CISSP · Réussir du premier coup
Domaine 3, deuxième partie : chaque type de système, sa vulnérabilité phare et sa contre-mesure — du mainframe au serverless.
Côté client, le risque vient du code qui s'exécute chez l'utilisateur : applets et code mobile (Java, ActiveX hier ; JavaScript aujourd'hui) tournent dans le navigateur avec les droits de la victime — contre-mesures : sandboxing, désactivation des technologies obsolètes, patching des navigateurs. Les caches locaux s'empoisonnent : cache ARP, cache DNS — l'utilisateur est redirigé sans rien voir (les attaques précises sont au chapitre 10).
Côté serveur, l'enjeu testé est le data flow control : maîtriser le mouvement des données entre systèmes, réguler les débits pour éviter la saturation (DoS) ou la perte de paquets — contre-mesures : répartiteurs de charge, files, contrôles de flux (et le DLP du chapitre 5 pour la nature des données).
La paire la plus piégeuse du domaine 3 :
| Attaque | Mécanisme | Exemple | Contre-mesures |
|---|---|---|---|
| Aggregation | Additionner des éléments individuellement anodins jusqu'à un ensemble sensible | Chaque commande d'un fournisseur est publique ; leur somme révèle le plan produit | Restreindre les fonctions d'agrégat (SUM, COUNT), contrôle contextuel |
| Inference | Déduire une information interdite par raisonnement sur des requêtes autorisées | Le budget du service avant/après une embauche révèle le salaire du nouveau venu | Polyinstantiation, cloisonnement (partitioning), suppression de cellules, bruit statistique |
La polyinstantiation insère plusieurs lignes de même clé primaire, une par niveau de classification : l'utilisateur non habilité voit une version de couverture plausible au lieu d'un trou révélateur — c'est une défense anti-inférence, pas une corruption de données. Complétez le paysage : ODBC expose une interface générique vers les bases (à authentifier et journaliser), et le NoSQL n'immunise contre rien — l'injection y change simplement de syntaxe.
« Agrégation = Addition · Inférence = Intelligence. » L'une empile des faits autorisés, l'autre raisonne pour combler le blanc. Si le scénario contient un calcul mental (« il en a déduit… »), c'est l'inférence.
Les Industrial Control Systems pilotent le monde physique — énergie, eau, usines. Leur hiérarchie de valeurs s'inverse par rapport à l'IT : sûreté des personnes, puis disponibilité, avant l'intégrité et loin devant la confidentialité. Le vocabulaire :
| Composant | Rôle |
|---|---|
| PLC | Programmable Logic Controller : l'automate au contact des capteurs et actionneurs |
| HMI | Human-Machine Interface : l'écran de conduite de l'opérateur |
| SCADA | Supervision et acquisition de données sur de grandes distances (réseaux d'eau, pipelines) |
| DCS | Distributed Control System : contrôle d'un site de production local (raffinerie, usine) |
| Historian | Archive des mesures de production — souvent le pont (et le maillon faible) entre OT et IT |
Vulnérabilités structurelles : protocoles hérités sans authentification (Modbus), cycles de vie de plusieurs décennies, patching quasi impossible sans arrêt de production, et scans de vulnérabilité IT qui peuvent faire tomber un automate. Contre-mesures : segmentation stricte OT/IT (le modèle de Purdue étage les niveaux 0–5, du capteur à l'ERP), passerelles unidirectionnelles (data diodes), fenêtres de maintenance et contrôles compensatoires, guide NIST SP 800-82. Quant à l'« air gap » : Stuxnet a montré qu'une clé USB le traverse — l'isolement physique se complète toujours d'un contrôle des médias amovibles.
Les modèles de service — IaaS, PaaS, SaaS, et leurs déclinaisons XaaS/FaaS — répartissent la responsabilité comme vu au chapitre 6. Les modèles de déploiement :
| Modèle | Définition | Le point testé |
|---|---|---|
| Public | Infrastructure mutualisée d'un fournisseur, ouverte à tous | Multitenancy — vous partagez le matériel avec des inconnus |
| Private | Dédié à une seule organisation (chez soi ou hébergé) | Contrôle maximal, coût maximal |
| Community | Partagé par des organisations aux exigences communes (mission, conformité) | Ex. cloud d'un groupement hospitalier — la définition tombe telle quelle |
| Hybrid | Combinaison de modèles reliés (débordement, DR) | La frontière et les flux entre les deux sont le point faible |
| Multi-cloud | Plusieurs fournisseurs en parallèle | Réduit le lock-in, multiplie la complexité opérationnelle |
Deux risques nommés par le référentiel : la multitenancy — une défaillance d'isolation ou une attaque par canal auxiliaire expose aux voisins de matériel — et le vendor lock-in — formats propriétaires et coûts de sortie qui emprisonnent ; parades : formats standards, portabilité testée, clause et stratégie de sortie au contrat (le SCRM du chapitre 3).
Tout système distribué élargit la surface d'attaque : plus de nœuds, plus de liens, plus de confiance implicite à gouverner. Le grid computing agrège des machines hétérogènes, souvent volontaires — on n'y confie jamais de données sensibles, chaque nœud pouvant lire ce qu'il traite. Le P2P n'a ni centre ni contrôle : contenus non vérifiés, canal d'exfiltration idéal, bande passante consommée — à interdire ou encadrer strictement en entreprise.
L'hyperviseur type 1 (bare metal) s'exécute directement sur le matériel — datacenters, surface d'attaque réduite ; le type 2 s'installe sur un OS hôte — postes de travail, héritant de toutes les faiblesses de l'OS. Les risques à réciter :
Les conteneurs partagent le noyau de l'hôte : démarrage instantané, densité élevée — mais isolation structurellement plus faible qu'une VM (une évasion de conteneur compromet l'hôte et tous ses voisins). Sécurité : images signées issues de registres de confiance, scan de vulnérabilités des images, secrets hors des images (coffre), durcissement de l'orchestrateur (API Kubernetes, RBAC), infrastructure immuable — on remplace, on ne modifie pas. Les microservices transforment l'application en constellation d'API : chaque appel doit être authentifié et autorisé — passerelle d'API, mTLS de service à service, limitation de débit ; l'observabilité devient un contrôle de sécurité à part entière.
En FaaS, le fournisseur gère serveurs et patching — mais la responsabilité du code, des dépendances et surtout des permissions attachées à chaque fonction reste au client : une fonction sur-privilégiée est la faille type. S'ajoutent l'injection par événements déclencheurs et le déni de porte-monnaie (facturation à l'exécution).
| Outil | Périmètre | Capacités types |
|---|---|---|
| MDM | L'appareil entier | Chiffrement imposé, code PIN, effacement à distance, géolocalisation |
| MAM | Les applications d'entreprise seulement | Conteneur applicatif, wipe sélectif — adapté au BYOD (la vie privée du reste de l'appareil est préservée) |
| UEM | Unifié : mobiles + postes + IoT | Une console pour toute la flotte |
Modèles de propriété, du moins au plus contrôlé : BYOD (appareil personnel — tensions vie privée/sécurité), CYOD (choix dans une liste approuvée), COPE (fourni par l'entreprise, usage personnel toléré), COBO (fourni, usage strictement professionnel — le contrôle maximal). La conteneurisation mobile cloisonne profil pro et personnel sur le même appareil.
B < C < C < C : BYOD < CYOD < COPE < COBO — « Bring, Choose, Provided, Business-only » : le contrôle de l'entreprise monte à chaque cran, la liberté de l'utilisateur descend d'autant.
| Système | Vulnérabilité phare | Contre-mesure phare |
|---|---|---|
| Client | Code mobile, caches empoisonnés | Sandbox, patching navigateur |
| Serveur | Saturation des flux de données | Data flow control, load balancing |
| Base de données | Inférence / agrégation | Polyinstantiation, partitionnement |
| ICS / SCADA | Protocoles sans auth, non patchable | Segmentation OT/IT (Purdue), 800-82 |
| Cloud public | Multitenancy, lock-in | Chiffrement à clés client, stratégie de sortie |
| Grid / P2P | Nœuds non maîtrisés | Aucune donnée sensible, encadrement strict |
| Virtualisation | VM escape, sprawl, snapshots | Patch hyperviseur, gouvernance du cycle de vie |
| Conteneurs | Noyau partagé, images compromises | Images signées + scan, durcir l'orchestrateur |
| Microservices | API exposées à chaque appel | API gateway, mTLS, authZ par requête |
| Serverless | Fonctions sur-privilégiées | Moindre privilège par fonction |
| IoT / embarqué | Défauts d'usine, pas de patch | Réseau dédié, changer les défauts, lightweight crypto |
| Edge | Exposition physique des nœuds | Chiffrement + attestation (TPM) |
| Mobile | Perte/vol, mélange pro-perso | MDM/MAM, conteneurisation, wipe à distance |
La cartographie applicative post-acquisition ressemble à ce chapitre. Le cœur de paiement part en microservices sur Kubernetes : Awa impose registre d'images privé, signatures obligatoires, scan à chaque build, et mTLS derrière la passerelle d'API — et refuse que les conteneurs du scoring côtoient ceux du site vitrine : sensibilités différentes, hôtes différents. L'analytique BI soulève un cas d'école : un analyste sans habilitation RH reconstituait les salaires en comparant les agrégats budgétaires avant/après embauche — inférence pure ; la parade combine restriction des requêtes d'agrégat et cloisonnement. Le bâtiment berlinois apporte sa GTB (chauffage, accès) : automates jamais patchés, protocole sans authentification — VLAN OT dédié, passerelle filtrante, et consigne stricte : aucun scan de vulnérabilité actif sur ce segment. Les capteurs IoT des salles serveurs quittent le réseau bureautique pour un segment isolé après découverte de mots de passe d'usine. Enfin, les commerciaux gardent leur BYOD : Awa retient le MAM avec conteneur d'entreprise — wipe sélectif des données pro, photos de famille intactes — quand la direction, elle, passe en COPE géré par MDM complet.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
A clerk with access to individually unclassified shipping records combines hundreds of them and derives the location of a sensitive facility. Which attack is this?
Additionner des éléments anodins jusqu'à l'ensemble sensible = agrégation (« Agrégation = Addition »). L'inférence (A) exigerait une déduction comblant une information manquante.
An analyst authorized to view department budget totals deduces a new employee's salary by comparing totals before and after the hire. Which attack is this?
Le raisonnement avant/après déduit une donnée interdite (le salaire) à partir de requêtes autorisées : inférence (« Inférence = Intelligence »). L'agrégation empilerait des faits, sans déduction.
What is the purpose of polyinstantiation in a multilevel secure database?
Plusieurs versions d'une même ligne, une par niveau : l'utilisateur bas voit une couverture plausible au lieu d'un blanc révélateur — défense anti-inférence. Ce n'est ni de la performance (A) ni de la sauvegarde (C).
Which control BEST limits the risk of malicious mobile code executing in users' browsers?
Le code mobile s'exécute côté client : on le confine (sandbox) et on patche l'exécutant (navigateur). B, C et D aggravent tous la surface d'attaque.
In an industrial control environment, which properties take priority over confidentiality?
L'ICS pilote le monde physique : la sûreté des personnes puis la disponibilité passent devant tout — la confidentialité est reléguée. C'est l'inversion de valeurs qui fonde toutes les réponses ICS.
Which ICS component directly drives sensors and actuators on the factory floor?
Le PLC est l'automate au contact des capteurs et actionneurs. L'HMI est l'écran de conduite (C), l'historian archive (A), l'ERP vit côté IT (D).
Which architecture supervises geographically dispersed infrastructure such as pipelines and water networks?
Grandes distances géographiques = SCADA ; le DCS contrôle un site local (raffinerie). C'est la distinction testée entre les deux.
A critical vulnerability is announced for the PLCs of a running production line. What is the BEST response?
En ICS, disponibilité et sûreté gouvernent : compenser d'abord (segmentation, surveillance), patcher testé en fenêtre de maintenance. A risque l'arrêt de production, B peut faire tomber les automates, D est un mythe (Q9).
The Stuxnet incident demonstrated which limitation of air-gapped networks?
Stuxnet a traversé l'air gap sur clé USB : l'isolement physique ne vaut que complété d'un contrôle strict des médias amovibles et des équipements nomades.
Which NIST publication provides security guidance specifically for industrial control systems?
NIST SP 800-82 est le guide ICS/OT. 800-53 = catalogue de contrôles, 800-63B = authentification, 800-37 = RMF — trois références déjà croisées dans ce livre.
Several regional hospitals with identical compliance requirements share a dedicated cloud infrastructure. Which deployment model is this?
Organisations distinctes, exigences communes (conformité santé), infrastructure partagée dédiée : community cloud — la définition mot pour mot.
Which risk is inherent to multitenancy in a public cloud?
Partager le matériel avec des inconnus expose aux défauts d'isolation et aux canaux auxiliaires — le risque structurel de la multitenancy. B, C, D sont des caricatures.
Which measure BEST mitigates vendor lock-in when adopting a cloud provider?
Le lock-in se combat en amont : formats standards, portabilité testée, stratégie et clauses de sortie. A et C l'aggravent ; D aggrave tout.
In a serverless (FaaS) architecture, which security responsibility remains ENTIRELY with the customer?
Le fournisseur patche l'infrastructure ; le client répond du code, des dépendances et des permissions de chaque fonction — la fonction sur-privilégiée est la faille serverless type.
Which statement about hypervisor types is correct?
Type 1 = bare metal, surface réduite, datacenter ; type 2 = posé sur un OS hôte dont il hérite les faiblesses. B inverse, C décrit le type 2.
An attacker breaks out of a guest virtual machine and gains access to the hypervisor and other guests. What is this attack called?
Sortir de l'invité vers l'hyperviseur et les voisins = VM escape, le scénario redouté de la virtualisation. Le sprawl (A) est la prolifération — autre piège, autre réponse.
An audit finds dozens of forgotten, unpatched virtual machines created outside any process. What is this phenomenon, and what is the remedy?
Des VM hors inventaire et non patchées = VM sprawl ; le remède est la gouvernance du cycle de vie et l'inventaire (on ne protège pas ce qu'on ignore, chapitre 4).
Why can restoring a virtual machine snapshot create a security problem?
Le snapshot fige un état : sa restauration réintroduit les vulnérabilités corrigées depuis, et le fichier capture la mémoire — secrets inclus. Il se protège comme la VM elle-même.
Compared with virtual machines, what is the fundamental security limitation of containers?
Le conteneur partage le noyau de l'hôte : l'isolation est logicielle, plus faible que la frontière matérielle d'une VM. D'où la règle : sensibilités très différentes → VM séparées.
Which practices BEST secure a container supply chain?
La chaîne d'approvisionnement des conteneurs se sécurise par la provenance (registres de confiance, signatures), l'hygiène (scan des images) et la gestion des secrets hors image. A, C, D sont les anti-patterns exacts.
Which combination BEST protects service-to-service communication in a microservices architecture?
Passerelle d'API en façade, mTLS entre services, autorisation à chaque requête — le zero trust appliqué aux microservices. B crée un secret universel, C et D démontent la défense.
Why is grid computing unsuitable for processing sensitive data?
Les nœuds du grid n'appartiennent pas au propriétaire des données et lisent ce qu'ils traitent : aucune donnée sensible n'y a sa place. Les autres options sont fantaisistes.
What are the FIRST two measures to secure a fleet of IoT sensors being deployed in an office?
Les deux gestes qui neutralisent les faiblesses structurelles de l'IoT : éliminer les identifiants d'usine (Mirai) et isoler sur un segment dédié. B est inapplicable, C est une faute, D est hors sujet.
Which constraint typically prevents embedded and RTOS-based devices from using standard security controls?
CPU modeste + patching impossible : la sécurité vient de la périphérie (isolement réseau, wrapper) et d'une cryptographie légère adaptée. C'est la logique des contrôles compensatoires (chapitre 3) appliquée au silicium.
Employees use personal phones for work, and the company must protect corporate data without touching personal content. Which approach fits BEST?
BYOD + respect du personnel = MAM/conteneurisation : l'entreprise gère et efface ses applications et données, rien d'autre. Le MDM complet (A) sur-contrôle un appareil privé ; C et D nient le besoin exprimé.
≥ 20/25 : passez au chapitre 8 — la cryptographie, le plus gros chapitre du livre. Entre 15 et 19 : relisez le tableau maître et la paire agrégation/inférence. < 15 : relisez le chapitre ; chaque type de système peut porter sa question, le tableau maître est votre filet.