CISSP · Réussir du premier coup

Chapitre 16
Stratégies d'évaluation
et tests techniques

Domaine 6, première partie : concevoir une stratégie de test, évaluer les vulnérabilités, mener un pentest et tester le code.

Domaine
6 — Security Assessment & Testing · 12 %
Objectifs couverts
6.1 · 6.2
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Tests : internal (première partie), external (seconde), third-party (tierce indépendante) — le management approuve toujours le scope.
  • Vulnerability scan = identifie les failles ; pentest = les exploite pour prouver l'impact. Ne jamais confondre.
  • Scan authentifié (avec identifiants) > non authentifié : plus de profondeur, moins de faux positifs.
  • Faux positif = alerte à tort ; faux négatif = faille manquée (le plus dangereux).
  • CVE = identifiant de vulnérabilité ; CVSS = score de gravité (0–10) ; SCAP = cadre d'automatisation (OVAL, XCCDF…).
  • Pentest : reconnaissance → énumération → analyse → exploitation → reporting.
  • Boîtes : black (aucune info) · gray (partielle) · white (connaissance complète).
  • Équipes : red attaque · blue défend · purple fait collaborer les deux.
  • Code : SAST (statique, code au repos) · DAST (dynamique, appli en marche) · IAST (instrumenté) ; Fagan = revue formelle en 6 étapes.
  • Les logs exigent un temps fiable : NTP pour corréler ; RoE = les règles d'engagement qui bornent le test.

Objectif 6.1Concevoir une stratégie d'évaluation

Avant tout test, on définit une stratégie : quoi tester, comment, par qui, et sous quelles règles. Trois natures d'acteurs — la distinction est testée :

TypeQuiUsage
Internal (1re partie)L'organisation s'évalue elle-mêmeAmélioration continue, préparation aux audits
External (2de partie)Un partenaire/client évalue son fournisseurVérifier un tiers avec qui l'on contracte
Third-party (tierce)Un évaluateur indépendant mandatéObjectivité, attestations réglementaires (SOC, chapitre 17)

La stratégie précise le lieu (on-site, cloud, hybride), le périmètre, les méthodes, et surtout obtient l'approbation du management sur le scope — sans mandat écrit, un test devient une intrusion (et un problème éthique, chapitre 0). On valide ensuite la stratégie : couvre-t-elle les risques réels, les obligations réglementaires, les actifs critiques ?

Objectif 6.2Évaluation de vulnérabilités

Un vulnerability assessment identifie et hiérarchise les failles — sans les exploiter. Les types de scans :

Deux modes : authentifié (le scanner se connecte avec des identifiants → vision interne profonde, moins de faux positifs) vs non authentifié (vue de l'attaquant externe). Deux erreurs à connaître :

ErreurDéfinitionGravité
Faux positifSignaler une faille qui n'existe pasPerte de temps, fatigue d'alerte
Faux négatifManquer une faille réelleLe plus dangereux : fausse assurance

Le vocabulaire de gestion des vulnérabilités : CVE (Common Vulnerabilities and Exposures — l'identifiant unique d'une faille connue), CVSS (Common Vulnerability Scoring System — score de gravité de 0 à 10, base pour prioriser), et SCAP (Security Content Automation Protocol — cadre d'automatisation regroupant OVAL (définitions de tests), XCCDF (checklists), CPE (nommage des produits), CCE (configurations)). Le workflow : découvrir → prioriser (CVSS + contexte métier) → remédier → vérifier.

🧠 Mnémonique — faux positif / négatif

« Positif = fausse alerte ; Négatif = trou manqué. » Le faux négatif est le vrai danger : le scanner dit « rien à signaler » alors que la faille est là — vous dormez tranquille sur une porte ouverte.

Objectif 6.2Tests de pénétration

Là où le scan identifie, le pentest exploite pour démontrer l'impact réel — la distinction est un piège classique. Les phases :

  1. Reconnaissance : collecte d'informations (OSINT, empreinte réseau) — passive puis active.
  2. Enumeration / scanning : identifier hôtes, services, comptes.
  3. Vulnerability analysis : repérer les failles exploitables.
  4. Exploitation : compromettre effectivement la cible (et parfois pivoter, escalader).
  5. Reporting : documenter les findings, l'impact et les remédiations — la livrable qui donne sa valeur au test.
Type de boîteConnaissance du testeurTerme 2024
Black boxAucune information préalable — simule un attaquant externeUnknown environment
Gray boxConnaissance partielle (ex. un compte utilisateur)Partially known environment
White boxConnaissance complète (architecture, code) — le plus exhaustifKnown environment

Les rules of engagement (RoE) encadrent tout : périmètre autorisé, horaires, actions interdites, contacts d'urgence, gestion des données découvertes — c'est le contrat qui distingue le test légitime de l'intrusion. Les équipes :

ÉquipeRôle
Red teamAttaque, simule l'adversaire
Blue teamDéfend, détecte et répond
Purple teamFait collaborer red et blue pour améliorer la défense en temps réel
White team / cellArbitre et supervise l'exercice

Le bug bounty externalise la recherche de failles à une communauté de chercheurs rémunérés au résultat — un complément, pas un substitut, aux tests structurés.

Objectif 6.2Logs, transactions synthétiques, benchmarks

Objectif 6.2Revue et test du code

Revue humaine

Test automatisé

MéthodeCe qu'elle testeNature
SASTLe code source au repos, sans l'exécuterBoîte blanche ; trouve tôt, mais faux positifs
DASTL'application en marche, de l'extérieurBoîte noire ; trouve les failles réelles à l'exécution
IASTL'application instrumentée de l'intérieur pendant l'exécutionCombine les deux ; précis
🧠 Mnémonique — SAST / DAST

« SAST = Source (Static, code arrêté) ; DAST = Dynamic (l'appli tourne). » SAST lit le code sans le lancer ; DAST attaque l'application vivante ; IAST est dedans pendant qu'elle court.

⚠️ Pièges d'examen
  • Vulnerability scan identifie ; pentest exploite. Un scan ne prouve pas l'impact ; un pentest oui.
  • Faux négatif (faille manquée) > faux positif (fausse alerte) en gravité — le premier endort.
  • Scan authentifié = plus profond, moins de faux positifs qu'un scan non authentifié.
  • Black = aucune info (unknown), gray = partielle, white = complète (known). Ne pas confondre avec red/blue team.
  • Red attaque, blue défend, purple les fait collaborer.
  • Sans RoE et approbation du management, un pentest est une intrusion illégale.
  • SAST = statique (code) ; DAST = dynamique (appli qui tourne) ; IAST = instrumenté.
  • Fagan = 6 étapes formelles ; synthetic transactions = simulées (proactif), RUM = trafic réel (réactif).
  • CVE = identifiant, CVSS = score, SCAP = automatisation (OVAL/XCCDF/CPE/CCE). Ne pas les confondre.
  • Les logs n'ont de valeur corrélée qu'avec un temps synchronisé (NTP).
Scénario fil rouge — Awa

Awa structure le programme de test de la fintech. Pour l'attestation réglementaire, elle mandate un évaluateur third-party indépendant, mais fait tourner en interne des scans authentifiés hebdomadaires — priorisés par CVSS croisé au contexte métier, un faux négatif sur le module de paiement l'inquiétant bien plus qu'une fausse alerte. Avant le go-live, elle commande un pentest en gray box (les testeurs reçoivent un compte client standard) sous des règles d'engagement strictes signées par la direction — hors de question de confondre test et intrusion. L'exercice se joue en purple team : la red team attaque, la blue team ajuste ses détections en direct. Côté code, le pipeline intègre du SAST à chaque commit et du DAST sur l'environnement de recette, complétés d'une Fagan inspection sur le module cryptographique le plus sensible. Des transactions synthétiques vérifient la disponibilité du paiement toutes les cinq minutes, et un outil de BAS rejoue en continu des techniques ATT&CK pour confirmer que les contrôles tiennent. Dernier détail, décisif : un contrôleur de domaine désynchronisé faussait la corrélation des logs — NTP recalé avant toute analyse.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

Which assessment is performed by an independent evaluator to provide objective, often regulatory, assurance?

  1. Internal (first-party)
  2. External (second-party)
  3. Third-party
  4. Self-assessment
Voir la réponse Réponse : C

Un évaluateur indépendant (third-party) apporte l'objectivité exigée par les attestations réglementaires (SOC, chapitre 17). L'interne (A) et l'externe (B) sont parties prenantes.

Question 2

What must be obtained before any security testing begins?

  1. A new firewall
  2. Management approval of the scope
  3. A press release
  4. A public bug bounty
Voir la réponse Réponse : B

Sans approbation du management sur le scope, le test est une intrusion (problème éthique et légal, chapitre 0). Le mandat écrit précède toujours l'action.

Question 3

What is the KEY difference between a vulnerability scan and a penetration test?

  1. They are identical
  2. A scan identifies weaknesses; a pentest exploits them to demonstrate impact
  3. A scan exploits weaknesses; a pentest only lists them
  4. Only pentests are automated
Voir la réponse Réponse : B

Le scan liste les failles ; le pentest les exploite pour prouver l'impact réel. C inverse les rôles — le piège classique du domaine 6.

Question 4

Which type of scan generally produces deeper results with fewer false positives?

  1. Unauthenticated scan
  2. Authenticated scan (using credentials)
  3. Passive scan only
  4. External scan only
Voir la réponse Réponse : B

Le scan authentifié se connecte avec des identifiants : vision interne profonde, moins de faux positifs. Le non authentifié (A) ne voit que la surface externe.

Question 5

Which scan result is the MOST dangerous from a security standpoint?

  1. A false positive
  2. A false negative
  3. A confirmed true positive
  4. A true negative
Voir la réponse Réponse : B

Le faux négatif manque une faille réelle : l'organisation se croit sûre sur une porte ouverte. Le faux positif (A) ne fait que perdre du temps.

Question 6

What does CVSS provide?

  1. A unique identifier for each known vulnerability
  2. A numerical severity score (0–10) for prioritizing vulnerabilities
  3. A firewall rule format
  4. An encryption algorithm
Voir la réponse Réponse : B

CVSS attribue un score de gravité (0–10) pour prioriser. L'identifiant unique (A) est le CVE — ne pas confondre.

Question 7

What is a CVE?

  1. A severity score from 0 to 10
  2. A unique identifier for a publicly known vulnerability
  3. A penetration testing team
  4. A configuration baseline
Voir la réponse Réponse : B

Le CVE est l'identifiant unique d'une vulnérabilité publique. Le score (A) est le CVSS ; le CVE nomme, le CVSS note.

Question 8

Which framework automates security configuration and vulnerability management, including OVAL and XCCDF?

  1. SCAP
  2. OWASP
  3. NIST RMF
  4. STRIDE
Voir la réponse Réponse : A

SCAP automatise la gestion des configs et vulnérabilités : OVAL (tests), XCCDF (checklists), CPE (produits), CCE (configs). OWASP et STRIDE ont d'autres rôles.

Question 9

In a black box penetration test, how much information does the tester have?

  1. Complete knowledge of architecture and code
  2. No prior information, simulating an external attacker
  3. Partial knowledge, such as a user account
  4. Only the source code
Voir la réponse Réponse : B

Black box = aucune information préalable, simulant l'attaquant externe. La connaissance complète (A) serait white box, la partielle (C) gray box.

Question 10

A tester is given a standard user account but no architecture details. Which testing approach is this?

  1. Black box (unknown environment)
  2. Gray box (partially known environment)
  3. White box (known environment)
  4. Blue team defense
Voir la réponse Réponse : B

Connaissance partielle (un compte utilisateur) = gray box / partially known environment. Sans rien = black (A), avec tout = white (C).

Question 11

Which document defines the scope, timing, prohibited actions, and emergency contacts for a penetration test?

  1. The rules of engagement
  2. The service level agreement
  3. The business impact analysis
  4. The incident response plan
Voir la réponse Réponse : A

Les rules of engagement bornent le pentest : scope, horaires, interdits, contacts. C'est le contrat qui sépare test légitime et intrusion.

Question 12

Which team simulates real-world adversaries during a security exercise?

  1. Blue team
  2. Red team
  3. White team
  4. Purple team
Voir la réponse Réponse : B

La red team joue l'adversaire. La blue défend (A), la white arbitre (C), la purple fait collaborer red et blue (D).

Question 13

What is the purpose of a purple team?

  1. To replace the blue team
  2. To make red and blue teams collaborate and improve defenses in real time
  3. To manage the firewall
  4. To perform only reconnaissance
Voir la réponse Réponse : B

La purple team fait travailler red et blue ensemble : les attaques nourrissent l'amélioration défensive en direct. Elle ne remplace pas la blue (A).

Question 14

What is the correct high-level order of penetration testing phases?

  1. Exploitation, reconnaissance, reporting, enumeration
  2. Reconnaissance, enumeration, vulnerability analysis, exploitation, reporting
  3. Reporting, exploitation, reconnaissance, analysis
  4. Enumeration, exploitation, reconnaissance, reporting
Voir la réponse Réponse : B

Reconnaissance → énumération → analyse → exploitation → reporting : la séquence logique, du renseignement au rapport. Les autres ordres brisent la chaîne.

Question 15

Why is accurate time synchronization (NTP) essential for log review?

  1. It speeds up the network
  2. Without synchronized clocks, correlating events across systems is unreliable
  3. It encrypts the logs
  4. It reduces log storage
Voir la réponse Réponse : B

Sans horloges synchronisées, impossible de corréler fiablement les événements entre systèmes — NTP est le prérequis de toute analyse de logs (et de Kerberos, chapitre 15).

Question 16

Which technique uses scripted, simulated transactions to proactively monitor a service's availability?

  1. Real user monitoring
  2. Synthetic transactions
  3. Fuzzing
  4. Regression testing
Voir la réponse Réponse : B

Les transactions synthétiques simulent des parcours scriptés pour surveiller la disponibilité de façon proactive. Le RUM (A) observe le trafic réel, a posteriori.

Question 17

Which formal code review method follows six steps: planning, overview, preparation, inspection, rework, and follow-up?

  1. Pair programming
  2. Fagan inspection
  3. Fuzzing
  4. Regression testing
Voir la réponse Réponse : B

La Fagan inspection suit six étapes formelles : planning, overview, preparation, inspection, rework, follow-up. Le pair programming (A) est plus léger et continu.

Question 18

Which testing method analyzes source code without executing the application?

  1. DAST
  2. SAST
  3. IAST
  4. Fuzzing
Voir la réponse Réponse : B

SAST analyse le code source sans l'exécuter (statique, boîte blanche). DAST (A) teste l'appli en marche, IAST (C) l'instrumente.

Question 19

Which testing method examines a running application from the outside, as an attacker would?

  1. SAST
  2. DAST
  3. Static code review
  4. Peer review
Voir la réponse Réponse : B

DAST examine l'application vivante de l'extérieur, comme un attaquant (dynamique, boîte noire). SAST (A) lit le code arrêté.

Question 20

Which testing technique feeds malformed or random inputs to an application to trigger crashes?

  1. Fuzzing
  2. Regression testing
  3. Synthetic transactions
  4. Benchmarking
Voir la réponse Réponse : A

Le fuzzing envoie des entrées aléatoires ou malformées pour provoquer des plantages révélateurs. Les autres méthodes n'ont pas cet objectif.

Question 21

What does test coverage analysis measure?

  1. The percentage of code actually exercised by tests
  2. The number of servers scanned
  3. The severity of vulnerabilities
  4. The uptime of a service
Voir la réponse Réponse : A

La test coverage mesure la part du code réellement exercée par les tests (statement, branch, condition…). Elle ne dit rien du nombre de serveurs (B) ni de la gravité (C).

Question 22

Misuse (abuse) case testing focuses on what?

  1. Confirming the application does what users expect
  2. Testing what the application should NOT allow
  3. Measuring response time
  4. Checking code formatting
Voir la réponse Réponse : B

Le misuse case teste ce que l'application ne doit pas permettre — l'inverse des cas d'usage. A décrit le test fonctionnel classique.

Question 23

After a code change, which testing verifies that previously working functionality still works?

  1. Regression testing
  2. Fuzzing
  3. Reconnaissance
  4. Penetration testing
Voir la réponse Réponse : A

Le regression testing vérifie qu'un changement n'a rien cassé de ce qui fonctionnait. Les autres techniques poursuivent d'autres buts.

Question 24

Which approach continuously and automatically replays known attack techniques to validate defenses?

  1. Breach and attack simulation (BAS)
  2. A single annual pentest
  3. Real user monitoring
  4. A vulnerability scan only
Voir la réponse Réponse : A

Le BAS rejoue en continu des techniques d'attaque connues (souvent ATT&CK) pour valider les défenses — bien plus fréquent qu'un pentest annuel (B).

Question 25

A crowd of external researchers is paid per valid vulnerability they find and report. What is this program called?

  1. A bug bounty
  2. A Fagan inspection
  3. A compliance audit
  4. A synthetic transaction
Voir la réponse Réponse : A

Le bug bounty rémunère des chercheurs externes au résultat — un complément aux tests structurés. Les autres options sont d'autres activités.

Auto-diagnostic

≥ 20/25 : passez au chapitre 17. Entre 15 et 19 : récitez scan vs pentest, les types de boîtes et SAST/DAST/IAST. < 15 : relisez le chapitre ; le domaine 6 récompense la précision du vocabulaire de test.

FicheFiche de révision

À savoir par cœur avant le chapitre 17
  1. Assessments : internal (1re) · external (2de) · third-party (tierce indépendante) ; le management approuve le scope.
  2. Vulnerability scan = identifie ; pentest = exploite pour prouver l'impact.
  3. Scan authentifié (identifiants) > non authentifié : plus profond, moins de faux positifs.
  4. Faux positif = fausse alerte ; faux négatif = faille manquée (le plus dangereux).
  5. Scans de ports : SYN (half-open), connect (complet), ACK (pare-feu), Xmas (évasion).
  6. CVE = identifiant · CVSS = score 0–10 · SCAP = automatisation (OVAL, XCCDF, CPE, CCE).
  7. Pentest : reconnaissance → énumération → analyse → exploitation → reporting.
  8. Boîtes : black (aucune/unknown) · gray (partielle) · white (complète/known).
  9. Équipes : red attaque · blue défend · purple collabore · white arbitre ; RoE = règles d'engagement ; bug bounty.
  10. Logs → NTP indispensable pour corréler ; synthetic transactions (proactif) vs RUM (réactif) ; benchmarks (CIS).
  11. Fagan = 6 étapes (planning, overview, preparation, inspection, rework, follow-up) ; peer review, pair programming.
  12. SAST (statique, code) · DAST (dynamique, appli en marche) · IAST (instrumenté).
  13. Fuzzing (mutation/dumb vs generational/intelligent) ; misuse case (ce qui ne doit pas passer) ; test coverage ; regression testing.
  14. BAS = rejeu continu d'attaques (ATT&CK) ; compliance checks.