CISSP · Réussir du premier coup
Domaine 1, troisième partie : le chapitre le plus rentable de l'examen — la gestion du risque de bout en bout.
L'examen teste ces définitions au mot près. La chaîne se lit : un threat agent porte une threat, qui exploite une vulnerability, créant une exposure ; la probabilité et l'impact de cette rencontre forment le risk, qu'un safeguard vient réduire pour protéger l'asset.
| Terme | Définition exacte | Exemple |
|---|---|---|
| Asset | Toute chose ayant de la valeur pour l'organisation | Base clients, réputation, personnel |
| Vulnerability | Faiblesse ou absence de contrôle | Serveur non patché, porte sans serrure |
| Threat | Événement potentiel susceptible de causer un dommage | Ransomware, inondation, erreur humaine |
| Threat agent / actor | Entité qui porte ou déclenche la menace | Cybercriminel, employé négligent, tempête |
| Exposure | Fait d'être susceptible de subir la perte | Serveur vulnérable exposé sur Internet |
| Risk | Probabilité qu'une menace exploite une vulnérabilité × impact | ALE de 120 000 $ sur le vol de portables |
| Safeguard / countermeasure | Contrôle qui réduit le risque | Chiffrement de disque, formation |
| Attack | Tentative intentionnelle d'exploitation | Campagne de phishing ciblée |
| Breach | Contournement réussi des contrôles | Exfiltration effective des données |
Corollaire décisif : supprimer l'un des deux facteurs annule le risque. Une vulnérabilité sans menace qui puisse l'atteindre (système isolé) ou une menace sans vulnérabilité correspondante ne produit pas de risque — c'est le raisonnement attendu quand une question demande « quel est le risque réel ? ». Trois niveaux d'organisation encadrent l'ensemble : l'appétit de risque (niveau global que l'organisation accepte de prendre pour atteindre ses objectifs), la tolérance (écart acceptable autour de l'appétit, risque par risque), la capacité (maximum absorbable sans mettre en péril l'organisation).
| Approche | Outils | Forces | Limites |
|---|---|---|---|
| Qualitative | Matrices probabilité/impact, brainstorming, interviews, Delphi (consensus anonyme d'experts, par tours successifs) | Rapide, sans données chiffrées, mobilise l'expertise | Subjective, difficile à défendre budgétairement |
| Quantitative | AV, EF, SLE, ARO, ALE, ACS | Résultats monétaires, arbitrages coût/bénéfice objectifs | Exige des données fiables ; longue et coûteuse |
| Hybride (semi-quantitative) | Échelles chiffrées sur jugements qualitatifs | Le compromis usuel en pratique | Hérite un peu des deux limites |
| Réponse | Définition | Exemple |
|---|---|---|
| Avoid | Cesser ou ne pas entreprendre l'activité porteuse du risque | Fermer le service dont le risque excède le bénéfice |
| Transfer / assign | Déplacer la charge financière vers un tiers | Cybersecurity insurance, clauses contractuelles, externalisation |
| Mitigate / reduce | Implémenter des contrôles qui réduisent probabilité ou impact | Patch, chiffrement, formation |
| Accept | Décision documentée du management de vivre avec le risque | Risque sous l'appétit, coût du contrôle disproportionné |
| Reject / ignore | Nier ou ignorer un risque connu — jamais acceptable | = négligence caractérisée (défaut de due care) |
Deux nuances éliminatoires. Accepter n'est pas ignorer : l'acceptation est consciente, documentée, signée — l'ignorance est une faute. Et le transfert ne déplace que la charge financière : l'assurance rembourse, l'infogéreur opère, mais la responsabilité (accountability) vis-à-vis des clients et régulateurs reste à l'organisation. Après traitement, le risque inhérent (avant contrôles) devient risque résiduel — celui que le management senior accepte formellement.
Chaque contrôle se décrit sur deux axes : sa catégorie (comment il est mis en œuvre) et son type (l'effet qu'il produit dans le temps de l'attaque). L'examen adore demander la double classification d'un contrôle donné.
| Type ↓ / Catégorie → | Administrative | Technical | Physical |
|---|---|---|---|
| Preventive | Separation of duties, screening | Firewall, MFA, chiffrement | Mantrap, serrures, clôture |
| Detective | Audits, revues d'accès, vacances obligatoires | IDS, revue de logs, SIEM | CCTV, détecteurs de mouvement |
| Corrective | Procédure de réponse à incident | Quarantaine antivirus, patch d'urgence | Extincteurs |
| Recovery | Plan DR, plan de continuité | Sauvegardes, restauration, clustering | Site de secours |
| Deterrent | Politique de sanctions | Bannières d'avertissement | Éclairage, panneaux, gardiens visibles |
| Directive | Politiques, AUP, consignes | Messages de configuration imposée | Signalétique « issue de secours » |
| Compensating | Contrôle alternatif quand le contrôle principal est impossible — ex. surveillance renforcée + segmentation autour d'un système legacy non patchable | ||
Distinctions fines à maîtriser : le deterrent agit sur la psychologie (il suppose que l'attaquant le voie), le preventive bloque physiquement ou logiquement ; le corrective répare ponctuellement après l'incident, le recovery restaure à plus grande échelle (sauvegardes, site de secours).
| Framework | Nature | Le point testé |
|---|---|---|
| NIST RMF (SP 800-37) | Cycle de vie du risque des systèmes — fédéral US | 7 étapes ordonnées : Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor |
| ISO 31000 | Principes génériques de management du risque d'entreprise (tous risques, pas seulement IT) | Cadre de gouvernance, non certifiable |
| ISO 27005 | Gestion du risque de sécurité de l'information (complète 27001) | Le compagnon « risque » de l'ISMS |
| FAIR | Factor Analysis of Information Risk | Quantification financière du risque cyber |
| TARA | Threat Agent Risk Assessment | Priorise selon les agents de menace les plus probables |
« People Can See I Am Always Monitoring » — Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor. L'Authorize (décision d'un officiel responsable) précède toujours le Monitor : on autorise, puis on surveille en continu.
Le threat modeling identifie, catégorise et priorise les menaces pendant la conception — c'est sa valeur : corriger sur le papier coûte des ordres de grandeur de moins qu'en production. Trois angles d'attaque du problème : partir des attaquants (qui nous vise, avec quels moyens — approche renseignement), des assets (qu'est-ce qui a de la valeur, qui pourrait le vouloir), ou du logiciel (où sont les faiblesses de ce qu'on construit).
| Lettre | Menace | Propriété attaquée |
|---|---|---|
| S | Spoofing | Authentication (authenticité de l'identité) |
| T | Tampering | Integrity |
| R | Repudiation | Nonrepudiation |
| I | Information disclosure | Confidentiality |
| D | Denial of service | Availability |
| E | Elevation of privilege | Authorization |
Né chez Microsoft, STRIDE s'applique élément par élément sur un diagramme de flux de données. Le réflexe d'examen : d'un scénario (« l'utilisateur nie avoir passé l'ordre »), retrouver la lettre (Repudiation) et la propriété visée.
Process for Attack Simulation and Threat Analysis : méthodologie en sept étapes, centrée sur le risque et alignée sur les objectifs métier — sa signature face à STRIDE, purement technique :
STRIDE découvre, DREAD note, PASTA gère. Trois verbes pour ne plus confondre les rôles : catégoriser les menaces (STRIDE), les prioriser par score (DREAD), dérouler le processus complet du métier jusqu'au traitement du risque (PASTA, 7 étapes).
Votre sécurité vaut celle de votre maillon le plus faible — et beaucoup de maillons ne vous appartiennent pas. Le SCRM traite les risques hérités du matériel, du logiciel et des services acquis.
Trois niveaux, trois finalités — la distinction tombe à chaque examen :
| Niveau | Finalité | Exemple |
|---|---|---|
| Awareness | Capter l'attention, changer les comportements quotidiens de tous | Campagnes, affiches, simulations de phishing |
| Training | Donner des compétences pour tenir un rôle | Former les admins au durcissement des serveurs |
| Education | Construire une expertise large, orientée carrière | Diplôme, certification — le CISSP lui-même |
Trimestre chargé. Awa consolide son registre des risques et présente au comité un KRI qui monte : le délai moyen de patching dérive. Sur le risque de fraude au paiement, le calcul tranche — ALE 300 000 $, contrôle anti-fraude à 80 000 $/an ramenant l'ALE à 60 000 $, valeur nette + 160 000 $ : mitigation approuvée. Le risque résiduel de 60 000 $ passe sous l'appétit fixé par le conseil ; une cyber-assurance le transfère en partie — Awa rappelle en séance que l'assurance indemnise mais que la responsabilité vis-à-vis du régulateur reste entière. Côté produit, la nouvelle API de paiement passe au STRIDE avec l'équipe de dev et son security champion : deux menaces d'élévation de privilège corrigées sur le diagramme, avant la première ligne de code. Le fournisseur KYC, lui, doit produire son SOC 2 Type II et un SBOM — depuis SolarWinds, la confiance se documente. Enfin, la simulation de phishing trimestrielle tombe : taux de clic passé de 18 % à 6 % en un an, taux de signalement doublé — le programme d'awareness tient ses chiffres, et le comité le voit.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
An unpatched service is running on a server. In risk management terms, what does the missing patch represent?
Une faiblesse ou l'absence d'un contrôle = vulnerability. La menace serait l'attaquant qui l'exploite (A) ; le risque naît de leur rencontre (C) ; l'exposition en est la conséquence (D).
A legacy system has a critical vulnerability, but it is fully isolated with no network connectivity and no physical access for untrusted personnel. What is the MOST accurate risk statement?
Risk = threat × vulnerability : la vulnérabilité existe (C est faux), mais aucun agent de menace crédible ne peut l'atteindre — le risque est minimal. A confond gravité de la vulnérabilité et niveau de risque ; D invente une réponse hors sujet.
Which term describes the overall level of risk an organization is willing to pursue in order to achieve its objectives?
L'appétit est le niveau global voulu pour servir les objectifs. La tolérance est l'écart admis autour de l'appétit, risque par risque (A) ; la capacité est le maximum absorbable (B) ; le résiduel est ce qui reste après contrôles (D).
A risk team gathers expert opinions anonymously over several rounds until consensus emerges. Which technique is being used?
Consensus anonyme par tours successifs = Delphi, l'outil qualitatif emblématique (l'anonymat neutralise hiérarchie et conformisme). Fagan est une revue de code (B, chapitre 16), Monte Carlo une simulation statistique (C), la reduction analysis une décomposition de système (D).
What is the PRIMARY advantage of quantitative risk analysis over qualitative analysis?
Le quantitatif parle la langue du budget : des dollars comparables au coût des contrôles. Il est plus lent (A), exige des données (B), et garde une part de jugement dans ses hypothèses (D).
An asset worth $250,000 would lose 40% of its value in a given incident, expected once every five years. What is the annualized loss expectancy?
SLE = 250 000 × 0,40 = 100 000 $ ; ARO = 0,2 ; ALE = 20 000 $. A s'arrête au SLE ; B et D se trompent de facteur.
A safeguard costing $40,000 per year reduces an ALE from $90,000 to $20,000. What is its annual value to the organization?
Valeur = ALE₁ − ALE₂ − ACS = 90 000 − 20 000 − 40 000 = 30 000 $. A oublie le coût du contrôle ; C et D mélangent les termes.
An organization purchases a cybersecurity insurance policy to cover potential breach costs. Which risk response is this?
L'assurance déplace la charge financière vers un tiers : transfert — la réponse citée par le référentiel 2024 sous « cybersecurity insurance ». Rien n'est réduit (A), l'activité continue (B), et la décision est active, pas passive (D).
A company outsources its payroll processing to a third party. Which statement is correct?
L'externalisation transfère l'opération, jamais l'accountability : clients et régulateurs continuent de regarder l'entreprise. A est le contresens testé ; C confond transfert et évitement ; D nie la surveillance continue des tiers (SCRM).
After analysis, management concludes that a new service's risks outweigh its expected benefits and cancels the project. Which risk response is this?
Ne pas entreprendre l'activité porteuse du risque = avoidance — la seule réponse qui fait disparaître le risque en supprimant sa source. La rejection (D) serait continuer en niant le risque.
What is residual risk?
Résiduel = ce qui reste après les contrôles — c'est lui que le management senior accepte. A décrit le risque inhérent ; C un transfert ; D la capacité.
A manager is aware of a significant risk but decides to do nothing, without any analysis or documentation. How is this BEST characterized?
Sans analyse ni documentation, ce n'est pas une acceptation : c'est un rejet du risque, une négligence caractérisée (défaut de due care, chapitre 1). L'acceptation légitime (A) est consciente, chiffrée, signée.
Restoring operations from backups after a ransomware incident is which type of control?
Restaurer l'activité depuis les sauvegardes est un contrôle de recovery — restauration à grande échelle après incident. Corrective (C) désignerait un correctif ponctuel (quarantaine, redémarrage) ; la nuance corrective/recovery est un piège récurrent.
A critical legacy system cannot be patched. The team implements enhanced monitoring and strict network segmentation around it instead. What type of control is this?
Le contrôle principal (patcher) étant impossible, des contrôles alternatifs atteignent le même objectif : compensating. Rien de psychologique (B), pas une consigne (C), rien à réparer (D).
Mandatory vacation policies are BEST classified as which category and type of control?
Une politique RH (catégorie administrative) qui révèle les fraudes en forçant un remplaçant à tenir le poste : type detective. Elle ne bloque rien a priori (A) et ne répare rien (D).
In the NIST Risk Management Framework, which step comes immediately after "Select"?
Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor. « People Can See I Am Always Monitoring » — après avoir sélectionné les contrôles, on les implémente.
Which framework is specifically designed to quantify information risk in financial terms?
FAIR décompose et quantifie le risque en termes financiers. ISO 31000 est un cadre générique (A), STRIDE catégorise des menaces (C), COBIT gouverne l'IT (D).
Which statement BEST describes a key risk indicator (KRI)?
Le KRI regarde devant : il alerte quand l'exposition monte (délai de patching qui dérive, comptes dormants qui s'accumulent). A décrit un KPI ; C un reporting financier ; D un inventaire.
During threat modeling, the team considers the scenario "a customer denies having initiated a payment order." Which STRIDE category does this fall under?
Nier avoir accompli une action = Repudiation, l'attaque contre la non-répudiation. Le spoofing usurperait l'identité pour agir (A) ; ici le client conteste sa propre action.
An attacker who compromises a standard user account finds a flaw allowing him to gain administrator rights. Which STRIDE category applies?
Passer d'un compte standard aux droits administrateur = Elevation of privilege, l'attaque contre l'autorisation. Le compte initial est légitime — pas de spoofing (C).
Which characteristic distinguishes PASTA from STRIDE?
PASTA = sept étapes, du business à la gestion du risque — c'est sa signature face à STRIDE, purement technique. C décrit DREAD ; D évoque VAST ; B est fantaisiste.
In reduction analysis, which elements does the team identify when decomposing a system?
La décomposition cherche les trust boundaries, flux de données, points d'entrée et opérations privilégiées — la carte des points faibles. B liste le vocabulaire quantitatif ; C la BIA ; D le personnel.
What is the PRIMARY purpose of a software bill of materials (SBOM)?
Le SBOM est un inventaire de composants : quand une CVE tombe (Log4j), on sait immédiatement où l'on est exposé. Ce n'est ni un scanner (A), ni une licence (C), ni un substitut au test (D).
Before signing with a SaaS provider, a company wants independent evidence that the provider's security controls operated effectively over the past year. Which document BEST meets this need?
« Efficacité sur la durée » = SOC 2 Type II (contrôles testés sur 6–12 mois). Le Type I ne photographie que la conception à un instant T (C) ; le marketing n'atteste rien (A) ; la charte d'audit décrit un mandat (D). Détail complet au chapitre 17.
Which metric BEST demonstrates the effectiveness of a security awareness program over time?
L'efficacité se mesure sur les comportements : clics en baisse, signalements en hausse. Affiches (A), budget (C) et présence (D) mesurent l'effort, pas l'effet.
≥ 20/25 : le domaine 1 est acquis — passez au chapitre 4 (domaine 2). Entre 15 et 19 : refaites les dix exercices sur papier et relisez le tableau contrôles 3 × 7. < 15 : relisez le chapitre entier — ce chapitre irrigue tous les autres domaines, il doit être solide avant d'avancer.