CISSP · Réussir du premier coup
Domaine 3, première partie : les principes qui fondent toute architecture, les modèles formels, Common Criteria et les capacités matérielles.
Ces principes sont le vocabulaire de l'architecte — et chacun peut porter une question. Les fondamentaux d'abord, en une ligne chacun : threat modeling dès la conception (chapitre 3) ; least privilege — le minimum nécessaire, rien de plus ; defense in depth — des couches indépendantes, pour qu'aucune défaillance unique ne soit fatale ; secure defaults — sûr à la sortie de la boîte, deny by default ; separation of duties — aucun pouvoir complet entre les mains d'un seul ; keep it simple and small — la complexité est l'ennemie de la sécurité : moins de surface, moins d'erreurs.
Un système qui échoue doit échouer dans un état sûr. Mais « sûr » pour qui ? Deux logiques s'opposent :
| Mode | À la défaillance | Protège | Exemple |
|---|---|---|---|
| Fail-safe / fail-open | S'ouvre, laisse passer | Les personnes | Porte de sortie qui se déverrouille en cas de coupure — obligatoire pour l'évacuation |
| Fail-secure / fail-closed | Se ferme, bloque | Les actifs | Firewall qui coupe tout trafic quand il tombe ; chambre forte qui reste verrouillée |
La règle d'arbitrage est celle du chapitre 0 : quand la vie humaine est en jeu, fail-safe gagne toujours. Les issues d'évacuation se déverrouillent ; en revanche, un équipement réseau échoue fermé, et un logiciel qui plante ne doit jamais retomber en mode « tout autorisé » ni exposer ses erreurs de debug à l'utilisateur.
Le modèle périmétrique classique (« trust but verify ») faisait confiance à tout ce qui était dedans — il meurt avec le cloud, le télétravail et les mouvements latéraux des attaquants. Le zero trust (NIST SP 800-207) le remplace : never trust, always verify. Concrètement : aucune confiance implicite liée à la localisation réseau ; chaque requête est authentifiée, autorisée et chiffrée ; les décisions d'accès sont dynamiques (identité, appareil, contexte, comportement) ; on assume breach et on limite le rayon d'explosion par la micro-segmentation (détaillée au chapitre 11).
Dans le cloud, la sécurité se partage selon le modèle de service — mais deux invariants encadrent tout : le client reste toujours responsable de ses données et de la gestion des accès ; le fournisseur l'est toujours du physique.
| Couche | IaaS | PaaS | SaaS |
|---|---|---|---|
| Données & accès | Client | Client | Client |
| Application | Client | Client | Fournisseur |
| Runtime / middleware | Client | Fournisseur | Fournisseur |
| OS | Client | Fournisseur | Fournisseur |
| Virtualisation, réseau, matériel, physique | Fournisseur | Fournisseur | Fournisseur |
SASE (Secure Access Service Edge) tire les conséquences du zero trust et du cloud : il fait converger le réseau (SD-WAN) et une pile de sécurité servie depuis le cloud — Secure Web Gateway, CASB (chapitre 5), Zero Trust Network Access, firewall as a service — au plus près de l'utilisateur, où qu'il soit. Le mot déclencheur en question : « effectifs distribués, sécurité homogène sans rapatrier le trafic au siège ».
Un modèle de sécurité formalise mathématiquement une politique pour qu'un système puisse la faire respecter. Quatre briques théoriques d'abord :
Né pour le secret militaire, appliqué en MAC multiniveau. Ses règles :
| Propriété | Règle | Lecture |
|---|---|---|
| Simple Security Property | No read up | Un sujet Secret ne lit pas du Top Secret |
| ★ (Star) Property | No write down | Un sujet Top Secret n'écrit pas dans un document Secret — il y divulguerait du haut niveau |
| Strong ★ Property | Lire et écrire uniquement à son niveau | Version stricte de la précédente |
| Discretionary (ds) Property | Matrice d'accès en complément | Le besoin d'en connaître s'ajoute aux niveaux |
| Tranquility | Les étiquettes ne changent pas pendant l'usage | Pas de reclassification à chaud |
Limites testables : BLP ignore l'intégrité et la disponibilité, et ne traite pas les canaux cachés.
Biba inverse BLP pour protéger la vérité plutôt que le secret : simple integrity = no read down (ne pas lire une source moins fiable — on ne fonde pas une décision sur des données douteuses) et ★ integrity = no write up (une source peu fiable ne contamine pas un référentiel plus fiable). Premier objectif d'intégrité couvert : empêcher les modifications non autorisées.
« Simple rime avec lire ; l'étoile écrit. » Dans les deux modèles, la propriété simple régit la lecture, la propriété ★ régit l'écriture. Puis le sens : BLP garde le secret (on ne lit pas au-dessus, on n'écrit pas en dessous) ; Biba garde la vérité (on ne lit pas en dessous, on n'écrit pas au-dessus) — Biba est le miroir exact de BLP.
Le monde bancaire ne raisonne pas en étiquettes mais en transactions bien formées. Clark-Wilson interdit tout accès direct aux données : le sujet ne manipule un CDI (constrained data item — la donnée protégée) qu'à travers un TP (transformation procedure — la transaction validée), et un IVP (integrity verification procedure) vérifie périodiquement la cohérence des CDI. Les données non protégées sont des UDI. Le contrôle s'exprime en triple d'accès : sujet — TP — objet, avec séparation des tâches entre ceux qui certifient les TP et ceux qui les exécutent. Il couvre les trois objectifs d'intégrité : bloquer les modifications non autorisées, préserver la cohérence interne et externe, et empêcher les modifications impropres par des utilisateurs autorisés.
Conçu pour les cabinets de conseil et d'audit : empêcher les conflits d'intérêts. Sa signature : les droits évoluent dynamiquement selon l'historique — dès qu'un analyste accède aux données de la banque A, les données des banques concurrentes lui deviennent inaccessibles. Tout scénario « les permissions changent selon ce que l'utilisateur a déjà consulté » pointe ici.
| Modèle | Apport | Mot déclencheur |
|---|---|---|
| Graham-Denning | 8 règles de manipulation sûre : créer/supprimer sujet et objet, fournir les droits read, grant, delete, transfer | « Comment créer et administrer sûrement sujets, objets et droits » |
| Harrison-Ruzzo-Ullman (HRU) | Étend Graham-Denning : matrice d'accès, droits génériques, commandes — pose la question de la sûreté de l'attribution des droits | « Intégrité des droits d'accès », édition de droits par commandes |
| Take-Grant | Graphe orienté ; quatre règles : take, grant, create, remove — comment les droits peuvent se propager | « Propagation des droits entre sujets » |
Le cadre international d'évaluation des produits de sécurité, héritier du TCSEC américain (« Orange Book », confidentialité seule, échelle D→A1) et de l'ITSEC européen (qui couvrait déjà C-I-A et séparait fonction et assurance). Son vocabulaire exact :
| Niveau | Intitulé officiel | Repère |
|---|---|---|
| EAL1 | Functionally tested | Assurance minimale |
| EAL2 | Structurally tested | Bonnes pratiques de développement |
| EAL3 | Methodically tested and checked | Conception examinée |
| EAL4 | Methodically designed, tested, and reviewed | Le plus haut niveau économiquement viable pour un produit existant |
| EAL5 | Semiformally designed and tested | Conception semi-formelle |
| EAL6 | Semiformally verified design and tested | Hauts risques ciblés |
| EAL7 | Formally verified design and tested | Preuve formelle — rarissime |
Nuance décisive : un EAL élevé mesure la rigueur de l'évaluation, pas la sécurité intrinsèque du produit — un produit EAL2 au périmètre bien choisi peut mieux servir qu'un EAL5 mal déployé.
Dans le vocabulaire RMF (chapitre 3, étape Authorize) : la certification est l'évaluation technique des contrôles d'un système dans son environnement ; l'accréditation est la décision managériale formelle d'accepter le risque résiduel et d'autoriser l'exploitation. L'Authorizing Official délivre :
| Critère | TPM | HSM |
|---|---|---|
| Forme | Puce soudée à la carte mère | Boîtier ou carte dédiés, souvent amovibles/réseau |
| Usage | Machine locale : clés de disque (BitLocker), attestation de démarrage | Volumes industriels : PKI, paiement, signatures — tamper-resistant |
| Concepts clés | PCR (registres de mesure du boot), binding (chiffrer pour ce TPM), sealing (chiffrer pour ce TPM dans cet état de PCR) | Génération, garde et usage des clés sans qu'elles sortent du module |
Deux démarrages protégés à distinguer : secure boot (l'UEFI refuse d'exécuter tout composant non signé) et measured boot (chaque étape est mesurée dans les PCR du TPM pour attestation — on n'empêche pas, on prouve). Sealing + measured boot : le disque ne se déchiffre que si la chaîne de démarrage est intègre.
L'architecture de la nouvelle plateforme de paiement se dessine. Awa pose le zero trust en principe directeur — l'acquisition a fait exploser le périmètre, et les commerciaux nomades passeront par un SASE (ZTNA + SWG + le CASB du chapitre 5) plutôt que par le VPN historique. La revue incendie du bâtiment tranche un vieux débat : les portes des salles serveurs passent en fail-safe — la vie d'abord — compensées par caméras et alarmes ; le firewall de cœur, lui, reste fail-closed. Les clés de paiement quittent les serveurs pour un HSM certifié — PCI l'exige et le volume de signatures aussi ; les portables, eux, s'appuient sur leur TPM : BitLocker scellé aux PCR, le disque ne s'ouvre que si le boot est intègre. Dans l'appel d'offres firewall, Awa demande une évaluation Common Criteria EAL4+ et lit le Security Target de chaque candidat pour vérifier que le périmètre évalué correspond à l'usage prévu. Et avant le go-live, elle institue une mini-accréditation interne : l'équipe certifie techniquement, le COMEX signe l'autorisation d'exploiter — chacun son rôle, comme au chapitre 1.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
During a power failure, how should the emergency exit doors of an occupied data center behave?
Des personnes sont présentes : fail-safe, les portes se déverrouillent — la vie prime sur les actifs (règle n° 1, chapitre 0). A protège les serveurs au prix des personnes ; D est dangereux avec du personnel à l'intérieur.
A perimeter firewall suffers a software crash. Which failure behavior is MOST appropriate?
Aucune vie n'est en jeu : l'équipement de sécurité échoue fermé. A et C retombent en « tout autorisé » — l'anti-modèle du fail securely ; D expose de l'information de debug, autre violation du principe.
Which statement BEST captures the core principle of zero trust architecture?
Never trust, always verify : chaque requête est vérifiée, la localisation ne confère rien. A et C décrivent le modèle périmétrique que le zero trust remplace ; D contredit la vérification continue.
Which description BEST defines Secure Access Service Edge (SASE)?
SASE = convergence réseau (SD-WAN) + sécurité cloud (SWG, CASB, ZTNA, FWaaS) livrée au plus près de l'utilisateur. Les autres options décrivent des composants isolés ou hors sujet.
A new application enables the most privacy-protective settings automatically, without any user action. Which privacy-by-design principle does this illustrate?
Le réglage le plus protecteur sans action de l'utilisateur = « privacy as the default », deuxième principe de Cavoukian. La transparence (B) concerne la vérifiabilité ; la somme positive (C) la non-opposition vie privée/service.
Under the shared responsibility model for a SaaS application, which responsibilities ALWAYS remain with the customer?
Invariant du modèle partagé : données et gestion des accès restent au client, quel que soit le modèle de service. Le code applicatif (A), le physique (B) et l'hyperviseur (D) sont au fournisseur en SaaS.
In the Bell-LaPadula model, what does the simple security property state?
Simple security property = no read up — « simple rime avec lire ». B est la propriété ★ ; C vient de Biba ; D contredit la tranquility.
In Bell-LaPadula, what does the star (★) property state?
★ = écriture : no write down. A est la propriété simple de BLP ; C et D sont les règles de Biba — le miroir.
Why does Bell-LaPadula forbid a Top Secret subject from writing into a Secret document?
BLP protège le secret : écrire vers le bas transporterait du contenu Top Secret dans un conteneur moins protégé — une fuite. La corruption (A) est le problème de Biba, pas de BLP.
In the Biba model, what does the simple integrity property state?
Simple integrity = no read down : ne pas fonder ses décisions sur des sources moins fiables (« garbage in »). B est du BLP ; C décrit l'inverse de la règle ★ de Biba (no write up).
Which security objective does the Biba model address?
Biba est un modèle d'intégrité — il protège la fiabilité des données, pas leur secret. C'est le premier réflexe à avoir devant tout scénario de modèle : confidentialité → BLP ; intégrité → Biba ou Clark-Wilson.
In the Clark-Wilson model, how may a subject modify a constrained data item (CDI)?
Le triple sujet–TP–objet est le cœur de Clark-Wilson : jamais d'accès direct au CDI, uniquement des transactions validées. A applique une logique d'étiquettes étrangère au modèle ; D ouvre la porte aux modifications impropres.
What is the role of the integrity verification procedure (IVP) in Clark-Wilson?
L'IVP vérifie périodiquement que les CDI restent dans un état valide et cohérent — le contrôle de santé du modèle. Les autres options n'appartiennent pas au vocabulaire de Clark-Wilson.
A consulting firm's system automatically blocks an analyst from accessing Bank B's files after she works on rival Bank A's engagement. Which model is implemented?
Droits modifiés dynamiquement par l'historique d'accès pour prévenir un conflit d'intérêts : signature exacte de Brewer-Nash. BLP et Biba sont statiques ; Graham-Denning administre des droits, il ne les fait pas évoluer selon l'usage.
Which model defines eight rules for securely creating and deleting subjects and objects and for providing read, grant, delete, and transfer access rights?
Les 8 règles de création/suppression de sujets et objets et de fourniture des droits (read, grant, delete, transfer) définissent Graham-Denning. Take-Grant n'a que 4 opérations (B) ; Clark-Wilson parle transactions (C).
Which four operations define the Take-Grant model?
Take, grant, create, remove — les quatre règles du graphe orienté qui modélise la propagation des droits. Les autres listes relèvent d'autres registres.
What is the PRIMARY goal of the noninterference model?
La noninterférence exige que le niveau haut soit invisible du niveau bas — aucune influence observable, donc pas de canal caché exploitable. D décrit Clark-Wilson.
Which mathematical structure underpins mandatory access control by defining upper and lower bounds for information flows?
Le treillis (lattice) ordonne étiquettes et compartiments avec bornes supérieure et inférieure pour chaque flux — le socle mathématique du MAC. Les autres structures n'ont pas ce rôle.
In Common Criteria terms, what is the difference between a protection profile and a security target?
PP = « voilà ce que je veux » (client) ; ST = « voilà ce que je fournis » (vendeur). L'évaluation confronte le ST du ToE, éventuellement à un PP. B inverse — le piège standard.
A product is evaluated as "methodically designed, tested, and reviewed." Which evaluation assurance level does this correspond to?
« Methodically designed, tested, and reviewed » est l'intitulé exact d'EAL4 — le plafond économiquement viable pour un produit existant. EAL2 = structurally tested ; EAL6 = semiformally verified ; EAL7 = formally verified.
A vendor advertises that its EAL5 firewall is "more secure" than any EAL3 competitor. What is the MOST accurate correction?
L'EAL mesure la rigueur de l'évaluation du périmètre déclaré, pas la sécurité absolue du produit déployé. C'est la nuance que le marketing gomme — et que l'examen teste.
What distinguishes accreditation from certification?
Certification = évaluation technique ; accréditation = décision formelle du management d'accepter le risque résiduel (ATO). A inverse les deux — distracteur systématique ; et souvenez-vous : les décisions de risque appartiennent au management.
A laptop's disk encryption key is released by the TPM only when the boot measurements in the PCRs match the expected values. Which TPM capability is this?
Clé libérée seulement si l'état mesuré (PCR) correspond = sealing. Le binding lie au TPM sans condition d'état ; l'escrow est une garde par tiers (chapitre 8).
Which option BEST distinguishes an HSM from a TPM?
L'HSM est un module dédié, résistant à l'effraction, dimensionné pour les volumes (PKI, paiement), souvent réseau ou amovible ; le TPM est la puce locale de la carte mère. A décrit le TPM ; C restreint à tort.
Which memory protection randomizes the location of the stack, heap, and libraries to defeat exploits that target known addresses?
Randomiser la disposition mémoire = ASLR : l'exploit ne trouve plus ses adresses. DEP (A) rend les données non exécutables — les deux se complètent mais ne se confondent pas.
≥ 20/25 : passez au chapitre 7. Entre 15 et 19 : récitez les règles BLP/Biba jusqu'à l'automatisme (« simple rime avec lire, l'étoile écrit ») et relisez Common Criteria. < 15 : relisez le chapitre — les modèles formels sont du par-cœur pur, et l'examen ne pardonne pas l'à-peu-près sur les directions read/write.