CISSP · Réussir du premier coup
Domaine 1, première partie : les cinq piliers, la gouvernance de la sécurité et le paysage juridique mondial.
Le code d'éthique de l'ISC2 (ISC2 Code of Ethics) — préambule, quatre canons ordonnés, recevabilité des plaintes — a été traité en profondeur au chapitre 0 (§ 0.4) ; révisez-le maintenant si le mnémonique PAPA ne vous revient pas instantanément.
L'objectif 1.1 ajoute les codes d'éthique organisationnels : chartes internes, codes de conduite, politiques d'usage acceptable (acceptable use policy). Le professionnel doit soutenir le code de son organisation, y adhérer de manière visible — et faire remonter les conflits. Hiérarchie en cas de contradiction : la loi, puis le code de l'ISC2 (dans l'ordre des canons), puis le code de l'organisation. Un code interne ne peut jamais justifier un acte illégal ni une atteinte au public : c'est la logique des canons I et II, déjà rencontrée dans le scénario d'Awa au chapitre 0.
Le triangle CIA reste le cœur du métier, mais le référentiel 2024 énumère cinq piliers. Chacun se définit par ce qu'il empêche — et l'examen adore vous faire identifier lequel est violé dans un scénario.
| Pilier | Définition | Violé par (exemples) | Protégé par (exemples) |
|---|---|---|---|
| Confidentiality | Aucune divulgation non autorisée | Interception, shoulder surfing, ingénierie sociale | Chiffrement, contrôle d'accès, classification |
| Integrity | Aucune altération non autorisée ; exactitude et cohérence | Modification de données, malware, erreur de saisie | Hachage, signatures, contrôles d'entrée, ACL |
| Availability | Accès fiable et opportun pour les ayants droit | DoS, panne, sinistre, suppression | Redondance, sauvegardes, DR, maintenance |
| Authenticity | La donnée provient bien de la source qu'elle revendique | Usurpation, spoofing, faux expéditeur | Certificats, signatures, authentification forte |
| Nonrepudiation | L'auteur d'une action ne peut pas la nier | Répudiation d'une transaction ou d'un envoi | Signatures numériques, journaux horodatés |
Le miroir offensif du CIA est la triade DAD : Disclosure, Alteration, Destruction — divulgation contre la confidentialité, altération contre l'intégrité, destruction contre la disponibilité. Retenez aussi la notion de surprotection : maximiser un pilier peut en sacrifier un autre (un chiffrement si strict que personne n'accède plus aux données protège la confidentialité en détruisant la disponibilité). La sécurité est un équilibre piloté par le risque, jamais un absolu.
Cinq services s'enchaînent — dans un ordre strict — pour rendre chacun comptable de ses actes :
La subtilité testée : l'accountability n'existe que si toute la chaîne tient — sans authentification solide, les journaux ne prouvent rien ; avec un compte partagé, l'imputation est impossible.
CIA-AN : les cinq piliers — Confidentiality, Integrity, Availability + Authenticity, Nonrepudiation. IAAAA : « Id, Auth, Autz, Audit, Account » — cinq A dans l'ordre, l'accountability toujours en dernier, car elle est la conséquence des quatre autres.
La gouvernance est l'ensemble des pratiques par lesquelles l'organisation dirige sa sécurité : elle garantit que la fonction sécurité sert la stratégie, la mission et les objectifs métier — jamais l'inverse. Deux conséquences d'examen : la sécurité est un business enabler (elle rend possible, elle n'interdit pas par principe), et l'approche est top-down — c'est le management senior qui initie, finance, approuve les politiques et porte la responsabilité ultime. Une démarche « bottom-up », partie des équipes techniques sans mandat, est la marque d'un programme voué à l'échec.
| Rôle | Responsabilité | À retenir |
|---|---|---|
| Senior management | Responsabilité ultime ; approuve politiques ; accepte les risques | Signe tout — répond de tout |
| Security professional | Conçoit et met en œuvre le programme ; conseille | Responsabilité fonctionnelle, pas décisionnelle |
| Data / asset owner | Classifie l'information, fixe les exigences de protection | Un manager métier — jamais l'IT par défaut |
| Data custodian | Applique la protection au quotidien (sauvegardes, ACL) | Exécute les décisions de l'owner |
| User | Respecte les politiques dans son usage quotidien | Le need to know s'applique à lui |
| Auditor | Vérifie de façon indépendante l'efficacité des contrôles | Indépendance = sa raison d'être |
| Framework | Nature | Mot déclencheur dans une question |
|---|---|---|
| ISO/IEC 27001 | Exigences d'un ISMS — certifiable | « Certifier notre système de management » |
| ISO/IEC 27002 | Guide de bonnes pratiques (catalogue de contrôles) | « Guidance » — on ne se certifie pas 27002 |
| NIST CSF 2.0 | Cadre volontaire, 6 fonctions : Govern, Identify, Protect, Detect, Respond, Recover | « Améliorer la posture », tous secteurs |
| NIST SP 800-53 | Catalogue de contrôles — obligatoire pour le fédéral US | « Agence fédérale », « FISMA » |
| COBIT | Gouvernance de l'IT (ISACA) | « Aligner l'IT sur le métier », audit IT |
| SABSA | Architecture de sécurité pilotée par le risque métier | « Architecture d'entreprise » |
| PCI DSS | Contractuel — marques de cartes de paiement | « Données de cartes » — pas une loi |
| FedRAMP | Autorisation des services cloud pour le fédéral US | « Vendre du cloud au gouvernement US » |
| CIS Controls | 18 contrôles prescriptifs, priorisés | « Par où commencer concrètement » |
La paire la plus testée du domaine 1. Due diligence = savoir : rechercher, investiguer, comprendre les risques et les obligations avant d'agir — et vérifier ensuite, continûment, que les mesures fonctionnent. Due care = agir : faire ce qu'une personne prudente et raisonnable ferait dans les mêmes circonstances (le prudent person rule). L'entreprise qui étudie les menaces mais n'implémente rien fait preuve de diligence sans due care ; celle qui déploie des contrôles au hasard, sans analyse, l'inverse. L'absence des deux, quand un dommage survient, caractérise la négligence — et engage la responsabilité juridique du management.
DD = Do Detect · DC = Do Correct. La diligence détecte et comprend ; le care corrige et agit. Autre ancrage : la due diligence est le travail du détective, le due care celui du bon père de famille.
| Catégorie | Qui poursuit | Charge de la preuve | Sanctions |
|---|---|---|---|
| Criminal law | L'État (procureur) | Beyond a reasonable doubt | Prison, amendes pénales |
| Civil law (tort) | Une partie privée | Preponderance of the evidence | Dommages et intérêts |
| Administrative / regulatory | Agences gouvernementales | Standards propres à l'agence | Amendes, sanctions, retrait de licence |
| Private regulation | Partenaires contractuels | Termes du contrat | Pénalités contractuelles, résiliation (ex. PCI DSS) |
La distinction des charges de preuve est un grand classique : le pénal exige une quasi-certitude (beyond a reasonable doubt), le civil se contente du « plus probable qu'improbable » (preponderance). Même affaire, deux procès possibles, deux standards différents.
| Loi | Objet | Déclencheur en question |
|---|---|---|
| CFAA (1986, amendée) | Crime informatique fédéral : accès non autorisé ou excédant l'autorisation | « Hacking », poursuite pénale fédérale |
| ECPA (1986) | Protection des communications électroniques contre l'interception | Écoutes, monitoring des communications |
| FISMA (2002 / 2014) | Programme de sécurité obligatoire des agences fédérales, adossé au NIST | « Agence fédérale », 800-53, RMF |
| Privacy Act (1974) | Encadre les dossiers personnels détenus par les agences fédérales | Gouvernement fédéral et données citoyens |
| Fourth Amendment | Protection contre perquisitions et saisies abusives ; fonde l'expectation of privacy | Preuves obtenues par le gouvernement |
Côté violations de données : les 50 États américains ont chacun leur loi de notification (la Californie fut pionnière) — il n'existe pas de loi fédérale générale unique, ce qui contraste avec l'approche unifiée du GDPR.
| Instrument | Protège | Durée | Formalité |
|---|---|---|---|
| Copyright | Œuvres originales exprimées (dont le code source) | Vie de l'auteur + 70 ans (œuvre de commande : 95 ans après publication ou 120 après création) | Automatique dès la création ; dépôt utile pour agir en justice |
| Trademark | Marques, logos, identités commerciales | Périodes de 10 ans renouvelables indéfiniment | ™ sans dépôt ; ® après enregistrement (USPTO) |
| Patent (utility) | Inventions nouvelles, utiles, non évidentes | 20 ans à compter du dépôt (non du grant) | Examen et délivrance ; divulgation publique de l'invention |
| Trade secret | Savoir-faire confidentiel à valeur commerciale (formule, algorithme) | Illimitée — tant que le secret est activement protégé | Aucune ; NDA et mesures de protection exigés |
Le DMCA complète le copyright numérique : il pénalise le contournement des protections techniques (anti-circumvention) et offre aux hébergeurs un safe harbor — exonération s'ils retirent promptement les contenus signalés. Les licences logicielles relèvent du contrat : EULA négociée, shrink-wrap (acceptée à l'ouverture), click-through (acceptée d'un clic) — cette dernière est privilégiée car le consentement est démontrable.
« Le © survit 70 ans à son auteur ; le brevet file 20 ans dès le dépôt ; la marque se renouvelle à l'infini ; le secret vit tant qu'il se tait. » Un brevet divulgue pour protéger ; un secret cache pour protéger — c'est le choix stratégique testé (Coca-Cola n'a jamais breveté sa formule).
Le règlement européen s'applique aux données personnelles des personnes situées dans l'UE, y compris pour des entreprises hors UE qui leur offrent des biens/services ou les profilent (portée extraterritoriale). L'architecture à connaître :
| Texte | Périmètre | Le point testé |
|---|---|---|
| HIPAA | Données de santé (PHI) — covered entities et business associates | Privacy Rule + Security Rule ; le sous-traitant est lié par un BAA ; HITECH ajoute la notification |
| GLBA | Institutions financières US | Safeguards Rule (programme de sécurité) + Privacy Rule ; interdit le pretexting |
| SOX | Sociétés cotées US | Intégrité des rapports financiers ; responsabilité pénale des dirigeants (sections 302/404) |
| COPPA | Enfants de moins de 13 ans en ligne | Consentement parental vérifiable avant collecte |
| FERPA | Dossiers scolaires (établissements financés au fédéral) | Droits d'accès des parents puis de l'étudiant majeur |
| CCPA / CPRA | Consommateurs californiens | Droit de savoir, de supprimer, d'opt-out de la vente ; la CPRA crée une agence dédiée |
| PIPEDA | Secteur privé canadien | Consentement et finalités ; équivalent fédéral canadien |
| APEC Privacy Framework | Asie-Pacifique | Cadre volontaire de flux transfrontières (règles CBPR) |
Toute exigence tombe dans l'une de trois familles — et l'examen teste votre capacité à les distinguer : légale/réglementaire (GDPR, HIPAA — imposée par la puissance publique), contractuelle (PCI DSS, SLA, NDA — imposée par un contrat librement signé), standards sectoriels (ISO, NIST pour le privé — adoptés volontairement, mais opposables dès qu'un contrat ou un juge s'y réfère comme mesure du « raisonnable »).
La fintech d'Awa rachète une startup berlinoise de paiement. Avant signature, Awa mène la due diligence sécurité : audit du programme de la cible, revue de ses incidents, cartographie de ses obligations — GDPR car les clients sont européens (la startup est controller de ses données clients, son hébergeur cloud processor), PCI DSS car elle traite des cartes (obligation contractuelle, rappelle-t-elle au juriste qui parlait de « loi PCI »). Elle découvre que l'algorithme de scoring, cœur de la valeur, n'est protégé que par le secret : elle recommande NDA renforcés et cloisonnement d'accès (trade secret) plutôt qu'un brevet qui publierait la méthode. Post-acquisition, elle implémente les contrôles décidés — la due care qui concrétise la diligence — et fait valider chaque acceptation de risque résiduel par le comité de gouvernance. Chaque geste illustre la posture attendue : investiguer, conseiller, faire décider le management, exécuter dans les règles.
Conditions réelles : 30 minutes, une seule passe, réponses notées sur papier avant de consulter le corrigé.
Beyond confidentiality, integrity, and availability, which two concepts complete the five pillars of information security?
Le référentiel 2024 nomme cinq piliers : CIA + authenticity + nonrepudiation. B et C listent des services de la chaîne IAAAA, pas des piliers ; D mélange des objectifs voisins mais hors liste officielle.
An attacker modifies the amounts on invoices stored in a company database. Which security pillar is MOST directly violated?
Modification non autorisée = atteinte à l'intégrité (le « A » de la triade DAD : Alteration). Rien n'a été divulgué (A), le service reste disponible (C), et la répudiation n'est pas en jeu (D).
A customer denies having authorized a wire transfer that was actually initiated from her account. Which mechanism BEST prevents this kind of denial?
La non-répudiation exige une preuve imputable au seul client : sa signature numérique, fondée sur sa clé privée. Le chiffrement symétrique (A) utilise une clé partagée — chaque partie peut nier ; C protège sans prouver ; D conserve sans imputer.
Several administrators share a single "root" account on a critical server. Which security service is MOST directly undermined?
Un compte partagé rend impossible l'imputation d'une action à une personne : l'accountability s'effondre, même si les journaux existent. L'identification et l'autorisation fonctionnent techniquement (A, B) — c'est le maillon final de la chaîne qui casse.
Which statement BEST describes effective security governance?
Définition canonique de la gouvernance : la sécurité sert la stratégie métier. A inverse la relation ; C décrit une dérive bottom-up ; D confond gouvernance et assurance — l'auditeur vérifie, il ne gouverne pas.
During the acquisition of another company, what should the security team do FIRST?
Évaluer avant d'agir : la due diligence sur la cible précède toute intégration. A est le piège classique — connecter deux réseaux avant évaluation importe les compromissions de la cible ; C et D sont des actions prématurées sans analyse.
An organization is divesting a business unit. Which action is MOST important before the separation is finalized?
La cession crée deux risques symétriques : des sortants qui gardent des accès, et des données qui partent avec l'unité cédée. Révocation d'accès + sanitisation sont la priorité sécurité ; A, C et D sont hors sujet ou absurdes.
Who is responsible for classifying a dataset of customer records?
La classification est une décision métier : elle appartient au data owner. Le DBA est custodian — il applique (A) ; le CISO conseille et outille (C) ; l'auditeur vérifie (D). Ce partage des rôles revient à chaque examen.
An organization wants its information security management system independently certified. Which standard should it pursue?
Seul ISO 27001 définit des exigences certifiables pour un ISMS. 27002 est un guide (A) ; 800-53 un catalogue de contrôles fédéral (B) ; les CIS Controls une liste prescriptive sans schéma de certification d'organisation (D).
Which function was added in version 2.0 of the NIST Cybersecurity Framework?
Govern rejoint Identify, Protect, Detect, Respond, Recover — six fonctions en CSF 2.0. Les trois autres options appartiennent au cadre depuis l'origine.
A cloud service provider wants to sell its services to United States federal agencies. Which authorization program applies?
FedRAMP est le programme d'autorisation des offres cloud pour le fédéral américain. PCI DSS vise les cartes (A), SABSA est une méthode d'architecture (C), COBIT un cadre de gouvernance IT (D).
A company thoroughly researched industry threats and best practices, documented the findings, but never implemented any of the recommended controls. A breach occurs. Which statement is MOST accurate?
Rechercher et documenter = due diligence (savoir) ; implémenter = due care (agir) — absent ici. A inverse les termes, C ignore l'absence d'action, D est dangereusement faux : documenter des risques sans agir peut aggraver la négligence démontrée.
The "prudent person rule" is used to evaluate which of the following?
Le prudent person rule mesure le due care : le management a-t-il agi comme une personne prudente et raisonnable l'aurait fait ? Les autres options relèvent du droit de la preuve (B), des brevets (C) ou du personnel (D).
In a civil lawsuit over damages caused by a data breach, what standard of proof must the plaintiff meet?
Au civil : preponderance of the evidence — « plus probable qu'improbable ». A est le standard pénal ; B concerne les mandats et arrestations ; D surqualifie le standard civil ordinaire.
A former employee is criminally prosecuted for accessing his ex-employer's systems without authorization. Which US law MOST likely applies?
Accès non autorisé à un système : c'est le cœur du CFAA, la loi pénale fédérale du crime informatique. Privacy Act vise les agences fédérales (B), GLBA la finance (C), FISMA la sécurité des agences (D).
Which statement about PCI DSS is correct?
PCI DSS est imposé par contrat via les marques de cartes et les banques acquéreuses. Ni loi fédérale (A), ni règlement européen (B) ; et il est bel et bien sanctionnable — amendes contractuelles, perte du droit de traiter les cartes (D).
A software company wants to protect a proprietary pricing algorithm and is unwilling to disclose how it works. Which protection is MOST appropriate?
Refus de divulguer + valeur commerciale + protection active = trade secret. Le brevet exige la publication de l'invention (A) ; le copyright protège l'expression du code, pas la méthode (B) ; la marque protège l'identité commerciale (C).
How long does utility patent protection last in the United States?
20 ans à compter du dépôt de la demande. A est l'ancien régime (piège historique) ; C est la durée du copyright ; D celle des marques.
Which intellectual property protection can last indefinitely, provided it is actively maintained?
La marque se renouvelle indéfiniment par périodes de 10 ans ; le secret d'affaires dure tant qu'il est effectivement protégé. Copyright et patent ont des termes fixes — toute combinaison les incluant est fausse.
An online service provider promptly removes copyrighted material when notified by rights holders. Under the DMCA, what does this behavior provide?
Retirer promptement les contenus signalés vaut safe harbor : l'hébergeur n'est pas responsable des contenus publiés par ses utilisateurs. A surestime la portée (immunité totale) ; C confond avec l'anti-contournement ; D est absurde.
A US company plans to export commercial encryption software with both civilian and military applications. Which regime governs this export?
Double usage civil/militaire = EAR, Département du Commerce. ITAR couvre le strictement militaire (A) ; FISMA n'a rien à voir avec l'export (C) ; Wassenaar est un accord multilatéral que chaque État transpose — il ne s'applique pas « directement » comme loi US (D).
A European customer's personal data is breached at a US-based SaaS company serving EU residents. Under GDPR, what must the data controller do?
72 heures vers l'autorité de contrôle, dès la prise de connaissance. B invente un délai et un périmètre ; C ignore la portée extraterritoriale du GDPR — servir des résidents UE suffit ; D quadruple le délai.
A retailer decides which customer data to collect and why; a cloud analytics vendor processes that data on the retailer's behalf. Under GDPR, which roles apply?
Qui détermine finalités et moyens est controller — le retailer ; qui traite pour le compte d'autrui est processor — le vendor. A inverse ; C surinterprète (la co-responsabilité exige une détermination conjointe) ; D confond les rôles avec la personne concernée.
A medical billing company processes patient health information on behalf of hospitals. Which statement is correct under HIPAA?
Le prestataire qui manipule du PHI pour une covered entity est un business associate : obligations HIPAA directes, contractualisées par un BAA. A et C reproduisent l'exonération imaginaire du sous-traitant ; D invente une restriction au secteur public.
A website aimed at children collects personal information from users under 13 years of age. Which US law requires verifiable parental consent?
COPPA : consentement parental vérifiable avant toute collecte auprès des moins de 13 ans. FERPA vise les dossiers scolaires (A), GLBA la finance (C), SOX les rapports financiers des sociétés cotées (D).
≥ 20/25 : passez au chapitre 2. Entre 15 et 19 : relisez les sections des questions manquées — le bloc juridique (1.4) est le plus dense — et refaites le quiz demain. < 15 : relisez le chapitre entier, en récitant les deux tableaux (IP et lois sectorielles) avant la seconde tentative.