Domaine 6 · 12% Poids examen

Securite : evaluation et tests

Le Domaine 6 verifie que les controles fonctionnent : strategies d'evaluation/test/audit, tests des controles (vulnerability assessment, penetration testing, SAST/DAST, synthetic vs RUM), collecte des donnees de processus (KPI/KRI, backups, SETA, BC/DR), analyse, reporting, ethical disclosure et conduite des audits (internes, externes, tiers, SOC). Poids examen : 12 %.

Objectifs du CBK (ISC)²

Les 5 domaines d'apprentissage officiels du Domaine 6. Cliquez un objectif pour le détail.

Objectif 6.1

Concevoir et valider des strategies d'evaluation, de test et d'audit

Choisir approches, frameworks et standards (RMF, CSF, ISO 27000, SOC). Distinguer formal/informal, internal/external/third-party, et l'independance requise d'un audit credible.

Points clés

  • Assessment vs audit vs testing
  • SOC 1/2/3, Type I/II, TSC
  • Internal vs external (externe d'abord)
Objectif 6.2

Conduire les tests des controles de securite

Vulnerability assessment, penetration testing ethique (RoE, box testing, red/blue/purple), log reviews, synthetic vs RUM, code review (SAST/DAST), misuse/negative testing, coverage, interface, BAS, compliance checks.

Points clés

  • SAST (code au repos) vs DAST (app qui tourne)
  • Black/gray/white box
  • Synthetic (scripts) vs RUM (passif)
Objectif 6.3

Collecter les donnees de processus de securite

Account management, management review, KPI vs KRI, verification des backups, SETA, tests BC/DR (desk check, walk-through, tabletop, simulation, parallel, full cutover).

Points clés

  • KPI (passe) vs KRI (futur)
  • Verifier les backups par test restore
  • 6 niveaux de tests BC/DR
Objectif 6.4

Analyser les resultats et generer le rapport

Remediation, PDCA et Six Sigma, exception handling dans la tolerance au risque, ethical disclosure (full/responsible/non-disclosure), mandatory reporting, whistleblowing.

Points clés

  • PDCA = Plan-Do-Check-Act
  • Exceptions : temporaires, documentees
  • Responsible disclosure (Project Zero 90 j)
Objectif 6.5

Conduire ou faciliter les audits de securite

Audits internes, externes et tiers ; chartering, scoping, testing, reporting, remediating (POA&M) ; preparation d'un audit SOC ; types d'audits ; managed services et supply chain.

Points clés

  • Interne : familiarite vs independance
  • Externe : independant, obligatoire en conformite
  • POA&M trace la remediation

Concepts clés

Assessment vs audit vs testing

Assessment = evaluation large des controles, portee fixee par le management. Audit = revue formelle vs un standard, exige l'independance. Testing = comparer comportement reel vs attendu, brique reutilisable ou monitoring autonome.

Anatomie d'un finding

Cinq elements : Condition (constat), Criteria (standard), Cause (pourquoi), Effect (impact), Recommendation (action). Compiles dans un rapport remis au commanditaire.

Rapports SOC

SOC 1 = reporting financier (ICFR). SOC 2 = controles de securite (TSC), confidentiel. SOC 3 = resume public. SOC for Cybersecurity = programme de cyber. Type I = conception (instant T) ; Type II = efficacite (periode).

Vulnerability assessment

Scanners automatises identifiant les vulnerabilites connues, authenticated (creds, vue interne) ou unauthenticated (vue attaquant). Une vuln n'est pas un exploit ; gerer les false positives.

Penetration testing ethique

Simule un threat actor sous RoE. 5 phases : Chartering, Discovery, Scanning, Exploitation, Reporting. Box : black/gray/white. Equipes : red/blue/purple. Sans contrat signe, risque penal.

Code review : SAST vs DAST

SAST = analyse statique du code au repos (boite blanche). DAST = analyse dynamique de l'app en execution (boite noire). IAST combine. Le fuzzing (mutation/generation) est un cas de DAST.

Synthetic transactions vs RUM

Synthetic = scripts automatises (actif), 24/7 meme sans trafic ; web/DB/TCP/SLA. RUM = monitoring passif capturant chaque transaction d'utilisateurs reels (EUM). Ils se completent.

Types de tests logiciels

Niveaux : unit, integration, system, acceptance (UAT). Transverses : regression, positive, negative, misuse case, interface, white/black box. Coverage = 100 % par convention.

KPI vs KRI

Metrique = mesure ; indicateur = metrique + contexte. KPI regarde le passe (objectifs atteints ?). KRI regarde l'avenir (risque emergent, proactif).

Tests BC/DR

Ordre croissant : desk check, walk-through, tabletop, simulation, parallel, full cutover. Parallel maintient la prod ; full cutover l'affecte. Evacuation incendie = walk-through.

Remediation et PDCA

Remediation = projet (priorite, jalons, suivi, POA&M). Amelioration continue via PDCA (Plan-Do-Check-Act) et Six Sigma (DMAIC). Aucun test ne corrige : il identifie.

Ethical disclosure

Full (immediat), responsible (delai a l'editeur, Project Zero 90 j), nondisclosure (NDA/enquete/RGPD). Mandatory reporting (legal) et whistleblowing (ethique) en complement.

Audits internes/externes/tiers

Interne : familiarite (avantage) vs independance (risque). Externe : independant, souvent obligatoire. Tiers : SOC 2/CSA STAR ; le data controller reste responsable d'une breach via un processor.

Frameworks & standards

FrameworkRôle
NIST RMF (SP 800-37) Cadre de gestion du risque, reference d'audit federale US.
NIST SP 800-53A Procedures d'evaluation des controles de securite et privacy.
NIST CSF Modele de maturite volontaire, pilote par le risque.
ISO/IEC 27000 Cadre d'audit d'un ISMS, fort hors US.
SOC / SSAE 18 Rapports d'attestation des controles (1/2/3, cyber).
ISAE 3402 / 3000 Pendants internationaux des SSAE.
PCI DSS Securite des donnees cartes de paiement (audit annuel).
MITRE ATT&CK Base de tactiques/techniques adverses pour l'emulation.
ISO 22301 / 27031 Continuite d'activite et continuite des SI.
ISO 28000 Management de la securite de la supply chain.

Acronymes

SigleSignification
SAST Static Application Security Testing (code au repos)
DAST Dynamic Application Security Testing (app qui tourne)
IAST Interactive Application Security Testing (hybride)
BAS Breach and Attack Simulation
RUM Real-User Monitoring (passif)
EUM End-User experience Monitoring
CVSS Common Vulnerability Scoring System (severite 0-10)
EPSS Exploit Prediction Scoring System (probabilite)
CVE / NVD Common Vulnerabilities and Exposures / National Vulnerability Database
RoE Rules of Engagement (perimetre du pentest)
SOC Service Organization Control (1/2/3, cyber)
TSC Trust Services Criteria (Security, Availability, Processing Integrity, Confidentiality, Privacy)
SSAE / ISAE Statement on Standards for Attestation Engagements / International Standard on Assurance Engagements
ICFR Internal Control over Financial Reporting (SOC 1)
POA&M Plan of Action and Milestones
PDCA Plan-Do-Check-Act (roue de Deming)
KPI / KRI Key Performance / Key Risk Indicator
SETA Security Education, Training and Awareness
BC / DR Business Continuity / Disaster Recovery
VEP Vulnerabilities Equities Process

Mnémotechniques

Mémo · SAST vs DAST

S comme Static (code a l'arret) ; D comme Dynamic (app qui tourne). SAST = boite blanche, DAST = boite noire.

Mémo · SOC 1/2/3

1 = finance (ICFR), 2 = securite (TSC, confidentiel), 3 = public. Type I = conception, Type II = efficacite.

Mémo · CIANA+P

Les 5 TSC du SOC 2 : Confidentiality, Integrity (processing), Availability, Non-repudiation/Security, + Privacy.

Mémo · Box testing

Black = aveugle, Gray = partiel, White = transparent (mime l'insider, ne teste pas le NAT).

Mémo · Pentest 5 phases

Chartering, Discovery, Scanning, Exploitation, Reporting. CDSER.

Mémo · KPI vs KRI

KPI = passe (objectifs atteints ?). KRI = futur (risque emergent, proactif).

Mémo · Tests BC/DR

Du moins au plus disruptif : desk check, walk-through, tabletop, simulation, parallel, full cutover.

Mémo · PDCA

Plan, Do, Check, Act. Pas de 'Calculate' (piege). Six Sigma = DMAIC.

Formules

À retenir

CVSS : 0 None | 0.1-3.9 Low | 4.0-6.9 Medium | 7.0-8.9 High | 9.0-10 Critical

Severite technique. EPSS complete avec la probabilite d'exploitation.

À retenir

Coverage = (elements testes / total) ; coverage implique 100 % par convention

Statement < branch < condition < path en exigence ; proportionnel au risque.

Pièges d'examen

Piège

SOC 1 vs SOC 2

SOC 1 = financier (ICFR) ; SOC 2 = securite (TSC). SOC 1 ne couvre ni DR ni privacy. Piege : associer SOC 2 a la finance.

Piège

Type I vs Type II

Type I = conception a un instant T (due care). Type II = efficacite sur une periode (due diligence). Pour un tiers, exiger un Type II.

Piège

SAST vs DAST

SAST = code au repos (boite blanche) ; DAST = app qui tourne (boite noire). Le fuzzing est un cas de DAST.

Piège

Evacuation incendie = walk-through

En BC/DR, une evacuation incendie est un walk-through (revue pas-a-pas), pas une simulation ni un tabletop.

Piège

KPI vs KRI

Les KRI monitorent le risque emergent (futur) ; les KPI mesurent l'atteinte des objectifs (passe). Ne pas inverser.

Piège

Synthetic = test par scripts

Un test web s'appuyant sur des scripts (pas du live) est un synthetic transaction. Le RUM est passif et observe les vrais utilisateurs.

Piège

Aucun test ne corrige

Un test identifie un probleme ; il ne le corrige pas. La remediation suit toujours. Une vuln n'est pas un exploit.

Cas concrets

Cas concret · Etude de cas

Coalfire vs Iowa : un pentest physique sans RoE diffusees

Des pentesters arretes au palais de Dallas County faute de RoE communiquees au comte, malgre un contrat au niveau de l'Etat. Lecon : diffuser les RoE a toutes les autorites, prevoir un plan de contingence, s'arreter et presenter l'autorisation sur alarme.

Cas concret · Etude de cas

WannaCry : systemes non patches et DR

Le ransomware exploite EternalBlue sur des systemes non patches. Souligne le pentest continu, un DR couvrant la fonctionnalite (pas que les donnees), la collaboration BC internationale et l'awareness continue. Faiblesse DR typique : single point of failure.

À retenir en 10 secondes

À retenir en 10 secondes

  • Assessment (large), audit (formel/independant), testing (execution).
  • SOC 1 finance, SOC 2 securite (confidentiel), SOC 3 public ; Type I conception, Type II efficacite.
  • Vuln assessment identifie ; pentest exploite (RoE, 5 phases, box, red/blue/purple).
  • SAST = code au repos ; DAST = app qui tourne ; synthetic = scripts, RUM = passif.
  • KPI = passe, KRI = futur ; verifier les backups par test restore.
  • Tests BC/DR : desk check -> full cutover ; evacuation = walk-through.
  • PDCA (Plan-Do-Check-Act) ; exceptions temporaires ; responsible disclosure (90 j).
  • Audit interne (familiarite vs independance), externe (obligatoire), tiers (SOC 2/CSA STAR) ; POA&M.

Quiz du domaine

Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.

🔒 Inscription requise pour les quiz

Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.