Objectifs du CBK (ISC)²
Les 6 domaines d'apprentissage officiels du Domaine 5. Cliquez un objectif pour le détail.
Contrôle des accès physiques et logiques
Deux plans : physique (badges, biométrie porte, CCTV, mantraps) et logique (comptes, groupes, ACL, tokens, MFA). Les deux doivent être cohérents : révoquer un badge quand on révoque un compte.
Points clés
- Cloisonnement logique via ACL, physique via zones
- Même source d'identité idéalement (HRMS → AD → badge)
- Revue périodique des accès (access recertification)
Gérer l'identification et l'authentification
3 facteurs d'authentification : Knowledge (mot de passe), Possession (token, smartcard), Inherence (biométrie). MFA = combiner ≥ 2 facteurs différents. Biométrie : mesurer FAR/FRR/CER (plus bas = mieux).
Points clés
- MFA ≠ 2× le même facteur (2 mots de passe = non)
- FAR (Type II) = faux accept, plus grave que FRR (Type I)
- Passwordless : FIDO2/WebAuthn remplacent progressivement le mot de passe
Identité fédérée avec un tiers
Fédération = un IdP de confiance prouve l'identité pour plusieurs SP. Protocoles : SAML 2.0 (XML, SSO web entreprise), OAuth 2.0 (autorisation API), OpenID Connect (identité sur OAuth). Avantages : 1 compte utilisateur, décommissionnement centralisé.
Points clés
- SAML = auth (qui ?) ; OAuth = authz (quelle permission ?)
- OIDC = identité sur OAuth 2.0 = le meilleur des deux pour apps web modernes
- IdP down = tous les SP sont bloqués (SPoF critique)
Mécanismes d'autorisation
Modèles : DAC (propriétaire décide, ACL), MAC (labels, central, militaire), RBAC (rôles), ABAC (attributs - moderne), Rule-BAC (règles conditionnelles). RBAC est le standard entreprise ; ABAC apporte la finesse pour le cloud et le Zero Trust.
Points clés
- RBAC : user → role → permission. Lisible, auditable.
- ABAC : evaluate(user, resource, action, environment)
- Moindre privilège + séparation des devoirs comme garde-fous
Cycle de vie de l'identité et des accès
Cycle : Request → Approve → Provision → Review → Revoke. Crucial : automatiser. Un compte orphelin (ancien employé) = brèche en gestation. Access review trimestrielle + déclenchement RH sur mouvement (hire, role change, leave).
Points clés
- JML : Joiner, Mover, Leaver - processus clé
- Offboarding = priorité absolue en 24 h max
- Privileged Access Management (PAM) pour comptes admin
Systèmes d'authentification
Kerberos (tickets KDC), RADIUS/TACACS+ (AAA), SAML, OAuth 2.0, OpenID Connect, FIDO2/WebAuthn. Considérer : sécurité protocolaire, performance, intégration, UX. Architecture centralisée vs décentralisée.
Points clés
- Kerberos : AS + TGS, tickets chiffrés, protection replay
- TACACS+ (Cisco) chiffre tout ; RADIUS chiffre uniquement mot de passe
- FIDO2 résiste au phishing (origin binding)
Concepts clés
Sujets et objets
Un sujet (subject) est l'entité active qui demande l'accès (utilisateur, processus, service). Un objet (object) est la ressource passive convoitée (fichier, base, périphérique). Le système décide si le sujet peut effectuer une opération CRUD (Create, Read, Update, Delete) sur l'objet.
IAAA - cycle du contrôle d'accès
Identification (présenter une identité), Authentication (prouver l'identité), Authorization (accorder les permissions), Accountability/Auditing (tracer et imputer les actions). Souvent étendu en IAAAA pour distinguer accountability et auditing.
Facteurs d'authentification
Connaissance (know - mot de passe, PIN), Possession (have - token, smartcard, OTP), Caractéristique (are - biométrie). Deux facteurs supplémentaires : lieu (where you are - géolocalisation) et action (what you do - frappe clavier, démarche). MFA = au moins deux facteurs DIFFÉRENTS.
Moindre privilège et need to know
Least privilege = n'accorder que les droits strictement nécessaires à la fonction. Need to know = limiter l'accès aux seules données requises pour une tâche précise. Le need to know affine le moindre privilège au niveau de la donnée.
Séparation des devoirs
Separation of Duties (SoD) répartit une tâche sensible entre plusieurs personnes pour qu'aucune ne puisse agir seule (un demande, un valide). Couplée au need to know, elle neutralise la fraude et les conflits d'intérêts.
Defense in depth
Empiler des couches de contrôles (physique, logique, administratif) afin qu'une défaillance unique ne compromette pas tout l'accès. Le contrôle d'accès physique (PACS) reste une couche distincte du contrôle logique.
Zero Trust
Modèle « ne jamais faire confiance, toujours vérifier » : pas de périmètre de confiance implicite, chaque requête est authentifiée, autorisée et contextualisée (identité, posture, attributs). S'appuie naturellement sur l'ABAC et le JIT.
Identity store
Référentiel central des identités et de leurs attributs (annuaire LDAP, Active Directory). C'est la source que consultent SSO et fédération pour authentifier et autoriser, plutôt que de dupliquer des comptes partout.
Credential et CMS
Un credential est le lien entre une identité et un authentifiant (mot de passe, certificat, smartcard). Un Credential Management System (CMS) émet, renouvelle et révoque les credentials, souvent adossé à une PKI pour des identités 2FA.
Identity proofing
Décision initiale, prise une fois lors de l'enrôlement, de vérifier qu'une personne est bien qui elle prétend être (pièces d'identité, vérification d'adresse). À ne pas confondre avec l'authentification, répétée à chaque accès. Cadré par NIST SP 800-63A.
Modèle d'identité numérique (rôles)
Applicant (candidat) → CSP (Credential Service Provider : enrôlement + proofing) → Claimant → Verifier → Subscriber → Relying Party (RP). La confiance est passée du CSP jusqu'à la partie de confiance qui accorde l'accès.
Biométrie et taux d'erreur
On mesure des caractéristiques physiologiques ou comportementales. Deux erreurs : FRR (Type I, rejet d'un légitime, coût opérationnel) et FAR (Type II, acceptation d'un imposteur, risque sécurité). Le CER (FAR = FRR) sert à comparer les systèmes.
SSO (Single Sign-On)
Une seule authentification donne accès à toutes les ressources autorisées d'un même domaine de confiance. Améliore l'expérience et réduit la fatigue des mots de passe, mais crée un single point of failure : compromettre le SSO compromet tout.
FIM (fédération d'identité)
La fédération étend le SSO ENTRE organisations distinctes via une confiance mutuelle : l'IdP (Identity Provider) authentifie l'utilisateur et le SP (Service Provider) lui fait confiance. Évite de redupliquer les comptes chez chaque partenaire (SAML, OIDC).
JIT (Just-in-Time)
Provisionnement d'identité ou de privilège à la demande, accordé pour un événement précis et valable pour lui seul, puis déprovisionné automatiquement. Cas d'usage majeur : JIT PAM, qui supprime les privilèges permanents des comptes à hauts pouvoirs.
Gestion de session
Après authentification, un session ID (valeur longue, aléatoire, à usage unique : nonce) est émis et stocké en cookie pour suivre les requêtes. La session se termine sur timeout d'inactivité ou anomalie (changement d'IP, double login). Le vol/rejeu du cookie est une replay attack.
DAC / MAC / NDAC / RBAC / RuBAC / ABAC
DAC : le propriétaire décide (ACL). MAC : autorité centrale et labels, système non contournable. NDAC : non discrétionnaire, central. RBAC : droits portés par les rôles. RuBAC : règles conditionnelles (heure, montant). ABAC : décision sur attributs (qui, quand, où, ressource, menace).
PDP et PEP (ABAC)
Dans l'ABAC (NIST SP 800-162), le Policy Decision Point (PDP) évalue la politique et rend la décision ; le Policy Enforcement Point (PEP) l'applique. Séparer décision et application permet une autorisation centralisée et fine.
Kerberos
Authentification réseau via le KDC, composé de l'AS (Authentication Server) et du TGS (Ticket Granting Server). L'AS délivre un TGT, le TGS délivre des Service Tickets (ST). Cryptographie symétrique, tickets horodatés (NTP critique), protection contre le rejeu.
Élévation de privilège
Verticale : un utilisateur normal gagne des droits supérieurs (root/admin). Horizontale (mouvement latéral) : accès à un autre compte de même niveau, d'un serveur à un autre. Mitigations : MFA, moindre privilège, patch, IDS/SIEM, renommage des comptes privilégiés.
Frameworks & standards
| Framework | Rôle |
|---|---|
| NIST SP 800-63 (IAL / AAL / FAL) | Lignes directrices d'identité numérique : niveaux d'assurance de l'identité (IAL), de l'authentification (AAL) et de l'assertion fédérée (FAL). |
| FICAM / ICAM | Architecture fédérale US (2009) d'Identity, Credential and Access Management pour bâtir une architecture de credentials saine. |
| NIST SP 800-192 | Décrit les modèles de contrôle d'accès (DAC, RBAC, RuBAC, ABAC) et les moyens de les mettre en oeuvre. |
| NIST SP 800-162 | Guide de l'ABAC : PDP (décision) et PEP (application) au coeur du mécanisme. |
| ISO/IEC 27000 | Définit le contrôle d'accès comme le moyen d'assurer qu'on accède aux actifs sur la base d'exigences métier et de sécurité. |
| ISO/IEC 24760 | Cadre pour la gestion des identités (identity management framework). |
| Kerberos | Protocole d'authentification réseau à tickets symétriques via KDC (AS + TGS). |
| SAML 2.0 | Échanges d'authentification et d'autorisation en XML entre domaines (SSO web fédéré). |
| OAuth 2.0 / OIDC | OAuth 2.0 = délégation d'autorisation (jetons d'accès) ; OpenID Connect = couche d'authentification au-dessus, avec un ID token. |
| RADIUS / TACACS+ | Protocoles AAA d'accès réseau. RADIUS (UDP, combine authN/authZ, chiffre seulement le mot de passe) ; TACACS+ (TCP, sépare AAA, chiffre tout le paquet). |
| LDAP / X.500 | Annuaire des identités et attributs (Distinguished Names). Socle d'Active Directory et de l'identity store. |
Acronymes
| Sigle | Signification |
|---|---|
| IAM | Identity & Access Management |
| IdM | Identity Management |
| IAAA | Identification, Authentication, Authorization, Accountability |
| AAA | Authentication, Authorization, Accounting |
| IAL | Identity Assurance Level (force du proofing) |
| AAL | Authenticator Assurance Level (force de l'authentification) |
| FAL | Federation Assurance Level (force de l'assertion fédérée) |
| FICAM | Federal Identity, Credential and Access Management |
| ICAM | Identity, Credential and Access Management |
| CSP | Credential Service Provider |
| RP | Relying Party (partie de confiance) |
| IdP | Identity Provider |
| SP | Service Provider |
| SFA | Single-Factor Authentication |
| MFA | Multi-Factor Authentication |
| OTP | One-Time Password |
| TOTP | Time-based One-Time Password |
| HOTP | HMAC-based One-Time Password |
| FAR | False Acceptance Rate (Type II) |
| FRR | False Rejection Rate (Type I) |
| CER | Crossover Error Rate |
| EER | Equal Error Rate (synonyme de CER) |
| DAC | Discretionary Access Control |
| MAC | Mandatory Access Control |
| NDAC | Non-Discretionary Access Control |
| RBAC | Role-Based Access Control |
| RuBAC | Rule-Based Access Control |
| ABAC | Attribute-Based Access Control |
| PDP | Policy Decision Point |
| PEP | Policy Enforcement Point |
| ACL | Access Control List |
| PAM | Privileged Access Management |
| JIT | Just-in-Time (provisioning à la demande) |
| SSO | Single Sign-On |
| FIM | Federated Identity Management |
| IDaaS | Identity as a Service |
| IGA | Identity Governance and Administration |
| KDC | Key Distribution Center (Kerberos) |
| TGT | Ticket Granting Ticket |
| TGS | Ticket Granting Server |
| ST | Service Ticket |
| AS | Authentication Server (Kerberos) |
| SAML | Security Assertion Markup Language |
| OAuth | Open Authorization (délégation d'accès) |
| OIDC | OpenID Connect |
| OP | OpenID Provider |
| RADIUS | Remote Authentication Dial-In User Service |
| TACACS+ | Terminal Access Controller Access-Control System Plus |
| LDAP | Lightweight Directory Access Protocol |
| DN | Distinguished Name (LDAP) |
| AD | Active Directory |
| AD DS | Active Directory Domain Services |
| AD FS | Active Directory Federation Services |
| FIDO | Fast IDentity Online |
| U2F | Universal 2nd Factor (FIDO) |
| UAF | Universal Authentication Framework (FIDO) |
| WebAuthn | Web Authentication (API FIDO2) |
| PKI | Public Key Infrastructure |
| CMS | Credential Management System |
| PACS | Physical Access Control System |
| SID | Security Identifier (Windows) |
| NTP | Network Time Protocol (vital pour Kerberos) |
| EAP | Extensible Authentication Protocol |
Mnémotechniques
IAAA dans l'ordre : Identification (qui ?) → Authentication (le prouver) → Authorization (que peut-on faire ?) → Accountability/Auditing (qui répond, et qu'a-t-il fait ?).
5 facteurs : KNOW (savoir) · HAVE (avoir) · ARE (être, biométrie) · WHERE (où l'on est) · DO (ce que l'on fait). MFA = au moins 2 facteurs DIFFÉRENTS (password + PIN = encore 1 seul facteur).
FAR (Type II) = l'intrus PASSE (le pire, risque). FRR (Type I) = le légitime est REJETÉ (coût). CER = FAR = FRR : plus bas = mieux.
DAC = Owner décide (ACL) · MAC = Central + labels · RBAC = Rôle · RuBAC = Règle (condition) · ABAC = Attribut. Indice : la lettre avant BAC dit qui ou quoi décide.
Le TGT est le PASSEPORT (prouve qui vous êtes, délivré par l'AS). Le Service Ticket est le VISA (donne accès à UN service, délivré par le TGS). Tickets horodatés : NTP critique.
OAuth 2.0 = autoriZation (quelle permission déléguée ?). OpenID Connect = authentificatioN (qui es-tu ?), une couche posée sur OAuth avec un ID token.
SSO = 1 login DANS un domaine. FIM = SSO ENTRE domaines/organisations via confiance mutuelle (IdP authentifie, SP fait confiance).
RADIUS : UDP, combine authN+authZ, chiffre SEULEMENT le mot de passe. TACACS+ : TCP, SÉPARE les 3 A, chiffre TOUT le paquet.
Formules
FAR = faux accept / tentatives imposteurs
False Acceptance Rate (Type II) : taux d'acceptation d'imposteurs. À l'examen, c'est l'erreur la PLUS dangereuse (un attaquant entre). Un FAR bas privilégie la sécurité.
FRR = faux rejets / tentatives légitimes
False Rejection Rate (Type I) : taux de rejet d'utilisateurs légitimes. Erreur de confort/coût (travail bloqué), moins grave que le FAR mais nuit à la disponibilité.
CER (= EER) = point où FAR = FRR
Crossover/Equal Error Rate : seuil où les deux courbes se croisent. Sert à comparer des systèmes biométriques (CER plus bas = meilleur). PIÈGE : le CER n'est le réglage OPTIMAL que si les coûts d'un FAR et d'un FRR sont équivalents ; sinon on déplace le seuil.
Throughput = utilisateurs traités / unité de temps
Débit biométrique : nombre d'authentifications réussies par minute. Un throughput trop bas crée des files d'attente et nuit à l'acceptabilité, même si la précision est bonne.
Pièges d'examen
Authentication ≠ Authorization
L'authentification prouve QUI vous êtes ; l'autorisation décide CE QUE vous pouvez faire. Une question qui parle de permissions sur des objets relève de l'authorization, pas de l'authentication.
Identity proofing ≠ authentication
Le proofing est la décision INITIALE et UNIQUE (à l'enrôlement) de vérifier l'identité réelle. L'authentification se répète à CHAQUE accès. Ne pas confondre la vérification de qui est inscrit avec la vérification à la connexion.
Type I (FRR) vs Type II (FAR)
Type I = FRR = faux rejet (légitime bloqué). Type II = FAR = faux accept (imposteur admis). Type II est le PIRE pour la sécurité. L'examen intervertit souvent les numéros.
OAuth (authZ) ≠ OIDC (authN)
OAuth 2.0 délègue une AUTORISATION (accès à une ressource via token), il n'authentifie pas l'utilisateur. OpenID Connect ajoute la couche d'AUTHENTIFICATION (ID token). Utiliser OAuth seul pour « se connecter » est un anti-pattern.
RBAC ≠ RuBAC
RBAC = accès porté par le RÔLE (fonction de l'utilisateur). RuBAC = accès porté par des RÈGLES conditionnelles (heure, montant, IP). Même préfixe « R », logique différente.
Escalade verticale ≠ horizontale
Verticale = gagner des droits SUPÉRIEURS (user → admin). Horizontale = prendre un compte de MÊME niveau (mouvement latéral). L'examen teste la direction de l'élévation.
SSO ≠ FIM
SSO = un login pour plusieurs ressources d'UN même domaine de confiance. FIM = fédération ENTRE organisations distinctes. Toute fédération offre du SSO, mais tout SSO n'est pas fédéré.
Data owner ≠ custodian
Le data owner définit la classification et décide des accès (responsabilité). Le custodian (custode) applique et opère les protections au quotidien (sauvegardes, droits). Décision vs exécution.
RADIUS ≠ TACACS+
RADIUS : UDP, combine authentification et autorisation, ne chiffre que le mot de passe. TACACS+ : TCP, sépare les trois A, chiffre tout le corps du paquet. TACACS+ est préféré pour l'administration réseau granulaire.
Le CER n'est pas toujours optimal
Le CER (FAR = FRR) sert à COMPARER des systèmes, mais il n'est le réglage idéal que si un faux accept et un faux rejet coûtent autant. Pour une zone très sensible, on baisse délibérément le FAR au prix d'un FRR plus élevé.
Cas concrets
Physical Access Control System du DHS
Le Department of Homeland Security exploite un PACS divisé en quatre domaines indépendants (badges/PII, parking, surveillance d'alarmes/IDS, etc.) gérés par l'administrateur PACS. Leçon CISSP : le contrôle d'accès PHYSIQUE est un problème distinct du logique ; un attaquant qui obtient l'accès physique contourne souvent les défenses logiques. Le PACS ne collecte que les PII strictement nécessaires (least privilege appliqué à la donnée).
Brèche Dropbox 2012
En 2012, des attaquants ont utilisé le mot de passe VOLÉ d'un employé Dropbox pour accéder à un document contenant les emails de millions d'utilisateurs. Un seul facteur (mot de passe réutilisé) a suffi. Réponse : déploiement de la 2FA et réévaluation du cycle de provisioning des identités. Leçon : un facteur unique sur un compte à accès large est une faille critique ; MFA et moindre privilège l'auraient contenue.
Régler le seuil d'un lecteur biométrique
Deux lecteurs d'empreintes : A (CER 1 %) et B (CER 3 %). Pour comparer à l'aveugle, A est meilleur. Mais pour l'accès à une salle de serveurs classifiée, on n'opère PAS au CER : on durcit le seuil pour écraser le FAR (zéro imposteur), quitte à augmenter le FRR (quelques rejets légitimes acceptables, car un agent peut re-tenter). Inversement, un tourniquet de cantine privilégie un FRR bas (débit/confort).
À retenir en 10 secondes
À retenir en 10 secondes
- IAAA = Identification, Authentication, Authorization, Accountability (cycle complet).
- 5 facteurs : know / have / are / where / do ; MFA = au moins 2 facteurs DIFFÉRENTS.
- FRR = Type I (faux rejet, coût) ; FAR = Type II (faux accept, risque) ; CER = FAR = FRR.
- Le CER compare les systèmes mais n'est optimal que si FAR et FRR coûtent autant.
- Modèles : DAC (owner) · MAC (central+labels) · RBAC (rôle) · RuBAC (règle) · ABAC (attributs, PDP/PEP).
- Kerberos : KDC = AS (TGT) + TGS (Service Ticket), symétrique, NTP critique.
- SSO = un domaine ; FIM = entre organisations ; SAML authN, OAuth authZ, OIDC = identité sur OAuth.
- Niveaux NIST 800-63 : IAL (proofing) / AAL (authentification) / FAL (fédération).
Quiz du domaine
Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.
🔒 Inscription requise pour les quiz
Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.