CISSP · Réussir du premier coup
Domaine 6, première partie : concevoir une stratégie de test, évaluer les vulnérabilités, mener un pentest et tester le code.
Avant tout test, on définit une stratégie : quoi tester, comment, par qui, et sous quelles règles. Trois natures d'acteurs — la distinction est testée :
| Type | Qui | Usage |
|---|---|---|
| Internal (1re partie) | L'organisation s'évalue elle-même | Amélioration continue, préparation aux audits |
| External (2de partie) | Un partenaire/client évalue son fournisseur | Vérifier un tiers avec qui l'on contracte |
| Third-party (tierce) | Un évaluateur indépendant mandaté | Objectivité, attestations réglementaires (SOC, chapitre 17) |
La stratégie précise le lieu (on-site, cloud, hybride), le périmètre, les méthodes, et surtout obtient l'approbation du management sur le scope — sans mandat écrit, un test devient une intrusion (et un problème éthique, chapitre 0). On valide ensuite la stratégie : couvre-t-elle les risques réels, les obligations réglementaires, les actifs critiques ?
Un vulnerability assessment identifie et hiérarchise les failles — sans les exploiter. Les types de scans :
Deux modes : authentifié (le scanner se connecte avec des identifiants → vision interne profonde, moins de faux positifs) vs non authentifié (vue de l'attaquant externe). Deux erreurs à connaître :
| Erreur | Définition | Gravité |
|---|---|---|
| Faux positif | Signaler une faille qui n'existe pas | Perte de temps, fatigue d'alerte |
| Faux négatif | Manquer une faille réelle | Le plus dangereux : fausse assurance |
Le vocabulaire de gestion des vulnérabilités : CVE (Common Vulnerabilities and Exposures — l'identifiant unique d'une faille connue), CVSS (Common Vulnerability Scoring System — score de gravité de 0 à 10, base pour prioriser), et SCAP (Security Content Automation Protocol — cadre d'automatisation regroupant OVAL (définitions de tests), XCCDF (checklists), CPE (nommage des produits), CCE (configurations)). Le workflow : découvrir → prioriser (CVSS + contexte métier) → remédier → vérifier.
« Positif = fausse alerte ; Négatif = trou manqué. » Le faux négatif est le vrai danger : le scanner dit « rien à signaler » alors que la faille est là — vous dormez tranquille sur une porte ouverte.
Là où le scan identifie, le pentest exploite pour démontrer l'impact réel — la distinction est un piège classique. Les phases :
| Type de boîte | Connaissance du testeur | Terme 2024 |
|---|---|---|
| Black box | Aucune information préalable — simule un attaquant externe | Unknown environment |
| Gray box | Connaissance partielle (ex. un compte utilisateur) | Partially known environment |
| White box | Connaissance complète (architecture, code) — le plus exhaustif | Known environment |
Les rules of engagement (RoE) encadrent tout : périmètre autorisé, horaires, actions interdites, contacts d'urgence, gestion des données découvertes — c'est le contrat qui distingue le test légitime de l'intrusion. Les équipes :
| Équipe | Rôle |
|---|---|
| Red team | Attaque, simule l'adversaire |
| Blue team | Défend, détecte et répond |
| Purple team | Fait collaborer red et blue pour améliorer la défense en temps réel |
| White team / cell | Arbitre et supervise l'exercice |
Le bug bounty externalise la recherche de failles à une communauté de chercheurs rémunérés au résultat — un complément, pas un substitut, aux tests structurés.
| Méthode | Ce qu'elle teste | Nature |
|---|---|---|
| SAST | Le code source au repos, sans l'exécuter | Boîte blanche ; trouve tôt, mais faux positifs |
| DAST | L'application en marche, de l'extérieur | Boîte noire ; trouve les failles réelles à l'exécution |
| IAST | L'application instrumentée de l'intérieur pendant l'exécution | Combine les deux ; précis |
« SAST = Source (Static, code arrêté) ; DAST = Dynamic (l'appli tourne). » SAST lit le code sans le lancer ; DAST attaque l'application vivante ; IAST est dedans pendant qu'elle court.
Awa structure le programme de test de la fintech. Pour l'attestation réglementaire, elle mandate un évaluateur third-party indépendant, mais fait tourner en interne des scans authentifiés hebdomadaires — priorisés par CVSS croisé au contexte métier, un faux négatif sur le module de paiement l'inquiétant bien plus qu'une fausse alerte. Avant le go-live, elle commande un pentest en gray box (les testeurs reçoivent un compte client standard) sous des règles d'engagement strictes signées par la direction — hors de question de confondre test et intrusion. L'exercice se joue en purple team : la red team attaque, la blue team ajuste ses détections en direct. Côté code, le pipeline intègre du SAST à chaque commit et du DAST sur l'environnement de recette, complétés d'une Fagan inspection sur le module cryptographique le plus sensible. Des transactions synthétiques vérifient la disponibilité du paiement toutes les cinq minutes, et un outil de BAS rejoue en continu des techniques ATT&CK pour confirmer que les contrôles tiennent. Dernier détail, décisif : un contrôleur de domaine désynchronisé faussait la corrélation des logs — NTP recalé avant toute analyse.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
Which assessment is performed by an independent evaluator to provide objective, often regulatory, assurance?
Un évaluateur indépendant (third-party) apporte l'objectivité exigée par les attestations réglementaires (SOC, chapitre 17). L'interne (A) et l'externe (B) sont parties prenantes.
What must be obtained before any security testing begins?
Sans approbation du management sur le scope, le test est une intrusion (problème éthique et légal, chapitre 0). Le mandat écrit précède toujours l'action.
What is the KEY difference between a vulnerability scan and a penetration test?
Le scan liste les failles ; le pentest les exploite pour prouver l'impact réel. C inverse les rôles — le piège classique du domaine 6.
Which type of scan generally produces deeper results with fewer false positives?
Le scan authentifié se connecte avec des identifiants : vision interne profonde, moins de faux positifs. Le non authentifié (A) ne voit que la surface externe.
Which scan result is the MOST dangerous from a security standpoint?
Le faux négatif manque une faille réelle : l'organisation se croit sûre sur une porte ouverte. Le faux positif (A) ne fait que perdre du temps.
What does CVSS provide?
CVSS attribue un score de gravité (0–10) pour prioriser. L'identifiant unique (A) est le CVE — ne pas confondre.
What is a CVE?
Le CVE est l'identifiant unique d'une vulnérabilité publique. Le score (A) est le CVSS ; le CVE nomme, le CVSS note.
Which framework automates security configuration and vulnerability management, including OVAL and XCCDF?
SCAP automatise la gestion des configs et vulnérabilités : OVAL (tests), XCCDF (checklists), CPE (produits), CCE (configs). OWASP et STRIDE ont d'autres rôles.
In a black box penetration test, how much information does the tester have?
Black box = aucune information préalable, simulant l'attaquant externe. La connaissance complète (A) serait white box, la partielle (C) gray box.
A tester is given a standard user account but no architecture details. Which testing approach is this?
Connaissance partielle (un compte utilisateur) = gray box / partially known environment. Sans rien = black (A), avec tout = white (C).
Which document defines the scope, timing, prohibited actions, and emergency contacts for a penetration test?
Les rules of engagement bornent le pentest : scope, horaires, interdits, contacts. C'est le contrat qui sépare test légitime et intrusion.
Which team simulates real-world adversaries during a security exercise?
La red team joue l'adversaire. La blue défend (A), la white arbitre (C), la purple fait collaborer red et blue (D).
What is the purpose of a purple team?
La purple team fait travailler red et blue ensemble : les attaques nourrissent l'amélioration défensive en direct. Elle ne remplace pas la blue (A).
What is the correct high-level order of penetration testing phases?
Reconnaissance → énumération → analyse → exploitation → reporting : la séquence logique, du renseignement au rapport. Les autres ordres brisent la chaîne.
Why is accurate time synchronization (NTP) essential for log review?
Sans horloges synchronisées, impossible de corréler fiablement les événements entre systèmes — NTP est le prérequis de toute analyse de logs (et de Kerberos, chapitre 15).
Which technique uses scripted, simulated transactions to proactively monitor a service's availability?
Les transactions synthétiques simulent des parcours scriptés pour surveiller la disponibilité de façon proactive. Le RUM (A) observe le trafic réel, a posteriori.
Which formal code review method follows six steps: planning, overview, preparation, inspection, rework, and follow-up?
La Fagan inspection suit six étapes formelles : planning, overview, preparation, inspection, rework, follow-up. Le pair programming (A) est plus léger et continu.
Which testing method analyzes source code without executing the application?
SAST analyse le code source sans l'exécuter (statique, boîte blanche). DAST (A) teste l'appli en marche, IAST (C) l'instrumente.
Which testing method examines a running application from the outside, as an attacker would?
DAST examine l'application vivante de l'extérieur, comme un attaquant (dynamique, boîte noire). SAST (A) lit le code arrêté.
Which testing technique feeds malformed or random inputs to an application to trigger crashes?
Le fuzzing envoie des entrées aléatoires ou malformées pour provoquer des plantages révélateurs. Les autres méthodes n'ont pas cet objectif.
What does test coverage analysis measure?
La test coverage mesure la part du code réellement exercée par les tests (statement, branch, condition…). Elle ne dit rien du nombre de serveurs (B) ni de la gravité (C).
Misuse (abuse) case testing focuses on what?
Le misuse case teste ce que l'application ne doit pas permettre — l'inverse des cas d'usage. A décrit le test fonctionnel classique.
After a code change, which testing verifies that previously working functionality still works?
Le regression testing vérifie qu'un changement n'a rien cassé de ce qui fonctionnait. Les autres techniques poursuivent d'autres buts.
Which approach continuously and automatically replays known attack techniques to validate defenses?
Le BAS rejoue en continu des techniques d'attaque connues (souvent ATT&CK) pour valider les défenses — bien plus fréquent qu'un pentest annuel (B).
A crowd of external researchers is paid per valid vulnerability they find and report. What is this program called?
Le bug bounty rémunère des chercheurs externes au résultat — un complément aux tests structurés. Les autres options sont d'autres activités.
≥ 20/25 : passez au chapitre 17. Entre 15 et 19 : récitez scan vs pentest, les types de boîtes et SAST/DAST/IAST. < 15 : relisez le chapitre ; le domaine 6 récompense la précision du vocabulaire de test.