CISSP All-in-One Exam Guide

1. La haute direction porte la responsabilité ultime de la sécurité.

La direction générale assume toujours la responsabilité finale de l’organisation.

La sécurité est une question d’entreprise. La sécurité de l’information ne se limite pas à un problème technique ; c’est une fonction essentielle qui doit s’aligner sur la stratégie et les objectifs de l’organisation. Les dirigeants, en particulier les membres du comité exécutif (PDG, CFO, CIO, CISO), sont responsables de veiller à ce que l’organisation fasse preuve de diligence raisonnable dans la protection de ses actifs. Cette responsabilité est de plus en plus encadrée par des réglementations et peut entraîner une responsabilité personnelle importante.

La gouvernance assure la supervision. La gouvernance de la sécurité établit un cadre pour définir les objectifs de sécurité, les communiquer à l’ensemble de l’organisation et vérifier leur application cohérente. Cela implique de définir les rôles et responsabilités, d’élaborer des politiques et des normes, et de garantir que la sécurité est intégrée dans tous les processus métier, et non confinée au seul département informatique. Une gouvernance efficace permet d’optimiser les efforts de sécurité, de maîtriser les coûts et de s’aligner sur le niveau de risque acceptable fixé par la direction.

Le personnel est un élément clé. Si la technologie et les processus sont indispensables, les personnes restent souvent le maillon faible. La sécurité du personnel commence par un recrutement rigoureux et des vérifications d’antécédents pour embaucher des individus fiables. Elle se poursuit par des contrats de travail clairs, des politiques (comme la séparation des tâches et les congés obligatoires) et une formation solide à la sensibilisation à la sécurité, afin que chaque employé comprenne son rôle et ses responsabilités dans la protection de l’organisation.

2. Protéger les actifs nécessite de comprendre leur valeur et leur cycle de vie.

Si une organisation ignore la valeur des informations et autres actifs qu’elle cherche à protéger, elle ne sait pas combien de temps ni d’argent elle doit consacrer à leur protection.

Identifier et classer les actifs. On ne peut protéger ce que l’on ne connaît pas. Les actifs comprennent des éléments tangibles comme le matériel et les locaux, ainsi que des éléments intangibles tels que les données et la réputation. Les actifs informationnels, en particulier, doivent être identifiés et classés selon leur sensibilité (impact d’une divulgation) et leur criticité (impact sur les opérations). Cette classification détermine le niveau de protection requis en termes de confidentialité, d’intégrité et de disponibilité.

Gérer le cycle de vie des actifs. Les actifs suivent un cycle de vie, de la création ou acquisition à la mise au rebut. Chaque phase nécessite des mesures de sécurité spécifiques, notamment :

• Propriété : Attribution de la responsabilité de la protection.
• Inventaire : Tenue à jour d’un registre précis de tous les actifs.
• Provisionnement : Ajout sécurisé de nouveaux actifs à l’environnement.
• Rétention : Détermination de la durée de conservation des actifs et des données.
• Déclassement : Suppression sécurisée des actifs et purge des données.

Les données ont leur propre cycle de vie. L’information traverse des phases telles que l’acquisition, le stockage, l’utilisation, le partage, l’archivage et la destruction. Les méthodes de protection des données, comme le chiffrement (au repos, en transit, en cours d’utilisation), la gestion des droits numériques (DRM) et la prévention des pertes de données (DLP), doivent être appliquées de manière appropriée tout au long de ce cycle. Le respect des réglementations sur la vie privée (comme le RGPD) et des obligations contractuelles est primordial lors du traitement de données sensibles.

3. Construire des systèmes sécurisés requiert l’application de principes et de modèles de conception.

Une architecture de sécurité bien conçue prend en compte l’interaction des contrôles physiques, techniques et administratifs.

Appliquer des principes de conception sécurisée. La sécurité doit être intégrée dès la conception des systèmes, et non ajoutée a posteriori. Les principes clés incluent :

• Défense en profondeur : Superposition de plusieurs contrôles.
• Zero Trust : Vérification systématique de chaque demande d’accès.
• Moindre privilège : Attribution uniquement des accès nécessaires.
• Paramètres sécurisés par défaut : Les systèmes démarrent dans un état sécurisé.
• Échec sécurisé : Les systèmes échouent en mode sécurisé.
• Protection de la vie privée dès la conception : Intégration de la confidentialité dès le départ.

Comprendre les modèles de sécurité. Les modèles formels offrent un cadre structuré pour appliquer les politiques de sécurité :

• Bell-LaPadula : Met l’accent sur la confidentialité (« pas de lecture vers le haut, pas d’écriture vers le bas »).
• Biba : Met l’accent sur l’intégrité (« pas de lecture vers le bas, pas d’écriture vers le haut »).
• Clark-Wilson : Garantit l’intégrité via des transactions bien formées et la séparation des tâches.
• Non-interférence : Assure que les actions à un niveau n’affectent pas un autre.
• Brewer-Nash (Mur chinois) : Prévention des conflits d’intérêts.

Exploiter les capacités des systèmes. Le matériel et les logiciels modernes intègrent des fonctionnalités de sécurité. Les modules de plateforme sécurisée (TPM), les modules matériels de sécurité (HSM), les disques auto-chiffrants (SED) et les environnements d’exécution de confiance (TEE) offrent une sécurité matérielle pour les clés, les données et l’exécution du code. Comprendre ces capacités est essentiel pour concevoir des architectures de sécurité robustes.

4. La cryptographie est essentielle pour protéger la confidentialité et l’intégrité des données.

Le seul système vraiment sûr est celui qui est éteint, enfermé dans un bloc de béton et scellé dans une pièce blindée avec des gardes armés — et même là, j’ai mes doutes.

La cryptographie fournit des services de sécurité. Si la sécurité parfaite est inaccessible, la cryptographie offre des outils puissants pour protéger les données. Elle transforme le texte clair en texte chiffré (chiffrement) et inversement (déchiffrement), assurant :

• Confidentialité : Maintien du secret des données.
• Intégrité : Garantie que les données n’ont pas été modifiées.
• Authentification : Vérification de l’identité.
• Non-répudiation : Empêche le déni d’actions.

Symétrique vs asymétrique. Deux types principaux de cryptographie existent :

• Symétrique : Utilise la même clé secrète pour chiffrer et déchiffrer (ex. AES). Rapide mais la distribution des clés est complexe.
• Asymétrique (clé publique) : Utilise une paire de clés mathématiquement liées, publique et privée (ex. RSA, ECC). Plus lent mais simplifie la distribution des clés et offre authentification et non-répudiation.

Le hachage garantit l’intégrité. Les fonctions de hachage créent une empreinte unique de longueur fixe (digest) des données. La comparaison des hachages permet de vérifier l’intégrité. Les signatures numériques combinent hachage et chiffrement asymétrique pour assurer intégrité, authentification et non-répudiation. L’infrastructure à clé publique (PKI) gère les certificats numériques qui lient les identités aux clés publiques, établissant la confiance dans les systèmes asymétriques.

5. La sécurité réseau repose sur la compréhension des protocoles et l’application de contrôles.

La raison pour laquelle un commutateur Cisco, un serveur web Microsoft, un pare-feu Barracuda et un point d’accès sans fil Belkin peuvent tous communiquer correctement sur un même réseau, c’est qu’ils fonctionnent tous selon le modèle OSI.

Comprendre les fondamentaux du réseau. Le modèle OSI offre un cadre en couches pour comprendre la communication réseau, du support physique (couche 1) aux applications utilisateur (couche 7). Les protocoles à chaque couche (ex. Ethernet, IP, TCP, HTTP) régissent la communication entre appareils. Maîtriser ces couches et protocoles est essentiel pour identifier les vulnérabilités et appliquer les contrôles.

Sécuriser les équipements réseau. Les différents équipements opèrent à différentes couches :

• Répéteurs/Hubs : Couche physique (1), amplifient les signaux, étendent les domaines de collision.
• Ponts/Commutateurs : Couche liaison de données (2), transmettent les trames selon les adresses MAC, segmentent les domaines de collision.
• Routeurs : Couche réseau (3), acheminent les paquets selon les adresses IP, segmentent les domaines de diffusion.
• Pare-feux : Plusieurs couches, filtrent le trafic selon des règles (filtrage de paquets, état, proxy, NGFW).

Appliquer des contrôles de sécurité. La sécurité réseau implique des contrôles à divers points :

• Chiffrement : Chiffrement de lien (couches 1/2) ou de bout en bout (couche 5+), via TLS ou IPSec.
• Segmentation : Division du réseau en segments isolés (VLAN, VxLAN, micro-segmentation) pour limiter l’impact d’une intrusion.
• Contrôle d’accès : Utilisation de pare-feux et de contrôles d’accès réseau (NAC) pour restreindre les connexions et le trafic autorisé.

6. La gestion des identités et des accès est fondamentale pour contrôler l’accès aux ressources.

La valeur de l’identité réside souvent dans le but qu’elle sert.

Le cadre AAA. Le contrôle d’accès repose sur quatre piliers :

• Identification : Revendication d’une identité (ex. nom d’utilisateur).
• Authentification : Preuve de l’identité (ex. mot de passe, jeton, biométrie).
• Autorisation : Détermination des droits d’accès et d’action de l’identité authentifiée.
• Responsabilité : Traçabilité des actions pour tenir les individus responsables.

Les méthodes d’authentification varient. L’authentification s’appuie sur des facteurs tels que :

• Connaissance : Ce que vous savez (mots de passe, phrases secrètes).
• Possession : Ce que vous avez (jetons, cartes à puce).
• Biométrie : Ce que vous êtes (empreinte digitale, iris, voix).
  L’authentification forte (MFA) combine plusieurs facteurs.

Les modèles d’autorisation définissent l’accès. Différents modèles régissent les décisions d’accès :

• Contrôle d’accès discrétionnaire (DAC) : Le propriétaire décide (ex. permissions de fichiers).
• Contrôle d’accès obligatoire (MAC) : Le système impose selon des étiquettes de sécurité (ex. classification militaire).
• Contrôle d’accès basé sur les rôles (RBAC) : Accès selon le rôle de l’utilisateur.
• Contrôle d’accès basé sur les règles : Accès selon des règles spécifiques.
• Contrôle d’accès basé sur les attributs (ABAC) : Accès selon les attributs de l’utilisateur, de l’objet, de l’action ou du contexte.
• Contrôle d’accès basé sur le risque : Accès selon une évaluation du risque en temps réel.

7. Les évaluations et audits réguliers sont cruciaux pour la vérification.

Faire confiance, mais vérifier.

Les évaluations mesurent la posture de sécurité. Les évaluations, tests et audits sont essentiels pour déterminer l’efficacité des contrôles de sécurité et identifier les vulnérabilités. Ils fournissent un instantané de la posture de sécurité de l’organisation et valident l’efficacité des efforts déployés. Les évaluations peuvent porter sur les contrôles techniques, la sécurité physique ou les processus administratifs.

Types de tests. Diverses techniques sont utilisées pour tester les contrôles techniques :

• Tests de vulnérabilité : Identification des faiblesses connues (ex. scanners).
• Tests d’intrusion : Simulation d’attaques pour trouver des vulnérabilités exploitables.
• Red Teaming : Simulation d’attaquants spécifiques pour atteindre des objectifs.
• Simulations d’attaques et de violations (BAS) : Simulations automatisées.
• Revue de code : Analyse du code source pour détecter des failles.
• Tests d’interface : Évaluation des points d’échange de données.

Les audits vérifient la conformité. Les audits évaluent systématiquement les systèmes ou processus par rapport à des normes externes (réglementations, standards, politiques). Ils peuvent être internes (réalisés par le personnel) ou externes (tiers). Les audits externes sont souvent requis pour la conformité et apportent un regard extérieur précieux.

8. Des opérations de sécurité efficaces nécessitent la gestion des processus et la réponse aux incidents.

Il existe deux types d’entreprises dans le monde : celles qui savent qu’elles ont été piratées, et celles qui l’ignorent.

Gérer les opérations de sécurité. Les opérations de sécurité consistent à gérer en continu les contrôles et processus de sécurité. Cela inclut :

• Gestion des comptes : Création, modification et désactivation sécurisées des comptes utilisateurs et systèmes.
• Gestion des changements : Réduction des risques liés aux modifications système.
• Gestion de la configuration : Maintien de configurations cohérentes et sécurisées.
• Gestion des vulnérabilités et des correctifs : Identification et correction des failles logicielles.
• Sécurité physique : Contrôle des accès, surveillance et protections environnementales.

Détecter et répondre aux incidents. Malgré les mesures préventives, des incidents surviennent. La gestion des incidents comprend :

• Détection : Identification des événements et incidents de sécurité (outils SIEM, EDR, NDR, UEBA).
• Réponse : Actions initiales pour contenir les dégâts.
• Atténuation : Éradication de la menace.
• Récupération : Restauration des fonctionnalités.
• Remédiation : Prévention des récidives.
• Rapport : Documentation du processus et des conclusions.

Exploiter le renseignement sur les menaces. Le renseignement sur les menaces fournit des informations sur les tactiques, techniques et procédures des adversaires, aidant à la chasse proactive et à l’amélioration des défenses. Des outils comme les honeypots et honeynets collectent des données sur le comportement des attaquants.

9. La reprise après sinistre et la continuité des activités garantissent la résilience organisationnelle.

Il ne pleuvait pas quand Noé a construit l’arche.

Planifier les perturbations. Les organisations doivent anticiper les événements imprévus susceptibles de perturber leurs activités. La reprise après sinistre (DR) vise à restaurer l’infrastructure informatique après un sinistre, tandis que la continuité des activités (BC) assure la poursuite des fonctions critiques pendant et après toute interruption. La DR est une composante de la BC.

Définir les objectifs de reprise. Des indicateurs clés guident la planification :

• Durée maximale d’interruption tolérable (MTD) : Temps maximal d’arrêt avant conséquences inacceptables.
• Objectif de temps de reprise (RTO) : Délai cible pour restaurer une fonction après interruption.
• Objectif de point de reprise (RPO) : Perte de données maximale acceptable (en temps).
• Temps de reprise opérationnelle (WRT) : Temps pour vérifier et rendre les systèmes utilisables après le RTO.

Élaborer des stratégies de reprise. Les stratégies comprennent :

• Sauvegardes de données : Sauvegardes complètes, différentielles, incrémentielles sur divers supports (bande, disque, cloud).
• Sites alternatifs : Sites chauds (prêts en heures), tièdes (jours), froids (semaines).
• Sites redondants : Environnements de production en miroir.
• Accords réciproques : Partage d’installations avec une autre organisation.

Tester et maintenir les plans. Les plans DR/BC doivent être régulièrement testés (exercices, simulations, interruptions totales) et mis à jour pour rester efficaces. La formation du personnel à leurs rôles est cruciale pour la réussite.

10. Le développement logiciel sécurisé est un processus continu intégré au cycle de vie du logiciel.

Codez toujours comme si la personne qui maintiendra votre code était un psychopathe violent qui sait où vous habitez.

Intégrer la sécurité dans le cycle de vie du logiciel (SDLC). La sécurité doit être une considération centrale tout au long du SDLC, pas seulement en fin de processus. Cela inclut :

• Exigences : Définition des exigences de sécurité dès le départ.
• Conception : Intégration des principes de conception sécurisée et modélisation des menaces.
• Développement : Adoption de pratiques de codage sécurisé et utilisation d’outils adaptés.
• Tests : Réalisation de tests de sécurité (SAST, DAST, fuzzing, tests d’intrusion).
• Exploitation et maintenance : Gestion sécurisée des vulnérabilités et des changements.

Adopter des pratiques de codage sécurisé. Les développeurs doivent suivre des normes et directives pour réduire les vulnérabilités, notamment la validation des entrées, l’évitement des fonctions dangereuses et l’utilisation de bibliothèques sécurisées. Les revues de code et outils automatisés contribuent à faire respecter ces pratiques.

Gérer l’environnement de développement. Les outils et plateformes utilisés doivent également être sécurisés. Cela comprend la sécurisation des postes de travail, des dépôts de code et des environnements de build/test. Les pratiques telles que l’intégration continue/livraison continue (CI/CD) et le DevSecOps intègrent la sécurité dans le flux de développement, permettant des livraisons plus rapides et plus sûres.

Dernière mise à jour: May 5, 2025