stockage centralisé : SAN = blocs/volumes (Fibre Channel, iSCSI) ; NAS = fichiers ; un SAN/NAS centralisé est un single point of failure à protéger.
Module 10 Objectif Disaster recovery Objectif BCDR Objectif Business Impact Analysis Objectif RTO / RPO / MTD Objectif Tests DR Objectif Continuité d'activité 130 min Intermédiaire

Reprise après sinistre et continuité d'activité

Prérequis : Notions de gestion des incidents et de gestion des risques (BIA, appétit au risque).

La continuité d'activité et la reprise après sinistre (Business Continuity and Disaster Recovery, BCDR) constituent l'environnement le plus exigeant qu'une organisation puisse affronter. L'analogie militaire « hard in training, easy in battle » résume la philosophie : ce qui n'a pas été préparé, testé et répété à froid se paie cher pendant la crise. Ce module couvre le processus complet de disaster recovery (7.11), les types de tests classés par intensité et coût (7.12), puis la planification de la continuité d'activité avec ses métriques temporelles clés (7.13).

Vous verrez qui peut déclencher la réponse BCDR (un cadre dirigeant désigné, pas n'importe qui), comment organiser les personnes (critical-path personnel vs responders), comment gérer les communications internes et externes, comment évaluer l'impact total, puis restaurer les opérations sans aggraver le sinistre.

Le coeur examinable du module réside dans les métriques : MTD, RTO et RPO, et le complément WRT (Work Recovery Time) du CBK. Savoir les distinguer et choisir un site de repli selon le RTO ou le MTD est testé sous forme de scénarios. La distinction incident vs disaster, et qui a l'autorité pour déclarer un disaster, est un piège récurrent.

Objectifs pédagogiques

  • Décrire les étapes clés d'un processus BCDR : response, personnel, communications, assessment, restoration
  • Identifier qui est autorisé à déclencher la réponse BCDR et sur quels critères
  • Classer les cinq types de tests DR par intensité, coût et impact
  • Définir MTD, RTO et RPO (et situer le WRT) et expliquer leurs relations
  • Distinguer un incident d'un disaster et savoir qui peut déclarer chacun

Critères de réussite

  • Je sais nommer les critères d'initiation d'une réponse BCDR et identifier l'autorité de décision
  • Je sais différencier critical-path personnel et responders et lister les fonctions impliquées
  • Je sais ordonner read-through/tabletop, walk-through, simulation, parallel et full-interruption par coût croissant
  • Je sais choisir un site de repli en comparant son temps de reprise au RTO et au MTD
  • Je sais expliquer pourquoi seuls des cadres dirigeants pré-désignés peuvent déclarer un disaster

10.1 Déclencher la réponse BCDR : critères et autorité

Schéma de l'autorité de décision BCDR et de la chaîne d'information
Figure 10.1 · Figure 7.11 · Déclenchement de la réponse BCDR par la senior management

La continuité d'activité et la reprise après sinistre (BCDR) sont parfois l'environnement le plus stressant qu'une organisation rencontre, et c'est précisément pourquoi un plan BCDR bien rodé sert de meilleur entraînement au combat possible. L'esprit est celui des forces armées : « hard in training, easy in battle » - un entraînement dur, intense et répété conditionne les équipes à survivre et à agir sous pression. Chaque organisation adapte son plan BCDR à ses besoins propres, mais des principes communs structurent un processus type.

Déclencher la réponse a un coût considérable et un impact significatif, financier comme opérationnel, souvent absent du budget courant. La décision d'activer le plan doit donc reposer sur des criteria for initiating the response action : il est impossible de prévoir tous les contingency events, mais un jeu de lignes directrices guide la personne qui décidera le moment venu. Ces critères incluent typiquement la valeur monétaire (dollar value) des actifs affectés, le nombre d'utilisateurs touchés, la durée attendue d'indisponibilité (downtime) et la menace sur la santé et la sécurité des personnes (human health and safety).

La personne autorisée à prendre cette décision doit être de confiance et disposer d'un degré élevé d'autorité et de vision : il s'agit en général d'un membre de la senior management, voire du dirigeant de l'organisation. Pour décider correctement et au bon moment, elle s'appuie sur une information chain : un processus formel d'escalade des informations liées à l'incident, des sources professionnelles externes (agences gouvernementales, fournisseurs de threat intelligence payants) et des moyens informels (services d'actualité, réseaux sociaux).

Piège d'examen : l'autorité de déclencher la réponse - et de déclarer un disaster - n'appartient jamais à n'importe quel employé ni au seul service informatique ; elle est réservée à des cadres dirigeants pré-désignés. Inversement, ce sont les critères objectifs (montant, utilisateurs, downtime, safety) qui justifient la décision, pas l'intuition.

Mots-clés EN BCDR Criteria for initiating Senior management Information chain Contingency event Downtime
Points clés
  • « Hard in training, easy in battle » : le plan BCDR est le meilleur entraînement
  • Critères d'initiation : valeur monétaire, utilisateurs affectés, downtime, santé/sécurité
  • L'autorité de décision est un cadre dirigeant de confiance (senior management)
  • L'information chain alimente la décision (escalade formelle + sources externes/informelles)

10.2 Le personnel BCDR : critical-path vs responders

Répartition des rôles BCDR entre critical-path personnel et responders
Figure 10.2 · Figure 7.11 · Personnel BCDR : critical-path vs responders

Au-delà du cadre dirigeant qui autorise la réponse, le plan doit désigner précisément les personnes impliquées. Le manuel distingue deux populations. Les critical path personnel sont les personnels essentiels au maintien des fonctions opérationnelles de l'organisation pendant le contingency event. Ils ne gèrent pas forcément la réponse : ils ont des production tasks à assurer. Ils doivent être formés à leur rôle de crise : rejoindre l'alternate operating site, accéder aux archives de données, journaliser les transactions effectuées pendant la contingence.

Les responders sont les personnels qui pilotent le processus de réponse. Ils proviennent typiquement de plusieurs fonctions : IT (administrateurs, architectes, techniciens), Security (expertise spécifique cruciale), Legal (le general counsel garantit le respect réglementaire et la due diligence, et oriente la collecte/préservation des preuves pour d'éventuelles actions pénales ou civiles), HR (accès aux données privées des employés pour contacter le personnel ou les familles), Finance/accounting (suivi des coûts et transactions financières pendant l'événement), Public relations/communications (voix uniforme vers l'extérieur) et Management (un dirigeant supervise, approuve les dépenses et décide de la fin de la contingence).

Le point examinable majeur concerne l'affectation : nommer des individus précis a des avantages (ils peuvent être formés et s'entraîner), mais crée des points of failure. Pendant un disaster, l'organisation ne peut pas compter sur la présence de chaque individu. Il vaut donc mieux assigner des offices/departments aux tâches, et cross-train le personnel de ces bureaux pour qu'il assume les tâches de contingence au besoin. Un bon plan détaille chaque bureau assigné au point que n'importe quel membre, sans exposition préalable au sujet, puisse suivre les instructions et accomplir les tâches.

Piège d'examen : confondre critical-path personnel (qui font tourner l'activité) et responders (qui gèrent la crise) ; et croire qu'il faut nommer des individus plutôt que des bureaux cross-trained.

Mots-clés EN Critical path personnel Responders General counsel Cross-training Point of failure Alternate operating site
Points clés
  • Critical-path personnel maintiennent l'activité ; responders gèrent la réponse
  • Responders : IT, Security, Legal, HR, Finance, PR/Comms, Management
  • Assigner des offices/departments, pas des individus, et cross-train le personnel
  • Nommer un individu crée un point of failure pendant un disaster

10.3 Communications, évaluation de l'impact et restauration

Flux de communications internes et externes pendant une contingence
Figure 10.3 · Figure 7.11 · Communications, assessment et restoration

L'organisation doit maîtriser deux types de communications de contingence : interne et externe. En interne, il faut joindre tout le personnel pour l'informer des actions attendues (évacuer si l'on est sur site, rester chez soi si l'on n'est pas encore arrivé, rejoindre un site alternatif pour les responders et critical personnel). Deux modes existent : la push capability (messages automatiques envoyés à tout le personnel) et l'access capability (un clearinghouse central, par exemple un site web, que chacun peut consulter). Les canaux normaux pouvant être indisponibles (mobile, texto, Internet), des moyens alternatifs de mass communication doivent être une priorité. Les coordonnées d'urgence des employés étant rarement à jour, des tests et mises à jour réguliers s'imposent. Senior management doit arbitrer le compromis entre diffuser largement l'information et exposer des informations sensibles hors des canaux autorisés.

En externe, l'organisation devra joindre forces de l'ordre/secours, régulateurs, public/médias et partenaires (vendors, clients, end customers). Trois éléments sont cruciaux : un single voice (une voix unique optimale, car des déclarations multiples se contredisent et nourrissent la défiance), des trained communications professionals (capables d'informer sans admettre de responsabilité ni créer de liability), et la gestion d'une developing situation (mieux vaut dire « la situation évolue, l'information est encore incertaine » que publier des données qui devront être corrigées, surtout sur le timing de résolution).

L'assessment vise à calculer l'impact total de la contingence : il combine les dommages de l'événement lui-même et le coût des efforts de réponse (total impact = damage + response cost). Réalisé par les équipes comptables et d'audit avec l'appui des SME (valeur des actifs) et des RH (heures de production), il sert ensuite aux poursuites pénales, aux actions civiles, au reporting des investisseurs et à l'information des régulateurs.

Enfin, la restoration vise la reprise complète des opérations normales : retour au site primaire ou création d'un nouveau site primaire (beaucoup d'organisations conservent l'alternate site devenu le nouveau primaire). La restauration des données est à haut risque : réimporter l'archive et le journal des transactions de contingence peut endommager l'archive, l'enregistrement et l'environnement de production. Le timing est critique : revenir trop tôt menace la santé/sécurité ; rester trop longtemps en contingence coûte cher (sites alternatifs onéreux, personnel non productif payé, ou départs si non payé). La décision de revenir au normal revient à senior management.

Mots-clés EN Push vs access capability Single voice Developing situation Total impact Restoration Data restore risk
Points clés
  • Interne : push (envoi automatique) vs access (clearinghouse) + moyens de masse alternatifs
  • Externe : single voice, communicateurs formés, gérer une developing situation
  • Impact total = dommages de l'événement + coût de la réponse (comptabilité/audit)
  • Restauration : retour primaire ou nouveau site ; data restore à haut risque ; timing critique

10.4 Training, awareness et lessons learned continus

Cycle training, awareness et lessons learned continus du BCDR
Figure 10.4 · Figure 7.11 · Training, awareness et lessons learned

Un plan BCDR n'a de valeur que si les personnes savent l'exécuter. Le manuel distingue deux niveaux. Le personnel assigné à des tâches BCDR (responders, critical path et leurs suppléants/alternates) doit recevoir une formation formelle pour son rôle, ce qui inclut la participation à tous les tests. À l'échelle de toute l'organisation, l'ensemble du personnel doit être exposé à des awareness activities qui le préparent aux actions d'urgence : formation formelle (à l'embauche ou lors des tests annuels) complétée par une information informelle récurrente (newsletters, rappels, affiches).

Le processus de lessons learned est souvent mal compris. La vision classique consiste à attendre que tout soit revenu à la normale, puis à relire les journaux et à tirer les enseignements. Or l'une des leçons majeures de la pandémie de COVID-19 est que ce processus d'évaluation active, de décision, de direction et de revue des enseignements doit être continu (ongoing). La due diligence exige d'une équipe de management prudente qu'elle tire chaque leçon possible d'une expérience douloureuse : voyez le coût d'un événement disruptif comme des frais de scolarité (tuition) payés pour mieux se préparer la fois suivante.

Intégrer l'apprentissage des leçons au quotidien (jour après jour, semaine après semaine) du processus de gestion d'incident ou de disaster présente un avantage concret : les souvenirs et impressions sont plus frais, les preuves et artefacts sont plus proches de leur état au moment de l'événement, et l'analyse est plus révélatrice. On apprend aussi de ses réponses déjà engagées alors qu'il reste du chemin vers le « new normal ». Des événements disruptifs comme une pandémie peuvent imposer des mesures supplémentaires de santé et sécurité au travail ; des sources comme l'OMS (WHO) et les CDC américains fournissent des guidelines et bonnes pratiques.

Piège d'examen : les lessons learned ne sont pas une étape finale unique mais un processus continu ; et l'awareness vise tout le personnel, alors que le training formel vise les personnels assignés au BCDR.

Mots-clés EN Training Awareness Alternates Lessons learned (ongoing) WHO / CDC
Points clés
  • Training formel : responders, critical-path et alternates, avec participation aux tests
  • Awareness : tout le personnel, formel + informel récurrent (newsletters, affiches)
  • Lessons learned = processus continu (leçon COVID-19), pas une étape unique de fin
  • L'apprentissage à chaud rend preuves et souvenirs plus fiables ; OMS/CDC pour la santé

10.5 Les cinq types de tests DR, classés par intensité

Échelle des cinq types de tests DR classés du moins au plus intense
Figure 10.5 · Figure 7.12 · Les cinq types de tests DR par intensité et coût croissants

Tester ses plans permet d'identifier les écarts et de les corriger vite, pour ne pas gaspiller un temps précieux le jour d'un vrai disaster. Le professionnel de sécurité doit connaître les bénéfices et risques de chaque type de test. Le manuel les classe par intensité, coût et impact croissants.

Read-through / tabletop : activité contrôlée et isolée de role-playing réunissant uniquement les personnels chargés du DR et un modérateur, autour d'une salle de réunion avec tous les documents DR. Le modérateur présente une situation déclenchant une réponse DR ; les participants décrivent verbalement leurs actions et peuvent consulter les documents. C'est le test le moins intrusif et le moins cher ; excellent pour former des personnels nouveaux ou peu familiers et pour repérer les lacunes du plan.

Walk-through : similaire au tabletop, mais au lieu de rester autour de la table, les participants se déplacent vers chacun des lieux qu'ils devront visiter lors de la réponse. Ils peuvent encore se référer aux guides écrits et sont supervisés. Plus utile que le tabletop pour évaluer les limites physiques et établir le timing des activités ; à peine plus cher.

Simulation : un walk-through plus complexe et plus impliquant, pouvant mobiliser tout le personnel d'un bureau dans une situation d'urgence scriptée (un fire drill avec évacuation en est un exemple). Plus coûteux et plus perturbant pour la productivité (le travail est interrompu), mais plus de personnes y gagnent expérience et formation.

Parallel : pour les organisations qui utilisent des alternate operating sites. On mobilise réellement personnels et ressources vers le site alternatif et on y conduit les opérations - généralement un service ou une équipe à la fois. Bien plus cher et plus impactant que les précédents, mais offre l'assurance que la solution de repli fonctionne réellement.

Full interruption : implique toute l'organisation dans une situation scriptée mimant un vrai contingency event. Toutes les ressources, personnels et activités BCDR sont engagés. C'est de loin l'option la plus chère, au plus fort impact ; un grand soin est requis pour éviter que l'exercice ne devienne un vrai disaster. Réservé aux organisations qui ont les moyens de le planifier et l'exécuter correctement.

Communiquer les résultats du test aux parties intéressées (internes et externes : clients, partenaires, régulateurs) fait partie de l'exercice. Les rapports décrivent l'objectif, les aspects testés et surtout la pertinence de la stratégie DR. Ces résultats documentés sont des artefacts que les clients exigent souvent pour leur due diligence fournisseur, et qui sont examinés lors des audits SOC et ISO 27001.

Mots-clés EN Tabletop / read-through Walk-through Simulation Parallel test Full interruption SOC / ISO 27001
Points clés
  • Ordre de coût/intensité croissants : tabletop < walk-through < simulation < parallel < full interruption
  • Tabletop = discussion en salle ; walk-through = déplacement réel sans interruption
  • Parallel = sites alternatifs mobilisés ; full interruption = toute l'organisation basculée
  • Résultats documentés = artefacts de due diligence et d'audits SOC/ISO 27001

10.6 BCP, BIA et les métriques MTD, RTO, RPO (et WRT)

Chronologie reliant RPO avant la disruption, puis RTO et WRT jusqu'au MTD
Figure 10.6 · Chronologie RPO / RTO / WRT / MTD

La business continuity planning (BCP) est une activité prudente, souvent obligatoire, qui prépare l'organisation à des événements disruptifs et altérants pour l'activité : catastrophes naturelles, épidémies, conflits géopolitiques, perte de personnel critique. L'objectif est d'assurer que l'organisation puisse continuer à fonctionner pendant et après une crise. Des standards nationaux et internationaux servent de guide ou de point de départ : NIST SP 800-34 (national, US) et ISO 22301 (international).

La Business Impact Analysis (BIA) identifie d'abord les fonctions mission-essential, puis analyse l'effet d'une disruption sur ces fonctions. Elle se mène en engageant les parties prenantes - surtout les mission/process owners, managers et personnels de département - pour déterminer la criticité de chaque processus ou service. La BIA produit des estimations temporelles, les fameuses MTD, RTO et RPO, pour lesquelles l'organisation peut s'appuyer sur des templates NIST.

Le MTD (Maximum Tolerable Downtime) est la durée totale d'interruption qu'un dirigeant accepte pour un processus métier ; il englobe toutes les considérations d'impact. Sans MTD, les planificateurs manquent de direction pour choisir une méthode de reprise et calibrer le niveau de détail des procédures. Le RTO (Recovery Time Objective) est la durée maximale pendant laquelle une ressource système peut rester indisponible avant un impact inacceptable sur les autres ressources, les processus métier et le MTD : il guide le choix des technologies de reprise. Le RPO (Recovery Point Objective) est le point dans le temps, avant la disruption, jusqu'auquel les données doivent être récupérées (sur la base de la sauvegarde la plus récente) : il dicte la fréquence des sauvegardes et borne la perte de données acceptable. Ces objectifs sont souvent communiqués aux clients dans un SLA.

Complément du CBK ISC2 (hors manuel D7) : le WRT (Work Recovery Time) est le temps nécessaire, une fois le système techniquement restauré (fin du RTO), pour reconfigurer, valider et reprendre le travail métier normal. La relation clé à retenir : MTD = RTO + WRT. Le RTO ne peut donc jamais dépasser le MTD, et il doit même lui laisser de la marge pour le WRT.

Le plan (BCP) doit être maintenu : revu, mis à jour et révisé ; certains éléments (listes de contacts) demandent des mises à jour plus fréquentes. Tester le BCP est crucial et, pour la conformité, doit avoir lieu à intervalles programmés - typiquement au minimum annuellement - et lors de changements organisationnels ou environnementaux significatifs. Les tests réutilisent les types vus pour le DR (tabletop, fonctionnel, full-scale).

Piège d'examen : choisir un site de repli, c'est comparer son temps de reprise au RTO/MTD - un hot site (reprise quasi immédiate) pour un RTO très court, un cold site seulement si le RTO/MTD le tolère. Et ne confondez pas RTO (temps pour rétablir le service) avec RPO (quantité de données perdue, exprimée en temps).

Mots-clés EN BCP BIA MTD RTO RPO WRT
Points clés
  • BCP : NIST SP 800-34 (national) et ISO 22301 (international) ; BIA identifie les fonctions critiques
  • MTD = downtime total tolérable ; RTO = délai de rétablissement ; RPO = perte de données acceptable
  • MTD = RTO + WRT (complément CBK) ; le RTO ne dépasse jamais le MTD
  • Choisir un site de repli = comparer son temps de reprise au RTO/MTD ; tester le BCP au moins annuellement

Cas d'étude

Cas · Activité

Revue BCDR de SneakerNet : incident ou disaster ?

Contexte : Keiko finalise une revue complète des plans BCDR de SneakerNet, qui opère sur des sites dans plusieurs pays. Un matin, un incendie mineur se déclenche dans une salle technique d'un site secondaire. Le système anti-incendie l'éteint, l'équipe locale isole la zone et l'événement est traité en quelques heures sans interruption des opérations. La semaine suivante, une coupure de courant prolongée frappe simultanément le site principal pendant qu'une attaque par déni de service sature les liaisons de secours : plusieurs contrôles échouent en même temps et l'organisation est dépassée.

Question : Lequel de ces deux événements est un incident et lequel est un disaster ? Qui peut identifier le premier, et qui a l'autorité de déclarer le second ?

Topics traités Distinction incident / disasterAutorité de déclarationEscalade et débordement
Voir l'analyse et la correction

Un incident est un événement qui a le potentiel de nuire à l'organisation : c'est un événement déclencheur. S'il est géré rapidement et correctement, le problème s'arrête là. L'incendie mineur est un incident : éteint et confiné, il n'a pas dégénéré. Or, si l'incident n'est pas maîtrisé, qu'il croît en sévérité, ou si plusieurs incidents surviennent simultanément et que des contrôles échouent, l'organisation peut être submergée : c'est un disaster. La coïncidence coupure de courant prolongée + attaque DoS + échec des liaisons de secours correspond à ce basculement.

Qui peut identifier un incident ? Tout le monde - n'importe qui peut repérer une anomalie susceptible de causer un dommage, surtout avec un bon programme de security awareness. C'est précisément pourquoi l'identification est largement distribuée.

Qui peut déclarer un disaster ? Uniquement des membres du personnel pré-désignés, en général un membre de la senior management. La déclaration de disaster déclenche un plan coûteux et lourd de conséquences (dépenses hors budget, bascule vers un site alternatif) ; elle ne peut donc relever que d'une autorité de confiance disposant d'une vision et d'un pouvoir d'engagement suffisants. Keiko, en tant que professionnelle de sécurité, prépare et conseille, mais ne déclare pas le disaster elle-même.

À retenir : Incident = événement déclencheur identifiable par n'importe qui ; disaster = débordement déclaré uniquement par un cadre dirigeant pré-désigné.

Éléments d'apprentissage clés
  • Un incident maîtrisé s'arrête ; non maîtrisé ou cumulé, il devient disaster
  • N'importe qui identifie un incident ; seul un cadre désigné déclare un disaster
  • Le professionnel de sécurité prépare et conseille, mais ne déclare pas le disaster
Piège d'examen

Qui peut déclarer un disaster ?

Distinguez bien identifier et déclarer. N'importe qui peut identifier un incident (toute anomalie potentiellement nuisible), d'autant mieux avec un programme d'awareness. Mais déclarer un disaster - et activer le plan BCDR - relève uniquement de membres du personnel pré-désignés, généralement de la senior management. La raison : la décision engage des coûts élevés et hors budget. À l'examen, méfiez-vous des options qui font déclarer un disaster par l'équipe IT, l'analyste SOC ou « le premier témoin » : c'est faux.

Piège d'examen

RTO vs RPO vs MTD

Trois métriques temporelles à ne jamais mélanger. RTO = combien de temps pour rétablir un service après une panne (oriente la technologie de reprise). RPO = jusqu'à quel point dans le passé les données doivent être récupérées, donc la perte de données acceptable (oriente la fréquence des sauvegardes). MTD = durée totale d'interruption tolérable pour le métier, plafond global. Mnémonique CBK : MTD = RTO + WRT, donc RTO ne dépasse jamais MTD. Pour choisir un site de repli, comparez son temps de reprise au RTO/MTD : RTO court -> hot site ; RTO long toléré -> cold site possible.

Piège d'examen

Classer les tests par coût et impact

L'examen aime tester l'ordre des tests DR. Du moins au plus intense : read-through/tabletop (discussion en salle), walk-through (déplacement réel mais sans interruption), simulation (scénario scripté impliquant un bureau, ex. fire drill), parallel (bascule réelle d'une équipe vers l'alternate site, primaire toujours actif), full interruption (bascule complète de toute l'organisation). Pièges classiques : croire que walk-through interrompt la production (non, c'est la simulation et au-delà) ; confondre parallel (primaire encore actif, repli testé en doublon) et full interruption (primaire coupé, le plus risqué et le plus cher).

Point de contrôle — Point de contrôle

  1. Lors d'un disaster, quelles entités externes l'organisation peut-elle avoir besoin de joindre dans son plan de communication ?

    • A Toutes les réponses ci-dessous
    • B Les partenaires (vendors, clients, end customers) uniquement
    • C Les régulateurs uniquement
    • D Le public et les médias uniquement
    Réponse & justification

    Réponse : A — Toutes les réponses ci-dessous

    Les communications externes peuvent devoir atteindre partenaires, régulateurs, public/médias et forces de l'ordre/secours. Aucune de ces catégories n'est suffisante seule : la bonne réponse est « toutes ». L'enjeu est d'établir une single voice (un porte-parole désigné) pour éviter des déclarations contradictoires qui nourriraient la défiance du public.

  2. Pourquoi un parallel test est-il bénéfique pour une organisation qui utilise des alternate operating sites ?

    • A Il vérifie réellement que la solution de repli fonctionne et donne expérience et connaissance des procédures, sans couper le site primaire
    • B Il est le test le moins cher et le moins intrusif
    • C Il évite toute mobilisation de personnel et de ressources
    • D Il remplace la nécessité de maintenir le plan à jour
    Réponse & justification

    Réponse : A — Il vérifie réellement que la solution de repli fonctionne et donne expérience et connaissance des procédures, sans couper le site primaire

    Le parallel test mobilise réellement personnels et ressources vers le site alternatif et y conduit des opérations : il donne l'assurance que la solution existe et fonctionne, plus l'expérience d'exécution des procédures, tout en gardant le primaire actif. C'est plus cher que tabletop/walk-through (réponses fausses) et il exige justement de mobiliser des ressources.

  3. Un processus métier a un MTD de 12 heures. Trois sites de repli sont proposés : un hot site (reprise en 1 h), un warm site (reprise en 10 h) et un cold site (reprise en 36 h). Lequel est inacceptable au regard du MTD ?

    • A Le cold site, car son temps de reprise (36 h) dépasse le MTD de 12 h
    • B Le hot site, car il est trop rapide
    • C Le warm site, car 10 h est trop proche de 12 h
    • D Aucun, car le MTD n'a pas d'incidence sur le choix du site
    Réponse & justification

    Réponse : A — Le cold site, car son temps de reprise (36 h) dépasse le MTD de 12 h

    Le choix d'un site de repli se fait en comparant son temps de reprise au RTO/MTD. Le MTD de 12 h est le plafond absolu d'interruption tolérable. Le cold site (36 h) le dépasse largement : inacceptable. Le hot site (1 h) et le warm site (10 h) respectent le MTD ; rien n'interdit un site « trop rapide ». Le MTD est précisément le critère de sélection, ce qui élimine la dernière option.

  4. Dans la revue BCDR de SneakerNet, qui a l'autorité de déclarer officiellement un disaster ?

    • A Des membres du personnel pré-désignés, en général de la senior management
    • B N'importe quel employé qui constate l'anomalie
    • C L'administrateur système de garde
    • D L'analyste SOC qui détecte l'alerte le premier
    Réponse & justification

    Réponse : A — Des membres du personnel pré-désignés, en général de la senior management

    Déclarer un disaster revient uniquement à des membres du personnel pré-désignés, généralement un cadre de la senior management, car la décision engage des coûts élevés et hors budget. À ne pas confondre avec identifier un incident, que n'importe qui peut faire (employé, admin, analyste SOC). Les trois autres options confondent identification et déclaration.

  5. Quelle métrique exprime la quantité de données qu'une organisation accepte de perdre, en désignant le point dans le temps jusqu'auquel les données doivent être récupérées ?

    • A RPO (Recovery Point Objective)
    • B RTO (Recovery Time Objective)
    • C MTD (Maximum Tolerable Downtime)
    • D WRT (Work Recovery Time)
    Réponse & justification

    Réponse : A — RPO (Recovery Point Objective)

    Le RPO désigne le point dans le temps, avant la disruption, jusqu'auquel les données doivent être récupérées sur la base de la sauvegarde la plus récente : il borne la perte de données et dicte la fréquence des sauvegardes. Le RTO est le délai de rétablissement du service, le MTD le plafond total d'interruption (MTD = RTO + WRT), et le WRT le temps de reprise du travail après restauration technique.

Points essentiels à retenir

  • « Hard in training, easy in battle » : un plan BCDR rodé et testé est la meilleure préparation à la crise.
  • Seuls des cadres dirigeants pré-désignés déclarent un disaster ; n'importe qui peut identifier un incident.
  • Critical-path personnel maintiennent l'activité ; responders (IT, Security, Legal, HR, Finance, PR, Management) gèrent la réponse ; assigner des bureaux cross-trained, pas des individus.
  • Communications : interne (push vs access, moyens de masse alternatifs) et externe (single voice, communicateurs formés, developing situation).
  • Tests DR par coût croissant : tabletop < walk-through < simulation < parallel < full interruption ; résultats documentés pour due diligence et audits SOC/ISO 27001.
  • BCP s'appuie sur NIST SP 800-34 et ISO 22301 ; la BIA identifie les fonctions critiques et produit MTD, RTO, RPO.
  • MTD = downtime total tolérable, RTO = délai de rétablissement, RPO = perte de données ; MTD = RTO + WRT (CBK) ; choisir un site de repli en comparant son temps de reprise au RTO/MTD.
  • Lessons learned = processus continu (leçon COVID-19) ; tester le BCP au moins annuellement et après tout changement significatif.
Module 11 Objectif Sécurité physique du périmètre Objectif Contrôles internes en couches Objectif Sûreté du personnel Objectif Voyages et duress codes Objectif Gestion des urgences 110 min Intermédiaire

Sécurité physique et sûreté du personnel

Prérequis : Notions de defense in depth et de catégories de contrôles (administrative, technical, physical).

La sécurité de l'information ne s'arrête pas au pare-feu. Protéger un actif suppose de contrôler qui franchit la clôture, qui entre dans le datacenter, et de garantir que les personnes qui traitent l'information restent elles-mêmes en sécurité. Ce module couvre la sécurité physique du périmètre vers l'intérieur (contrôles d'accès, badges, CCTV, capteurs) puis la sûreté du personnel (voyages, duress codes, gestion des urgences, MDM).

Le fil conducteur est la defense in depth appliquée au monde physique : on empile des couches indépendantes, du property line jusqu'au coffre, de sorte qu'aucune barrière unique ne soit un point de défaillance. La même logique s'applique aux personnes : formation, monitoring, codes de détresse et plans d'évacuation forment des couches qui se renforcent.

L'examen attend que vous reliiez un objectif (empêcher une intrusion, protéger un voyageur, attribuer une action) au bon contrôle physique ou à la bonne procédure de sûreté, et que vous reteniez une règle d'or : la sécurité des personnes prime toujours sur la protection des biens.

Objectifs pédagogiques

  • Décrire les contrôles de sécurité du périmètre, du property line vers les zones protégées internes
  • Distinguer les types de cartes (barcode, magnetic stripe, proximity, smart, hybrid) et le rôle de l'enrollment station
  • Expliquer les contrôles internes en couches (card reader, BMS, capteurs acoustiques, IR, PIR, dual-technology)
  • Lister les aspects de sûreté à considérer en voyage et expliquer le fonctionnement des duress codes
  • Prioriser la sécurité des personnes dans la gestion des urgences et situer CPTED, mantraps et classes de feu (CBK/cheat)

Critères de réussite

  • Je sais ordonner les contrôles d'accès du property line aux zones internes sensibles
  • Je sais choisir le bon capteur interne pour un besoin donné et expliquer le rôle des dual-technology sensors
  • Je sais énumérer les aspects de sûreté en voyage et décrire le cycle de vie d'un duress code
  • Je sais identifier la classe de feu d'un incendie électrique et l'agent d'extinction approprié
  • Je sais affirmer que la sécurité des personnes prime sur la protection des actifs dans tout plan d'urgence

11.1 Le périmètre : du property line aux zones protégées

Couches concentriques de contrôle physique du property line aux zones internes sensibles
Figure 11.1 · Figure 7.14 · Sécurité physique en couches : du périmètre aux contrôles internes

La fonction première d'un système de contrôle d'accès est de garantir que seules les personnes autorisées pénètrent dans les zones contrôlées, et de réguler le flux des matériels qui y entrent et en sortent. Le public concerné est large : employés, visiteurs, clients, fournisseurs, grand public. Chaque application appelle des mesures différentes, calibrées sur des objectifs de sécurité, de coût et d'exploitation propres.

Le contrôle s'organise de l'extérieur vers l'intérieur, en couches concentriques. Il peut débuter dès la security property line, englobant par exemple les parkings, puis se resserrer sur les entrées du bâtiment, puis sur n'importe quelle zone interne selon la direction du management. On le calibre toujours sur le risque identifié et la valeur protectrice recherchée. Les protected areas typiques sont les entrées de plain-pied, les lobbies, les quais de chargement (loading docks), les ascenseurs et les zones internes sensibles abritant des données clients, de l'information propriétaire ou classifiée.

Historiquement, l'accès reposait sur des clés physiques. L'évolution vers les systèmes électroniques simplifie la gestion des droits : on révoque un badge en un clic, là où une clé perdue imposait de rechanger les serrures. Le professionnel de la sécurité doit souvent plaider pour de bonnes pratiques de facilities management et pour l'intégration des contrôles physiques avec les contrôles logiques et techniques - le bâtiment moderne étant un véritable system of systems.

Complément CPTED (provenance cheat) : le Crime Prevention Through Environmental Design conçoit l'environnement pour décourager l'intrusion via trois leviers : natural surveillance (visibilité, éclairage, fenêtres orientées vers les accès), natural access control (chemins et entrées canalisant les flux), et territoriality (marquages, clôtures basses, aménagement signalant une appropriation des lieux). Piège d'examen : CPTED relève de la prévention par le design, pas d'un capteur.

Mots-clés EN Security property line Protected area System of systems CPTED Natural surveillance Territoriality
Points clés
  • Le contrôle se déploie en couches du property line vers les zones internes
  • On calibre les mesures sur le risque, le coût et la valeur protectrice
  • L'électronique remplace les clés physiques et simplifie la révocation des droits
  • CPTED (cheat) prévient par le design : natural surveillance, natural access control, territoriality

11.2 Badges, enrollment station et types de cartes

Chaîne d'enrôlement et types de cartes face à une base d'accès vérifiée
Figure 11.2 · Figure 7.14 · Enrollment station, badges et types de cartes

Pour reconnaître un employé autorisé, le système a besoin d'une enrollment station : c'est le poste où l'on assigne et active le dispositif d'accès. Le plus souvent, un badge est produit et émis avec les identifiants de l'employé, l'enrollment station définissant les zones précises qui lui seront accessibles. En environnement haute sécurité, l'enrôlement peut aussi capturer des caractéristiques biometric. Le principe de fonctionnement est une comparaison : le système confronte le badge de la personne à une base vérifiée. Si l'authentification réussit, il émet les signaux qui ouvrent la porte ou le portail.

Ces systèmes sont typiquement intégrés aux logging systems de l'organisation pour documenter l'activité d'accès, autorisée comme non autorisée. Cette journalisation est essentielle : c'est elle qui fournit la traçabilité (accountability) en cas d'incident.

Une variété de types de cartes permet d'adapter le système à différents environnements. Les barcode cards portent un code-barres lisible optiquement, peu coûteux mais facile à copier. Les magnetic stripe cards stockent les données sur une piste magnétique, comme une carte bancaire classique. Les proximity cards sont lues sans contact à courte distance (RFID), pratiques pour les flux importants. Les smart cards embarquent une puce capable de traitement et de stockage chiffré, offrant le niveau de sécurité le plus élevé. Les hybrid cards combinent plusieurs technologies (par exemple proximity pour l'accès physique et puce à contact pour l'authentification logique).

Piège d'examen : la proximity card identifie sans contact mais n'est pas une smart card ; seule cette dernière effectue un traitement cryptographique embarqué.

Mots-clés EN Enrollment station Proximity card Smart card Hybrid card Magnetic stripe card Access logging
Points clés
  • L'enrollment station assigne le badge et définit les zones accessibles
  • Le système compare le badge à une base vérifiée, puis ouvre l'accès
  • Journaliser les accès autorisés ET non autorisés assure l'accountability
  • Hiérarchie de sécurité : barcode < magnetic stripe < proximity < smart ; hybrid combine

11.3 CCTV, capteurs extérieurs et contrôles internes en couches

Capteurs périmétriques et internes superposés autour d'un bâtiment
Figure 11.3 · Figure 7.14 · CCTV, capteurs extérieurs et contrôles internes en couches

La CCTV (closed-circuit TV) relie un réseau de caméras à des enregistreurs pour surveiller l'environnement. Elle est normalement intégrée au programme de sécurité global et monitorée de façon centralisée. Souple, elle excelle là où l'accès est difficile ou lorsqu'un forensic record est requis. Mais elle a des limites : le placement doit assurer la couverture sans porter atteinte aux expectations of privacy des individus. Historiquement câblée en coaxial dédié (coûteuse, sans redondance), elle est aujourd'hui souvent en IP/sans fil : installation moins chère, mais les caméras deviennent des équipements réseau exposés à de nombreuses attaques réseau.

À l'extérieur, plusieurs motion sensors complètent la CCTV : infrared, microwave, et lasers visant des récepteurs accordés. D'autres capteurs s'intègrent aux portes, portails et turnstiles. Les tentatives d'escalade de clôture se détectent par strain-sensitive cables et autres vibration sensors. Bien intégrés, ces capteurs périmétriques alertent dès qu'un intrus traverse un espace ouvert ou tente de percer la ligne de clôture.

À l'intérieur, l'approche en couches reste de mise. Le card reader contrôle l'accès à une pièce précise. Le Balanced Magnetic Switch (BMS) utilise un champ magnétique ou un contact mécanique pour décider si une alarme se déclenche (typiquement sur une porte ou fenêtre ouverte). Les acoustic sensors écoutent passivement les espaces. Les infrared linear beam sensors projettent un faisceau IR d'un émetteur vers un réflecteur : l'interruption du faisceau signale un passage. Les passive infrared (PIR) détectent les signatures de chaleur d'un intrus en comparant les récepteurs IR au niveau de fond habituel. L'automatic request to exit détecte automatiquement une personne approchant en direction de la sortie. Enfin, les dual-technology sensors combinent deux principes (par exemple PIR + microwave) : l'alarme n'est levée que si les deux concordent, ce qui réduit fortement les false alarms.

Complément CBK : mantraps, turnstiles et sally ports n'autorisent qu'une personne (ou véhicule) à la fois entre deux portes verrouillées, contrant le tailgating ; HVAC en positive pressure pousse l'air vers l'extérieur pour empêcher l'entrée de contaminants ou de fumée.

Mots-clés EN CCTV Balanced Magnetic Switch (BMS) Passive infrared (PIR) Dual-technology sensor Strain-sensitive cable Mantrap Positive pressure HVAC
Points clés
  • La CCTV IP réduit les coûts mais expose les caméras aux attaques réseau
  • Capteurs extérieurs : IR, microwave, laser, strain-sensitive cables, vibration
  • BMS détecte une ouverture ; PIR détecte la chaleur ; beam IR détecte l'interruption d'un faisceau
  • Dual-technology = deux principes concordants pour réduire les fausses alarmes
  • CBK : mantraps/sally ports contre le tailgating ; HVAC positive pressure contre les contaminants

11.4 Sûreté en voyage et duress codes

Schéma d'un duress code transmis et déclenchant une réponse même expiré
Figure 11.4 · Figure 7.15 · Duress codes et monitoring du voyageur

Protéger l'information suppose de protéger les personnes qui la traitent. Les individus deviennent des cibles, surtout à l'étranger, où les risques diffèrent fortement de leur environnement habituel. Trois grandes menaces de voyage : le kidnapping for ransom (dans certains pays, un véritable modèle économique, d'où des polices d'assurance ransom et une préparation des modalités de gestion en amont) ; la surveillance par les foreign intelligence services (interrogatoire des contacts locaux, copie des passeports et appareils à la frontière ou à l'hôtel, fouille ou surveillance des chambres, parfois un local complaisant qui « tombe » sur vous) ; et les réseaux de facial recognition qui pistent les déplacements dans l'espace public, le personnel hôtelier rapportant aussi les mouvements.

Aspects de sûreté à considérer en déplacement ou en télétravail : ne pas emporter ce dont on n'a pas besoin (information, argent, électronique sont plus en sécurité à la maison) ; si on doit l'emporter, protéger légalement l'information, sachant que l'encryption peut être limitée par la loi de certaines juridictions ; mettre en place un secure remote access (lui aussi parfois restreint selon les juridictions) ; anticiper les jurisdictional/cross-border concerns sur les données franchissant les frontières ; assurer la personnel protection (orientation locale, formation, assurance médicale/vie, protection physique) ; et organiser la condition monitoring avec check-ins quotidiens, qui doit aussi déterminer si la personne agit sous contrainte.

Le duress code répond précisément à ce dernier point. Une personne menacée ou entravée dans ses mouvements doit pouvoir signaler discrètement sa situation, avec des code words autres que « je suis sous contrainte », intégrables dans une conversation normale et mémorisables sous stress extrême. Le code doit pouvoir être transmis par plusieurs canaux. Le personnel doit être formé et entraîné aux actions à mener. Les duress codes changent régulièrement, mais si une personne transmet un code expiré, un processus de réponse doit tout de même être déclenché : un code périmé peut révéler une véritable détresse.

Le 2FA renforce la sûreté : formé avant le départ, le voyageur doit pouvoir recevoir codes de vérification ou push notifications sur une trusted platform, ce qui mitige le spoofing. La social media exige aussi de la vigilance : éviter de révéler des informations exploitables pour pister déplacements ou activités, et désactiver le location-reporting des applications.

Mots-clés EN Duress code Condition monitoring Kidnapping for ransom Foreign intelligence surveillance Trusted platform (2FA) Cross-border data transfer
Points clés
  • Menaces de voyage : kidnapping/ransom, surveillance par renseignement, facial recognition
  • Règle de base : si on n'en a pas besoin, on ne l'emporte pas
  • Encryption et secure remote access peuvent être limités par certaines juridictions
  • Duress code : discret, multi-canal, changé régulièrement ; répondre même à un code expiré
  • 2FA sur trusted platform contre le spoofing ; couper le location-reporting des réseaux sociaux

11.5 Insider threat, gestion des urgences et MDM

Tableau des classes de feu A à K et des agents d'extinction associés
Figure 11.5 · Classes de feu & agents d'extinction (CBK)

L'insider threat désigne le risque provenant de l'intérieur de l'organisation. Il se matérialise quand une personne disposant d'une connaissance interne et d'autorisations en use, sciemment ou non, au détriment de l'organisation. Des indicateurs existent (comportements préoccupants observables), mais la détection reste difficile, précisément parce que l'acteur est légitime.

En gestion des urgences, une règle prime sur toutes : la sécurité des personnes est la priorité absolue. Tout plan d'urgence et de BCDR doit la placer au sommet ; aucune activité de protection des actifs ne doit mettre le personnel en danger. Le programme de sensibilisation doit couvrir : des systèmes de fire detection/suppression conçus d'abord pour protéger la santé humaine, avec des deluge systems sur toutes les voies d'évacuation et des fire marshals (et suppléants) formés et entraînés par zone ; une évacuation pratiquée régulièrement, tous connaissant sorties et procédures ; une coordination préalable avec les entités externes (forces de l'ordre, pompiers, secours médicaux) pour établir communication et familiarité avant l'événement ; la prise en compte des menaces localisées (catastrophe naturelle, météo) dans le plan et les seuils de déclenchement ; et, si la réponse implique de relocaliser du personnel critique vers un site distant, un budget permettant aussi de relocaliser les familles.

Complément CBK sur les classes de feu : Classe A (combustibles solides ordinaires : bois, papier - extinction par eau), Classe B (liquides/gaz inflammables - CO2 ou clean agents), Classe C (équipements électriques sous tension - surtout PAS d'eau ; CO2 ou clean agent), Classe D (métaux combustibles - agents secs spécifiques), Classe K (huiles et graisses de cuisine - agents chimiques humides). Les agents d'extinction incluent l'eau (dry pipe et wet pipe selon que la tuyauterie est remplie, et pre-action pour limiter les déclenchements accidentels en salle informatique), le CO2 et les FM-200/clean agents qui n'endommagent pas l'électronique.

Enfin, la Mobile Device Management (MDM). Il est déconseillé d'emporter un appareil dans une zone où ses équipements sont menacés : un téléphone coûteux n'est qu'une cible pour le vol, voire saisi ou copié. Mieux vaut acheter un burner phone bon marché et le détruire après usage. Le MDM permet de déployer et contrôler centralement les applications et mises à jour, et surtout de remote wipe (effacer) ou de bricking (rendre totalement inutilisable) un appareil perdu ou volé, selon les besoins de sécurité.

Mots-clés EN Insider threat Deluge system Fire marshal Class C fire Clean agent / FM-200 Pre-action sprinkler MDM remote wipe / bricking Burner phone
Points clés
  • L'insider threat est difficile à détecter car l'acteur est légitime
  • Priorité absolue : la sécurité des personnes prime sur la protection des actifs
  • Coordonner pompiers/secours/forces de l'ordre AVANT l'événement ; budgéter la relocalisation des familles
  • CBK : feu électrique = Classe C, surtout pas d'eau ; clean agents et pre-action protègent l'électronique
  • MDM : burner phone en zone à risque ; remote wipe ou bricking d'un appareil perdu

Cas d'étude

Cas · Cas d'étude

Le site rural ne craint rien ?

Contexte : Lors d'une visite de site, un facility manager affirme à Keiko que les contrôles de sécurité du périmètre ne sont pas une préoccupation : le site est isolé, rural, et reçoit peu de visiteurs. Le site héberge pourtant des données clients et des informations propriétaires de SneakerNet, organisation à présence mondiale.

Question : Comment Keiko doit-elle répondre, et comment articuler contrôles de périmètre et contrôles internes pour protéger les actifs critiques tout en préservant confidentiality et integrity ?

Topics traités Sécurité du périmètreDefense in depth physiqueContrôles internesValeur de l'actif
Voir l'analyse et la correction

L'isolement n'est pas un contrôle de sécurité : il réduit peut-être le flux de visiteurs, mais ne supprime ni les menaces (intrusion, vol ciblé, insider, catastrophe) ni la valeur des actifs hébergés. Or Risk dépend de la valeur de l'asset autant que de la menace ; des données clients et propriétaires conservent une valeur élevée quel que soit le code postal. Raisonner « pas de visiteurs donc pas de risque » confond exposition apparente et risque réel.

Keiko doit appliquer la defense in depth physique en couches. Au périmètre : sécuriser dès la property line (clôture, éclairage, CPTED pour la natural surveillance), capteurs extérieurs (IR, microwave, strain-sensitive cables sur la clôture), CCTV centralisée fournissant un forensic record. À l'entrée : enrollment station, badges, biométrie en zone sensible, et journalisation des accès autorisés ET non autorisés. À l'intérieur, en couches : card readers sur les salles de données, BMS sur portes et fenêtres, PIR et dual-technology sensors pour limiter les fausses alarmes, mantraps aux points critiques contre le tailgating.

Cette superposition protège la confidentiality (empêcher l'accès non autorisé aux données) et l'integrity (empêcher toute manipulation physique des systèmes), tout en générant la traçabilité nécessaire à l'accountability. La présence mondiale de SneakerNet impose en outre une cohérence des contrôles entre tous les sites : un maillon faible rural peut devenir le point d'entrée vers l'ensemble.

À retenir : L'isolement géographique n'est pas un contrôle : la valeur de l'actif, pas le flux de visiteurs, dicte le besoin de sécurité physique en couches.

Éléments d'apprentissage clés
  • Le risque suit la valeur de l'actif, pas la fréquentation du site
  • Empiler périmètre, entrée et contrôles internes en couches indépendantes
  • Journaliser accès autorisés et non autorisés pour l'accountability
  • Un site faible peut compromettre une organisation à présence mondiale
Piège d'examen

Proximity card n'est pas smart card

Une proximity card identifie sans contact (RFID) mais ne fait aucun traitement cryptographique : c'est un simple identifiant. Seule la smart card embarque une puce capable de calcul et de stockage chiffré. L'examen exploite cette confusion : si la question demande la carte offrant le plus haut niveau de sécurité ou une authentification forte embarquée, c'est smart card, pas proximity. La hybrid card combine les deux mondes (souvent proximity pour l'accès physique, puce à contact pour le logique).

Piège d'examen

Feu électrique : surtout pas d'eau (cbk)

Un feu impliquant des équipements électriques sous tension est de Classe C : l'eau y est dangereuse (conduction, électrocution, dégâts). La bonne réponse est un agent non conducteur : CO2 ou un clean agent (FM-200). En salle informatique, on préfère un système pre-action qui exige deux conditions avant décharge, limitant les déclenchements accidentels qui ruineraient l'électronique. Piège : ne pas répondre « sprinkler à eau » pour un feu électrique. Mémo des classes : A solides, B liquides/gaz, C électrique, D métaux, K cuisine.

Piège d'examen

La sécurité des personnes prime toujours

Dans tout plan d'urgence ou de BCDR, la sécurité des personnes est la priorité absolue : aucune activité de protection des actifs ne doit mettre le personnel en danger. Si une question oppose la sauvegarde de données ou de matériel à l'évacuation des employés, la bonne réponse est toujours de protéger les personnes d'abord. C'est un principe directeur du Domaine 7, pas un arbitrage coût/bénéfice.

Piège d'examen

Répondre même à un duress code expiré

Les duress codes changent régulièrement, mais un code expiré transmis par une personne ne doit jamais être ignoré : il peut signaler une vraie détresse de quelqu'un qui n'a pas eu accès au code à jour. Le piège attend une réponse « ignorer car le code n'est plus valide » ; la bonne pratique est de déclencher quand même le processus de réponse.

Point de contrôle — Point de contrôle

  1. Parmi les aspects de sûreté à considérer lorsqu'un employé voyage ou travaille à distance, lequel est correctement formulé selon le manuel ?

    • A Si ce n'est pas nécessaire, ne pas l'emporter ; l'encryption et le secure remote access peuvent être limités par certaines juridictions
    • B Toujours emporter le maximum d'équipements pour rester productif en déplacement
    • C Le chiffrement étant universellement autorisé, aucune contrainte juridique n'est à anticiper
    • D La condition monitoring est facultative tant que l'employé répond à ses e-mails
    Réponse & justification

    Réponse : A — Si ce n'est pas nécessaire, ne pas l'emporter ; l'encryption et le secure remote access peuvent être limités par certaines juridictions

    Le manuel insiste : ne pas emporter l'inutile, protéger légalement l'information, et savoir que chiffrement et accès distant peuvent être restreints selon la juridiction. Emporter le maximum augmente l'exposition au vol/saisie. Le chiffrement n'est pas universellement autorisé. La condition monitoring avec check-ins (et détection de duress) est essentielle, pas facultative.

  2. Un Balanced Magnetic Switch (BMS) repose sur quel principe pour décider de déclencher une alarme ?

    • A Un champ magnétique ou un contact mécanique signalant une ouverture
    • B La comparaison de signatures de chaleur au niveau de fond
    • C L'écoute passive des bruits dans un espace
    • D L'interruption d'un faisceau infrarouge entre émetteur et réflecteur
    Réponse & justification

    Réponse : A — Un champ magnétique ou un contact mécanique signalant une ouverture

    Le BMS utilise un champ magnétique ou un contact mécanique, typiquement sur une porte ou fenêtre, pour détecter une ouverture. La comparaison de chaleur décrit le PIR ; l'écoute passive décrit l'acoustic sensor ; l'interruption de faisceau décrit l'infrared linear beam sensor.

  3. Un incendie se déclare sur un onduleur sous tension dans une salle serveur. Quelle est la classe de feu et l'agent d'extinction approprié ?

    • A Classe C ; CO2 ou clean agent (FM-200), surtout pas d'eau
    • B Classe A ; arrosage à l'eau par sprinkler
    • C Classe K ; agent chimique humide
    • D Classe D ; agent sec pour métaux
    Réponse & justification

    Réponse : A — Classe C ; CO2 ou clean agent (FM-200), surtout pas d'eau

    Un équipement électrique sous tension correspond à un feu de Classe C : l'eau est proscrite (conduction, électrocution). On emploie un agent non conducteur, CO2 ou clean agent. La Classe A vise les solides ordinaires, la K les huiles de cuisine, la D les métaux combustibles. (Provenance cbk.)

  4. Le CPTED propose de prévenir l'intrusion par l'aménagement de l'environnement. Lequel de ces leviers en fait partie ?

    • A Natural surveillance, natural access control et territoriality
    • B Dual-technology sensors et pre-action sprinklers
    • C Enrollment station, badges et CCTV centralisée
    • D Remote wipe, bricking et burner phones
    Réponse & justification

    Réponse : A — Natural surveillance, natural access control et territoriality

    Le CPTED (provenance cheat) repose sur trois principes de design : natural surveillance, natural access control et territoriality. Les capteurs et sprinklers sont des contrôles techniques actifs ; l'enrollment/badges/CCTV sont des contrôles d'accès et de surveillance ; remote wipe et burner phones relèvent du MDM. Le CPTED prévient par la conception des lieux, pas par un dispositif.

  5. Un voyageur transmet un duress code qui a été remplacé la semaine précédente. Quelle est la bonne conduite ?

    • A Déclencher tout de même le processus de réponse : un code expiré peut signaler une détresse réelle
    • B Ignorer le signal puisque le code n'est plus valide
    • C Demander au voyageur de répéter le code à jour avant d'agir
    • D Désactiver le compte du voyageur pour éviter un usage frauduleux
    Réponse & justification

    Réponse : A — Déclencher tout de même le processus de réponse : un code expiré peut signaler une détresse réelle

    Le manuel est explicite : si une personne transmet un code expiré, un processus de réponse doit tout de même être initié. La personne peut être en réel danger sans avoir pu obtenir le code à jour. Ignorer ou exiger le bon code la met en péril ; désactiver son compte ne traite pas la situation de duress.

Points essentiels à retenir

  • La sécurité physique se déploie en couches du property line vers les zones internes sensibles ; l'électronique remplace les clés physiques.
  • L'enrollment station assigne badges et droits ; types de cartes par sécurité croissante : barcode, magnetic stripe, proximity, smart, hybrid combinant.
  • CCTV IP réduit les coûts mais expose les caméras aux attaques réseau ; les dual-technology sensors réduisent les fausses alarmes ; le BMS détecte une ouverture par champ magnétique.
  • En voyage : ne pas emporter l'inutile, anticiper les limites juridiques du chiffrement, assurer condition monitoring, 2FA sur trusted platform, et prudence sur les réseaux sociaux.
  • Le duress code est discret, multi-canal, changé régulièrement ; un code expiré déclenche tout de même une réponse.
  • La sécurité des personnes est la priorité absolue de tout plan d'urgence ; coordination externe préalable et relocalisation des familles si besoin.
  • CBK/cheat : CPTED (surveillance/accès/territorialité), mantraps contre le tailgating, HVAC positive pressure, classes de feu A-K et agents (feu électrique = Classe C, pas d'eau).
  • MDM : burner phone en zone à risque, remote wipe ou bricking d'un appareil perdu ou volé.

Synthèse du domaine

Les security operations sont la mise en oeuvre quotidienne des contrôles : investigations, logging et monitoring, gestion des incidents et des vulnérabilités, reprise et continuité. Protéger l'intégrité d'une investigation (order of volatility, chain of custody, admissibilité) prime sur la vitesse de remédiation. Le logging sous-tend toute l'analyse : IDS/IPS, SIEM, SOAR, ISCM, DLP et UEBA n'ont de valeur qu'avec du personnel formé pour interpréter les signaux. Les concepts fondamentaux (least privilege, need-to-know, separation of duties, PAM, job rotation, mandatory vacation, dual control) réduisent fraude et erreur. La gestion des incidents suit un cycle (NIST 800-61 : preparation, detection & analysis, containment/eradication/recovery, post-incident ; ISO 27035 en 5 phases) où le SOC escalade mais ne décide pas seul. La disponibilité repose sur les sauvegardes (3-2-1, full/incremental/differential), le RAID, la haute disponibilité, les sites de reprise (cold/warm/hot/mobile/cloud) et des objectifs chiffrés (RTO/RPO/MTD). Enfin, protéger l'information impose de protéger les personnes : sécurité physique en couches et sûreté du personnel.

Glossaire (Terms & Definitions)

Les termes-clés du Domaine 7, à maîtriser en anglais pour l'examen.

TermeDéfinition
Order of volatilityOrdre dans lequel collecter les preuves, du plus volatile (registres/cache, RAM) au moins volatile (disque, archives).
Chain of custodyTraçabilité documentée et continue d'une preuve : qui, quoi, quand, où, de la collecte à la présentation.
Write-blockingTechnologie empêchant toute écriture sur le support original pendant l'acquisition forensique.
AdmissibilityAcceptabilité d'une preuve par le tribunal, fondée sur sa documentation et sa préservation.
eDiscoveryDécouverte électronique : identification et production de preuves numériques (ISO 27050).
EventToute occurrence observable dans un système ou un réseau.
PrecursorSignal annonçant un possible changement de conditions modifiant le paysage de menace.
IndicatorArtefact suggérant qu'une attaque est imminente, en cours ou a eu lieu.
Indicator of Compromise (IoC)Signal qu'une intrusion ou un malware se produit ou s'est produit.
IDSIntrusion Detection System : détecte et alerte sur les accès non autorisés.
IPSIntrusion Prevention System : détecte et agit automatiquement (bloque) sur les intrusions.
NIDS / NIPSIDS/IPS basés réseau, placés sur des segments pour surveiller le trafic.
HIDS / HIPSIDS/IPS basés hôte, agents installés sur les endpoints.
SIEMSecurity Information and Event Management : agrège, normalise et corrèle les logs de sources variées.
SOARSecurity Orchestration, Automation and Response : automatise la réponse via playbooks et runbooks.
Playbook / RunbookSéquence d'actions automatisées, linéaire (playbook) ou avec logique conditionnelle (runbook).
ISCMInformation Security Continuous Monitoring : conscience continue de la sécurité (NIST SP 800-137, 6 phases).
Egress monitoring / DLPSurveillance et régulation des données quittant le périmètre (Data Loss Prevention).
Data at rest / in motion / in useTrois états des données protégés par le DLP (stockage, transit, traitement).
Threat intelligenceInformation de menace agrégée et analysée pour fournir le contexte des décisions.
ISACInformation Sharing and Analysis Center : partage d'information cyber entre organisations.
UEBAUser and Entity Behavior Analytics : détecte les déviations comportementales des users et entities par ML.
Configuration Item (CI)Composant nommé, possédé et géré par le change management, traité comme une entité unique.
CMDBConfiguration Management Database : enregistre l'état des configuration items.
BaselineInventaire total des composants constituant une instance complète d'un système.
Security baselineEnsemble minimal acceptable de contrôles de sécurité associé à chaque CI.
SCAPSecurity Content Automation Protocol : ingestion automatisée des changements de configuration.
ProvisioningCréation de copies d'une baseline et placement dans les bons environnements.
RFCRequest for Change : documentation formelle d'un changement proposé.
CAB / CMB / CCBChange Advisory / Management / Configuration Control Board : instance d'approbation des changements.
Regression testingTests vérifiant que seul le changement approuvé a modifié le comportement du système.
Least privilegeNiveau minimal de permissions nécessaires aux tâches, et rien de plus.
Need to knowRestriction d'accès à l'information selon le besoin réel d'en connaître.
Separation of duties (SoD)Aucun individu ne peut compléter seul une action de confiance complète.
Privileged Account Management (PAM)Gestion renforcée des comptes à privilèges (logging, MFA, JIT, audit).
Just-in-time (JIT) identityOctroi de privilèges restreint à une tâche et un moment précis, puis révoqué.
Job rotationRotation régulière des rôles pour détecter la fraude et éviter les single points of failure.
Mandatory vacationCongés obligatoires (avec suspension des accès) pour révéler les méfaits.
Dual control / dual custodyDeux personnes ou plus agissant simultanément pour une action critique (no lone zone).
SLAService-Level Agreement : accord contraignant définissant le niveau de service et les pénalités.
SanitizationEffacement sécurisé d'un média avant disposal, proportionné à la classification.
IncidentÉvénement compromettant réellement ou potentiellement la CIA d'un système ou de l'information.
CSIRT / SOCÉquipe / centre de réponse aux incidents qui surveille et escalade les décisions urgentes.
ContainmentConfinement : isoler les éléments suspects pour empêcher la propagation.
EradicationSuppression de chaque instance de l'agent causal et de ses fichiers.
RecoveryRétablissement et déclaration opérationnelle des systèmes, données et workflows.
RemediationChangements de configuration limitant immédiatement la récurrence d'un incident.
Root cause analysisIdentification des causes profondes (Pareto, Five Whys, Ishikawa, FMEA, fault trees).
Patch managementNotification, test, déploiement et vérification systématiques des correctifs.
Vulnerability managementIdentification, évaluation, priorisation et remédiation des faiblesses.
Allowed / blocked listingListes d'éléments autorisés (tout le reste bloqué) ou bloqués (tout le reste autorisé).
SandboxEnvironnement de test isolé pour évaluer ou détoner du code/contenu suspect.
Honeypot / honeynetMachine(s) leurre sans données réelles pour distraire et observer les attaquants.
Zero-dayExploitation d'une vulnérabilité non encore publiée ni corrigée.
3-2-1 backup3 copies des données, 2 types de support, 1 copie offsite.
Archive bitBit indiquant qu'un fichier a été modifié (1) ou archivé (0).
Full / Differential / IncrementalTypes de sauvegarde : tout ; depuis le dernier full ; depuis le dernier backup.
Journaling / Snapshot / CDPTechniques de protection au niveau données (transactions, miroir de blocs, capture continue).
RAIDRedundant Array of Independent Disks : virtualise un volume sur plusieurs disques (striping, parité).
SAN / NASStockage central : par blocs/volumes via serveurs (SAN) ou par fichiers sur le LAN (NAS).
Recovery siteSite alternatif de traitement : mirrored, hot, warm, cold, mobile ou cloud.
RTORecovery Time Objective : délai maximal de remise en service d'une ressource.
RPORecovery Point Objective : perte de données acceptable (point de restauration).
MTDMaximum Tolerable Downtime : durée totale d'indisponibilité acceptable (MTD = RTO + WRT).
BIABusiness Impact Analysis : analyse de l'impact d'une disruption sur les fonctions essentielles.
DR test typesread-through/tabletop, walk-through, simulation, parallel, full-interruption (intensité croissante).
CPTEDCrime Prevention Through Environmental Design : surveillance, contrôle d'accès et territorialité naturels.
Duress codeMot de code subtil signalant une situation de contrainte, changé régulièrement.
MDMMobile Device Management : contrôle centralisé des mobiles (wipe/bricking à distance).

Points essentiels du domaine

Ce qu'il faut absolument retenir

  • Order of volatility et chain of custody d'abord : une preuve mal préservée ou non documentée devient inutilisable, quelle que soit sa pertinence.
  • IDS détecte et alerte ; IPS détecte et agit. SIEM agrège/normalise/corrèle ; SOAR automatise via playbooks/runbooks ; UEBA modélise le comportement normal des users et entities.
  • Least privilege + need-to-know + separation of duties + PAM (avec JIT) forment une défense en couches contre la fraude et l'abus de privilèges.
  • Incident management : NIST 800-61 (4 phases) ou ISO 27035 (5 phases). Le SOC escalade la décision ; le management décide du retour à la normale.
  • Containment puis eradication puis recovery puis remediation ; la phase lessons learned doit produire des changements de comportement vérifiables, sans esprit punitif.
  • Sauvegardes 3-2-1 (3 copies, 2 supports, 1 offsite). Differential = depuis le dernier full (archive bit conservé) ; incremental = depuis le dernier backup (archive bit remis à 0).
  • RAID améliore la disponibilité, pas la sauvegarde. RAID 5 tolère 1 panne disque, RAID 6 en tolère 2, RAID 10 = striping + mirroring.
  • Choisir le site de reprise selon le MTD : cold (semaines/mois), warm (heures/jours), hot (minutes/heures), mirrored (temps réel). RTO = délai de remise en service ; RPO = perte de données acceptable.
  • Tests DR par intensité croissante : read-through/tabletop, walk-through, simulation, parallel, full-interruption.
  • Protéger l'information = protéger les personnes : sécurité physique en couches (CPTED, badges, CCTV, capteurs) et sûreté du personnel (voyages, duress codes, MDM).

Pour aller plus loin