Domaine 7 · 13% Poids examen

Opérations de sécurité

Le Domaine 7 est le domaine de l'exécution au quotidien : détecter, contenir et reprendre. Il couvre la forensique et la chain of custody, la journalisation et la détection d'intrusion (IDS/IPS, SIEM/SOAR), le continuous monitoring (ISCM), les principes opérationnels (least privilege, separation of duties, PAM), le cycle de vie des incidents, puis la résilience : sauvegardes, RAID, sites de reprise et BCP/DRP. C'est 13 % de l'examen et le terrain où les concepts des autres domaines deviennent des procédures.

Objectifs du CBK (ISC)²

Les 15 domaines d'apprentissage officiels du Domaine 7. Cliquez un objectif pour le détail.

Objectif A

Comprendre et participer aux investigations

Diagramme — Comprendre et participer aux investigations

4 types d'investigation (voir D1). En pratique : isoler sans détruire, documenter chaque action (chain of custody), préserver la volatilité (RAM avant disque), travailler sur copies bit-à-bit (disk imaging).

Points clés

  • Ordre de volatilité : registres/RAM → cache → disque → archives
  • Imaging : empreinte MD5/SHA avant et après
  • Ne jamais bootstrapper un poste compromis sur son propre OS
Objectif B

Conduire les activités de logging et monitoring

Diagramme — Conduire les activités de logging et monitoring

SIEM centralise les logs, les corrèle, déclenche des alertes. Sources : OS, applis, réseau, endpoint (EDR), cloud (CloudTrail). Défis : volume, signal/bruit, faux positifs. SOAR pour automatiser la réponse aux alertes répétitives.

Points clés

  • Logs non modifiables : WORM, signature, SIEM distinct du prod
  • NTP synchronisé sinon corrélation impossible
  • UEBA détecte les comportements anormaux sans signatures
Objectif C

Gestion de configuration (CM)

Diagramme — Gestion de configuration (CM)

Maintenir un état connu/documenté de tous les systèmes. CMDB = inventaire vivant. Baselines durcies (CIS Benchmarks). Dérive détectée par scanner (Chef Inspec, OpenSCAP). IaC (Terraform) = configuration codifiée, reproductible.

Points clés

  • Dérive de configuration = #1 cause d'incident cloud
  • IaC + GitOps = baseline auditable
  • CMDB précis = condition sine qua non des autres contrôles
Objectif D

Concepts fondamentaux des opérations sécurité

Diagramme — Concepts fondamentaux des opérations sécurité

Need to know, least privilege, SoD, dual control, job rotation, mandatory vacation (rotation forcée pour détecter fraude), privileged access monitoring. Ces principes ne sont pas D1-only : ils se concrétisent dans l'opérationnel.

Points clés

  • Mandatory vacation : congé forcé ≥ 5 jours consécutifs pour détecter fraudes ongoing
  • Admin : comptes séparés utilisateur/privilégié
  • PAM (CyberArk, BeyondTrust) pour coffre + session recording
Objectif E

Protéger les ressources

Diagramme — Protéger les ressources

Protéger les actifs tangibles et intangibles : data, systèmes, media, documentation, clés crypto. DLP (data loss prevention) en transit et au repos. Protection des media physiques (stockage chiffré, destruction certifiée).

Points clés

  • DLP : détection patterns (CB, SSN) + blocage upload/mail
  • Clés crypto = actif le plus sensible : HSM + séparation des devoirs
  • Destruction : certificat + témoin
Objectif F

Gérer les incidents

Diagramme — Gérer les incidents

Cycle IR : Prepare → Detect → Analyze → Contain → Eradicate → Recover → Lessons Learned. Playbooks prédéfinis par type (ransomware, data breach, DDoS, insider). Comms interne + externe (clients, régulateurs).

Points clés

  • Préparation > réaction : les playbooks écrits sauvent
  • Isolation ne veut pas dire shutdown - préserver pour forensics
  • Post-mortem sans blâme (blameless) = apprentissage réel
Objectif G

Mesures préventives et détectives

Diagramme — Mesures préventives et détectives

Firewalls, IDS/IPS, antivirus/EDR, WAF, sandboxing, honeypot (leurrer pour détecter), threat intel (STIX/TAXII), allowlisting d'applications. Combinaison de contrôles préventifs + détectifs + correctifs.

Points clés

  • EDR > antivirus classique (comportement vs signature)
  • Honeypot = haute valeur en signal (toute activité = suspecte)
  • Threat intel partagée : MISP, ISACs
Objectif H

Patch et vulnerability management

Diagramme — Patch et vulnerability management

Scan continu des vulnérabilités (Nessus, Qualys, OpenVAS), priorisation par CVSS + exploitabilité (EPSS) + exposition (asset criticality). Déploiement patches en vagues : tests → pilote → prod. SLA : critique 24-72 h, élevé 30 j.

Points clés

  • EPSS = probabilité réelle d'exploitation, complète le CVSS
  • Virtual patching (WAF) en attendant patch officiel
  • Mesurer MTTR patches, pas seulement % couverture
Objectif I

Processus de gestion du changement

Diagramme — Processus de gestion du changement

Request → Review (CAB) → Approve → Test → Deploy → Verify → Close. Distinguer changements standard (pré-approuvés, automatisables), normaux (CAB), urgents (E-CAB post-implémentation). Chaque changement doit être traçable et réversible.

Points clés

  • Rollback plan obligatoire avant déploiement
  • Freeze period (événements critiques, clôture annuelle)
  • Change mgmt ≠ configuration mgmt (CM = état, Change = transition)
Objectif J

Stratégies de récupération

Diagramme — Stratégies de récupération

Backups : 3-2-1 (3 copies, 2 supports, 1 hors-site). Types : full, incrémentiel (restaure full + tous), différentiel (restaure full + dernier). Immuables contre ransomware. Test de restauration périodique.

Points clés

  • 3-2-1-1-0 moderne : +1 immuable/air-gapped, 0 erreur au test
  • Un backup non testé n'existe pas
  • RPO piloté par fréquence backup
Objectif K

Processus de Disaster Recovery

Diagramme — Processus de Disaster Recovery

Le DRP est l'aspect IT du BCP : reprise des systèmes après sinistre majeur. Sites : hot (minutes), warm (1-2j), cold (1-2 sem), mobile. Architecture : multi-région, multi-AZ cloud, réplication asynchrone/synchrone.

Points clés

  • Plus RTO est court, plus c'est cher
  • Cloud : multi-région = DR natif si bien configuré
  • Documenter runbooks, pas juste architecture
Objectif L

Tester les plans DR

Diagramme — Tester les plans DR

5 niveaux : desk check (lecture), table-top (roleplay), simulation (scénario sans toucher prod), parallel (bascule site secondaire sans arrêter prod), full interruption (coupure prod - risqué, semestriel max).

Points clés

  • Monter en intensité progressivement
  • Full interruption = preuve ultime mais risque business
  • Tests documentés = preuve pour les audits
Objectif M

Participer aux plans et exercices BCP

Diagramme — Participer aux plans et exercices BCP

Le BCP dépasse l'IT : communication crise, finance, juridique, RH, facilités. Chaque département a son volet. Exercices cross-équipes (ex. cyberattaque + incendie) révèlent les dépendances cachées.

Points clés

  • Cellule de crise : rôles prédéfinis (leader, comms, tech, legal)
  • Exercices annuels minimum, par scénarios variés
  • Lessons learned = action items assignés
Objectif N

Sécurité physique

Diagramme — Sécurité physique

Périmètre, contrôle d'accès (badges, biométrie, mantraps), CCTV, gardes, intrusion (détecteurs, alarmes), environnement (incendie, inondation, HVAC, onduleurs). Defense in depth appliquée aux locaux.

Points clés

  • CCTV : caméras avec rétention 30-90 j, privacy zones
  • Gardes humains complémentent, ne remplacent pas la technique
  • Datacenter : règles sup (Tier, incendie, faux plancher, cages)
Objectif O

Sécurité et sûreté du personnel

Diagramme — Sécurité et sûreté du personnel

Sûreté (safety) > sécurité (security) en cas de conflit : la vie humaine prime. Plans évacuation, premiers secours, travel security (pays à risque), duress (signal sous contrainte), workplace violence. Wellness contre burnout.

Points clés

  • En cas d'incendie : priorité vie, pas data
  • Duress code : mot/signal discret pour alerter sans éveiller soupçon
  • Travel : burner phone, device clean, VPN

Concepts clés

Order of volatility

Classe les sources de preuve de la plus volatile à la plus durable, dictant l'ordre de collecte : registres et cache CPU > RAM > état réseau et tables de connexions > fichiers temporaires et disque actif > supports durables (disques, archives, backups). On capture le plus volatile d'abord ; la RAM est irrécupérable dès l'extinction, d'où le memory dump avant toute coupure.

Chain of custody

Traçabilité documentée d'une preuve de la collecte à la présentation, répondant à qui/quoi/où/pourquoi/quand pour chaque manipulation. On préserve l'original par write-blocking et on analyse des bit-level copies. Un seul maillon manquant rend la preuve attaquable. Les quatre tenets de présentation : admissibility, accuracy, comprehensibility, objectivity.

IDS vs IPS

IDS (intrusion detection system) détecte et alerte un humain, sans interrompre le trafic. IPS (intrusion prevention system) détecte ET agit automatiquement pour bloquer. Placements : perimeter (DMZ, north-south), host-based (HIDS/HIPS sur endpoint) et network-based (NIDS/NIPS sur segment, east-west) - à combiner. Méthodes : signature (connu), deviation/heuristic (inconnu, faux positifs), pattern matching (fuites, DLP).

SIEM et SOAR

Le SIEM (Security Information and Event Management) agrège, normalise, corrèle et stocke les logs hétérogènes pour transformer des events épars en alertes de haute confiance ; stockage déporté car l'effacement des logs est lui-même un IoC. Le SOAR (Security Orchestration, Automation and Response) ajoute l'orchestration des outils, l'automatisation des playbooks et la réponse - il accélère et standardise la réaction du SOC.

Continuous monitoring (ISCM)

L'ISCM (Information Security Continuous Monitoring, NIST SP 800-137) maintient une connaissance permanente de la posture de sécurité, des vulnérabilités et des menaces pour soutenir les décisions de gestion du risque. À distinguer du log management (NIST SP 800-92) : l'ISCM est la surveillance continue de la posture, le log management est la gestion du cycle de vie des journaux qui l'alimentent.

Least privilege, SoD, PAM

Least privilege = strict minimum de droits ; need-to-know = accès à la seule information nécessaire (orthogonal au privilège). Separation of Duties (SoD) répartit une tâche sensible entre plusieurs personnes pour neutraliser la fraude solitaire. Le PAM (Privileged Account Management) gère, surveille et coffre-fort les comptes à hauts privilèges ; le just-in-time (JIT) identity n'accorde l'élévation que pour la durée nécessaire, réduisant la surface d'attaque permanente.

Cycle de vie des incidents

NIST SP 800-61 : Preparation > Detection & Analysis > Containment, Eradication & Recovery > Post-Incident Activity. ISO/IEC 27035 propose un cycle équivalent. Un event est tout fait observable ; un incident est un event (ou série) qui menace la sécurité. La cheat sheet résume la réponse en Detect, Respond, Report, Recover, Remediate, Review.

Containment vs eradication

Containment = limiter l'extension du dommage (isoler les hôtes, segmenter, couper un flux) sans encore supprimer la cause. Eradication = éliminer la cause racine (malware, compte compromis, vulnérabilité exploitée). Recovery = remettre les systèmes en production propre ; remediation = corriger durablement pour empêcher la récidive. L'ordre est containment AVANT eradication.

Sauvegardes 3-2-1 et types

Règle 3-2-1 : 3 copies, sur 2 types de support, dont 1 hors-site (variante moderne +1 immuable, 0 erreur au test). Full = tout, efface l'archive bit. Incremental = depuis la dernière sauvegarde (full ou incr.), efface le bit ; restauration = full + toutes les incrémentales. Differential = depuis le dernier full, n'efface pas le bit ; restauration = full + dernière differential.

Niveaux RAID

RAID 0 = striping (rapide, 0 redondance). RAID 1 = mirroring. RAID 5 = striping + parité distribuée, n disques offrent n-1 utiles et tolèrent 1 panne. RAID 6 = double parité, tolère 2 pannes (n-2 utiles). RAID 10 = mirror + stripe (meilleur ratio perf/fiabilité). Piège : le RAID assure la disponibilité, ce n'est PAS une sauvegarde - il ne protège ni de la suppression ni du ransomware.

Sites de reprise et RTO/RPO/MTD

Sites : hot (minutes, prêt à l'emploi, cher), warm (1-2 jours), mobile (3-5 jours), cold (1-2 semaines, coque vide). MTD = durée totale d'indisponibilité tolérable d'un processus ; RTO = délai max de remise en service d'une ressource (oriente la techno de reprise) ; RPO = perte de données tolérée (oriente la fréquence des backups). Règle d'or : RTO ≤ MTD, et MTD = RTO + WRT.

Types de tests DR

Cinq tests par intensité croissante : read-through/tabletop (sur table, le moins coûteux et le moins intrusif), walk-through (déplacement sur les lieux), simulation (exercice scripté mobilisant le personnel, ex. évacuation incendie), parallel (le site alternatif tourne en parallèle de la production), full interruption (bascule réelle, on coupe la production - le plus risqué et le plus coûteux).

Principe d'echange de Locard

Tout contact laisse une trace : chaque action d'un attaquant depose des artefacts (logs, fichiers, registre) et en emporte. Fondement de la forensique : pas d'intrusion sans trace.

Clipping level

Seuil au-dessous duquel des evenements benins et repetitifs ne declenchent pas d'alerte (ex : 3 echecs de login toleres). Trop haut, il masque une attaque low and slow.

Resilience : HA, fault tolerance, QoS

High availability vise la disponibilite (redondance), fault tolerance vise la continuite sans coupure malgre une panne, Quality of Service (QoS) garantit bande passante/latence/priorite aux flux critiques.

Frameworks & standards

FrameworkRôle
NIST SP 800-61 Cycle de vie de l'incident response (Preparation, Detection & Analysis, Containment/Eradication/Recovery, Post-Incident).
ISO/IEC 27035 Gestion des incidents de sécurité de l'information (standard international).
NIST SP 800-92 Guide de référence du computer security log management.
NIST SP 800-137 Information Security Continuous Monitoring (ISCM) - surveillance continue de la posture.
NIST SP 800-86 Intégration de la forensique à l'incident response (cycle Collection > Examination > Analysis > Reporting).
NIST SP 800-34 Plan de contingence des systèmes IT - base du DRP/BCP (US).
ISO 22301 Système de management de la continuité d'activité (BCMS, international).
NIST SP 800-88 Guidelines for Media Sanitization - Clear, Purge, Destroy contre la data remanence.
ITIL v4 Gestion des services IT : incident, problem et change enablement (gestion des changements).
CIS Benchmarks / SCAP Référentiels de hardening automatisable des baselines de configuration.

Acronymes

SigleSignification
IDS Intrusion Detection System - détecte et alerte
IPS Intrusion Prevention System - détecte et bloque
NIDS Network IDS - capteur sur un segment réseau
HIDS Host IDS - agent sur un endpoint
SIEM Security Information & Event Management
SOAR Security Orchestration, Automation & Response
ISCM Information Security Continuous Monitoring (NIST 800-137)
DLP Data Loss Prevention - prévention des fuites de données
UEBA User and Entity Behavior Analytics
IoC Indicator of Compromise - preuve de compromission
CMDB Configuration Management Database
SCAP Security Content Automation Protocol
RFC Request For Change - demande de changement
CAB Change Advisory Board - comité de validation des changements
PAM Privileged Account Management
JIT Just-In-Time identity - élévation temporaire
SoD Separation of Duties - séparation des devoirs
RTO Recovery Time Objective - délai max de reprise
RPO Recovery Point Objective - perte de données tolérée
MTD Maximum Tolerable Downtime
WRT Work Recovery Time - temps de reprise du travail
BIA Business Impact Analysis
RAID Redundant Array of Independent Disks
SAN Storage Area Network - stockage en bloc en réseau
NAS Network Attached Storage - stockage fichier en réseau
CSIRT Computer Security Incident Response Team
SOC Security Operations Center
CPTED Crime Prevention Through Environmental Design
MDM Mobile Device Management
PIR Passive Infrared sensor - détecteur de mouvement