CISSP · Réussir du premier coup

Chapitre 17
Données de processus,
reporting, audits

Domaine 6, seconde partie : les données de pilotage, le reporting, la divulgation responsable et les audits — avec les rapports SOC en détail.

Domaine
6 — Security Assessment & Testing · 12 %
Objectifs couverts
6.3 · 6.4 · 6.5
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • KPI = performance passée (rétrospectif) ; KRI = alerte de risque à venir (prospectif).
  • Une sauvegarde n'existe que si sa restauration est testée — la vérification fait partie de la donnée de processus.
  • Le rapport se décline en deux registres : executive summary (pour les décideurs) et détail technique.
  • La remédiation se priorise par le risque ; les exceptions sont des acceptations de risque documentées et signées.
  • Responsible / coordinated disclosure : prévenir l'éditeur et laisser un délai avant publication — pas de full disclosure sauvage.
  • Audits : internal (1re partie), external (2de), third-party (tierce, indépendante).
  • SOC 1 = contrôle financier ; SOC 2 = sécurité (Trust Services Criteria, restreint) ; SOC 3 = public.
  • Type I = conception à un instant T ; Type II = efficacité sur 6–12 mois (le plus exigeant, à demander à un fournisseur).
  • Les 5 Trust Services Criteria : Security, Availability, Processing Integrity, Confidentiality, Privacy.
  • L'auditeur doit être indépendant de ce qu'il audite ; une charte d'audit fonde son mandat.

Objectif 6.3Les données de processus de sécurité

Piloter la sécurité exige des données. L'objectif 6.3 recense les sources qui alimentent le tableau de bord et les revues de management :

IndicateurRegardeExemple
KPI (Key Performance Indicator)Le passé — mesure une performance% de systèmes patchés dans les délais
KRI (Key Risk Indicator)Le futur — signale un risque croissantNombre de comptes privilégiés dormants qui augmente
MetricUne mesure bruteNombre d'incidents ce mois
🧠 Mnémonique — KPI / KRI

« KPI regarde derrière (Performance passée), KRI regarde devant (Risque à venir). » Un bon KRI se déclenche avant l'incident : c'est un signal d'alerte, pas un constat.

Objectif 6.4Analyse, reporting et divulgation

Structurer le rapport

Un rapport d'évaluation vit à deux niveaux : l'executive summary — synthèse en langage métier, orientée risque et décision, pour les dirigeants — et le détail technique — preuves, méthodes, findings reproductibles, pour les équipes qui corrigent. Écrire le même contenu pour les deux publics est une erreur : le dirigeant veut l'impact et la décision, l'ingénieur veut la reproduction et le correctif.

Remédiation et exceptions

Divulgation éthique

Quand un chercheur découvre une vulnérabilité, la responsible disclosure (ou coordinated disclosure) impose de prévenir l'éditeur en privé et de lui laisser un délai raisonnable pour corriger avant toute publication. À l'opposé, la full disclosure immédiate expose les utilisateurs sans défense. La coordination protège à la fois le public et la réputation — c'est la posture éthique attendue (canons ISC2, chapitre 0).

Objectif 6.5Les audits et les rapports SOC

Les trois natures d'audit

AuditMené parLe point testé
Internal (1re partie)L'organisation elle-mêmeAmélioration, préparation ; manque d'indépendance totale
External (2de partie)Un client/partenaire sur son fournisseurVérifier un tiers avec qui l'on contracte
Third-party (tierce)Un cabinet indépendant accréditéObjectivité, attestations opposables (SOC, ISO)

Principe cardinal : l'auditeur doit être indépendant de ce qu'il audite (sinon il se juge lui-même) ; une charte d'audit fonde son mandat et son autorité.

Les rapports SOC — le grand classique

Les rapports SOC (System and Organization Controls, AICPA, norme SSAE 18) attestent des contrôles d'un prestataire de services — l'outil clé pour évaluer un fournisseur cloud/SaaS (SCRM, chapitre 3) :

RapportObjetDiffusion
SOC 1Contrôles ayant un impact sur le reporting financier du clientRestreint (client, auditeurs)
SOC 2Contrôles de sécurité selon les Trust Services CriteriaRestreint (sous NDA — clients, régulateurs)
SOC 3Version publique et allégée du SOC 2 (label marketing)Public, sans détail sensible

Les 5 Trust Services Criteria du SOC 2 : Security (obligatoire, le socle commun), Availability, Processing Integrity, Confidentiality, Privacy — l'organisation choisit les critères pertinents pour son service.

TypeCe qu'il attestePériode
Type ILa conception des contrôles à un instant T (« ils sont bien conçus »)Une date
Type IIL'efficacité opérationnelle des contrôles dans la durée (« ils fonctionnent réellement »)6 à 12 mois

C'est le SOC 2 Type II qu'on exige d'un fournisseur critique : il prouve que les contrôles ont fonctionné sur plusieurs mois, pas seulement qu'ils existaient sur le papier un jour donné (rappel chapitre 3).

🧠 Mnémonique — SOC

« 1 = Finance, 2 = Sécurité (secret), 3 = Show (public). » Et pour les types : Type I = Instant (design à une date), Type II = Temps (efficacité sur la durée). Un fournisseur sérieux fournit un SOC 2 Type II.

Autres référentiels d'audit : ISO 27001 (certification d'un ISMS par audit externe, chapitre 1) et ISO 27002 (guide de contrôles) ; NIST SP 800-53A (procédures d'évaluation des contrôles 800-53 pour le fédéral US). Le PCI DSS impose ses propres audits (QSA) — contractuel, pas légal (chapitre 1).

⚠️ Pièges d'examen
  • KPI = performance passée ; KRI = risque à venir. Les distracteurs les intervertissent.
  • Une sauvegarde compte comme donnée de processus via son test de restauration, pas sa simple existence.
  • Remédiation priorisée par le risque, pas par la facilité.
  • Une exception = risque accepté, documenté et signé par le management ; sinon c'est de la négligence.
  • Responsible/coordinated disclosure : prévenir l'éditeur et laisser un délai avant publication.
  • SOC 1 = financier ; SOC 2 = sécurité (restreint) ; SOC 3 = public.
  • Type I = design à un instant T ; Type II = efficacité sur 6–12 mois (le plus exigeant, à exiger d'un fournisseur).
  • Les 5 TSC : Security, Availability, Processing Integrity, Confidentiality, Privacy — Security est le socle.
  • L'auditeur doit être indépendant de ce qu'il audite.
  • ISO 27001 se certifie par audit externe ; SOC est une attestation AICPA (SSAE 18).
Scénario fil rouge — Awa

Awa présente au comité des risques un tableau de bord distinguant clairement KPI (94 % des systèmes patchés dans les délais) et KRI (le nombre de comptes de service à secret non tourné, en hausse — signal d'alerte avant incident). Elle rappelle qu'une sauvegarde n'est validée qu'après un test de restauration réussi, et fait ajouter cette donnée au reporting mensuel. Un chercheur externe signale une faille sur le portail client : Awa applique la coordinated disclosure — correctif d'abord, publication ensuite, remerciements au chercheur (posture éthique, chapitre 0). Pour la remédiation, elle priorise par le risque et documente une exception signée par le COMEX sur un système legacy non patchable, assortie de contrôles compensatoires et d'une date de revue. Enfin, pour sélectionner le nouveau fournisseur KYC, elle exige un SOC 2 Type II — pas un Type I, qui ne photographierait la conception qu'à un instant donné — et lit les critères couverts (Security et Confidentiality au minimum). L'audit interne, lui, reste rattaché directement au conseil pour garantir son indépendance vis-à-vis de l'IT qu'il contrôle.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

Which indicator is forward-looking and warns of increasing risk before an incident occurs?

  1. KPI
  2. KRI
  3. Raw metric
  4. ROI
Voir la réponse Réponse : B

Le KRI est prospectif : il alerte avant l'incident. Le KPI (A) mesure le passé — « KRI regarde devant ».

Question 2

A KPI measures what?

  1. Future risk exposure
  2. Past performance against a target
  3. The number of auditors
  4. The encryption strength
Voir la réponse Réponse : B

Le KPI mesure une performance passée contre un objectif. Le risque à venir (A) est le domaine du KRI.

Question 3

Why is a backup only meaningful once its restoration has been tested?

  1. Testing compresses the backup
  2. An untested backup provides no proven ability to recover
  3. Testing encrypts the data
  4. It reduces storage costs
Voir la réponse Réponse : B

Une sauvegarde non restaurée ne prouve aucune capacité de récupération : seul le test de restauration en fait une vraie sauvegarde. Les autres options sont fantaisistes.

Question 4

In an ISO 27001 ISMS, what is management review?

  1. An optional marketing activity
  2. A required periodic review of ISMS performance by senior management
  3. A penetration test
  4. A firewall audit only
Voir la réponse Réponse : B

La revue de direction est une exigence de l'ISO 27001 : le management évalue périodiquement la performance de l'ISMS. Ce n'est ni optionnel (A) ni un pentest (C).

Question 5

A security report should be written for which audiences?

  1. Only for executives
  2. An executive summary for decision-makers and a technical section for remediation teams
  3. Only for auditors
  4. Only for the press
Voir la réponse Réponse : B

Deux publics, deux registres : executive summary orienté décision, détail technique orienté correction. Écrire pour un seul public dessert l'autre.

Question 6

How should remediation of identified vulnerabilities be prioritized?

  1. Easiest fixes first
  2. By risk (severity, exposure, asset value)
  3. Alphabetically
  4. By the age of the system
Voir la réponse Réponse : B

On priorise par le risque (gravité × exposition × valeur de l'actif), pas par la facilité (A). C'est le raisonnement manager du chapitre 3.

Question 7

A vulnerability cannot be fixed within the required window. What is the correct action?

  1. Ignore it silently
  2. Document a formal, signed exception with compensating controls and a review date
  3. Shut down the business
  4. Delete the finding from the report
Voir la réponse Réponse : B

Une exception documentée et signée, avec compensations et date de revue, transforme la faille en risque accepté. L'ignorer (A) ou la masquer (D) est une négligence.

Question 8

A researcher finds a vulnerability in a vendor's product. What does responsible (coordinated) disclosure require?

  1. Publishing full exploit details immediately
  2. Notifying the vendor privately and allowing time to fix before publication
  3. Selling the exploit to the highest bidder
  4. Never telling anyone
Voir la réponse Réponse : B

La coordinated disclosure prévient l'éditeur et laisse un délai de correction avant publication. La full disclosure immédiate (A) expose les utilisateurs sans défense.

Question 9

Which audit type provides the greatest independence and objectivity?

  1. Internal (first-party)
  2. External (second-party)
  3. Third-party
  4. Self-assessment
Voir la réponse Réponse : C

L'audit tierce (third-party), mené par un cabinet indépendant, offre la plus grande objectivité. L'interne (A) manque d'indépendance complète.

Question 10

What is the fundamental requirement for an auditor?

  1. To report to the team being audited
  2. To be independent of the function being audited
  3. To also administer the systems
  4. To own the audited assets
Voir la réponse Réponse : B

L'indépendance vis-à-vis de l'audité est la condition de crédibilité : sinon l'auditeur se juge lui-même. A, C et D détruisent cette indépendance.

Question 11

Which SOC report addresses controls relevant to a client's financial reporting?

  1. SOC 1
  2. SOC 2
  3. SOC 3
  4. SOC 4
Voir la réponse Réponse : A

SOC 1 couvre les contrôles à impact sur le reporting financier du client. SOC 2 vise la sécurité (B), SOC 3 est sa version publique (C).

Question 12

Which SOC report covers security controls under the Trust Services Criteria and is restricted in distribution?

  1. SOC 1
  2. SOC 2
  3. SOC 3
  4. A penetration test report
Voir la réponse Réponse : B

SOC 2 = contrôles de sécurité (Trust Services Criteria), à diffusion restreinte sous NDA. C'est le rapport clé pour évaluer un fournisseur.

Question 13

Which SOC report is a general-use, public summary suitable for marketing?

  1. SOC 1
  2. SOC 2
  3. SOC 3
  4. SOC 2 Type I
Voir la réponse Réponse : C

SOC 3 est la version publique et allégée du SOC 2, utilisable en communication. « 3 = Show. »

Question 14

What does a SOC 2 Type I report attest to?

  1. The operating effectiveness of controls over 6–12 months
  2. The design of controls at a single point in time
  3. The financial statements of the provider
  4. The public reputation of the provider
Voir la réponse Réponse : B

Le Type I atteste la conception des contrôles à un instant T. L'efficacité dans la durée (A) est le Type II.

Question 15

A company wants proof that a SaaS provider's controls actually operated effectively over the past year. Which report should it request?

  1. SOC 2 Type I
  2. SOC 2 Type II
  3. SOC 3
  4. A marketing whitepaper
Voir la réponse Réponse : B

Prouver l'efficacité sur la durée = SOC 2 Type II (6–12 mois). Le Type I (A) ne photographie que la conception à une date.

Question 16

Which is the ONLY mandatory Trust Services Criterion in a SOC 2 report?

  1. Availability
  2. Security
  3. Privacy
  4. Processing Integrity
Voir la réponse Réponse : B

Security est le critère obligatoire, socle commun de tout SOC 2 ; les quatre autres sont optionnels selon le service.

Question 17

Which of the following is NOT one of the five Trust Services Criteria?

  1. Security
  2. Availability
  3. Scalability
  4. Privacy
Voir la réponse Réponse : C

Scalability n'est pas un TSC. Les cinq sont Security, Availability, Processing Integrity, Confidentiality, Privacy.

Question 18

Under which standard are SOC reports issued?

  1. ISO 27001
  2. SSAE 18 (AICPA)
  3. PCI DSS
  4. GDPR
Voir la réponse Réponse : B

Les rapports SOC sont émis sous SSAE 18 (AICPA). ISO 27001 (A) est une norme de certification distincte.

Question 19

Which standard is used to certify an information security management system?

  1. ISO 27001
  2. SOC 3
  3. NIST 800-53A
  4. SSAE 18
Voir la réponse Réponse : A

ISO 27001 certifie un ISMS par audit externe. SOC 3 (B) est une attestation, 800-53A (C) une méthode d'évaluation fédérale.

Question 20

What is the purpose of an audit charter?

  1. To encrypt audit logs
  2. To establish the audit function's mandate and authority
  3. To assign IP addresses
  4. To replace the incident response plan
Voir la réponse Réponse : B

La charte d'audit établit le mandat et l'autorité de la fonction d'audit. Les autres options n'ont aucun rapport.

Question 21

Which data source demonstrates the effectiveness of a security awareness program?

  1. Firewall throughput
  2. Phishing simulation results and training completion rates
  3. The number of servers
  4. The encryption key length
Voir la réponse Réponse : B

Résultats de phishing et taux de complétion mesurent l'efficacité de la sensibilisation (chapitre 3). Le débit du pare-feu (A) est sans rapport.

Question 22

Which report should be shared publicly without exposing sensitive control details?

  1. SOC 1
  2. SOC 2 Type II
  3. SOC 3
  4. The internal audit working papers
Voir la réponse Réponse : C

SOC 3 est conçu pour la diffusion publique sans détails sensibles. Le SOC 2 (B) reste sous NDA, les working papers (D) sont internes.

Question 23

DR/BC test data primarily reveals what?

  1. The marketing budget
  2. Whether recovery objectives (such as RTO) are actually met
  3. The number of employees
  4. The office temperature
Voir la réponse Réponse : B

Les tests DR/BC révèlent si les objectifs de reprise (RTO) sont réellement atteints — l'écart entre le plan et la réalité (chapitre 20).

Question 24

To whom should an internal audit function ideally report to preserve independence?

  1. The IT department it audits
  2. The board or audit committee
  3. The system administrators
  4. The help desk
Voir la réponse Réponse : B

Rattacher l'audit interne au conseil/comité d'audit préserve son indépendance vis-à-vis de l'IT qu'il contrôle. Le rattacher à l'audité (A) la détruit.

Question 25

Which NIST publication provides procedures for assessing the controls in SP 800-53?

  1. NIST SP 800-53A
  2. NIST SP 800-82
  3. NIST SP 800-63B
  4. NIST SP 800-207
Voir la réponse Réponse : A

NIST SP 800-53A fournit les procédures d'évaluation des contrôles 800-53. 800-82 = ICS, 800-63B = authentification, 800-207 = zero trust.

Auto-diagnostic

≥ 20/25 : le domaine 6 est bouclé — cap sur le domaine 7 (chapitre 18). Entre 15 et 19 : récitez la grille SOC (1/2/3, Type I/II, 5 TSC). < 15 : relisez le chapitre ; les rapports SOC sont un incontournable du domaine 6.

FicheFiche de révision

À savoir par cœur avant le chapitre 18
  1. KPI = performance passée ; KRI = risque à venir ; metric = mesure brute.
  2. Backup = donnée de processus via son test de restauration ; + training data, DR/BC test data, management review (ISO 27001).
  3. Rapport : executive summary (décideurs) + détail technique (correction).
  4. Remédiation priorisée par le risque ; exception = risque accepté, documenté et signé + compensations + date de revue.
  5. Responsible/coordinated disclosure : prévenir l'éditeur, laisser un délai, publier ensuite.
  6. Audits : internal (1re) · external (2de) · third-party (tierce, indépendante) ; auditeur indépendant de l'audité ; charte d'audit.
  7. SOC 1 = financier · SOC 2 = sécurité (restreint) · SOC 3 = public. « 1 Finance, 2 Secret, 3 Show. »
  8. Type I = design à un instant T ; Type II = efficacité sur 6–12 mois (exiger d'un fournisseur).
  9. 5 TSC : Security (obligatoire), Availability, Processing Integrity, Confidentiality, Privacy.
  10. SOC = SSAE 18 (AICPA) ; ISO 27001 certifie l'ISMS ; NIST 800-53A évalue les contrôles 800-53.