CISSP · Réussir du premier coup

Chapitre 3
Risque, threat modeling,
supply chain, awareness

Domaine 1, troisième partie : le chapitre le plus rentable de l'examen — la gestion du risque de bout en bout.

Domaine
1 — Security & Risk Management · 16 %
Objectifs couverts
1.9 · 1.10 · 1.11 · 1.12
Entraînement
10 exercices chiffrés + 25 questions
L'essentiel en 60 secondes
  • Pas de risque sans la rencontre d'une threat et d'une vulnerability : risk = threat × vulnerability.
  • Qualitatif = jugement (Delphi, matrices) ; quantitatif = monnaie (AV × EF = SLE ; SLE × ARO = ALE).
  • Cinq réponses au risque : avoid, transfer (assurance cyber), mitigate, accept, reject — rejeter/ignorer = négligence.
  • Transférer ou externaliser ne transfère jamais l'accountability.
  • Risque inhérent (avant contrôles) → contrôles → risque résiduel, accepté par le management senior.
  • 3 catégories de contrôles (administrative, technical, physical) × 7 types (preventive, detective, corrective, recovery, deterrent, directive, compensating).
  • NIST RMF, 7 étapes : Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor.
  • STRIDE mappe six menaces sur six propriétés ; PASTA déroule 7 étapes centrées risque/métier ; DREAD note ; ATT&CK catalogue les techniques adverses.
  • SCRM : contrefaçons, implants, mises à jour piégées (SolarWinds) ; se défendre par SOC 2 Type II, exigences contractuelles, SBOM, silicon root of trust.
  • Awareness change les comportements, training donne des compétences, education construit une expertise — et tout programme se mesure (taux de clic phishing).

Objectif 1.9La gestion du risque

Le vocabulaire exact — la chaîne du risque

L'examen teste ces définitions au mot près. La chaîne se lit : un threat agent porte une threat, qui exploite une vulnerability, créant une exposure ; la probabilité et l'impact de cette rencontre forment le risk, qu'un safeguard vient réduire pour protéger l'asset.

TermeDéfinition exacteExemple
AssetToute chose ayant de la valeur pour l'organisationBase clients, réputation, personnel
VulnerabilityFaiblesse ou absence de contrôleServeur non patché, porte sans serrure
ThreatÉvénement potentiel susceptible de causer un dommageRansomware, inondation, erreur humaine
Threat agent / actorEntité qui porte ou déclenche la menaceCybercriminel, employé négligent, tempête
ExposureFait d'être susceptible de subir la perteServeur vulnérable exposé sur Internet
RiskProbabilité qu'une menace exploite une vulnérabilité × impactALE de 120 000 $ sur le vol de portables
Safeguard / countermeasureContrôle qui réduit le risqueChiffrement de disque, formation
AttackTentative intentionnelle d'exploitationCampagne de phishing ciblée
BreachContournement réussi des contrôlesExfiltration effective des données

Corollaire décisif : supprimer l'un des deux facteurs annule le risque. Une vulnérabilité sans menace qui puisse l'atteindre (système isolé) ou une menace sans vulnérabilité correspondante ne produit pas de risque — c'est le raisonnement attendu quand une question demande « quel est le risque réel ? ». Trois niveaux d'organisation encadrent l'ensemble : l'appétit de risque (niveau global que l'organisation accepte de prendre pour atteindre ses objectifs), la tolérance (écart acceptable autour de l'appétit, risque par risque), la capacité (maximum absorbable sans mettre en péril l'organisation).

Analyser : qualitatif contre quantitatif

ApprocheOutilsForcesLimites
QualitativeMatrices probabilité/impact, brainstorming, interviews, Delphi (consensus anonyme d'experts, par tours successifs)Rapide, sans données chiffrées, mobilise l'expertiseSubjective, difficile à défendre budgétairement
QuantitativeAV, EF, SLE, ARO, ALE, ACSRésultats monétaires, arbitrages coût/bénéfice objectifsExige des données fiables ; longue et coûteuse
Hybride (semi-quantitative)Échelles chiffrées sur jugements qualitatifsLe compromis usuel en pratiqueHérite un peu des deux limites
Exercices — dix calculs corrigés
  1. AV 1 000 000 $, EF 10 %, ARO 0,5. SLE = 100 000 $ ; ALE = 50 000 $.
  2. Salle serveurs de 400 000 $ ; un incendie en détruirait 75 % ; attendu tous les 10 ans. SLE = 300 000 $ ; ARO = 0,1 ; ALE = 30 000 $.
  3. Fraude au président : 2 000 $ par incident réussi, 12 incidents par an. SLE = 2 000 $ ; ARO = 12 ; ALE = 24 000 $.
  4. Choisir : contrôle A (20 000 $/an, ALE 60 000 → 15 000 $) ou B (40 000 $/an, ALE 60 000 → 5 000 $) ? Valeur A = 60 − 15 − 20 = 25 000 $ ; valeur B = 60 − 5 − 40 = 15 000 $. A gagne — le contrôle le plus efficace n'est pas toujours le plus rentable.
  5. ALE = 5 000 $, SLE = 25 000 $ : quel ARO ? ARO = 5 000 / 25 000 = 0,2 (une fois tous les 5 ans).
  6. SLE = 90 000 $, AV = 300 000 $ : quel EF ? EF = 90 000 / 300 000 = 30 %.
  7. Assurance inondation : prime 12 000 $/an, ALE couvert 10 000 $. La prime dépasse la perte attendue : accepter plutôt que transférer — le transfert se paie, il n'est rationnel que sous l'ALE (ou pour lisser un SLE catastrophique).
  8. ALE inhérent 100 000 $ ; un contrôle réduit le risque de 80 %. ALE résiduel = 20 000 $ — que le management senior doit formellement accepter.
  9. 20 portables volés/an à 5 000 $ (EF 100 %) ; le chiffrement intégral réduit la perte au seul matériel, EF 40 % ; coût 15 000 $/an. ALE avant = 100 000 $ ; après = 40 000 $ ; valeur = 100 − 40 − 15 = + 45 000 $ : on déploie.
  10. Indisponibilité : 8 000 $/heure, pannes de 6 h attendues deux fois par an ; générateur à 50 000 $/an. SLE = 48 000 $ ; ALE = 96 000 $ ; valeur = 96 − 0 − 50 = + 46 000 $ (en supposant la panne éliminée).

Répondre au risque

RéponseDéfinitionExemple
AvoidCesser ou ne pas entreprendre l'activité porteuse du risqueFermer le service dont le risque excède le bénéfice
Transfer / assignDéplacer la charge financière vers un tiersCybersecurity insurance, clauses contractuelles, externalisation
Mitigate / reduceImplémenter des contrôles qui réduisent probabilité ou impactPatch, chiffrement, formation
AcceptDécision documentée du management de vivre avec le risqueRisque sous l'appétit, coût du contrôle disproportionné
Reject / ignoreNier ou ignorer un risque connu — jamais acceptable= négligence caractérisée (défaut de due care)

Deux nuances éliminatoires. Accepter n'est pas ignorer : l'acceptation est consciente, documentée, signée — l'ignorance est une faute. Et le transfert ne déplace que la charge financière : l'assurance rembourse, l'infogéreur opère, mais la responsabilité (accountability) vis-à-vis des clients et régulateurs reste à l'organisation. Après traitement, le risque inhérent (avant contrôles) devient risque résiduel — celui que le management senior accepte formellement.

Les contrôles : 3 catégories × 7 types

Chaque contrôle se décrit sur deux axes : sa catégorie (comment il est mis en œuvre) et son type (l'effet qu'il produit dans le temps de l'attaque). L'examen adore demander la double classification d'un contrôle donné.

Type ↓ / Catégorie →AdministrativeTechnicalPhysical
PreventiveSeparation of duties, screeningFirewall, MFA, chiffrementMantrap, serrures, clôture
DetectiveAudits, revues d'accès, vacances obligatoiresIDS, revue de logs, SIEMCCTV, détecteurs de mouvement
CorrectiveProcédure de réponse à incidentQuarantaine antivirus, patch d'urgenceExtincteurs
RecoveryPlan DR, plan de continuitéSauvegardes, restauration, clusteringSite de secours
DeterrentPolitique de sanctionsBannières d'avertissementÉclairage, panneaux, gardiens visibles
DirectivePolitiques, AUP, consignesMessages de configuration imposéeSignalétique « issue de secours »
CompensatingContrôle alternatif quand le contrôle principal est impossible — ex. surveillance renforcée + segmentation autour d'un système legacy non patchable

Distinctions fines à maîtriser : le deterrent agit sur la psychologie (il suppose que l'attaquant le voie), le preventive bloque physiquement ou logiquement ; le corrective répare ponctuellement après l'incident, le recovery restaure à plus grande échelle (sauvegardes, site de secours).

Évaluer, surveiller, rapporter, mûrir

Les frameworks de risque

FrameworkNatureLe point testé
NIST RMF (SP 800-37)Cycle de vie du risque des systèmes — fédéral US7 étapes ordonnées : Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor
ISO 31000Principes génériques de management du risque d'entreprise (tous risques, pas seulement IT)Cadre de gouvernance, non certifiable
ISO 27005Gestion du risque de sécurité de l'information (complète 27001)Le compagnon « risque » de l'ISMS
FAIRFactor Analysis of Information RiskQuantification financière du risque cyber
TARAThreat Agent Risk AssessmentPriorise selon les agents de menace les plus probables
🧠 Mnémonique — NIST RMF

« People Can See I Am Always Monitoring » — Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor. L'Authorize (décision d'un officiel responsable) précède toujours le Monitor : on autorise, puis on surveille en continu.

⚠️ Pièges d'examen
  • Menace sans vulnérabilité, ou l'inverse : pas de risque. Cherchez toujours si les deux facteurs sont réunis.
  • Accepter (documenté, signé) ≠ ignorer (négligence). Un distracteur proposera « le risque est faible, on peut l'ignorer ».
  • Assurance ou externalisation : la responsabilité reste. « Le fournisseur est responsable » est toujours faux.
  • Deterrent vs preventive : le panneau dissuade, la serrure empêche. Si le contrôle fonctionne même quand personne ne le voit, il est préventif.
  • Corrective vs recovery : redémarrer un service = corrective ; reconstruire depuis les sauvegardes ou basculer sur site de secours = recovery.
  • KRI = indicateur prospectif de risque ; KPI = mesure de performance. Les distracteurs les intervertissent.
  • RMF : Prepare est bien la première étape ; Categorize vient ensuite.

Objectif 1.10Threat modeling

Le threat modeling identifie, catégorise et priorise les menaces pendant la conception — c'est sa valeur : corriger sur le papier coûte des ordres de grandeur de moins qu'en production. Trois angles d'attaque du problème : partir des attaquants (qui nous vise, avec quels moyens — approche renseignement), des assets (qu'est-ce qui a de la valeur, qui pourrait le vouloir), ou du logiciel (où sont les faiblesses de ce qu'on construit).

STRIDE — catégoriser les menaces

LettreMenacePropriété attaquée
SSpoofingAuthentication (authenticité de l'identité)
TTamperingIntegrity
RRepudiationNonrepudiation
IInformation disclosureConfidentiality
DDenial of serviceAvailability
EElevation of privilegeAuthorization

Né chez Microsoft, STRIDE s'applique élément par élément sur un diagramme de flux de données. Le réflexe d'examen : d'un scénario (« l'utilisateur nie avoir passé l'ordre »), retrouver la lettre (Repudiation) et la propriété visée.

PASTA — dérouler le risque

Process for Attack Simulation and Threat Analysis : méthodologie en sept étapes, centrée sur le risque et alignée sur les objectifs métier — sa signature face à STRIDE, purement technique :

  1. Definition of Objectives — objectifs métier et de sécurité.
  2. Definition of Technical Scope — périmètre technique.
  3. Application Decomposition — décomposer l'application.
  4. Threat Analysis — analyser les menaces.
  5. Vulnerability & Weakness Analysis — recenser les faiblesses.
  6. Attack Modeling & Simulation — modéliser et simuler les attaques.
  7. Risk Analysis & Management — chiffrer et traiter le risque.

Les autres méthodes et outils

🧠 Mnémonique

STRIDE découvre, DREAD note, PASTA gère. Trois verbes pour ne plus confondre les rôles : catégoriser les menaces (STRIDE), les prioriser par score (DREAD), dérouler le processus complet du métier jusqu'au traitement du risque (PASTA, 7 étapes).

Objectif 1.11Supply Chain Risk Management

Votre sécurité vaut celle de votre maillon le plus faible — et beaucoup de maillons ne vous appartiennent pas. Le SCRM traite les risques hérités du matériel, du logiciel et des services acquis.

Les risques

Se défendre

Objectif 1.12Awareness, training, education

Trois niveaux, trois finalités — la distinction tombe à chaque examen :

NiveauFinalitéExemple
AwarenessCapter l'attention, changer les comportements quotidiens de tousCampagnes, affiches, simulations de phishing
TrainingDonner des compétences pour tenir un rôleFormer les admins au durcissement des serveurs
EducationConstruire une expertise large, orientée carrièreDiplôme, certification — le CISSP lui-même
Scénario fil rouge — Awa

Trimestre chargé. Awa consolide son registre des risques et présente au comité un KRI qui monte : le délai moyen de patching dérive. Sur le risque de fraude au paiement, le calcul tranche — ALE 300 000 $, contrôle anti-fraude à 80 000 $/an ramenant l'ALE à 60 000 $, valeur nette + 160 000 $ : mitigation approuvée. Le risque résiduel de 60 000 $ passe sous l'appétit fixé par le conseil ; une cyber-assurance le transfère en partie — Awa rappelle en séance que l'assurance indemnise mais que la responsabilité vis-à-vis du régulateur reste entière. Côté produit, la nouvelle API de paiement passe au STRIDE avec l'équipe de dev et son security champion : deux menaces d'élévation de privilège corrigées sur le diagramme, avant la première ligne de code. Le fournisseur KYC, lui, doit produire son SOC 2 Type II et un SBOM — depuis SolarWinds, la confiance se documente. Enfin, la simulation de phishing trimestrielle tombe : taux de clic passé de 18 % à 6 % en un an, taux de signalement doublé — le programme d'awareness tient ses chiffres, et le comité le voit.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

An unpatched service is running on a server. In risk management terms, what does the missing patch represent?

  1. A threat
  2. A vulnerability
  3. A risk
  4. An exposure
Voir la réponse Réponse : B

Une faiblesse ou l'absence d'un contrôle = vulnerability. La menace serait l'attaquant qui l'exploite (A) ; le risque naît de leur rencontre (C) ; l'exposition en est la conséquence (D).

Question 2

A legacy system has a critical vulnerability, but it is fully isolated with no network connectivity and no physical access for untrusted personnel. What is the MOST accurate risk statement?

  1. The risk is critical because the vulnerability is critical
  2. The risk is minimal because no credible threat can reach the vulnerability
  3. There is no vulnerability since the system is isolated
  4. The risk must be transferred to the vendor
Voir la réponse Réponse : B

Risk = threat × vulnerability : la vulnérabilité existe (C est faux), mais aucun agent de menace crédible ne peut l'atteindre — le risque est minimal. A confond gravité de la vulnérabilité et niveau de risque ; D invente une réponse hors sujet.

Question 3

Which term describes the overall level of risk an organization is willing to pursue in order to achieve its objectives?

  1. Risk tolerance
  2. Risk capacity
  3. Risk appetite
  4. Residual risk
Voir la réponse Réponse : C

L'appétit est le niveau global voulu pour servir les objectifs. La tolérance est l'écart admis autour de l'appétit, risque par risque (A) ; la capacité est le maximum absorbable (B) ; le résiduel est ce qui reste après contrôles (D).

Question 4

A risk team gathers expert opinions anonymously over several rounds until consensus emerges. Which technique is being used?

  1. The Delphi technique
  2. Fagan inspection
  3. Monte Carlo simulation
  4. Reduction analysis
Voir la réponse Réponse : A

Consensus anonyme par tours successifs = Delphi, l'outil qualitatif emblématique (l'anonymat neutralise hiérarchie et conformisme). Fagan est une revue de code (B, chapitre 16), Monte Carlo une simulation statistique (C), la reduction analysis une décomposition de système (D).

Question 5

What is the PRIMARY advantage of quantitative risk analysis over qualitative analysis?

  1. It is faster to perform
  2. It requires no historical data
  3. It produces monetary results that support cost-benefit decisions
  4. It eliminates subjectivity entirely
Voir la réponse Réponse : C

Le quantitatif parle la langue du budget : des dollars comparables au coût des contrôles. Il est plus lent (A), exige des données (B), et garde une part de jugement dans ses hypothèses (D).

Question 6

An asset worth $250,000 would lose 40% of its value in a given incident, expected once every five years. What is the annualized loss expectancy?

  1. $100,000
  2. $50,000
  3. $20,000
  4. $10,000
Voir la réponse Réponse : C

SLE = 250 000 × 0,40 = 100 000 $ ; ARO = 0,2 ; ALE = 20 000 $. A s'arrête au SLE ; B et D se trompent de facteur.

Question 7

A safeguard costing $40,000 per year reduces an ALE from $90,000 to $20,000. What is its annual value to the organization?

  1. $70,000
  2. $30,000
  3. $50,000
  4. $90,000
Voir la réponse Réponse : B

Valeur = ALE₁ − ALE₂ − ACS = 90 000 − 20 000 − 40 000 = 30 000 $. A oublie le coût du contrôle ; C et D mélangent les termes.

Question 8

An organization purchases a cybersecurity insurance policy to cover potential breach costs. Which risk response is this?

  1. Mitigation
  2. Avoidance
  3. Transference
  4. Acceptance
Voir la réponse Réponse : C

L'assurance déplace la charge financière vers un tiers : transfert — la réponse citée par le référentiel 2024 sous « cybersecurity insurance ». Rien n'est réduit (A), l'activité continue (B), et la décision est active, pas passive (D).

Question 9

A company outsources its payroll processing to a third party. Which statement is correct?

  1. All responsibility for payroll data now rests with the provider
  2. The company remains accountable for the security of its payroll data
  3. The risk has been avoided
  4. No due diligence on the provider is required after contract signature
Voir la réponse Réponse : B

L'externalisation transfère l'opération, jamais l'accountability : clients et régulateurs continuent de regarder l'entreprise. A est le contresens testé ; C confond transfert et évitement ; D nie la surveillance continue des tiers (SCRM).

Question 10

After analysis, management concludes that a new service's risks outweigh its expected benefits and cancels the project. Which risk response is this?

  1. Acceptance
  2. Mitigation
  3. Avoidance
  4. Rejection
Voir la réponse Réponse : C

Ne pas entreprendre l'activité porteuse du risque = avoidance — la seule réponse qui fait disparaître le risque en supprimant sa source. La rejection (D) serait continuer en niant le risque.

Question 11

What is residual risk?

  1. The risk that existed before any controls were applied
  2. The risk remaining after controls have been implemented
  3. The risk transferred to an insurance company
  4. The maximum risk the organization can absorb
Voir la réponse Réponse : B

Résiduel = ce qui reste après les contrôles — c'est lui que le management senior accepte. A décrit le risque inhérent ; C un transfert ; D la capacité.

Question 12

A manager is aware of a significant risk but decides to do nothing, without any analysis or documentation. How is this BEST characterized?

  1. Legitimate risk acceptance
  2. Risk rejection, which may constitute negligence
  3. Risk avoidance
  4. Prudent cost saving
Voir la réponse Réponse : B

Sans analyse ni documentation, ce n'est pas une acceptation : c'est un rejet du risque, une négligence caractérisée (défaut de due care, chapitre 1). L'acceptation légitime (A) est consciente, chiffrée, signée.

Question 13

Restoring operations from backups after a ransomware incident is which type of control?

  1. Preventive
  2. Detective
  3. Corrective
  4. Recovery
Voir la réponse Réponse : D

Restaurer l'activité depuis les sauvegardes est un contrôle de recovery — restauration à grande échelle après incident. Corrective (C) désignerait un correctif ponctuel (quarantaine, redémarrage) ; la nuance corrective/recovery est un piège récurrent.

Question 14

A critical legacy system cannot be patched. The team implements enhanced monitoring and strict network segmentation around it instead. What type of control is this?

  1. Compensating
  2. Deterrent
  3. Directive
  4. Corrective
Voir la réponse Réponse : A

Le contrôle principal (patcher) étant impossible, des contrôles alternatifs atteignent le même objectif : compensating. Rien de psychologique (B), pas une consigne (C), rien à réparer (D).

Question 15

Mandatory vacation policies are BEST classified as which category and type of control?

  1. Technical, preventive
  2. Administrative, detective
  3. Physical, deterrent
  4. Administrative, corrective
Voir la réponse Réponse : B

Une politique RH (catégorie administrative) qui révèle les fraudes en forçant un remplaçant à tenir le poste : type detective. Elle ne bloque rien a priori (A) et ne répare rien (D).

Question 16

In the NIST Risk Management Framework, which step comes immediately after "Select"?

  1. Categorize
  2. Assess
  3. Implement
  4. Authorize
Voir la réponse Réponse : C

Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor. « People Can See I Am Always Monitoring » — après avoir sélectionné les contrôles, on les implémente.

Question 17

Which framework is specifically designed to quantify information risk in financial terms?

  1. ISO 31000
  2. FAIR
  3. STRIDE
  4. COBIT
Voir la réponse Réponse : B

FAIR décompose et quantifie le risque en termes financiers. ISO 31000 est un cadre générique (A), STRIDE catégorise des menaces (C), COBIT gouverne l'IT (D).

Question 18

Which statement BEST describes a key risk indicator (KRI)?

  1. A measure of past security team performance
  2. A forward-looking metric that warns of increasing risk exposure
  3. A financial statement of annual losses
  4. A list of all known vulnerabilities
Voir la réponse Réponse : B

Le KRI regarde devant : il alerte quand l'exposition monte (délai de patching qui dérive, comptes dormants qui s'accumulent). A décrit un KPI ; C un reporting financier ; D un inventaire.

Question 19

During threat modeling, the team considers the scenario "a customer denies having initiated a payment order." Which STRIDE category does this fall under?

  1. Spoofing
  2. Tampering
  3. Repudiation
  4. Information disclosure
Voir la réponse Réponse : C

Nier avoir accompli une action = Repudiation, l'attaque contre la non-répudiation. Le spoofing usurperait l'identité pour agir (A) ; ici le client conteste sa propre action.

Question 20

An attacker who compromises a standard user account finds a flaw allowing him to gain administrator rights. Which STRIDE category applies?

  1. Denial of service
  2. Elevation of privilege
  3. Spoofing
  4. Tampering
Voir la réponse Réponse : B

Passer d'un compte standard aux droits administrateur = Elevation of privilege, l'attaque contre l'autorisation. Le compte initial est légitime — pas de spoofing (C).

Question 21

Which characteristic distinguishes PASTA from STRIDE?

  1. PASTA is a seven-stage, risk-centric methodology aligned with business objectives
  2. PASTA only applies to physical security
  3. PASTA is a scoring system for ranking threats
  4. PASTA was designed exclusively for agile development
Voir la réponse Réponse : A

PASTA = sept étapes, du business à la gestion du risque — c'est sa signature face à STRIDE, purement technique. C décrit DREAD ; D évoque VAST ; B est fantaisiste.

Question 22

In reduction analysis, which elements does the team identify when decomposing a system?

  1. Trust boundaries, data flow paths, input points, and privileged operations
  2. Asset values, exposure factors, and annualized rates
  3. Recovery time and recovery point objectives
  4. Employee roles and background check results
Voir la réponse Réponse : A

La décomposition cherche les trust boundaries, flux de données, points d'entrée et opérations privilégiées — la carte des points faibles. B liste le vocabulaire quantitatif ; C la BIA ; D le personnel.

Question 23

What is the PRIMARY purpose of a software bill of materials (SBOM)?

  1. To scan software for malware before installation
  2. To inventory the components and dependencies of software so vulnerable elements can be identified quickly
  3. To license software to end customers
  4. To replace penetration testing of applications
Voir la réponse Réponse : B

Le SBOM est un inventaire de composants : quand une CVE tombe (Log4j), on sait immédiatement où l'on est exposé. Ce n'est ni un scanner (A), ni une licence (C), ni un substitut au test (D).

Question 24

Before signing with a SaaS provider, a company wants independent evidence that the provider's security controls operated effectively over the past year. Which document BEST meets this need?

  1. The provider's marketing security whitepaper
  2. A SOC 2 Type II report
  3. A SOC 2 Type I report
  4. The provider's internal audit charter
Voir la réponse Réponse : B

« Efficacité sur la durée » = SOC 2 Type II (contrôles testés sur 6–12 mois). Le Type I ne photographie que la conception à un instant T (C) ; le marketing n'atteste rien (A) ; la charte d'audit décrit un mandat (D). Détail complet au chapitre 17.

Question 25

Which metric BEST demonstrates the effectiveness of a security awareness program over time?

  1. The number of posters displayed in offices
  2. A declining phishing simulation click rate combined with a rising reporting rate
  3. The total budget spent on awareness
  4. The number of employees who attended the annual session
Voir la réponse Réponse : B

L'efficacité se mesure sur les comportements : clics en baisse, signalements en hausse. Affiches (A), budget (C) et présence (D) mesurent l'effort, pas l'effet.

Auto-diagnostic

≥ 20/25 : le domaine 1 est acquis — passez au chapitre 4 (domaine 2). Entre 15 et 19 : refaites les dix exercices sur papier et relisez le tableau contrôles 3 × 7. < 15 : relisez le chapitre entier — ce chapitre irrigue tous les autres domaines, il doit être solide avant d'avancer.

FicheFiche de révision

À savoir par cœur avant le chapitre 4
  1. Chaîne : threat agent → threat → exploite une vulnerability → risk → réduit par un safeguard → protège l'asset.
  2. Pas de risque sans les deux facteurs : threat × vulnerability.
  3. Appétit (global) · tolérance (par risque) · capacité (maximum absorbable).
  4. Delphi = consensus anonyme d'experts (qualitatif) ; le quantitatif parle en dollars.
  5. AV × EF = SLE · SLE × ARO = ALE · valeur d'un contrôle = ALE₁ − ALE₂ − ACS.
  6. Réponses : avoid · transfer (assurance cyber) · mitigate · accept (documenté) · reject (= négligence).
  7. Transférer/externaliser ne déplace jamais l'accountability.
  8. Inhérent (avant) → résiduel (après), accepté par le management senior.
  9. 3 catégories (administrative, technical, physical) × 7 types (preventive, detective, corrective, recovery, deterrent, directive, compensating).
  10. Deterrent = psychologique ; preventive = bloque ; corrective = répare ponctuellement ; recovery = restaure en grand.
  11. NIST RMF : Prepare · Categorize · Select · Implement · Assess · Authorize · Monitor (« People Can See I Am Always Monitoring »).
  12. KRI = alerte prospective de risque ; KPI = performance passée. FAIR = risque en dollars ; ISO 31000 = cadre générique.
  13. STRIDE : S→authentification, T→intégrité, R→non-répudiation, I→confidentialité, D→disponibilité, E→autorisation.
  14. STRIDE découvre, DREAD note, PASTA gère (7 étapes, centrée métier) ; ATT&CK catalogue les techniques réelles.
  15. Reduction analysis : trust boundaries, flux, points d'entrée, opérations privilégiées.
  16. SCRM : contrefaçons, tampering, implants, updates piégées (SolarWinds) ; défenses : SOC 2 Type II, exigences contractuelles minimales, SLA, SBOM, silicon root of trust, PUF.
  17. Awareness = comportements · training = compétences · education = expertise ; contenu revu périodiquement (IA, crypto, blockchain).
  18. Efficacité d'un programme : taux de clic en baisse + taux de signalement en hausse.