CISSP · Réussir du premier coup

Chapitre 13
Identification et
authentification

Domaine 5, première partie : contrôler l'accès aux actifs, les trois facteurs, la biométrie, le MFA et le SSO.

Domaine
5 — Identity & Access Management · 13 %
Objectifs couverts
5.1 · 5.2
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Sujet = entité active (utilisateur, processus) ; objet = ressource passive (fichier, système).
  • Chaîne AAA : Identification → Authentication → Authorization → Accounting, et l'accountability en découle.
  • Trois facteurs : Type 1 ce que l'on sait · Type 2 ce que l'on a · Type 3 ce que l'on est.
  • MFA = facteurs de types différents ; deux mots de passe ≠ MFA.
  • Biométrie : FRR = Type I (rejet à tort) · FAR = Type II (acceptation à tort) · CER = point où FAR = FRR (plus il est bas, meilleur le système).
  • Le FAR (Type II) est le plus dangereux : il laisse entrer un imposteur.
  • Tokens : TOTP (synchrone, temps) · HOTP (asynchrone, compteur) ; FIDO2/passkeys = résistant au phishing.
  • NIST 800-63B : longueur > complexité ; plus de rotation forcée ni de règles de composition imposées.
  • Iris (motif, sans contact, stable) ≠ rétine (vaisseaux, intrusif, révèle la santé).
  • SSO : une authentification, plusieurs services — pratique mais « clé du royaume » (à coupler au MFA).

Objectif 5.1Contrôler l'accès aux actifs

Le contrôle d'accès régit la relation entre des sujets (entités actives qui demandent l'accès : utilisateurs, processus, services) et des objets (ressources passives : fichiers, bases, équipements, applications). Il s'applique de façon unifiée à toutes les catégories d'actifs :

Deux logiques encadrantes, à ne pas confondre (approfondies au chapitre 19) : le need to know (n'accéder qu'à l'information nécessaire à sa tâche) et le least privilege (ne disposer que des droits minimaux pour agir). L'objectif constant : n'accorder que le juste nécessaire, ni plus ni moins.

Objectif 5.2La chaîne AAA et les trois facteurs

Rappel de la chaîne (chapitre 1), ici approfondie côté authentification :

  1. Identification : le sujet revendique une identité (nom d'utilisateur, badge, UPN).
  2. Authentication : il prouve cette identité par un ou plusieurs facteurs.
  3. Authorization : le système détermine ce qu'il a le droit de faire (chapitre 14).
  4. Accounting : les actions sont journalisées (chapitre 19).

De l'ensemble découle l'accountability : imputer chaque action à une identité unique — ce qui exige des identifiants individuels (jamais de comptes partagés) et une authentification fiable. On administre par groupes et rôles pour l'efficacité, mais l'identité reste nominative.

FacteurNomExemplesFaiblesse type
Type 1Something you knowMot de passe, PIN, passphrase, cognitive passwordDeviné, hameçonné, rejoué
Type 2Something you haveToken OTP, smartcard, clé FIDO2, téléphone (push)Perdu, volé, cloné
Type 3Something you areEmpreinte, iris, visage, voix, démarcheNon révocable ; faux positifs/négatifs

Deux facteurs contextuels s'y ajoutent parfois : somewhere you are (géolocalisation, adresse IP) et something you do (dynamique de frappe, gestuelle).

Type 1 — les mots de passe et NIST 800-63B

La doctrine moderne (NIST SP 800-63B) a renversé les vieilles habitudes — point très testé :

Les cognitive passwords (questions de sécurité) sont faibles — réponses souvent devinables ou trouvables en ligne. Un token Type 2 se décline en synchrone TOTP (code lié au temps, change toutes les 30–60 s) ou asynchrone HOTP (basé sur un compteur / défi-réponse). Les memory cards stockent seulement des données ; les smart cards calculent (puce). FIDO2 / WebAuthn / passkeys reposent sur la cryptographie asymétrique liée à l'origine : résistants au phishing — le facteur d'avenir. Attention aux push notifications et à la MFA fatigue (bombardement de demandes jusqu'à l'acceptation par lassitude) — d'où le number matching.

Objectif 5.2Biométrie : FAR, FRR, CER

La biométrie (Type 3) se juge sur ses taux d'erreur — le cœur des questions :

MétriqueNomSignificationConséquence
FRRType I error (False Rejection Rate)Rejeter à tort un utilisateur légitimeGêne, frustration, appels au support
FARType II error (False Acceptance Rate)Accepter à tort un imposteurFaille de sécurité — le plus grave
CER / EERCrossover / Equal Error RatePoint de réglage où FAR = FRRMesure de comparaison : plus le CER est bas, meilleur le système

Régler la sensibilité déplace le curseur : plus strict → FRR monte (on rejette des légitimes), FAR baisse ; plus laxiste → l'inverse. Pour une zone à haute sécurité, on tolère un FRR élevé pour écraser le FAR — jamais l'inverse. Autres critères : throughput (débit de passage), phase d'enrollment (inscription), acceptabilité par les utilisateurs (vie privée, hygiène).

🧠 Mnémonique — FAR / FRR

« Type I = I'm rejected (FRR), Type II = intruder in (FAR). » Le FAR laisse entrer l'imposteur : c'est le danger. Le CER est le Comparateur — plus il est bas, meilleur le lecteur.

ModalitéMesureNote
EmpreinteMinuties du doigtRépandu, peu coûteux
IrisMotif coloré de l'irisSans contact, très stable, précis, bien accepté
RétineRéseau de vaisseaux du fond de l'œilTrès précis mais intrusif (contact, laser) et révèle des données de santé — mal accepté
VisageGéométrie facialeSans contact ; sensible aux conditions
Voix / démarche / frappeDynamique comportementaleSouvent en authentification continue

Distinction iris/rétine à retenir : l'iris se lit à distance, ne change pas avec l'âge et ne dévoile rien de médical ; la rétine exige un contact rapproché et peut révéler des pathologies (diabète, hypertension) — d'où son rejet croissant.

Objectif 5.2MFA, sessions et gestion des identités

MFA (Multi-Factor Authentication) combine des facteurs de types différents — un mot de passe (Type 1) et un token (Type 2). Le piège classique : deux facteurs du même type (mot de passe + question secrète = deux Type 1) ne constituent pas du MFA. La 2FA en est le cas à deux facteurs ; la strong authentication désigne toute authentification robuste multi-facteurs. Le passwordless (FIDO2, passkeys, biométrie) supprime le mot de passe pour éliminer sa faiblesse structurelle.

Gestion des sessions et des identités

⚠️ Pièges d'examen
  • MFA exige des facteurs de types différents ; mot de passe + question secrète = deux Type 1, donc pas du MFA.
  • FAR (Type II) = imposteur accepté = danger ; FRR (Type I) = légitime rejeté = gêne. Le plus grave est le FAR.
  • Le meilleur système biométrique a le CER le plus bas.
  • Zone sensible : tolérer un FRR élevé pour minimiser le FAR — jamais l'inverse.
  • TOTP = temps (synchrone) ; HOTP = compteur (asynchrone). Ne pas confondre.
  • NIST 800-63B : plus de rotation forcée ni de complexité imposée ; longueur > complexité.
  • Iris = sans contact, stable, accepté ; rétine = intrusif, révèle la santé — distinction favorite.
  • Smart card = calcule (puce) ; memory card = stocke seulement.
  • FIDO2/passkeys = résistants au phishing (asymétrique liée à l'origine).
  • SSO = clé du royaume → à protéger par MFA ; identity proofing avant émission des identifiants.
Scénario fil rouge — Awa

Awa refond l'authentification de la fintech. Elle abandonne les règles héritées de Berlin — rotation tous les 30 jours et complexité imposée — pour la doctrine NIST 800-63B : passphrases longues, contrôle contre les listes de mots de passe compromis, plus de changement forcé. Le MFA devient obligatoire, mais elle veille au piège : la « double authentification » précédente combinait mot de passe et question secrète — deux Type 1, sans valeur. Elle impose un second facteur Type 2, en privilégiant les clés FIDO2/passkeys résistantes au phishing pour les administrateurs, après une vague de MFA fatigue (push répétés). Pour l'accès au datacenter, le lecteur biométrique est réglé sur un FRR volontairement élevé : mieux vaut refaire passer un employé légitime que laisser entrer un imposteur (FAR minimal). Elle retient l'iris plutôt que la rétine — sans contact, mieux accepté, sans donnée de santé. Enfin, le portail unique passe en SSO pour réduire la fatigue mot de passe, mais protégé par MFA : les clés du royaume ne s'ouvrent pas sur un simple secret.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

In access control terminology, what is a subject?

  1. A passive resource such as a file
  2. An active entity such as a user or process that requests access
  3. A network cable
  4. An encryption key
Voir la réponse Réponse : B

Le sujet est l'entité active (utilisateur, processus) qui demande l'accès ; l'objet est la ressource passive (A). Câble (C) et clé (D) ne sont ni l'un ni l'autre au sens du contrôle d'accès.

Question 2

What is the correct order of the AAA authentication chain?

  1. Authorization, identification, authentication, accounting
  2. Identification, authentication, authorization, accounting
  3. Authentication, identification, accounting, authorization
  4. Accounting, authorization, authentication, identification
Voir la réponse Réponse : B

Identification → Authentication → Authorization → Accounting, d'où découle l'accountability. Les autres ordres brisent la logique : on ne peut autoriser avant d'authentifier.

Question 3

Which requirement is essential for accountability to function?

  1. Shared administrator accounts
  2. Individual, uniquely attributable identities
  3. Anonymous access
  4. Disabling all logging
Voir la réponse Réponse : B

Sans identité individuelle attribuable, aucune action ne s'impute : l'accountability s'effondre. Les comptes partagés (A) et l'anonymat (C) la détruisent ; couper les logs (D) aussi.

Question 4

A smart card used for login is which authentication factor?

  1. Type 1 — something you know
  2. Type 2 — something you have
  3. Type 3 — something you are
  4. Somewhere you are
Voir la réponse Réponse : B

La smartcard est un objet que l'on possède : Type 2. Le mot de passe serait Type 1 (A), la biométrie Type 3 (C).

Question 5

Which combination qualifies as true multi-factor authentication?

  1. A password and a security question
  2. Two different passwords
  3. A password and a one-time code from a hardware token
  4. A PIN and a passphrase
Voir la réponse Réponse : C

Mot de passe (Type 1) + token (Type 2) : deux types différents = vrai MFA. A, B et D combinent tous deux facteurs du même type (Type 1) — pas du MFA, le piège favori.

Question 6

According to current NIST SP 800-63B guidance, what should organizations do about periodic password changes?

  1. Force changes every 30 days
  2. Not force periodic changes unless there is evidence of compromise
  3. Require changes every week
  4. Never allow password changes
Voir la réponse Réponse : B

NIST 800-63B abandonne la rotation périodique forcée, qui produit des mots de passe plus faibles ; on ne change qu'en cas de compromission avérée. A, C et D perpétuent l'ancienne doctrine.

Question 7

Which password practice does modern NIST guidance recommend?

  1. Mandatory composition rules (uppercase, digit, symbol)
  2. Favoring length (passphrases) and screening against breached-password lists
  3. Prohibiting password managers
  4. Requiring frequent forced rotation
Voir la réponse Réponse : B

Longueur (passphrases) + filtrage contre les listes de compromission : la doctrine actuelle. Les règles de composition (A) et la rotation fréquente (D) sont abandonnées ; interdire les gestionnaires (C) est déconseillé.

Question 8

A token that generates a code changing every 30 seconds based on the current time uses which mechanism?

  1. HOTP (counter-based)
  2. TOTP (time-based)
  3. Static password
  4. Cognitive password
Voir la réponse Réponse : B

Code lié au temps, renouvelé toutes les 30 s = TOTP (synchrone). Le HOTP (A) est basé sur un compteur/défi (asynchrone).

Question 9

Which authentication technology is specifically designed to resist phishing?

  1. SMS one-time codes
  2. Security questions
  3. FIDO2 / passkeys (WebAuthn)
  4. Static passwords
Voir la réponse Réponse : C

FIDO2/passkeys lient la clé à l'origine du site : un faux site ne peut récolter de secret réutilisable — résistance au phishing. Les codes SMS (A) et les questions (B) restent hameçonnables.

Question 10

What distinguishes a smart card from a memory card?

  1. A smart card only stores data; a memory card computes
  2. A smart card has a processor and can perform computations; a memory card only stores data
  3. They are identical
  4. A memory card is biometric
Voir la réponse Réponse : B

La smart card possède un processeur et calcule ; la memory card ne fait que stocker. A inverse les deux.

Question 11

A biometric system incorrectly rejects a legitimate user. What is this error called?

  1. Type II error (false acceptance)
  2. Type I error (false rejection)
  3. Crossover error
  4. Throughput error
Voir la réponse Réponse : B

Rejeter un légitime = Type I / FRR. Le Type II / FAR (A) accepterait un imposteur. « Type I = I'm rejected. »

Question 12

Which biometric error is the MOST serious from a security standpoint?

  1. False rejection (Type I)
  2. False acceptance (Type II)
  3. Enrollment delay
  4. Low throughput
Voir la réponse Réponse : B

Le FAR (Type II) laisse entrer un imposteur : c'est la faille de sécurité. Le FRR (A) n'est qu'une gêne pour les légitimes.

Question 13

What does the crossover error rate (CER) represent, and how is it interpreted?

  1. The point where FAR equals FRR; a lower CER means a better system
  2. The maximum number of users; higher is better
  3. The enrollment time; lower is worse
  4. The password length requirement
Voir la réponse Réponse : A

Le CER est le point où FAR = FRR : plus il est bas, meilleur le lecteur — c'est le comparateur entre systèmes. Les autres définitions sont fausses.

Question 14

For a high-security area, how should a biometric reader's sensitivity be tuned?

  1. Toward a higher FAR to reduce user frustration
  2. Toward a lower FAR, even if it raises the FRR
  3. To maximize throughput regardless of errors
  4. To disable rejection entirely
Voir la réponse Réponse : B

En zone sensible, on écrase le FAR quitte à faire monter le FRR : mieux vaut re-vérifier un légitime que laisser entrer un imposteur. A ferait exactement l'inverse.

Question 15

Which statement correctly distinguishes iris from retina scanning?

  1. Retina scanning is contactless and reveals no health data
  2. Iris scanning is contactless and stable, while retina scanning is intrusive and can reveal health conditions
  3. They measure the same feature
  4. Iris scanning requires a laser and direct contact
Voir la réponse Réponse : B

Iris = sans contact, stable, sans donnée médicale ; rétine = intrusive et révélatrice de pathologies. A et D décrivent l'inverse — la confusion testée.

Question 16

Why are cognitive passwords (security questions) considered weak?

  1. They are too long to remember
  2. Their answers are often guessable or discoverable online
  3. They require special hardware
  4. They change too frequently
Voir la réponse Réponse : B

Les réponses aux questions secrètes sont souvent devinables ou publiques (réseaux sociaux) : facteur faible. Leur longueur (A) et leur fréquence (D) ne sont pas le problème.

Question 17

An attacker repeatedly sends MFA push requests until the tired user approves one. What is this attack?

  1. MFA fatigue (push bombing)
  2. Rainbow table attack
  3. SQL injection
  4. Shoulder surfing
Voir la réponse Réponse : A

Bombarder de push jusqu'à l'acceptation par lassitude = MFA fatigue/push bombing ; parade : number matching. Les autres attaques n'ont aucun rapport avec le push MFA.

Question 18

What is the PRIMARY security concern with single sign-on (SSO)?

  1. It requires too many passwords
  2. Compromising the single identity grants access to all connected services
  3. It cannot be used with cloud applications
  4. It disables logging
Voir la réponse Réponse : B

Le SSO concentre le risque : une seule identité compromise ouvre tous les services connectés — les « clés du royaume ». C'est le compromis inhérent à sa commodité.

Question 19

Which control BEST mitigates the "keys to the kingdom" risk of SSO?

  1. Disabling account lockout
  2. Requiring MFA on the SSO entry point
  3. Using shorter passwords
  4. Sharing SSO accounts among users
Voir la réponse Réponse : B

Renforcer le point d'entrée SSO par du MFA réduit le risque de compromission de l'identité maîtresse. Désactiver le lockout (A), raccourcir les mots de passe (C) ou partager les comptes (D) l'aggravent.

Question 20

What is the purpose of identity proofing during registration?

  1. Encrypting the user's traffic
  2. Verifying a person's real-world identity before issuing credentials
  3. Assigning an IP address
  4. Rotating passwords automatically
Voir la réponse Réponse : B

L'identity proofing vérifie l'identité réelle de la personne avant d'émettre des identifiants — sinon toute la chaîne repose sur une fausse identité. Les autres options décrivent d'autres fonctions.

Question 21

Which practice grants a privilege only at the moment it is needed and removes it afterward?

  1. Standing administrative access
  2. Just-in-time (JIT) access
  3. Shared service accounts
  4. Permanent role assignment
Voir la réponse Réponse : B

Le JIT accorde le privilège au moment du besoin et le retire ensuite : la surface d'exposition disparaît entre-temps. L'accès permanent (A, D) laisse le droit dormir en permanence.

Question 22

Which session management control limits exposure when a user walks away from an unlocked workstation?

  1. Disabling logging
  2. An idle timeout that locks the screen after inactivity
  3. Allowing unlimited concurrent sessions
  4. Removing the password entirely
Voir la réponse Réponse : B

L'idle timeout verrouille l'écran après inactivité : un poste laissé sans surveillance ne reste pas ouvert. Les autres options aggravent l'exposition.

Question 23

"Somewhere you are" as an authentication factor refers to what?

  1. A fingerprint
  2. Geolocation or network location
  3. A hardware token
  4. A password
Voir la réponse Réponse : B

« Somewhere you are » = géolocalisation ou position réseau (IP, géofence). L'empreinte est Type 3 (A), le token Type 2 (C), le mot de passe Type 1 (D).

Question 24

Which term describes authentication that removes the password entirely, relying on factors such as passkeys or biometrics?

  1. Passwordless authentication
  2. Single-factor authentication
  3. Cognitive authentication
  4. Anonymous authentication
Voir la réponse Réponse : A

Le passwordless supprime le mot de passe au profit de passkeys, biométrie ou tokens — éliminant la faiblesse structurelle du secret mémorisé. B décrit l'inverse.

Question 25

Groups and roles are used in identity management primarily to achieve what?

  1. Anonymous access
  2. Efficient administration while preserving individual accountability
  3. Eliminating the need for authentication
  4. Bypassing authorization
Voir la réponse Réponse : B

Groupes et rôles rationalisent l'administration des droits tout en gardant des identités individuelles pour l'accountability. Ils ne suppriment ni l'authentification (C) ni l'autorisation (D).

Auto-diagnostic

≥ 20/25 : passez au chapitre 14. Entre 15 et 19 : récitez la table FAR/FRR/CER et la règle du MFA (types différents), puis refaites le quiz. < 15 : relisez le chapitre ; biométrie et facteurs d'authentification sont des points récurrents et faciles à sécuriser.

FicheFiche de révision

À savoir par cœur avant le chapitre 14
  1. Sujet = entité active ; objet = ressource passive.
  2. AAA : Identification → Authentication → Authorization → Accounting ⇒ accountability (identités individuelles).
  3. Facteurs : Type 1 (savoir) · Type 2 (avoir) · Type 3 (être) ; + somewhere you are, something you do.
  4. MFA = types différents ; deux Type 1 (mot de passe + question) ≠ MFA.
  5. NIST 800-63B : longueur > complexité, plus de rotation forcée, filtrer les mots de passe compromis, autoriser les gestionnaires.
  6. Tokens : TOTP (temps, synchrone) vs HOTP (compteur, asynchrone) ; smart card calcule, memory card stocke.
  7. FIDO2/WebAuthn/passkeys = résistants au phishing (asymétrique liée à l'origine) ; passwordless.
  8. MFA fatigue (push bombing) → number matching.
  9. FRR = Type I (légitime rejeté, gêne) · FAR = Type II (imposteur accepté, danger) · CER = FAR=FRR, plus bas = mieux.
  10. Zone sensible : tolérer un FRR élevé pour minimiser le FAR.
  11. Iris = sans contact, stable, accepté ; rétine = intrusif, révèle la santé.
  12. Session : idle timeout, verrouillage, invalidation à la déconnexion.
  13. Identity proofing avant émission des identifiants ; JIT access ; credential vaults.
  14. SSO = une auth, plusieurs services = clés du royaume → protéger par MFA.
  15. Groupes/rôles = efficacité d'administration, sans perdre l'accountability individuelle.