CISSP · Réussir du premier coup
Domaine 5, première partie : contrôler l'accès aux actifs, les trois facteurs, la biométrie, le MFA et le SSO.
Le contrôle d'accès régit la relation entre des sujets (entités actives qui demandent l'accès : utilisateurs, processus, services) et des objets (ressources passives : fichiers, bases, équipements, applications). Il s'applique de façon unifiée à toutes les catégories d'actifs :
Deux logiques encadrantes, à ne pas confondre (approfondies au chapitre 19) : le need to know (n'accéder qu'à l'information nécessaire à sa tâche) et le least privilege (ne disposer que des droits minimaux pour agir). L'objectif constant : n'accorder que le juste nécessaire, ni plus ni moins.
Rappel de la chaîne (chapitre 1), ici approfondie côté authentification :
De l'ensemble découle l'accountability : imputer chaque action à une identité unique — ce qui exige des identifiants individuels (jamais de comptes partagés) et une authentification fiable. On administre par groupes et rôles pour l'efficacité, mais l'identité reste nominative.
| Facteur | Nom | Exemples | Faiblesse type |
|---|---|---|---|
| Type 1 | Something you know | Mot de passe, PIN, passphrase, cognitive password | Deviné, hameçonné, rejoué |
| Type 2 | Something you have | Token OTP, smartcard, clé FIDO2, téléphone (push) | Perdu, volé, cloné |
| Type 3 | Something you are | Empreinte, iris, visage, voix, démarche | Non révocable ; faux positifs/négatifs |
Deux facteurs contextuels s'y ajoutent parfois : somewhere you are (géolocalisation, adresse IP) et something you do (dynamique de frappe, gestuelle).
La doctrine moderne (NIST SP 800-63B) a renversé les vieilles habitudes — point très testé :
Les cognitive passwords (questions de sécurité) sont faibles — réponses souvent devinables ou trouvables en ligne. Un token Type 2 se décline en synchrone TOTP (code lié au temps, change toutes les 30–60 s) ou asynchrone HOTP (basé sur un compteur / défi-réponse). Les memory cards stockent seulement des données ; les smart cards calculent (puce). FIDO2 / WebAuthn / passkeys reposent sur la cryptographie asymétrique liée à l'origine : résistants au phishing — le facteur d'avenir. Attention aux push notifications et à la MFA fatigue (bombardement de demandes jusqu'à l'acceptation par lassitude) — d'où le number matching.
La biométrie (Type 3) se juge sur ses taux d'erreur — le cœur des questions :
| Métrique | Nom | Signification | Conséquence |
|---|---|---|---|
| FRR | Type I error (False Rejection Rate) | Rejeter à tort un utilisateur légitime | Gêne, frustration, appels au support |
| FAR | Type II error (False Acceptance Rate) | Accepter à tort un imposteur | Faille de sécurité — le plus grave |
| CER / EER | Crossover / Equal Error Rate | Point de réglage où FAR = FRR | Mesure de comparaison : plus le CER est bas, meilleur le système |
Régler la sensibilité déplace le curseur : plus strict → FRR monte (on rejette des légitimes), FAR baisse ; plus laxiste → l'inverse. Pour une zone à haute sécurité, on tolère un FRR élevé pour écraser le FAR — jamais l'inverse. Autres critères : throughput (débit de passage), phase d'enrollment (inscription), acceptabilité par les utilisateurs (vie privée, hygiène).
« Type I = I'm rejected (FRR), Type II = intruder in (FAR). » Le FAR laisse entrer l'imposteur : c'est le danger. Le CER est le Comparateur — plus il est bas, meilleur le lecteur.
| Modalité | Mesure | Note |
|---|---|---|
| Empreinte | Minuties du doigt | Répandu, peu coûteux |
| Iris | Motif coloré de l'iris | Sans contact, très stable, précis, bien accepté |
| Rétine | Réseau de vaisseaux du fond de l'œil | Très précis mais intrusif (contact, laser) et révèle des données de santé — mal accepté |
| Visage | Géométrie faciale | Sans contact ; sensible aux conditions |
| Voix / démarche / frappe | Dynamique comportementale | Souvent en authentification continue |
Distinction iris/rétine à retenir : l'iris se lit à distance, ne change pas avec l'âge et ne dévoile rien de médical ; la rétine exige un contact rapproché et peut révéler des pathologies (diabète, hypertension) — d'où son rejet croissant.
MFA (Multi-Factor Authentication) combine des facteurs de types différents — un mot de passe (Type 1) et un token (Type 2). Le piège classique : deux facteurs du même type (mot de passe + question secrète = deux Type 1) ne constituent pas du MFA. La 2FA en est le cas à deux facteurs ; la strong authentication désigne toute authentification robuste multi-facteurs. Le passwordless (FIDO2, passkeys, biométrie) supprime le mot de passe pour éliminer sa faiblesse structurelle.
Awa refond l'authentification de la fintech. Elle abandonne les règles héritées de Berlin — rotation tous les 30 jours et complexité imposée — pour la doctrine NIST 800-63B : passphrases longues, contrôle contre les listes de mots de passe compromis, plus de changement forcé. Le MFA devient obligatoire, mais elle veille au piège : la « double authentification » précédente combinait mot de passe et question secrète — deux Type 1, sans valeur. Elle impose un second facteur Type 2, en privilégiant les clés FIDO2/passkeys résistantes au phishing pour les administrateurs, après une vague de MFA fatigue (push répétés). Pour l'accès au datacenter, le lecteur biométrique est réglé sur un FRR volontairement élevé : mieux vaut refaire passer un employé légitime que laisser entrer un imposteur (FAR minimal). Elle retient l'iris plutôt que la rétine — sans contact, mieux accepté, sans donnée de santé. Enfin, le portail unique passe en SSO pour réduire la fatigue mot de passe, mais protégé par MFA : les clés du royaume ne s'ouvrent pas sur un simple secret.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
In access control terminology, what is a subject?
Le sujet est l'entité active (utilisateur, processus) qui demande l'accès ; l'objet est la ressource passive (A). Câble (C) et clé (D) ne sont ni l'un ni l'autre au sens du contrôle d'accès.
What is the correct order of the AAA authentication chain?
Identification → Authentication → Authorization → Accounting, d'où découle l'accountability. Les autres ordres brisent la logique : on ne peut autoriser avant d'authentifier.
Which requirement is essential for accountability to function?
Sans identité individuelle attribuable, aucune action ne s'impute : l'accountability s'effondre. Les comptes partagés (A) et l'anonymat (C) la détruisent ; couper les logs (D) aussi.
A smart card used for login is which authentication factor?
La smartcard est un objet que l'on possède : Type 2. Le mot de passe serait Type 1 (A), la biométrie Type 3 (C).
Which combination qualifies as true multi-factor authentication?
Mot de passe (Type 1) + token (Type 2) : deux types différents = vrai MFA. A, B et D combinent tous deux facteurs du même type (Type 1) — pas du MFA, le piège favori.
According to current NIST SP 800-63B guidance, what should organizations do about periodic password changes?
NIST 800-63B abandonne la rotation périodique forcée, qui produit des mots de passe plus faibles ; on ne change qu'en cas de compromission avérée. A, C et D perpétuent l'ancienne doctrine.
Which password practice does modern NIST guidance recommend?
Longueur (passphrases) + filtrage contre les listes de compromission : la doctrine actuelle. Les règles de composition (A) et la rotation fréquente (D) sont abandonnées ; interdire les gestionnaires (C) est déconseillé.
A token that generates a code changing every 30 seconds based on the current time uses which mechanism?
Code lié au temps, renouvelé toutes les 30 s = TOTP (synchrone). Le HOTP (A) est basé sur un compteur/défi (asynchrone).
Which authentication technology is specifically designed to resist phishing?
FIDO2/passkeys lient la clé à l'origine du site : un faux site ne peut récolter de secret réutilisable — résistance au phishing. Les codes SMS (A) et les questions (B) restent hameçonnables.
What distinguishes a smart card from a memory card?
La smart card possède un processeur et calcule ; la memory card ne fait que stocker. A inverse les deux.
A biometric system incorrectly rejects a legitimate user. What is this error called?
Rejeter un légitime = Type I / FRR. Le Type II / FAR (A) accepterait un imposteur. « Type I = I'm rejected. »
Which biometric error is the MOST serious from a security standpoint?
Le FAR (Type II) laisse entrer un imposteur : c'est la faille de sécurité. Le FRR (A) n'est qu'une gêne pour les légitimes.
What does the crossover error rate (CER) represent, and how is it interpreted?
Le CER est le point où FAR = FRR : plus il est bas, meilleur le lecteur — c'est le comparateur entre systèmes. Les autres définitions sont fausses.
For a high-security area, how should a biometric reader's sensitivity be tuned?
En zone sensible, on écrase le FAR quitte à faire monter le FRR : mieux vaut re-vérifier un légitime que laisser entrer un imposteur. A ferait exactement l'inverse.
Which statement correctly distinguishes iris from retina scanning?
Iris = sans contact, stable, sans donnée médicale ; rétine = intrusive et révélatrice de pathologies. A et D décrivent l'inverse — la confusion testée.
Why are cognitive passwords (security questions) considered weak?
Les réponses aux questions secrètes sont souvent devinables ou publiques (réseaux sociaux) : facteur faible. Leur longueur (A) et leur fréquence (D) ne sont pas le problème.
An attacker repeatedly sends MFA push requests until the tired user approves one. What is this attack?
Bombarder de push jusqu'à l'acceptation par lassitude = MFA fatigue/push bombing ; parade : number matching. Les autres attaques n'ont aucun rapport avec le push MFA.
What is the PRIMARY security concern with single sign-on (SSO)?
Le SSO concentre le risque : une seule identité compromise ouvre tous les services connectés — les « clés du royaume ». C'est le compromis inhérent à sa commodité.
Which control BEST mitigates the "keys to the kingdom" risk of SSO?
Renforcer le point d'entrée SSO par du MFA réduit le risque de compromission de l'identité maîtresse. Désactiver le lockout (A), raccourcir les mots de passe (C) ou partager les comptes (D) l'aggravent.
What is the purpose of identity proofing during registration?
L'identity proofing vérifie l'identité réelle de la personne avant d'émettre des identifiants — sinon toute la chaîne repose sur une fausse identité. Les autres options décrivent d'autres fonctions.
Which practice grants a privilege only at the moment it is needed and removes it afterward?
Le JIT accorde le privilège au moment du besoin et le retire ensuite : la surface d'exposition disparaît entre-temps. L'accès permanent (A, D) laisse le droit dormir en permanence.
Which session management control limits exposure when a user walks away from an unlocked workstation?
L'idle timeout verrouille l'écran après inactivité : un poste laissé sans surveillance ne reste pas ouvert. Les autres options aggravent l'exposition.
"Somewhere you are" as an authentication factor refers to what?
« Somewhere you are » = géolocalisation ou position réseau (IP, géofence). L'empreinte est Type 3 (A), le token Type 2 (C), le mot de passe Type 1 (D).
Which term describes authentication that removes the password entirely, relying on factors such as passkeys or biometrics?
Le passwordless supprime le mot de passe au profit de passkeys, biométrie ou tokens — éliminant la faiblesse structurelle du secret mémorisé. B décrit l'inverse.
Groups and roles are used in identity management primarily to achieve what?
Groupes et rôles rationalisent l'administration des droits tout en gardant des identités individuelles pour l'accountability. Ils ne suppriment ni l'authentification (C) ni l'autorisation (D).
≥ 20/25 : passez au chapitre 14. Entre 15 et 19 : récitez la table FAR/FRR/CER et la règle du MFA (types différents), puis refaites le quiz. < 15 : relisez le chapitre ; biométrie et facteurs d'authentification sont des points récurrents et faciles à sécuriser.