Objectifs du CBK (ISC)²
Les 15 domaines d'apprentissage officiels du Domaine 7. Cliquez un objectif pour le détail.
Comprendre et participer aux investigations
4 types d'investigation (voir D1). En pratique : isoler sans détruire, documenter chaque action (chain of custody), préserver la volatilité (RAM avant disque), travailler sur copies bit-à-bit (disk imaging).
Points clés
- Ordre de volatilité : registres/RAM → cache → disque → archives
- Imaging : empreinte MD5/SHA avant et après
- Ne jamais bootstrapper un poste compromis sur son propre OS
Conduire les activités de logging et monitoring
SIEM centralise les logs, les corrèle, déclenche des alertes. Sources : OS, applis, réseau, endpoint (EDR), cloud (CloudTrail). Défis : volume, signal/bruit, faux positifs. SOAR pour automatiser la réponse aux alertes répétitives.
Points clés
- Logs non modifiables : WORM, signature, SIEM distinct du prod
- NTP synchronisé sinon corrélation impossible
- UEBA détecte les comportements anormaux sans signatures
Gestion de configuration (CM)
Maintenir un état connu/documenté de tous les systèmes. CMDB = inventaire vivant. Baselines durcies (CIS Benchmarks). Dérive détectée par scanner (Chef Inspec, OpenSCAP). IaC (Terraform) = configuration codifiée, reproductible.
Points clés
- Dérive de configuration = #1 cause d'incident cloud
- IaC + GitOps = baseline auditable
- CMDB précis = condition sine qua non des autres contrôles
Concepts fondamentaux des opérations sécurité
Need to know, least privilege, SoD, dual control, job rotation, mandatory vacation (rotation forcée pour détecter fraude), privileged access monitoring. Ces principes ne sont pas D1-only : ils se concrétisent dans l'opérationnel.
Points clés
- Mandatory vacation : congé forcé ≥ 5 jours consécutifs pour détecter fraudes ongoing
- Admin : comptes séparés utilisateur/privilégié
- PAM (CyberArk, BeyondTrust) pour coffre + session recording
Protéger les ressources
Protéger les actifs tangibles et intangibles : data, systèmes, media, documentation, clés crypto. DLP (data loss prevention) en transit et au repos. Protection des media physiques (stockage chiffré, destruction certifiée).
Points clés
- DLP : détection patterns (CB, SSN) + blocage upload/mail
- Clés crypto = actif le plus sensible : HSM + séparation des devoirs
- Destruction : certificat + témoin
Gérer les incidents
Cycle IR : Prepare → Detect → Analyze → Contain → Eradicate → Recover → Lessons Learned. Playbooks prédéfinis par type (ransomware, data breach, DDoS, insider). Comms interne + externe (clients, régulateurs).
Points clés
- Préparation > réaction : les playbooks écrits sauvent
- Isolation ne veut pas dire shutdown - préserver pour forensics
- Post-mortem sans blâme (blameless) = apprentissage réel
Mesures préventives et détectives
Firewalls, IDS/IPS, antivirus/EDR, WAF, sandboxing, honeypot (leurrer pour détecter), threat intel (STIX/TAXII), allowlisting d'applications. Combinaison de contrôles préventifs + détectifs + correctifs.
Points clés
- EDR > antivirus classique (comportement vs signature)
- Honeypot = haute valeur en signal (toute activité = suspecte)
- Threat intel partagée : MISP, ISACs
Patch et vulnerability management
Scan continu des vulnérabilités (Nessus, Qualys, OpenVAS), priorisation par CVSS + exploitabilité (EPSS) + exposition (asset criticality). Déploiement patches en vagues : tests → pilote → prod. SLA : critique 24-72 h, élevé 30 j.
Points clés
- EPSS = probabilité réelle d'exploitation, complète le CVSS
- Virtual patching (WAF) en attendant patch officiel
- Mesurer MTTR patches, pas seulement % couverture
Processus de gestion du changement
Request → Review (CAB) → Approve → Test → Deploy → Verify → Close. Distinguer changements standard (pré-approuvés, automatisables), normaux (CAB), urgents (E-CAB post-implémentation). Chaque changement doit être traçable et réversible.
Points clés
- Rollback plan obligatoire avant déploiement
- Freeze period (événements critiques, clôture annuelle)
- Change mgmt ≠ configuration mgmt (CM = état, Change = transition)
Stratégies de récupération
Backups : 3-2-1 (3 copies, 2 supports, 1 hors-site). Types : full, incrémentiel (restaure full + tous), différentiel (restaure full + dernier). Immuables contre ransomware. Test de restauration périodique.
Points clés
- 3-2-1-1-0 moderne : +1 immuable/air-gapped, 0 erreur au test
- Un backup non testé n'existe pas
- RPO piloté par fréquence backup
Processus de Disaster Recovery
Le DRP est l'aspect IT du BCP : reprise des systèmes après sinistre majeur. Sites : hot (minutes), warm (1-2j), cold (1-2 sem), mobile. Architecture : multi-région, multi-AZ cloud, réplication asynchrone/synchrone.
Points clés
- Plus RTO est court, plus c'est cher
- Cloud : multi-région = DR natif si bien configuré
- Documenter runbooks, pas juste architecture
Tester les plans DR
5 niveaux : desk check (lecture), table-top (roleplay), simulation (scénario sans toucher prod), parallel (bascule site secondaire sans arrêter prod), full interruption (coupure prod - risqué, semestriel max).
Points clés
- Monter en intensité progressivement
- Full interruption = preuve ultime mais risque business
- Tests documentés = preuve pour les audits
Participer aux plans et exercices BCP
Le BCP dépasse l'IT : communication crise, finance, juridique, RH, facilités. Chaque département a son volet. Exercices cross-équipes (ex. cyberattaque + incendie) révèlent les dépendances cachées.
Points clés
- Cellule de crise : rôles prédéfinis (leader, comms, tech, legal)
- Exercices annuels minimum, par scénarios variés
- Lessons learned = action items assignés
Sécurité physique
Périmètre, contrôle d'accès (badges, biométrie, mantraps), CCTV, gardes, intrusion (détecteurs, alarmes), environnement (incendie, inondation, HVAC, onduleurs). Defense in depth appliquée aux locaux.
Points clés
- CCTV : caméras avec rétention 30-90 j, privacy zones
- Gardes humains complémentent, ne remplacent pas la technique
- Datacenter : règles sup (Tier, incendie, faux plancher, cages)
Sécurité et sûreté du personnel
Sûreté (safety) > sécurité (security) en cas de conflit : la vie humaine prime. Plans évacuation, premiers secours, travel security (pays à risque), duress (signal sous contrainte), workplace violence. Wellness contre burnout.
Points clés
- En cas d'incendie : priorité vie, pas data
- Duress code : mot/signal discret pour alerter sans éveiller soupçon
- Travel : burner phone, device clean, VPN
Concepts clés
Order of volatility
Classe les sources de preuve de la plus volatile à la plus durable, dictant l'ordre de collecte : registres et cache CPU > RAM > état réseau et tables de connexions > fichiers temporaires et disque actif > supports durables (disques, archives, backups). On capture le plus volatile d'abord ; la RAM est irrécupérable dès l'extinction, d'où le memory dump avant toute coupure.
Chain of custody
Traçabilité documentée d'une preuve de la collecte à la présentation, répondant à qui/quoi/où/pourquoi/quand pour chaque manipulation. On préserve l'original par write-blocking et on analyse des bit-level copies. Un seul maillon manquant rend la preuve attaquable. Les quatre tenets de présentation : admissibility, accuracy, comprehensibility, objectivity.
IDS vs IPS
IDS (intrusion detection system) détecte et alerte un humain, sans interrompre le trafic. IPS (intrusion prevention system) détecte ET agit automatiquement pour bloquer. Placements : perimeter (DMZ, north-south), host-based (HIDS/HIPS sur endpoint) et network-based (NIDS/NIPS sur segment, east-west) - à combiner. Méthodes : signature (connu), deviation/heuristic (inconnu, faux positifs), pattern matching (fuites, DLP).
SIEM et SOAR
Le SIEM (Security Information and Event Management) agrège, normalise, corrèle et stocke les logs hétérogènes pour transformer des events épars en alertes de haute confiance ; stockage déporté car l'effacement des logs est lui-même un IoC. Le SOAR (Security Orchestration, Automation and Response) ajoute l'orchestration des outils, l'automatisation des playbooks et la réponse - il accélère et standardise la réaction du SOC.
Continuous monitoring (ISCM)
L'ISCM (Information Security Continuous Monitoring, NIST SP 800-137) maintient une connaissance permanente de la posture de sécurité, des vulnérabilités et des menaces pour soutenir les décisions de gestion du risque. À distinguer du log management (NIST SP 800-92) : l'ISCM est la surveillance continue de la posture, le log management est la gestion du cycle de vie des journaux qui l'alimentent.
Least privilege, SoD, PAM
Least privilege = strict minimum de droits ; need-to-know = accès à la seule information nécessaire (orthogonal au privilège). Separation of Duties (SoD) répartit une tâche sensible entre plusieurs personnes pour neutraliser la fraude solitaire. Le PAM (Privileged Account Management) gère, surveille et coffre-fort les comptes à hauts privilèges ; le just-in-time (JIT) identity n'accorde l'élévation que pour la durée nécessaire, réduisant la surface d'attaque permanente.
Cycle de vie des incidents
NIST SP 800-61 : Preparation > Detection & Analysis > Containment, Eradication & Recovery > Post-Incident Activity. ISO/IEC 27035 propose un cycle équivalent. Un event est tout fait observable ; un incident est un event (ou série) qui menace la sécurité. La cheat sheet résume la réponse en Detect, Respond, Report, Recover, Remediate, Review.
Containment vs eradication
Containment = limiter l'extension du dommage (isoler les hôtes, segmenter, couper un flux) sans encore supprimer la cause. Eradication = éliminer la cause racine (malware, compte compromis, vulnérabilité exploitée). Recovery = remettre les systèmes en production propre ; remediation = corriger durablement pour empêcher la récidive. L'ordre est containment AVANT eradication.
Sauvegardes 3-2-1 et types
Règle 3-2-1 : 3 copies, sur 2 types de support, dont 1 hors-site (variante moderne +1 immuable, 0 erreur au test). Full = tout, efface l'archive bit. Incremental = depuis la dernière sauvegarde (full ou incr.), efface le bit ; restauration = full + toutes les incrémentales. Differential = depuis le dernier full, n'efface pas le bit ; restauration = full + dernière differential.
Niveaux RAID
RAID 0 = striping (rapide, 0 redondance). RAID 1 = mirroring. RAID 5 = striping + parité distribuée, n disques offrent n-1 utiles et tolèrent 1 panne. RAID 6 = double parité, tolère 2 pannes (n-2 utiles). RAID 10 = mirror + stripe (meilleur ratio perf/fiabilité). Piège : le RAID assure la disponibilité, ce n'est PAS une sauvegarde - il ne protège ni de la suppression ni du ransomware.
Sites de reprise et RTO/RPO/MTD
Sites : hot (minutes, prêt à l'emploi, cher), warm (1-2 jours), mobile (3-5 jours), cold (1-2 semaines, coque vide). MTD = durée totale d'indisponibilité tolérable d'un processus ; RTO = délai max de remise en service d'une ressource (oriente la techno de reprise) ; RPO = perte de données tolérée (oriente la fréquence des backups). Règle d'or : RTO ≤ MTD, et MTD = RTO + WRT.
Types de tests DR
Cinq tests par intensité croissante : read-through/tabletop (sur table, le moins coûteux et le moins intrusif), walk-through (déplacement sur les lieux), simulation (exercice scripté mobilisant le personnel, ex. évacuation incendie), parallel (le site alternatif tourne en parallèle de la production), full interruption (bascule réelle, on coupe la production - le plus risqué et le plus coûteux).
Principe d'echange de Locard
Tout contact laisse une trace : chaque action d'un attaquant depose des artefacts (logs, fichiers, registre) et en emporte. Fondement de la forensique : pas d'intrusion sans trace.
Clipping level
Seuil au-dessous duquel des evenements benins et repetitifs ne declenchent pas d'alerte (ex : 3 echecs de login toleres). Trop haut, il masque une attaque low and slow.
Resilience : HA, fault tolerance, QoS
High availability vise la disponibilite (redondance), fault tolerance vise la continuite sans coupure malgre une panne, Quality of Service (QoS) garantit bande passante/latence/priorite aux flux critiques.
Frameworks & standards
| Framework | Rôle |
|---|---|
| NIST SP 800-61 | Cycle de vie de l'incident response (Preparation, Detection & Analysis, Containment/Eradication/Recovery, Post-Incident). |
| ISO/IEC 27035 | Gestion des incidents de sécurité de l'information (standard international). |
| NIST SP 800-92 | Guide de référence du computer security log management. |
| NIST SP 800-137 | Information Security Continuous Monitoring (ISCM) - surveillance continue de la posture. |
| NIST SP 800-86 | Intégration de la forensique à l'incident response (cycle Collection > Examination > Analysis > Reporting). |
| NIST SP 800-34 | Plan de contingence des systèmes IT - base du DRP/BCP (US). |
| ISO 22301 | Système de management de la continuité d'activité (BCMS, international). |
| NIST SP 800-88 | Guidelines for Media Sanitization - Clear, Purge, Destroy contre la data remanence. |
| ITIL v4 | Gestion des services IT : incident, problem et change enablement (gestion des changements). |
| CIS Benchmarks / SCAP | Référentiels de hardening automatisable des baselines de configuration. |
Acronymes
| Sigle | Signification |
|---|---|
| IDS | Intrusion Detection System - détecte et alerte |
| IPS | Intrusion Prevention System - détecte et bloque |
| NIDS | Network IDS - capteur sur un segment réseau |
| HIDS | Host IDS - agent sur un endpoint |
| SIEM | Security Information & Event Management |
| SOAR | Security Orchestration, Automation & Response |
| ISCM | Information Security Continuous Monitoring (NIST 800-137) |
| DLP | Data Loss Prevention - prévention des fuites de données |
| UEBA | User and Entity Behavior Analytics |
| IoC | Indicator of Compromise - preuve de compromission |
| CMDB | Configuration Management Database |
| SCAP | Security Content Automation Protocol |
| RFC | Request For Change - demande de changement |
| CAB | Change Advisory Board - comité de validation des changements |
| PAM | Privileged Account Management |
| JIT | Just-In-Time identity - élévation temporaire |
| SoD | Separation of Duties - séparation des devoirs |
| RTO | Recovery Time Objective - délai max de reprise |
| RPO | Recovery Point Objective - perte de données tolérée |
| MTD | Maximum Tolerable Downtime |
| WRT | Work Recovery Time - temps de reprise du travail |
| BIA | Business Impact Analysis |
| RAID | Redundant Array of Independent Disks |
| SAN | Storage Area Network - stockage en bloc en réseau |
| NAS | Network Attached Storage - stockage fichier en réseau |
| CSIRT | Computer Security Incident Response Team |
| SOC | Security Operations Center |
| CPTED | Crime Prevention Through Environmental Design |
| MDM | Mobile Device Management |
| PIR | Passive Infrared sensor - détecteur de mouvement |