Domaine 1 · 16% Poids examen

Sécurité et gestion des risques

Le Domaine 1 pose les fondations : comprendre la valeur de l'information, mesurer le risque, connaître les lois applicables, et organiser la gouvernance de la sécurité. C'est le domaine le plus large de l'examen (16 %) et le socle conceptuel pour tous les autres.

Objectifs du CBK (ISC)²

Les 13 domaines d'apprentissage officiels du Domaine 1. Cliquez un objectif pour le détail.

Objectif A

Comprendre, respecter et promouvoir l'éthique professionnelle

Diagramme — Comprendre, respecter et promouvoir l'éthique professionnelle

L'éthique (ISC)² se résume à 4 canons ordonnés : protéger la société d'abord ; agir avec honneur ; servir les mandants avec diligence ; avancer et protéger la profession. Cet ordre est prescriptif : en cas de conflit, le canon supérieur prime.

Points clés

  • 4 canons ISC² + serment à signer pour la certification
  • Ordre prescriptif (pas facultatif)
  • Comparer avec d'autres codes : IEEE, ACM, ISACA
Objectif B

Comprendre et appliquer les concepts de sécurité

Diagramme — Comprendre et appliquer les concepts de sécurité

Triade CIA (Confidentialité, Intégrité, Disponibilité), son miroir DAD (Disclosure, Alteration, Destruction) et le cycle de contrôle d'accès IAAAA. Toute décision de sécurité s'arbitre entre ces piliers ; renforcer l'un au détriment d'un autre est un anti-pattern.

Points clés

  • CIA + CIAAN (ajout Authenticité, Non-répudiation)
  • IAAAA : Identification → Authentication → Authorization → Accountability → Auditing
  • Notion de non-répudiation via signature numérique
Objectif C

Évaluer et appliquer les principes de gouvernance de la sécurité

Diagramme — Évaluer et appliquer les principes de gouvernance de la sécurité

La gouvernance aligne la sécurité sur le métier. Elle définit rôles (board, CISO, DPO, owners), responsabilités (RACI), politiques de haut niveau, et métriques de pilotage (KPI/KRI). Frameworks clés : ISO 27001 (SMSI), NIST CSF, COBIT (gouvernance IT), COSO (contrôle interne).

Points clés

  • Gouvernance = QUOI. Management = COMMENT. Opérations = FAIRE.
  • Top management est ACCOUNTABLE ; le CISO est RESPONSIBLE
  • Alignement business via COBIT et tableaux de bord exécutifs
Objectif D

Déterminer les exigences de conformité

Diagramme — Déterminer les exigences de conformité

Identifier les obligations applicables : lois (GDPR, HIPAA, SOX, FISMA), contrats (PCI-DSS, SLA), standards sectoriels (ISO 27001, SOC 2). La non-conformité expose à : amendes réglementaires, sanctions contractuelles, perte de clients, poursuites.

Points clés

  • Cartographier les obligations par actif et par juridiction
  • GDPR : 72 h pour notifier, amendes jusqu'à 4 % CA
  • SOC 2 : Trust Services Criteria (5 : sécurité, dispo, intégrité, confid., privacy)
Objectif E

Comprendre les enjeux juridiques et réglementaires

Diagramme — Comprendre les enjeux juridiques et réglementaires

Trois catégories de droit : criminel (État vs individu, peines privatives), civil (individu vs individu, dommages), administratif (régulateurs). Trois systèmes : common law (anglo-saxon), civil law (europe continentale), religieux. Propriété intellectuelle : copyright, patent, trademark, trade secret.

Points clés

  • Burden of proof : criminel = au-delà du doute raisonnable ; civil = balance des probabilités
  • Transferts internationaux de données (ex. hors UE) : clauses contractuelles types
  • Propriété intellectuelle : 4 types, durées différentes
Objectif F

Comprendre les exigences des types d'investigation

Diagramme — Comprendre les exigences des types d'investigation

4 types d'investigation : administrative (RH interne), criminelle (police, preuves au-delà du doute), civile (dommages-intérêts), réglementaire (régulateur). Chacune a ses règles de preuve et chain of custody. Le principe de Locard : tout contact laisse une trace.

Points clés

  • Chain of custody : traçabilité de la preuve (qui, quand, où, pourquoi)
  • Preuves : authentique, précise, complète, convaincante, admissible
  • Forensics : ordre de volatilité (RAM, cache, disque, backup)
Objectif G

Développer et implémenter politiques, standards, procédures, guidelines

Diagramme — Développer et implémenter politiques, standards, procédures, guidelines

Hiérarchie normative : Policy (intention, quoi) > Standard (obligatoire, quoi précis) > Procedure (comment, pas-à-pas) > Guideline (recommandé). Une baseline = minimum à respecter. Les politiques sont revues annuellement et à chaque changement majeur.

Points clés

  • Politique signée par le top management = effet obligatoire
  • Procedure = exécutable par toute personne qualifiée
  • Guideline n'engage pas, Standard engage
Objectif H

Identifier et prioriser les exigences de continuité d'activité

Diagramme — Identifier et prioriser les exigences de continuité d'activité

Le BCP englobe la survie de l'entreprise en cas d'incident majeur. Il s'appuie sur le BIA (Business Impact Analysis) qui évalue la criticité et l'impact de chaque processus. Le DRP est le sous-plan de reprise IT rapide.

Points clés

  • BIA avant BCP : on ne planifie pas sans mesurer d'abord
  • RTO (reprise) ≤ MTD (tolérance max). RPO (perte données) = borne supérieure
  • Tests : desk check, table-top, simulation, parallèle, full-interruption
Objectif I

Contribuer aux politiques et procédures de sécurité du personnel

Diagramme — Contribuer aux politiques et procédures de sécurité du personnel

Sécurité RH : contrôles avant embauche (background check, références), pendant (formation, NDA, SoD), à la sortie (offboarding, révocation accès, entretien, récupération matériel). L'humain reste le premier vecteur d'incident.

Points clés

  • Offboarding est plus critique que l'onboarding pour la fuite
  • NDA avant exposition, pas après
  • Candidats privilégiés : background check renforcé
Objectif J

Comprendre et appliquer les concepts de gestion des risques

Diagramme — Comprendre et appliquer les concepts de gestion des risques

Cycle complet : identifier (assets + menaces + vulnérabilités), évaluer (qualitatif P×I ou quantitatif SLE/ALE), traiter (MART : Mitigate, Accept, Reject, Transfer), monitorer. Risk register = source de vérité, revue périodique.

Points clés

  • SLE = AV × EF ; ALE = SLE × ARO
  • Residual risk = Inherent - Controls. Doit être sous le risk appetite.
  • Acceptation = signée par le risk owner, pas ignorée
Objectif K

Comprendre les concepts et méthodologies de threat modeling

Diagramme — Comprendre les concepts et méthodologies de threat modeling

Modéliser les menaces dès le design. Méthodes : STRIDE (catégoriser 6 types), DREAD (scorer), PASTA (processus complet en 7 étapes), Attack trees. Meilleur ROI quand appliqué tôt dans le SDLC.

Points clés

  • STRIDE = catégories ; DREAD = scoring
  • Plus c'est tôt, moins c'est cher à corriger (shift-left)
  • Un data flow diagram est le socle du threat modeling
Objectif L

Gestion des risques de la chaîne d'approvisionnement (SCRM)

Diagramme — Gestion des risques de la chaîne d'approvisionnement (SCRM)

Évaluer et contrôler les risques liés aux fournisseurs et sous-traitants : audit sécurité avant onboarding, clauses contractuelles (SLA, droit d'audit, notification), monitoring continu. Crucial depuis SolarWinds.

Points clés

  • Questionnaires fournisseurs (SIG, CAIQ) + SOC 2 Type II
  • SBOM (Software Bill of Materials) pour tracer les composants
  • 4th parties : les sous-traitants de vos sous-traitants
Objectif M

Programme de sensibilisation et de formation

Diagramme — Programme de sensibilisation et de formation

Trois niveaux : Awareness (grand public, rappels courts), Training (compétences, orienté rôle), Education (compréhension profonde, certifications). Mesurer l'efficacité par des phishing tests, des quiz, des KPI clairs.

Points clés

  • Awareness ≠ Training ≠ Education (ordre croissant de profondeur)
  • Ciblage par rôle : dev ≠ RH ≠ direction
  • KPI : taux de clic phishing, taux de complétion, résultats quiz

Concepts clés

Triade CIA

Confidentialité (restrictions d'accès, chiffrement), Intégrité (non-répudiation, authenticité), Disponibilité (accès fiable et opportun). Objectif premier de toute sécurité.

Opposé DAD

Disclosure, Alteration, Destruction. Ce que l'on cherche à empêcher - miroir inverse de CIA.

I-AAAA

Identification → Authentication → Authorization → Accountability → Auditing. Cycle complet du contrôle d'accès : qui êtes-vous, êtes-vous bien vous, pouvez-vous faire cela, qui est responsable, qu'avez-vous fait.

Actif / Vulnérabilité / Menace / Risque

Actif = tout ce qui a de la valeur. Vulnérabilité = faiblesse. Menace = événement potentiel nuisible. Threat Agent = celui qui la réalise. Exploit = instance concrète de compromission. Risque = probabilité × impact.

Traitements du risque

Mitigate (réduire), Accept (accepter), Reject/Avoid (éviter), Transfer (transférer, ex. assurance). Mnémonique MART.

Séparation des devoirs, moindre privilège, rotation

Separation of Duties (éviter qu'une seule personne ait tout pouvoir), Least Privilege (strict minimum), Job Rotation (changer périodiquement pour détecter fraude), Dual Control (deux personnes requises).

Modèles de menaces STRIDE & DREAD

STRIDE (Microsoft) = Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege. DREAD = Damage, Reproducibility, Exploitability, Affected users, Discoverability (scoring).

Classification des données

Évaluer la sensibilité des données pour décider du niveau de protection. Les contrôles suivent la classification, jamais l'inverse.

Frameworks de gouvernance

ISO 27001/27002 (contrôles), NIST RMF (gestion risque), COBIT (gouvernance IT), COSO (contrôle interne), ITIL (opérations IT), OCTAVE (risque auto-évalué).

Code éthique ISC2 - 4 canons

1) Protéger société, bien commun, confiance publique, infrastructure. 2) Agir avec honneur, loyauté, justice, responsabilité, légalité. 3) Fournir un service diligent et compétent aux mandants. 4) Avancer et protéger la profession.

Frameworks & standards

FrameworkRôle
ISO/IEC 27001 Système de management de la sécurité de l'information (SMSI).
ISO/IEC 27002 Catalogue de contrôles de sécurité.
NIST SP 800-30 Méthodologie d'analyse de risque (qualitative + quantitative).
NIST RMF (800-37) Cycle complet de gestion du risque IT.
COBIT Gouvernance IT orientée business.
COSO Contrôle interne et reporting financier.
ITIL Bonnes pratiques de gestion des services IT.
OCTAVE Évaluation de risque auto-dirigée par l'organisation.

Acronymes

SigleSignification
CIA Confidentialité, Intégrité, Disponibilité
DAD Divulgation, Altération, Destruction
IAAAA Identification, Authentification, Autorisation, Imputabilité, Audit
AV Asset Value - valeur de l'actif
EF Exposure Factor - % perte si sinistre
SLE Single Loss Expectancy = AV × EF
ARO Annualized Rate of Occurrence
ALE Annualized Loss Expectancy = SLE × ARO
RTO Recovery Time Objective - délai max de reprise
RPO Recovery Point Objective - perte de données tolérée
MTD Maximum Tolerable Downtime
MTBF Mean Time Between Failures
STRIDE Spoofing, Tampering, Repudiation, Info disclosure, DoS, Elevation
DREAD Damage, Reproducibility, Exploitability, Affected, Discoverability
MART Mitigate, Accept, Reject, Transfer

Mnémotechniques

Mémo · CIA

CIA = Confidentialité · Intégrité · Disponibilité. Son opposé : DAD (Disclosure, Alteration, Destruction).

Mémo · IAAAA

IAAAA, dans l'ordre : Identification → Authentication → Authorization → Accountability → Auditing.

Mémo · MART

MART = 4 options face à un risque : Mitigate · Accept · Reject (éviter) · Transfer.

Mémo · STRIDE

STRIDE : Spoofing · Tampering · Repudiation · Information disclosure · DoS · Elevation of privilege.

Mémo · DREAD

DREAD (scoring menace) : Damage · Reproducibility · Exploitability · Affected users · Discoverability.

Mémo · Formules risque

SLE = AV × EF (par événement). ALE = SLE × ARO (par an). 3 lettres donnent les 5.

Mémo · Canons ISC²

4 canons, ordre prescriptif : Société > Honneur > Service (mandants) > Profession. En cas de conflit, la société prime.

Mémo · Due care/diligence

Due DILIGENCE = D comme DÉCOUVRIR (enquêter avant). Due CARE = C comme CONCRÉTISER (agir raisonnablement).

Mémo · RTO/RPO

RTO = Restore Time (quand revient-on ?). RPO = Restore Point (combien de données perdues ?). Règle d'or : RTO ≤ MTD.

Formules

À retenir

SLE = AV × EF

Perte attendue d'un sinistre unique.

À retenir

ALE = SLE × ARO

Perte annualisée espérée.

À retenir

Risk = P × I

Probabilité d'occurrence × impact.

Pièges d'examen

Piège

Ne pas confondre SLE, ALE et ARO

SLE est par événement, ALE est par an, ARO est la fréquence annuelle. L'examen piège en intervertissant.

Piège

Strategic ≠ Tactical ≠ Operational

Plan stratégique ≈ 5 ans, tactique ≈ 1 an, opérationnel ≈ mois/quotidien. Mémo : S-T-O = long, moyen, court.

Piège

Due care vs Due diligence

Due care = agir raisonnablement (fait). Due diligence = rechercher et vérifier avant d'agir (enquête). L'un est action, l'autre est recherche.

Piège

Risk transfer ≠ risk elimination

Acheter une assurance transfère l'impact financier, pas la responsabilité légale ni l'impact réputationnel.

Cas concrets

Cas concret · Scénario pédagogique

Calculer l'ALE d'un datacenter exposé aux inondations

Datacenter valorisé à 1 000 000 €. Une inondation endommage 40 % du matériel (EF = 0,4). Études locales : 1 inondation tous les 5 ans (ARO = 0,2). SLE = 400 000 €, ALE = 80 000 €/an. Budget d'atténuation raisonnable : jusqu'à ~80 000 €/an (surélévation, drainage, assurance).

Cas concret · Scénario pédagogique inspiré du réel

Séparation des devoirs bancaire

Dans une banque, l'employé qui saisit un virement n'est pas celui qui l'approuve. Mnémo : « un qui demande, un qui valide ». Cela neutralise la fraude par une personne seule - inspiré des contrôles SOX post-Enron.

À retenir en 10 secondes

À retenir en 10 secondes

  • CIA est la mission, DAD est la menace.
  • Risque = Probabilité × Impact ; ALE = SLE × ARO ; SLE = AV × EF.
  • 4 traitements : MART (Mitigate, Accept, Reject, Transfer).
  • Gouvernance : ISO 27001, NIST RMF, COBIT, COSO, ITIL.
  • Threat modelling : STRIDE (catégories), DREAD (scoring).
  • Ethique ISC² = 4 canons : société, honneur, service, profession.

Quiz du domaine

Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.

🔒 Inscription requise pour les quiz

Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.