Objectifs du CBK (ISC)²
Les 5 domaines d'apprentissage officiels du Domaine 6. Cliquez un objectif pour le détail.
Concevoir et valider des strategies d'evaluation, de test et d'audit
Choisir approches, frameworks et standards (RMF, CSF, ISO 27000, SOC). Distinguer formal/informal, internal/external/third-party, et l'independance requise d'un audit credible.
Points clés
- Assessment vs audit vs testing
- SOC 1/2/3, Type I/II, TSC
- Internal vs external (externe d'abord)
Conduire les tests des controles de securite
Vulnerability assessment, penetration testing ethique (RoE, box testing, red/blue/purple), log reviews, synthetic vs RUM, code review (SAST/DAST), misuse/negative testing, coverage, interface, BAS, compliance checks.
Points clés
- SAST (code au repos) vs DAST (app qui tourne)
- Black/gray/white box
- Synthetic (scripts) vs RUM (passif)
Collecter les donnees de processus de securite
Account management, management review, KPI vs KRI, verification des backups, SETA, tests BC/DR (desk check, walk-through, tabletop, simulation, parallel, full cutover).
Points clés
- KPI (passe) vs KRI (futur)
- Verifier les backups par test restore
- 6 niveaux de tests BC/DR
Analyser les resultats et generer le rapport
Remediation, PDCA et Six Sigma, exception handling dans la tolerance au risque, ethical disclosure (full/responsible/non-disclosure), mandatory reporting, whistleblowing.
Points clés
- PDCA = Plan-Do-Check-Act
- Exceptions : temporaires, documentees
- Responsible disclosure (Project Zero 90 j)
Conduire ou faciliter les audits de securite
Audits internes, externes et tiers ; chartering, scoping, testing, reporting, remediating (POA&M) ; preparation d'un audit SOC ; types d'audits ; managed services et supply chain.
Points clés
- Interne : familiarite vs independance
- Externe : independant, obligatoire en conformite
- POA&M trace la remediation
Concepts clés
Assessment vs audit vs testing
Assessment = evaluation large des controles, portee fixee par le management. Audit = revue formelle vs un standard, exige l'independance. Testing = comparer comportement reel vs attendu, brique reutilisable ou monitoring autonome.
Anatomie d'un finding
Cinq elements : Condition (constat), Criteria (standard), Cause (pourquoi), Effect (impact), Recommendation (action). Compiles dans un rapport remis au commanditaire.
Rapports SOC
SOC 1 = reporting financier (ICFR). SOC 2 = controles de securite (TSC), confidentiel. SOC 3 = resume public. SOC for Cybersecurity = programme de cyber. Type I = conception (instant T) ; Type II = efficacite (periode).
Vulnerability assessment
Scanners automatises identifiant les vulnerabilites connues, authenticated (creds, vue interne) ou unauthenticated (vue attaquant). Une vuln n'est pas un exploit ; gerer les false positives.
Penetration testing ethique
Simule un threat actor sous RoE. 5 phases : Chartering, Discovery, Scanning, Exploitation, Reporting. Box : black/gray/white. Equipes : red/blue/purple. Sans contrat signe, risque penal.
Code review : SAST vs DAST
SAST = analyse statique du code au repos (boite blanche). DAST = analyse dynamique de l'app en execution (boite noire). IAST combine. Le fuzzing (mutation/generation) est un cas de DAST.
Synthetic transactions vs RUM
Synthetic = scripts automatises (actif), 24/7 meme sans trafic ; web/DB/TCP/SLA. RUM = monitoring passif capturant chaque transaction d'utilisateurs reels (EUM). Ils se completent.
Types de tests logiciels
Niveaux : unit, integration, system, acceptance (UAT). Transverses : regression, positive, negative, misuse case, interface, white/black box. Coverage = 100 % par convention.
KPI vs KRI
Metrique = mesure ; indicateur = metrique + contexte. KPI regarde le passe (objectifs atteints ?). KRI regarde l'avenir (risque emergent, proactif).
Tests BC/DR
Ordre croissant : desk check, walk-through, tabletop, simulation, parallel, full cutover. Parallel maintient la prod ; full cutover l'affecte. Evacuation incendie = walk-through.
Remediation et PDCA
Remediation = projet (priorite, jalons, suivi, POA&M). Amelioration continue via PDCA (Plan-Do-Check-Act) et Six Sigma (DMAIC). Aucun test ne corrige : il identifie.
Ethical disclosure
Full (immediat), responsible (delai a l'editeur, Project Zero 90 j), nondisclosure (NDA/enquete/RGPD). Mandatory reporting (legal) et whistleblowing (ethique) en complement.
Audits internes/externes/tiers
Interne : familiarite (avantage) vs independance (risque). Externe : independant, souvent obligatoire. Tiers : SOC 2/CSA STAR ; le data controller reste responsable d'une breach via un processor.
Frameworks & standards
| Framework | Rôle |
|---|---|
| NIST RMF (SP 800-37) | Cadre de gestion du risque, reference d'audit federale US. |
| NIST SP 800-53A | Procedures d'evaluation des controles de securite et privacy. |
| NIST CSF | Modele de maturite volontaire, pilote par le risque. |
| ISO/IEC 27000 | Cadre d'audit d'un ISMS, fort hors US. |
| SOC / SSAE 18 | Rapports d'attestation des controles (1/2/3, cyber). |
| ISAE 3402 / 3000 | Pendants internationaux des SSAE. |
| PCI DSS | Securite des donnees cartes de paiement (audit annuel). |
| MITRE ATT&CK | Base de tactiques/techniques adverses pour l'emulation. |
| ISO 22301 / 27031 | Continuite d'activite et continuite des SI. |
| ISO 28000 | Management de la securite de la supply chain. |
Acronymes
| Sigle | Signification |
|---|---|
| SAST | Static Application Security Testing (code au repos) |
| DAST | Dynamic Application Security Testing (app qui tourne) |
| IAST | Interactive Application Security Testing (hybride) |
| BAS | Breach and Attack Simulation |
| RUM | Real-User Monitoring (passif) |
| EUM | End-User experience Monitoring |
| CVSS | Common Vulnerability Scoring System (severite 0-10) |
| EPSS | Exploit Prediction Scoring System (probabilite) |
| CVE / NVD | Common Vulnerabilities and Exposures / National Vulnerability Database |
| RoE | Rules of Engagement (perimetre du pentest) |
| SOC | Service Organization Control (1/2/3, cyber) |
| TSC | Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy) |
| SSAE / ISAE | Statement on Standards for Attestation Engagements / International Standard on Assurance Engagements |
| ICFR | Internal Control over Financial Reporting (SOC 1) |
| POA&M | Plan of Action and Milestones |
| PDCA | Plan-Do-Check-Act (roue de Deming) |
| KPI / KRI | Key Performance / Key Risk Indicator |
| SETA | Security Education, Training and Awareness |
| BC / DR | Business Continuity / Disaster Recovery |
| VEP | Vulnerabilities Equities Process |
Mnémotechniques
S comme Static (code a l'arret) ; D comme Dynamic (app qui tourne). SAST = boite blanche, DAST = boite noire.
1 = finance (ICFR), 2 = securite (TSC, confidentiel), 3 = public. Type I = conception, Type II = efficacite.
Les 5 TSC du SOC 2 : Confidentiality, Integrity (processing), Availability, Non-repudiation/Security, + Privacy.
Black = aveugle, Gray = partiel, White = transparent (mime l'insider, ne teste pas le NAT).
Chartering, Discovery, Scanning, Exploitation, Reporting. CDSER.
KPI = passe (objectifs atteints ?). KRI = futur (risque emergent, proactif).
Du moins au plus disruptif : desk check, walk-through, tabletop, simulation, parallel, full cutover.
Plan, Do, Check, Act. Pas de 'Calculate' (piege). Six Sigma = DMAIC.
Formules
CVSS : 0 None | 0.1-3.9 Low | 4.0-6.9 Medium | 7.0-8.9 High | 9.0-10 Critical
Severite technique. EPSS complete avec la probabilite d'exploitation.
Coverage = (elements testes / total) ; coverage implique 100 % par convention
Statement < branch < condition < path en exigence ; proportionnel au risque.
Pièges d'examen
SOC 1 vs SOC 2
SOC 1 = financier (ICFR) ; SOC 2 = securite (TSC). SOC 1 ne couvre ni DR ni privacy. Piege : associer SOC 2 a la finance.
Type I vs Type II
Type I = conception a un instant T (due care). Type II = efficacite sur une periode (due diligence). Pour un tiers, exiger un Type II.
SAST vs DAST
SAST = code au repos (boite blanche) ; DAST = app qui tourne (boite noire). Le fuzzing est un cas de DAST.
Evacuation incendie = walk-through
En BC/DR, une evacuation incendie est un walk-through (revue pas-a-pas), pas une simulation ni un tabletop.
KPI vs KRI
Les KRI monitorent le risque emergent (futur) ; les KPI mesurent l'atteinte des objectifs (passe). Ne pas inverser.
Synthetic = test par scripts
Un test web s'appuyant sur des scripts (pas du live) est un synthetic transaction. Le RUM est passif et observe les vrais utilisateurs.
Aucun test ne corrige
Un test identifie un probleme ; il ne le corrige pas. La remediation suit toujours. Une vuln n'est pas un exploit.
Cas concrets
Coalfire vs Iowa : un pentest physique sans RoE diffusees
Des pentesters arretes au palais de Dallas County faute de RoE communiquees au comte, malgre un contrat au niveau de l'Etat. Lecon : diffuser les RoE a toutes les autorites, prevoir un plan de contingence, s'arreter et presenter l'autorisation sur alarme.
WannaCry : systemes non patches et DR
Le ransomware exploite EternalBlue sur des systemes non patches. Souligne le pentest continu, un DR couvrant la fonctionnalite (pas que les donnees), la collaboration BC internationale et l'awareness continue. Faiblesse DR typique : single point of failure.
À retenir en 10 secondes
À retenir en 10 secondes
- Assessment (large), audit (formel/independant), testing (execution).
- SOC 1 finance, SOC 2 securite (confidentiel), SOC 3 public ; Type I conception, Type II efficacite.
- Vuln assessment identifie ; pentest exploite (RoE, 5 phases, box, red/blue/purple).
- SAST = code au repos ; DAST = app qui tourne ; synthetic = scripts, RUM = passif.
- KPI = passe, KRI = futur ; verifier les backups par test restore.
- Tests BC/DR : desk check -> full cutover ; evacuation = walk-through.
- PDCA (Plan-Do-Check-Act) ; exceptions temporaires ; responsible disclosure (90 j).
- Audit interne (familiarite vs independance), externe (obligatoire), tiers (SOC 2/CSA STAR) ; POA&M.
Quiz du domaine
Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.
🔒 Inscription requise pour les quiz
Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.