CISSP · Réussir du premier coup

Chapitre 0
Fondations

La méthode, la mécanique de l'examen et l'éthique — tout ce qui conditionne le reste du livre.

Place dans le cursus
Semaine 1 · lecture obligatoire
Objectifs couverts
Transversal + Objectif 1.1 (éthique)
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Le CISSP teste un Risk Advisor, pas un technicien : la bonne réponse est celle du manager.
  • Examen CAT en anglais : 100–150 questions (dont 25 non notées), 180 minutes, 700/1000, aucun retour en arrière.
  • Prérequis : 5 ans d'expérience dans ≥ 2 domaines (1 an effaçable par diplôme ou certification approuvée).
  • Sans expérience : statut Associate of ISC2, puis 6 ans pour la compléter.
  • Après la réussite : endorsement sous 9 mois, 120 CPE par cycle de 3 ans, AMF annuelle.
  • Ordre de priorité dans toute réponse : vie humaine → société → business/risque → technique.
  • Mots-clés à traquer dans chaque énoncé : FIRST, BEST, MOST, LEAST, NOT, PRIMARY.
  • Les 4 canons éthiques se récitent dans l'ordre : l'ordre départage les conflits.
  • Le management senior est le responsable ultime de la sécurité et le seul à accepter un risque.
  • Jalon de progression : ≥ 80 % à chaque quiz avant de passer au chapitre suivant.

0.1Le certificat CISSP : règles du jeu administratives

Le CISSP (Certified Information Systems Security Professional) est délivré par ISC2. Ce n'est pas un examen de connaissances brutes : c'est une validation qu'un professionnel expérimenté raisonne correctement sur la sécurité au niveau de l'organisation. Cette philosophie explique tout le reste — le format des questions, l'exigence d'expérience, le code d'éthique.

L'exigence d'expérience

Il faut 5 ans cumulés d'expérience professionnelle rémunérée, couvrant au moins 2 des 8 domaines du CISSP Exam Outline. Un an peut être effacé de deux façons (non cumulables) : un diplôme universitaire de 4 ans (ou équivalent régional), ou une certification figurant sur la liste approuvée par ISC2. Le temps partiel et les stages peuvent compter selon les règles ISC2 de conversion.

Le statut Associate of ISC2

On peut passer l'examen sans l'expérience requise. En cas de réussite, on devient Associate of ISC2 — pas encore CISSP — et l'on dispose de 6 ans pour accumuler les 5 ans d'expérience. On ne repasse pas l'examen.

L'endorsement

Réussir l'examen ne suffit pas. Il faut ensuite, sous 9 mois, faire valider sa candidature (endorsement) par un professionnel certifié ISC2 en règle, qui atteste de votre expérience. Si vous n'en connaissez aucun, ISC2 peut jouer ce rôle après examen du dossier.

Maintenir la certification

ObligationValeurDétail
CPE (Continuing Professional Education)120 crédits / cycle de 3 ans≈ 40 par an recommandés ; formations, conférences, publications…
AMF (Annual Maintenance Fee)AnnuelleDue chaque année pour rester « in good standing »
Code of EthicsAdhésion permanenteSa violation peut entraîner la révocation (§ 0.4)
🧠 Mnémonique — les chiffres du certificat

« 5 · 2 · 1 · 6 · 9 · 120 · 3 » — 5 ans d'expérience, 2 domaines minimum, 1 an de dispense, 6 ans pour l'Associate, 9 mois pour l'endorsement, 120 CPE par cycle de 3 ans. Récitez la chaîne jusqu'à la fluidité : l'examen et les recruteurs adorent intervertir ces nombres.

0.2L'examen CAT : mécanique et gestion du temps

Depuis avril 2024, l'examen CISSP en anglais utilise le format CAT — Computerized Adaptive Testing : l'algorithme choisit chaque question en fonction de votre performance sur les précédentes. Bien répondre fait monter la difficulté ; c'est bon signe si les questions vous semblent de plus en plus dures.

ParamètreValeurCe qu'il faut en déduire
Questions100 à 150Minimum 100 ; l'examen s'arrête dès que l'algorithme est statistiquement sûr de son verdict
Non notées25 (pretest items)Indiscernables des autres — ne jamais « diagnostiquer » une question
Durée180 minutesPauses possibles mais le chronomètre continue de tourner
Score de passage700 / 1000 (échelle)Ce n'est pas « 70 % de bonnes réponses » — c'est un score pondéré par la difficulté
NavigationAucun retour en arrièreOn répond, on avance, on oublie. Impossible de marquer ou réviser une question
Types de questionsQCM à 4 options + items « innovants »Glisser-déposer (ordonner des étapes), zones cliquables (hotspot)
LangueAnglais (CAT)Ce livre vous entraîne donc en anglais pour toutes les questions

La stratégie de temps

Le pire scénario est d'atteindre 150 questions : cela impose un budget moyen de 72 secondes par question. Planifiez sur cette base — si l'examen s'arrête à 100, vous aurez simplement fini en avance. Tenez ces points de passage :

Question atteinteTemps écoulé max.Réserve restante
2530 min150 min
5060 min120 min
7590 min90 min
100120 min60 min pour les questions 101 à 150

Face au doute : éliminez deux options (c'est presque toujours possible), choisissez la meilleure des deux restantes avec la grille du § 0.3, répondez, et n'y pensez plus. Ruminer une question passée est une double perte : le temps file et la concentration se dégrade. L'algorithme tolère très bien des erreurs isolées.

⚠️ Piège d'examen

« Mon examen s'est arrêté pile à 100 questions, c'est que j'ai échoué » — faux. L'arrêt à 100 signifie seulement que l'algorithme a atteint sa confiance statistique, dans un sens comme dans l'autre. Aucune conclusion possible avant le verdict imprimé.

0.3Lire une question CISSP : la méthode

La majorité des échecs au CISSP ne viennent pas d'un manque de connaissances mais d'une lecture « technicien » des questions. ISC2 rédige des scénarios où plusieurs options sont vraies ; une seule est la meilleure du point de vue du manager. La méthode en quatre temps :

  1. Isoler le mot-clé de l'énoncéFIRST, BEST, MOST, LEAST, NOT, PRIMARY, EXCEPT. Il définit le critère de tri des options.
  2. Identifier le rôle que la question vous fait jouer (CISO, auditeur, consultant…) : la bonne réponse dépend du chapeau porté.
  3. Éliminer deux distracteurs : le hors-sujet et la réponse « héros technique » (agir seul, débrancher, réparer sans processus).
  4. Départager les deux restantes avec les règles d'or ci-dessous.
Mot-cléCe qu'il demande vraiment
FIRSTLa première étape de la séquence correcte — pas l'action la plus importante au global
BESTL'option la plus complète et la plus durable, celle qui traite la cause plutôt que le symptôme
MOST / PRIMARYLe facteur qui pèse le plus lourd parmi plusieurs facteurs tous valides
NOT / LEAST / EXCEPTInversion : trois options sont correctes, on cherche l'intrus. Relire deux fois

Les 10 règles d'or de la bonne réponse ISC2

  1. La vie humaine d'abord, toujours, avant toute donnée ou tout système.
  2. Vous êtes conseiller : vous recommandez au management, vous n'agissez pas en solitaire.
  3. Évaluer avant d'agir : identification et analyse de risque précèdent toute décision.
  4. Suivre le processus : la politique et le plan existant battent l'improvisation brillante.
  5. Le management senior porte la responsabilité ultime et est seul à accepter un risque.
  6. Jamais de réponse qui punit, ignore ou contourne sans processus.
  7. La réponse englobante et durable bat le correctif rapide.
  8. Proportionnalité : un contrôle ne doit jamais coûter plus que l'actif qu'il protège.
  9. Répondre à la question posée : FIRSTBESTMOST.
  10. En cas d'égalité parfaite : protéger la société avant l'employeur (ordre des canons, § 0.4).
🧠 Mnémonique — le réflexe S.A.M.

Safety → Assess → Management. Devant tout scénario : la sécurité des personnes est-elle en jeu ? Sinon, a-t-on évalué avant d'agir ? Et qui décide — le management, jamais vous seul. Trois questions, 90 % des scénarios résolus.

Cinq questions décortiquées

Exemple 1 · le mot FIRST + la vie humaine

A fire breaks out in the data center while technicians are working inside. What should the security manager do FIRST?

  1. Activate the gas-based fire suppression system
  2. Ensure all personnel evacuate the area
  3. Initiate a graceful shutdown of critical servers
  4. Notify the fire department

Lecture. Mot-clé : FIRST. Règle n° 1 : la vie humaine. B est la seule option qui protège des personnes ; A est même dangereuse (gaz + personnel présent), C est la réponse « technicien », D est correcte mais vient après l'évacuation. Réponse : B.

Exemple 2 · qui décide

After a risk assessment, some risk remains despite the proposed controls. Who should formally accept this residual risk?

  1. The chief information security officer
  2. The system administrator
  3. Senior management
  4. The internal audit team

Lecture. Règle n° 5. Le CISO conseille, l'administrateur exécute, l'audit vérifie — seul le management senior possède le risque et peut l'accepter. Réponse : C.

Exemple 3 · la proportionnalité

An asset valued at $3,000 faces a threat with an annualized loss expectancy of $200. A control costing $1,500 per year would eliminate the risk. What is the BEST course of action?

  1. Implement the control immediately
  2. Accept the risk
  3. Transfer the risk through insurance
  4. Increase the asset's valuation

Lecture. Règle n° 8 : le contrôle coûte 1 500 $ par an pour éviter 200 $ de perte annuelle attendue — irrationnel. L'assurance a aussi un coût disproportionné pour un si petit risque. Réponse : B. Le réflexe « on sécurise toujours tout » est un piège : le CISSP raisonne en coût/bénéfice.

Exemple 4 · le processus avant l'héroïsme

A security analyst confirms that a production server is actively exfiltrating data to an unknown external host. What should the analyst do FIRST?

  1. Disconnect the server from the network
  2. Follow the organization's incident response plan
  3. Image the server's memory for forensic analysis
  4. Inform the affected customers

Lecture. A est le réflexe technicien — la déconnexion (containment) viendra, mais parce que le plan le prescrit, dans l'ordre prévu, sous l'autorité prévue. Règle n° 4 : le processus d'abord. C et D sont des étapes ultérieures du même plan. Réponse : B.

Exemple 5 · l'inversion NOT

Which of the following is NOT a valid reason to involve law enforcement in a security incident?

  1. A crime appears to have been committed
  2. Regulatory obligations require notification
  3. The organization wants to keep full control over the investigation
  4. Evidence may need to support criminal prosecution

Lecture. Inversion : trois options justifient l'appel aux autorités, une seule le contre-indique. Impliquer les forces de l'ordre fait précisément perdre le contrôle de l'investigation. Réponse : C. Sur les questions NOT/LEAST, relisez l'énoncé après avoir choisi : l'erreur d'inattention est la première cause de points perdus.

Auto-diagnostic

≥ 20/25 : passez au chapitre 1. Entre 15 et 19 : relisez les sections des questions manquées et refaites le quiz demain. < 15 : relisez le chapitre entier — il conditionne tous les autres.

0.4ISC2 Code of Ethics

Le code d'éthique est court, testé à l'examen, et opposable à vie : sa violation peut coûter la certification. Le préambule contient une nuance importante : il faut adhérer aux standards éthiques « and be seen to adhere » — l'apparence d'intégrité compte autant que l'intégrité elle-même.

Les quatre canons — dans l'ordre

Canon (texte officiel)En clair
IProtect society, the common good, necessary public trust and confidence, and the infrastructureLa société passe avant tout — y compris avant votre employeur
IIAct honorably, honestly, justly, responsibly, and legallyHonnêteté et légalité, sans exception
IIIProvide diligent and competent service to principalsServir loyalement employeurs et clients (« principals »)
IVAdvance and protect the professionNe pas discréditer la profession ; signaler ceux qui la trahissent

L'ordre est une règle de départage. Quand deux canons entrent en conflit — votre client vous demande de cacher une fuite qui met le public en danger — le canon au plus petit numéro l'emporte : protéger la société (I) et agir légalement (II) priment sur le service au client (III).

Qui peut porter plainte, et pour quel canon

Canon viséPlaignants recevables
I et IIN'importe qui (tout membre du public)
IIIUniquement les principals — employeurs et clients du professionnel
IVUniquement d'autres professionnels certifiés ou licenciés, soumis à un code d'éthique

La plainte prend la forme d'une déclaration sous serment (sworn affidavit) adressée au comité d'éthique, qui instruit et recommande une sanction au conseil d'administration — jusqu'à la révocation de la certification. Divulguer le contenu de l'examen (violation du NDA signé le jour J) est le cas d'école de violation du canon IV.

🧠 Mnémonique — PAPA

Protect · Act · Provide · Advance. Quatre verbes, dans l'ordre. Pour les plaignants : « tout le monde, tout le monde, le patron, les pairs » (I : public, II : public, III : principals, IV : professionnels).

⚠️ Pièges d'examen
  • Confondre l'ordre des canons — l'examen propose des listes réordonnées plausibles. Seul « Protect → Act → Provide → Advance » est correct.
  • Croire que « n'importe qui » peut porter plainte pour le canon III ou IV : la recevabilité est restreinte.
  • Choisir la loyauté au client quand la société est en danger : c'est l'inverse (I avant III).
  • Oublier « be seen to adhere » : éviter même l'apparence d'un conflit d'intérêts est une exigence du code.
  • Penser qu'une violation éthique relève du pénal : la sanction ISC2 est disciplinaire (révocation), indépendante d'éventuelles poursuites légales.
Scénario fil rouge

Awa vient d'être nommée CISO d'une fintech de 400 personnes ; c'est elle que nous suivrons tout au long du livre. Semaine 1 : son PDG lui demande de « faire l'impasse » sur la déclaration d'un incident mineur à l'autorité de régulation, « pour ne pas effrayer les investisseurs ». Réflexe S.A.M. et canons : personne n'est en danger physique (S), mais agir légalement (canon II) et protéger la confiance du public (canon I) priment sur la demande du principal (canon III). Awa documente l'obligation légale, expose au PDG le risque d'une non-déclaration — sanctions, réputation — et recommande formellement la déclaration. Elle conseille, elle trace, elle laisse la décision (et la responsabilité) au management : c'est exactement la posture que l'examen récompense.

0.5Le plan de révision sur 8 semaines

Ce livre est conçu pour un cycle de 8 semaines à raison de 10 à 12 heures par semaine. Règle de progression : ≥ 80 % au quiz de chaque chapitre avant de passer au suivant ; sinon, relire les sections échouées et refaire le quiz le lendemain.

SemaineChapitresContenuJalon de sortie
10 · 1 · 2 · 3Fondations + Domaine 1 (gouvernance, droit, risque)4 quiz ≥ 80 %
24 · 5 · 6 · 7Domaine 2 (données) + Domaine 3 (principes, architectures)4 quiz ≥ 80 %
38 · 9Cryptographie intégrale + sécurité physiqueTableau des tailles de clés récité sans faute
410 · 11 · 12Domaine 4 (réseaux)Tableau des ports récité sans faute
513 · 14 · 15 · 16 · 17Domaine 5 (IAM) + Domaine 6 (assessment, audit)5 quiz ≥ 80 %
618 · 19 · 20 · 21Domaine 7 (opérations, incident, DR/BC)Les 7 étapes incident + 5 tests DR récités
722 · 23 · 24 · 25Domaine 8 + grand référentiel + examen blanc n° 1Blanc 1 : ≥ 70 % global
826 · 27 · 29 · 28Examen blanc n° 2, drills, renforcement ciblé, jour JBlanc 2 : ≥ 80 % global et ≥ 70 % par domaine

Les 7 derniers jours

Si un examen blanc reste sous 70 %, décalez la date d'examen plutôt que de tenter le passage : le diagnostic par domaine des chapitres 25–26 vous dit exactement quoi retravailler.


0.6Quiz — 25 questions

Conditions réelles : 30 minutes, en une seule passe, sans retour en arrière — notez vos réponses sur papier avant de consulter le corrigé (§ 0.7). Questions en anglais, comme le jour J.

Question 1

During an engagement, a CISSP consultant discovers that her client's product secretly harms public infrastructure. The client instructs her to remain silent. According to the ISC2 Code of Ethics, which duty takes precedence?

  1. Providing diligent and competent service to the client
  2. Protecting society, the common good, and the infrastructure
  3. Advancing and protecting the profession
  4. Preserving the confidentiality agreement with the client
Voir la réponse Réponse : B

Les canons de l’ISC2 sont hiérarchisés : en cas de conflit, le premier prime. Le Canon I — protect society, the common good, and the infrastructure — l’emporte sur le service au client (Canon III, réponse A) comme sur toute clause de confidentialité (D). L’avancement de la profession (C) est hors sujet ici.

Question 2

Which of the following lists the ISC2 Code of Ethics canons in the correct order?

  1. Act honorably; protect society; advance the profession; serve principals
  2. Protect society; act honorably; provide diligent service to principals; advance and protect the profession
  3. Serve principals; protect society; act honorably; advance the profession
  4. Protect society; provide diligent service to principals; act honorably; advance the profession
Voir la réponse Réponse : B

Ordre officiel des quatre canons : I. Protect society… ; II. Act honorably… ; III. Provide diligent and competent service to principals ; IV. Advance and protect the profession. Seule B respecte cette séquence, qui fixe aussi l’ordre de priorité en cas de conflit.

Question 3

Who is permitted to file an ethics complaint alleging a violation of Canon III (provide diligent and competent service to principals)?

  1. Any member of the public
  2. Only other certified information security professionals
  3. Only those with an employer or contractual relationship with the professional
  4. Only ISC2 board members
Voir la réponse Réponse : C

Une plainte relative au Canon III (service aux principals) n’est recevable que d’une personne liée au professionnel par un contrat de travail ou de prestation. Les plaintes Canon I/II sont ouvertes à quiconque ; les plaintes Canon IV, aux seuls professionnels certifiés.

Question 4

A CISSP notices that another certified professional has falsified his credentials to win a contract. Under which canon should she file a complaint, and is she permitted to do so?

  1. Canon IV; yes, as a certified professional she has standing
  2. Canon III; yes, anyone may file under Canon III
  3. Canon IV; no, only the deceived client may file
  4. Canon I; no, only regulators may file
Voir la réponse Réponse : A

Falsifier ses credentials nuit à l’intégrité de la profession : c’est le Canon IV. Or les plaintes au titre du Canon IV peuvent être déposées par tout professionnel certifié — elle a donc qualité pour agir. (B se trompe sur la recevabilité : le Canon III ne vise que les principals.)

Question 5

The preamble of the ISC2 Code of Ethics requires professionals to adhere "and be seen to adhere" to the highest ethical standards. What does this primarily imply?

  1. Ethics violations must be publicly disclosed
  2. Professionals must avoid even the appearance of improper behavior
  3. All security work must be independently audited
  4. Certifications must be displayed publicly
Voir la réponse Réponse : B

« …and be seen to adhere » impose d’éviter jusqu’à l’apparence d’un comportement contraire à l’éthique : la perception compte autant que les actes. Cela n’oblige ni à une divulgation publique des manquements (A) ni à un audit indépendant systématique (C).

Question 6

After passing the CISSP exam, a candidate shares several exam questions in an online forum to help others. Which canon does this MOST directly violate?

  1. Canon I — protect society
  2. Canon II — act honorably
  3. Canon III — provide diligent service to principals
  4. Canon IV — advance and protect the profession
Voir la réponse Réponse : D

Divulguer des questions d’examen brise l’accord de non-divulgation signé par le candidat et dévalue la certification : l’atteinte la plus directe vise la profession — Canon IV, advance and protect the profession. (On peut aussi y voir un manquement au Canon II, mais la cible première est l’intégrité du titre.)

Question 7

A client asks a CISSP to conceal evidence of a data breach from a regulator to avoid fines. What is the BEST course of action?

  1. Comply, because Canon III requires diligent service to principals
  2. Decline, and advise the client of its legal disclosure obligations
  3. Report the client to the media
  4. Resign immediately without explanation
Voir la réponse Réponse : B

Dissimuler une breach à un régulateur serait illégal, et le Canon II impose d’agir légalement. Le professionnel refuse et rappelle au client ses obligations légales de notification. Il ne s’exécute pas (A), n’alerte pas les médias (C) et ne démissionne pas sans explication (D).

Question 8

An organization's internal policy requires a monitoring practice that violates local privacy law. What should the security professional do?

  1. Follow the policy, since internal policy reflects management's risk acceptance
  2. Ignore both the policy and the law and use professional judgment
  3. Advise management that the practice is unlawful and the policy must be changed
  4. Apply the policy only to non-resident employees
Voir la réponse Réponse : C

La loi prime sur la politique interne. Le professionnel signale à la direction que la pratique est illégale et que la politique doit être corrigée — une politique interne ne peut pas « accepter le risque » d’une violation de la loi (A). L’appliquer à une partie des salariés (D) reste illégal.

Question 9

What is the potential consequence for a CISSP found in violation of the ISC2 Code of Ethics?

  1. Criminal prosecution by ISC2
  2. Mandatory retraining only
  3. Revocation of the certification
  4. A fine payable to ISC2
Voir la réponse Réponse : C

La seule sanction dont dispose l’ISC2 est la révocation de la certification. L’ISC2 n’engage pas de poursuites pénales (A) et n’inflige pas d’amende (D) : ce n’est pas un organe judiciaire.

Question 10

Your employer instructs you to run a penetration test against a business partner's systems, assuring you "they won't mind." No authorization from the partner exists. What should you do?

  1. Proceed, since your employer accepted the risk
  2. Proceed, but limit testing to non-intrusive scans
  3. Decline until written authorization from the partner is obtained
  4. Ask a colleague to run the test instead
Voir la réponse Réponse : C

Tester les systèmes d’un tiers sans autorisation écrite est illégal, quelle que soit l’assurance verbale de l’employeur. Le professionnel refuse tant que l’autorisation écrite du partenaire n’est pas obtenue — l’acceptation du risque par l’employeur (A) ne rend pas l’acte légal, et un scan « léger » (B) reste non autorisé.

Question 11

A fire alarm sounds in a facility where employees are present. What should the security manager do FIRST?

  1. Trigger the fire suppression system
  2. Ensure personnel evacuate safely
  3. Begin an orderly shutdown of critical systems
  4. Secure the server room doors
Voir la réponse Réponse : B

La sécurité des personnes prime toujours. Face à une alarme incendie avec du personnel présent, la priorité absolue est l’évacuation en sécurité — avant tout déclenchement de la suppression (A, dangereux tant que des personnes sont là) ou arrêt des systèmes (C).

Question 12

A ransom note appears on a production server's screen. What should the security team do FIRST?

  1. Pay the ransom to minimize downtime
  2. Wipe the server and restore from backup
  3. Activate the organization's incident response plan
  4. Email all employees about the attack
Voir la réponse Réponse : C

Devant une demande de rançon, on active d’abord le plan de réponse à incident (incident response plan), qui cadre containment, éradication et communication. On ne paie pas (A), on ne détruit pas les preuves en réinstallant (B) et on ne prévient pas tout le personnel dans la précipitation (D).

Question 13

Before adopting a new cloud-based collaboration tool, what is the BEST first step for the security team?

  1. Negotiate volume pricing with the vendor
  2. Perform a risk assessment of the tool and its provider
  3. Deploy it to a small group in production
  4. Review the vendor's marketing documentation
Voir la réponse Réponse : B

Avant d’adopter un outil cloud, la première étape est l’évaluation du risque de l’outil et de son fournisseur (risk assessment, incluant la due diligence du provider). La négociation tarifaire (A) et la brochure marketing (D) ne renseignent pas sur le risque ; déployer d’abord en production (C) inverse l’ordre.

Question 14

Who is ultimately responsible for the security of an organization's information?

  1. The chief information security officer
  2. Senior management
  3. The security operations team
  4. Each individual user
Voir la réponse Réponse : B

La responsabilité ultime de la sécurité de l’information incombe au senior management : c’est une décision de gouvernance. Le CISO (A) pilote et conseille mais n’assume pas la responsabilité finale ; les équipes et les utilisateurs (C, D) exécutent.

Question 15

A proposed safeguard costs $10,000 per year and would reduce the annualized loss expectancy of a risk from $2,000 to $500. What is the BEST recommendation?

  1. Implement the safeguard to demonstrate due diligence
  2. Accept the risk, since the safeguard costs more than the loss it prevents
  3. Transfer the risk and implement the safeguard
  4. Reject the risk assessment and start over
Voir la réponse Réponse : B

La contre-mesure économise ALE avant − ALE après = 2 000 − 500 = 1 500 $/an, pour un coût de 10 000 $/an. Le coût dépasse largement le bénéfice : on accepte le risque. Dépenser pour « montrer sa due diligence » (A) est un mauvais arbitrage économique.

Question 16

A security administrator notices a colleague routinely bypassing data loss prevention controls to email files to his personal account. What should the administrator do FIRST?

  1. Confront the colleague directly
  2. Disable the colleague's account
  3. Report the observation through the established channel defined by policy
  4. Monitor the colleague's activity personally to gather more proof
Voir la réponse Réponse : C

On signale d’abord par le canal établi par la politique (hiérarchie, RSSI ou RH selon les cas). Confronter le collègue (A), désactiver son compte (B) ou le surveiller soi-même (D) outrepasse son rôle et peut compromettre une éventuelle procédure.

Question 17

What is the PRIMARY purpose of a security awareness program?

  1. To satisfy audit and compliance requirements
  2. To modify employee behavior and reduce human-related risk
  3. To identify employees who violate policy
  4. To train the security team on new technologies
Voir la réponse Réponse : B

Un programme de security awareness vise avant tout à modifier les comportements et à réduire le risque d’origine humaine. La conformité (A) en est un sous-produit, pas la finalité ; il ne s’agit ni de piéger les fautifs (C) ni de former l’équipe sécurité à la technique (D).

Question 18

Which element is MOST important for the success of an organization's information security program?

  1. A generous security budget
  2. State-of-the-art security tooling
  3. Visible senior management support
  4. A highly certified security team
Voir la réponse Réponse : C

Le facteur le plus déterminant est le soutien visible de la direction générale (tone at the top). Sans lui, budget (A), outils (B) et équipe certifiée (D) restent inefficaces — la sécurité est d’abord une affaire de gouvernance.

Question 19

Which candidate meets the experience requirements for full CISSP certification?

  1. Three years of experience in one domain, plus a four-year degree
  2. Four years of experience across two domains, plus a four-year degree
  3. Five years of experience in one domain only
  4. Two years of experience across three domains, plus two approved certifications
Voir la réponse Réponse : B

La certification exige cinq ans d’expérience rémunérée cumulée dans au moins deux des huit domaines. Un diplôme de niveau bac+4 (four-year degree) accorde une réduction d’un an : quatre ans réels sur deux domaines + diplôme = cinq ans validés. A ne couvre qu’un domaine et n’atteint pas cinq ans.

Question 20

A candidate passes the CISSP exam without any professional experience. What is her status, and how long does she have to earn the required experience?

  1. CISSP; experience must be earned within 9 months
  2. Associate of ISC2; 6 years to earn the required experience
  3. Associate of ISC2; 5 years to earn the required experience
  4. Provisional CISSP; 3 years to earn the required experience
Voir la réponse Réponse : B

Réussir l’examen sans expérience confère le statut d’Associate of ISC2, avec six ans pour acquérir les cinq années d’expérience requises. Il n’existe pas de statut « Provisional CISSP » (D).

Question 21

After passing the exam, within what period must the endorsement process be completed?

  1. 3 months
  2. 6 months
  3. 9 months
  4. 12 months
Voir la réponse Réponse : C

L’endorsement (parrainage par un membre certifié) doit être finalisé dans les neuf mois suivant la réussite à l’examen ; au-delà, le candidat doit repasser l’examen.

Question 22

How many continuing professional education (CPE) credits must a CISSP earn per three-year certification cycle?

  1. 60
  2. 90
  3. 120
  4. 150
Voir la réponse Réponse : C

Un CISSP doit accumuler 120 CPE par cycle de trois ans, soit un minimum de 40 par an (dont une part de CPE de type Group A, liées au domaine).

Question 23

A candidate's CISSP CAT exam ends at exactly 100 questions after two hours. What can the candidate conclude?

  1. The candidate has failed, since the exam ended early
  2. The candidate has passed, since the minimum was reached
  3. Nothing; the algorithm reached a confident decision in either direction
  4. The exam malfunctioned and must be rescheduled
Voir la réponse Réponse : C

Le format CAT s’arrête entre 100 et 150 questions dès que l’algorithme atteint une décision statistiquement fiable — dans un sens comme dans l’autre. S’arrêter à 100 questions ne préjuge donc ni de la réussite ni de l’échec.

Question 24

Midway through the CAT exam, a candidate realizes she probably answered the previous question incorrectly. What is the BEST response?

  1. Request that the proctor reset the previous question
  2. Move on and give full attention to the current question
  3. Answer the next several questions quickly to recover lost time
  4. Note the question content to review it after the exam
Voir la réponse Réponse : B

Le CAT interdit tout retour en arrière : une réponse validée est définitive. La meilleure conduite est de passer à la question suivante et d’y consacrer toute son attention, sans laisser l’erreur supposée dégrader la suite.

Question 25

An exam question asks what a security professional should do FIRST, and two options describe actions that are both correct. How should the candidate choose?

  1. Choose the action with the greatest long-term impact
  2. Choose the action that comes earliest in the correct process sequence
  3. Choose the most technically detailed action
  4. Choose the action that involves senior management
Voir la réponse Réponse : B

Quand une question « FIRST » propose deux actions correctes, on choisit celle qui vient en premier dans la séquence logique du processus. Le CISSP raisonne en ordre de priorité (les personnes, puis le cadre, puis la technique), pas en impact ni en niveau de détail technique.

0.8Fiche de révision

À savoir par cœur avant le chapitre 1
  1. Chaîne du certificat : 5 · 2 · 1 · 6 · 9 · 120 · 3 (expérience, domaines, dispense, Associate, endorsement, CPE, cycle).
  2. Examen : CAT anglais, 100–150 questions, 25 non notées, 180 min, 700/1000, aucun retour en arrière.
  3. Budget temps : 72 s/question ; points de passage 25→30 min, 50→60, 75→90, 100→120.
  4. Arrêt à 100 questions = confiance statistique atteinte, dans un sens comme dans l'autre.
  5. Les 4 canons dans l'ordre : Protect · Act · Provide · Advance (PAPA).
  6. Plaignants recevables : public (I, II) · principals (III) · professionnels certifiés (IV).
  7. « Be seen to adhere » : l'apparence d'intégrité est une obligation.
  8. Sanction éthique : révocation possible, après plainte sous serment et instruction.
  9. Réflexe S.A.M. : Safety → Assess → Management.
  10. La vie humaine prime sur toute donnée, tout système, tout délai.
  11. Évaluer avant d'agir ; suivre le plan avant d'improviser.
  12. Le management senior est le responsable ultime et le seul à accepter un risque.
  13. Un contrôle ne doit jamais coûter plus que la perte qu'il évite.
  14. FIRST = séquence · BEST = qualité globale · MOST = pondération · NOT/LEAST = inversion, relire deux fois.
  15. Jalon de progression : ≥ 80 % à chaque quiz avant d'avancer.