CISSP · Réussir du premier coup
Domaine 1, deuxième partie : les types d'enquêtes, la pyramide documentaire, la BIA et ses calculs, la sécurité des personnes.
Toute enquête se classe selon qui la conduit et quel niveau de preuve elle exige. Cette classification décide de tout le reste : rigueur de la collecte, chaîne de custody, conséquences possibles. L'erreur fatale — et testée — est de traiter avec légèreté une affaire qui pourrait finir au pénal : on ne peut jamais « durcir » rétroactivement des preuves mal collectées.
| Type | Conduite par | Standard de preuve | Issue typique |
|---|---|---|---|
| Administrative | L'organisation elle-même (RH, sécurité) | Le plus souple — préponderance interne, règles de l'entreprise | Sanction disciplinaire, correctif opérationnel |
| Criminal | Forces de l'ordre, procureur | Beyond a reasonable doubt — le plus exigeant | Prison, amendes pénales |
| Civil | Parties privées (avocats) | Preponderance of the evidence | Dommages et intérêts |
| Regulatory | Agence gouvernementale (autorité sectorielle) | Selon le régime — peut basculer civil ou pénal | Amendes, sanctions, retrait d'agrément |
| Industry standards | Assesseurs mandatés par contrat (ex. PFI pour PCI DSS) | Termes du contrat | Pénalités contractuelles, perte du droit de traiter |
Deux réflexes de manager : d'abord, qualifier l'enquête avant de collecter — si une issue pénale est plausible, appliquer d'emblée les standards les plus stricts (chaîne de custody complète, forensics — détaillés au chapitre 18). Ensuite, savoir ce que coûte l'appel aux forces de l'ordre : on gagne des pouvoirs d'enquête, on perd le contrôle du calendrier, de la confidentialité et du matériel saisi.
La documentation de sécurité s'étage du stratégique à l'opérationnel. Chaque niveau a une fonction, un degré d'obligation et un signataire — trois attributs que l'examen teste en permutation.
| Document | Nature | Obligatoire ? | Exemple |
|---|---|---|---|
| Policy | Intention stratégique de haut niveau ; approuvée par le management senior ; stable dans le temps | Oui | « L'information est classifiée et protégée selon sa sensibilité » |
| Standard | Exigence uniforme et précise (technologies, formats) | Oui | « Le chiffrement au repos utilise AES-256 » |
| Baseline | Socle minimal de sécurité d'un système ; point de référence mesurable | Oui | Configuration durcie de référence des serveurs Linux |
| Guideline | Recommandation, bonne pratique adaptable | Non | « Privilégier les phrases de passe longues » |
| Procedure | Mode opératoire pas à pas (SOP) | Oui | Les 12 étapes de création d'un compte |
Trois familles de policies : organizational (la politique maîtresse, qui fonde le programme), issue-specific / functional (un sujet transverse : email, usage acceptable, télétravail), system-specific (un système donné : la politique du mainframe de paie). La politique ne cite jamais de technologies — c'est le rôle des standards ; elle survit ainsi aux changements d'outils.
« La Politique parle, le Standard précise, la Baseline borne, le Guide conseille, la Procédure prescrit. » Un seul document se contente de conseiller : tout est obligatoire sauf la guideline.
Le Business Continuity Plan vise à maintenir l'activité pendant et après une perturbation : périmètre stratégique, centré sur les processus métier, les personnes et les communications. Le Disaster Recovery Plan vise à restaurer l'infrastructure IT après un sinistre : périmètre tactique et technique. Le DR est un sous-ensemble de l'effort de continuité : le DRP s'active quand la perturbation a dépassé ce que le BCP pouvait absorber. Une question qui parle de « restaurer les serveurs au site de secours » vit dans le DRP (chapitre 20) ; une question qui parle de « quelles fonctions maintenir en priorité » vit ici.
La BIA identifie les fonctions critiques de l'organisation, mesure l'impact de leur interruption et en déduit les priorités de continuité. Elle inclut les dépendances externes — fournisseurs, énergie, télécoms, prestataires cloud : une fonction n'est jamais plus résiliente que la dépendance dont elle ne peut se passer. Ses livrables clés sont quatre métriques temporelles et trois valeurs financières.
| Métrique | Définition | Le point testé |
|---|---|---|
| MTD / MAD | Maximum Tolerable Downtime : durée d'interruption au-delà de laquelle le dommage devient irréparable | Le mur infranchissable — fixé par le métier, pas par l'IT |
| RTO | Recovery Time Objective : délai cible pour remettre le service en route | RTO ≤ MTD, toujours |
| WRT | Work Recovery Time : temps, après restauration technique, pour vérifier et reprendre le travail normal | RTO + WRT ≤ MTD |
| RPO | Recovery Point Objective : perte de données maximale tolérable, exprimée en temps | Regarde en arrière ; dicte la fréquence des sauvegardes/réplication |
« RPO regarde en arrière, RTO court devant, WRT range l'atelier, MTD est le mur. » Et pour les formules : une fois = SLE, un an = ALE — la chaîne complète s'écrit AV × EF = SLE, puis SLE × ARO = ALE.
Le rôle du management senior traverse tout le processus : il déclenche le projet, arbitre les priorités issues de la BIA (c'est une décision métier, pas technique), approuve le plan final et porte la responsabilité de son existence — un BCP absent ou périmé est un défaut de due care qui lui est directement imputable.
L'humain est à la fois le premier actif et le premier vecteur de risque. Le cycle de vie de l'employé se sécurise de bout en bout — et chaque étape a son contrôle phare.
Le départ — surtout contraint — est l'instant le plus dangereux du cycle. La règle d'or : les accès sont désactivés au moment même de la notification, jamais « en fin de journée ». Le processus type d'un licenciement : coordination RH/sécurité, désactivation des comptes synchronisée avec l'entretien, récupération des actifs (badge, portable, tokens), rappel écrit des obligations du NDA, escorte de sortie. Pour un départ amical, la rigueur reste la même — les statistiques de vol de données par les partants ne distinguent pas l'humeur du départ.
Les externes reçoivent le même traitement plus des garde-fous contractuels : NDA systématique, accès limités dans le temps et le périmètre, comptes nominatifs (jamais partagés — souvenez-vous de l'accountability, chapitre 1), surveillance renforcée, clauses de sécurité et SLA. Le risque multipartite se gère par contrat et par revue — c'est l'antichambre du SCRM traité au chapitre 3.
La BIA de la plateforme de paiement fusionnée occupe Awa trois semaines. Les métiers fixent le MTD du traitement des paiements à 4 heures ; l'IT propose un RTO de 2 heures, laissant 2 heures de WRT — l'équation tient. Le RPO exigé est de 5 minutes : la sauvegarde nocturne ne suffit plus, il faut une réplication continue. Pour la financer, Awa parle la langue du comité : l'indisponibilité coûte 150 000 $ de l'heure, l'ALE des pannes majeures atteint 300 000 $ ; la réplication à 90 000 $/an qui la ramène à 40 000 $ vaut donc + 170 000 $ par an. Approbation immédiate. Le même mois, un administrateur hérité de l'acquisition est licencié pour contournement des contrôles : ses accès tombent pendant l'entretien RH, son NDA lui est rappelé par écrit, et l'enquête — d'abord administrative — est documentée avec la rigueur du pénal, au cas où le parquet s'en saisirait.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
Which type of investigation requires the HIGHEST standard of evidence?
Le pénal exige beyond a reasonable doubt — le standard le plus élevé, car la liberté est en jeu. Le civil se contente de la prépondérance (B), l'administratif des règles internes (A), le réglementaire varie selon le régime (D).
Human resources investigates an employee suspected of violating the acceptable use policy. What type of investigation is this?
Enquête interne, conduite par l'organisation, sur une violation de politique : administrative. Aucune infraction pénale alléguée (A), aucune agence (C), aucun litige entre parties (D).
A financial supervisory agency opens an inquiry into a bank's compliance with capital security rules. What type of investigation is this?
Une agence gouvernementale qui contrôle le respect de sa réglementation mène une investigation réglementaire. Industry standards serait contractuel (B) ; l'administratif est interne (C) ; le civil oppose des parties privées (D).
After a card data breach, a merchant undergoes a forensic investigation mandated by its payment processing contract. What type of investigation is this?
PCI DSS est contractuel (chapitre 1) : l'enquête forensique qu'il impose relève des industry standards. Ni procureur (A), ni agence (B), ni procès entre parties (C) — même si chacun peut suivre.
An internal investigation may lead to criminal prosecution. What should the investigation team do?
On ne peut pas durcir rétroactivement des preuves : si le pénal est plausible, on collecte d'emblée au standard le plus strict. B est l'erreur fatale ; C sacrifie les données volatiles qui disparaissent en attendant ; D optimise le temps au prix du dossier.
Which security document is advisory rather than mandatory?
Seule la guideline est une recommandation adaptable. Standards, baselines et procédures sont tous obligatoires — le mnémonique : tout est obligatoire sauf le Guide.
Which document defines the minimum security configuration that every server must meet?
Le socle minimal mesurable d'un système est la baseline. La policy reste stratégique (A), la guideline n'oblige pas (C), la BIA analyse des impacts (D).
Who should approve the organizational security policy?
La politique organisationnelle engage toute l'entreprise : seul le management senior a l'autorité — et la responsabilité — de la signer. Le CISO la rédige et la propose (A) ; le juridique la relit (C) ; les techniciens l'alimentent (D).
A document lists the exact steps for provisioning a new user account. What is it?
Des étapes exécutables une à une : c'est la définition de la procédure (SOP). La policy dit pourquoi, le standard dit quoi, la procédure dit comment, pas à pas.
Why should a security policy avoid naming specific technologies?
La politique fixe une intention durable ; les technologies changent — elles vivent dans les standards, révisés plus souvent. B, C et D n'ont aucun fondement (et C est faux : la policy est obligatoire).
Which statement BEST describes the relationship between business continuity and disaster recovery?
Le DR restaure l'IT ; il est un sous-ensemble de l'effort de continuité, qui vise le maintien de l'activité. C inverse la hiérarchie, D inverse les périmètres, A nie la distinction.
What is the FIRST phase of business continuity planning?
Scope & planning ouvre le processus : organisation, équipe, ressources, cadre légal. La BIA vient en deuxième (A) — piège classique, car elle est l'étape la plus connue.
Which factor is MOST critical to the success of a business continuity program?
Sans le soutien et l'approbation du management senior, le BCP n'a ni budget, ni autorité, ni participation des métiers. L'outil (A), la taille d'équipe (C) et le pentest (D) sont secondaires ou hors sujet.
What is the PRIMARY purpose of the business impact analysis?
Identifier les fonctions critiques et chiffrer l'impact de leur interruption — pour prioriser. B décrit le DRP, C les tests (chapitre 20), D n'est jamais une bonne réponse CISSP.
Who should determine the maximum tolerable downtime of the order-processing function?
Le MTD est une décision métier : combien de temps l'activité survit sans la fonction. L'IT en déduit le RTO (A et C inversent la logique) ; l'auditeur vérifie, il ne fixe pas (D).
A function has an MTD of 8 hours. Which combination of objectives is acceptable?
Il faut RTO + WRT ≤ MTD : 5 + 2 = 7 ≤ 8 ✓. A donne 10 > 8 ; B donne 10 > 8 ; D a un RTO qui dépasse déjà le mur.
A business unit states it can afford to lose at most 15 minutes of transaction data. Which metric captures this requirement, and what does it drive?
« Perte de données maximale » = RPO, qui regarde en arrière et dicte la fréquence de sauvegarde/réplication (15 minutes → réplication quasi continue). Les trois autres métriques regardent la restauration, pas la donnée.
A warehouse is valued at $800,000. A fire would destroy 40% of it. What is the single loss expectancy?
SLE = AV × EF = 800 000 × 0,40 = 320 000 $. A oublie un zéro ; C invente ; D suppose EF = 100 %.
The SLE of a power outage is $60,000 and such an outage is expected once every four years. What is the annualized loss expectancy?
ARO = 1/4 = 0,25 ; ALE = 60 000 × 0,25 = 15 000 $. A multiplie au lieu de diviser la fréquence ; B confond SLE et ALE ; D divise par 10.
A safeguard costing $25,000 per year would reduce an ALE from $120,000 to $30,000. What is the annual value of the safeguard to the organization?
Valeur = ALE₁ − ALE₂ − ACS = 120 000 − 30 000 − 25 000 = 65 000 $. A oublie le coût du contrôle ; C ignore tout le calcul ; D soustrait dans le désordre.
During the BIA, the team discovers that payment processing depends entirely on a single telecom provider. How should this be treated?
Les dépendances externes font partie intégrante de la BIA : on les documente et on les intègre aux priorités (redondance de fournisseur, clauses contractuelles). A est un angle mort classique ; C n'existe pas ; D est absurde.
What principle should guide the depth of pre-employment background checks?
Proportionnalité au risque du poste : un administrateur de systèmes critiques justifie des vérifications approfondies, un poste sans accès sensible non. A gaspille et peut violer le droit local ; C et D confondent des contrôles distincts.
Which statement about non-disclosure agreements is correct?
Le NDA survit au contrat de travail — c'est sa raison d'être : la confidentialité n'expire pas avec le badge. A est le contresens testé ; C et D n'ont aucun fondement.
An employee is being terminated for cause this afternoon. When should his system access be disabled?
La désactivation se synchronise avec la notification : entre l'annonce et la coupure, un partant mécontent a tous les motifs et tous les accès. B, C et D laissent la fenêtre ouverte — C au nom d'un « handover » qui se prépare avant, avec les accès d'un tiers.
An employee moves from the finance team to the procurement team. What is the MOST important access management action?
Le transfert est le moment du privilege creep : revue complète, retrait des droits de l'ancien rôle, puis attribution du nouveau au moindre privilège. A saute la revue, C institutionnalise l'accumulation, D multiplie les identités sans régler le fond.
≥ 20/25 : passez au chapitre 3 — le cœur du domaine 1. Entre 15 et 19 : refaites les cinq calculs de la BIA sur papier et relisez les sections manquées. < 15 : relisez le chapitre ; les formules AV × EF = SLE et SLE × ARO = ALE doivent devenir des automatismes avant le chapitre 3, qui les généralise.