Objectifs du CBK (ISC)²
Les 13 domaines d'apprentissage officiels du Domaine 1. Cliquez un objectif pour le détail.
Comprendre, respecter et promouvoir l'éthique professionnelle
L'éthique (ISC)² se résume à 4 canons ordonnés : protéger la société d'abord ; agir avec honneur ; servir les mandants avec diligence ; avancer et protéger la profession. Cet ordre est prescriptif : en cas de conflit, le canon supérieur prime.
Points clés
- 4 canons ISC² + serment à signer pour la certification
- Ordre prescriptif (pas facultatif)
- Comparer avec d'autres codes : IEEE, ACM, ISACA
Comprendre et appliquer les concepts de sécurité
Triade CIA (Confidentialité, Intégrité, Disponibilité), son miroir DAD (Disclosure, Alteration, Destruction) et le cycle de contrôle d'accès IAAAA. Toute décision de sécurité s'arbitre entre ces piliers ; renforcer l'un au détriment d'un autre est un anti-pattern.
Points clés
- CIA + CIAAN (ajout Authenticité, Non-répudiation)
- IAAAA : Identification → Authentication → Authorization → Accountability → Auditing
- Notion de non-répudiation via signature numérique
Évaluer et appliquer les principes de gouvernance de la sécurité
La gouvernance aligne la sécurité sur le métier. Elle définit rôles (board, CISO, DPO, owners), responsabilités (RACI), politiques de haut niveau, et métriques de pilotage (KPI/KRI). Frameworks clés : ISO 27001 (SMSI), NIST CSF, COBIT (gouvernance IT), COSO (contrôle interne).
Points clés
- Gouvernance = QUOI. Management = COMMENT. Opérations = FAIRE.
- Top management est ACCOUNTABLE ; le CISO est RESPONSIBLE
- Alignement business via COBIT et tableaux de bord exécutifs
Déterminer les exigences de conformité
Identifier les obligations applicables : lois (GDPR, HIPAA, SOX, FISMA), contrats (PCI-DSS, SLA), standards sectoriels (ISO 27001, SOC 2). La non-conformité expose à : amendes réglementaires, sanctions contractuelles, perte de clients, poursuites.
Points clés
- Cartographier les obligations par actif et par juridiction
- GDPR : 72 h pour notifier, amendes jusqu'à 4 % CA
- SOC 2 : Trust Services Criteria (5 : sécurité, dispo, intégrité, confid., privacy)
Comprendre les enjeux juridiques et réglementaires
Trois catégories de droit : criminel (État vs individu, peines privatives), civil (individu vs individu, dommages), administratif (régulateurs). Trois systèmes : common law (anglo-saxon), civil law (europe continentale), religieux. Propriété intellectuelle : copyright, patent, trademark, trade secret.
Points clés
- Burden of proof : criminel = au-delà du doute raisonnable ; civil = balance des probabilités
- Transferts internationaux de données (ex. hors UE) : clauses contractuelles types
- Propriété intellectuelle : 4 types, durées différentes
Comprendre les exigences des types d'investigation
4 types d'investigation : administrative (RH interne), criminelle (police, preuves au-delà du doute), civile (dommages-intérêts), réglementaire (régulateur). Chacune a ses règles de preuve et chain of custody. Le principe de Locard : tout contact laisse une trace.
Points clés
- Chain of custody : traçabilité de la preuve (qui, quand, où, pourquoi)
- Preuves : authentique, précise, complète, convaincante, admissible
- Forensics : ordre de volatilité (RAM, cache, disque, backup)
Développer et implémenter politiques, standards, procédures, guidelines
Hiérarchie normative : Policy (intention, quoi) > Standard (obligatoire, quoi précis) > Procedure (comment, pas-à-pas) > Guideline (recommandé). Une baseline = minimum à respecter. Les politiques sont revues annuellement et à chaque changement majeur.
Points clés
- Politique signée par le top management = effet obligatoire
- Procedure = exécutable par toute personne qualifiée
- Guideline n'engage pas, Standard engage
Identifier et prioriser les exigences de continuité d'activité
Le BCP englobe la survie de l'entreprise en cas d'incident majeur. Il s'appuie sur le BIA (Business Impact Analysis) qui évalue la criticité et l'impact de chaque processus. Le DRP est le sous-plan de reprise IT rapide.
Points clés
- BIA avant BCP : on ne planifie pas sans mesurer d'abord
- RTO (reprise) ≤ MTD (tolérance max). RPO (perte données) = borne supérieure
- Tests : desk check, table-top, simulation, parallèle, full-interruption
Contribuer aux politiques et procédures de sécurité du personnel
Sécurité RH : contrôles avant embauche (background check, références), pendant (formation, NDA, SoD), à la sortie (offboarding, révocation accès, entretien, récupération matériel). L'humain reste le premier vecteur d'incident.
Points clés
- Offboarding est plus critique que l'onboarding pour la fuite
- NDA avant exposition, pas après
- Candidats privilégiés : background check renforcé
Comprendre et appliquer les concepts de gestion des risques
Cycle complet : identifier (assets + menaces + vulnérabilités), évaluer (qualitatif P×I ou quantitatif SLE/ALE), traiter (MART : Mitigate, Accept, Reject, Transfer), monitorer. Risk register = source de vérité, revue périodique.
Points clés
- SLE = AV × EF ; ALE = SLE × ARO
- Residual risk = Inherent - Controls. Doit être sous le risk appetite.
- Acceptation = signée par le risk owner, pas ignorée
Comprendre les concepts et méthodologies de threat modeling
Modéliser les menaces dès le design. Méthodes : STRIDE (catégoriser 6 types), DREAD (scorer), PASTA (processus complet en 7 étapes), Attack trees. Meilleur ROI quand appliqué tôt dans le SDLC.
Points clés
- STRIDE = catégories ; DREAD = scoring
- Plus c'est tôt, moins c'est cher à corriger (shift-left)
- Un data flow diagram est le socle du threat modeling
Gestion des risques de la chaîne d'approvisionnement (SCRM)
Évaluer et contrôler les risques liés aux fournisseurs et sous-traitants : audit sécurité avant onboarding, clauses contractuelles (SLA, droit d'audit, notification), monitoring continu. Crucial depuis SolarWinds.
Points clés
- Questionnaires fournisseurs (SIG, CAIQ) + SOC 2 Type II
- SBOM (Software Bill of Materials) pour tracer les composants
- 4th parties : les sous-traitants de vos sous-traitants
Programme de sensibilisation et de formation
Trois niveaux : Awareness (grand public, rappels courts), Training (compétences, orienté rôle), Education (compréhension profonde, certifications). Mesurer l'efficacité par des phishing tests, des quiz, des KPI clairs.
Points clés
- Awareness ≠ Training ≠ Education (ordre croissant de profondeur)
- Ciblage par rôle : dev ≠ RH ≠ direction
- KPI : taux de clic phishing, taux de complétion, résultats quiz
Concepts clés
Triade CIA
Confidentialité (restrictions d'accès, chiffrement), Intégrité (non-répudiation, authenticité), Disponibilité (accès fiable et opportun). Objectif premier de toute sécurité.
Opposé DAD
Disclosure, Alteration, Destruction. Ce que l'on cherche à empêcher - miroir inverse de CIA.
I-AAAA
Identification → Authentication → Authorization → Accountability → Auditing. Cycle complet du contrôle d'accès : qui êtes-vous, êtes-vous bien vous, pouvez-vous faire cela, qui est responsable, qu'avez-vous fait.
Actif / Vulnérabilité / Menace / Risque
Actif = tout ce qui a de la valeur. Vulnérabilité = faiblesse. Menace = événement potentiel nuisible. Threat Agent = celui qui la réalise. Exploit = instance concrète de compromission. Risque = probabilité × impact.
Traitements du risque
Mitigate (réduire), Accept (accepter), Reject/Avoid (éviter), Transfer (transférer, ex. assurance). Mnémonique MART.
Séparation des devoirs, moindre privilège, rotation
Separation of Duties (éviter qu'une seule personne ait tout pouvoir), Least Privilege (strict minimum), Job Rotation (changer périodiquement pour détecter fraude), Dual Control (deux personnes requises).
Modèles de menaces STRIDE & DREAD
STRIDE (Microsoft) = Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege. DREAD = Damage, Reproducibility, Exploitability, Affected users, Discoverability (scoring).
Classification des données
Évaluer la sensibilité des données pour décider du niveau de protection. Les contrôles suivent la classification, jamais l'inverse.
Frameworks de gouvernance
ISO 27001/27002 (contrôles), NIST RMF (gestion risque), COBIT (gouvernance IT), COSO (contrôle interne), ITIL (opérations IT), OCTAVE (risque auto-évalué).
Code éthique ISC2 - 4 canons
1) Protéger société, bien commun, confiance publique, infrastructure. 2) Agir avec honneur, loyauté, justice, responsabilité, légalité. 3) Fournir un service diligent et compétent aux mandants. 4) Avancer et protéger la profession.
Frameworks & standards
| Framework | Rôle |
|---|---|
| ISO/IEC 27001 | Système de management de la sécurité de l'information (SMSI). |
| ISO/IEC 27002 | Catalogue de contrôles de sécurité. |
| NIST SP 800-30 | Méthodologie d'analyse de risque (qualitative + quantitative). |
| NIST RMF (800-37) | Cycle complet de gestion du risque IT. |
| COBIT | Gouvernance IT orientée business. |
| COSO | Contrôle interne et reporting financier. |
| ITIL | Bonnes pratiques de gestion des services IT. |
| OCTAVE | Évaluation de risque auto-dirigée par l'organisation. |
Acronymes
| Sigle | Signification |
|---|---|
| CIA | Confidentialité, Intégrité, Disponibilité |
| DAD | Divulgation, Altération, Destruction |
| IAAAA | Identification, Authentification, Autorisation, Imputabilité, Audit |
| AV | Asset Value - valeur de l'actif |
| EF | Exposure Factor - % perte si sinistre |
| SLE | Single Loss Expectancy = AV × EF |
| ARO | Annualized Rate of Occurrence |
| ALE | Annualized Loss Expectancy = SLE × ARO |
| RTO | Recovery Time Objective - délai max de reprise |
| RPO | Recovery Point Objective - perte de données tolérée |
| MTD | Maximum Tolerable Downtime |
| MTBF | Mean Time Between Failures |
| STRIDE | Spoofing, Tampering, Repudiation, Info disclosure, DoS, Elevation |
| DREAD | Damage, Reproducibility, Exploitability, Affected, Discoverability |
| MART | Mitigate, Accept, Reject, Transfer |
Mnémotechniques
CIA = Confidentialité · Intégrité · Disponibilité. Son opposé : DAD (Disclosure, Alteration, Destruction).
IAAAA, dans l'ordre : Identification → Authentication → Authorization → Accountability → Auditing.
MART = 4 options face à un risque : Mitigate · Accept · Reject (éviter) · Transfer.
STRIDE : Spoofing · Tampering · Repudiation · Information disclosure · DoS · Elevation of privilege.
DREAD (scoring menace) : Damage · Reproducibility · Exploitability · Affected users · Discoverability.
SLE = AV × EF (par événement). ALE = SLE × ARO (par an). 3 lettres donnent les 5.
4 canons, ordre prescriptif : Société > Honneur > Service (mandants) > Profession. En cas de conflit, la société prime.
Due DILIGENCE = D comme DÉCOUVRIR (enquêter avant). Due CARE = C comme CONCRÉTISER (agir raisonnablement).
RTO = Restore Time (quand revient-on ?). RPO = Restore Point (combien de données perdues ?). Règle d'or : RTO ≤ MTD.
Formules
SLE = AV × EF
Perte attendue d'un sinistre unique.
ALE = SLE × ARO
Perte annualisée espérée.
Risk = P × I
Probabilité d'occurrence × impact.
Pièges d'examen
Ne pas confondre SLE, ALE et ARO
SLE est par événement, ALE est par an, ARO est la fréquence annuelle. L'examen piège en intervertissant.
Strategic ≠ Tactical ≠ Operational
Plan stratégique ≈ 5 ans, tactique ≈ 1 an, opérationnel ≈ mois/quotidien. Mémo : S-T-O = long, moyen, court.
Due care vs Due diligence
Due care = agir raisonnablement (fait). Due diligence = rechercher et vérifier avant d'agir (enquête). L'un est action, l'autre est recherche.
Risk transfer ≠ risk elimination
Acheter une assurance transfère l'impact financier, pas la responsabilité légale ni l'impact réputationnel.
Cas concrets
Calculer l'ALE d'un datacenter exposé aux inondations
Datacenter valorisé à 1 000 000 €. Une inondation endommage 40 % du matériel (EF = 0,4). Études locales : 1 inondation tous les 5 ans (ARO = 0,2). SLE = 400 000 €, ALE = 80 000 €/an. Budget d'atténuation raisonnable : jusqu'à ~80 000 €/an (surélévation, drainage, assurance).
Séparation des devoirs bancaire
Dans une banque, l'employé qui saisit un virement n'est pas celui qui l'approuve. Mnémo : « un qui demande, un qui valide ». Cela neutralise la fraude par une personne seule - inspiré des contrôles SOX post-Enron.
À retenir en 10 secondes
À retenir en 10 secondes
- CIA est la mission, DAD est la menace.
- Risque = Probabilité × Impact ; ALE = SLE × ARO ; SLE = AV × EF.
- 4 traitements : MART (Mitigate, Accept, Reject, Transfer).
- Gouvernance : ISO 27001, NIST RMF, COBIT, COSO, ITIL.
- Threat modelling : STRIDE (catégories), DREAD (scoring).
- Ethique ISC² = 4 canons : société, honneur, service, profession.
Quiz du domaine
Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.
🔒 Inscription requise pour les quiz
Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.