CISSP · Réussir du premier coup
Domaine 6, seconde partie : les données de pilotage, le reporting, la divulgation responsable et les audits — avec les rapports SOC en détail.
Piloter la sécurité exige des données. L'objectif 6.3 recense les sources qui alimentent le tableau de bord et les revues de management :
| Indicateur | Regarde | Exemple |
|---|---|---|
| KPI (Key Performance Indicator) | Le passé — mesure une performance | % de systèmes patchés dans les délais |
| KRI (Key Risk Indicator) | Le futur — signale un risque croissant | Nombre de comptes privilégiés dormants qui augmente |
| Metric | Une mesure brute | Nombre d'incidents ce mois |
« KPI regarde derrière (Performance passée), KRI regarde devant (Risque à venir). » Un bon KRI se déclenche avant l'incident : c'est un signal d'alerte, pas un constat.
Un rapport d'évaluation vit à deux niveaux : l'executive summary — synthèse en langage métier, orientée risque et décision, pour les dirigeants — et le détail technique — preuves, méthodes, findings reproductibles, pour les équipes qui corrigent. Écrire le même contenu pour les deux publics est une erreur : le dirigeant veut l'impact et la décision, l'ingénieur veut la reproduction et le correctif.
Quand un chercheur découvre une vulnérabilité, la responsible disclosure (ou coordinated disclosure) impose de prévenir l'éditeur en privé et de lui laisser un délai raisonnable pour corriger avant toute publication. À l'opposé, la full disclosure immédiate expose les utilisateurs sans défense. La coordination protège à la fois le public et la réputation — c'est la posture éthique attendue (canons ISC2, chapitre 0).
| Audit | Mené par | Le point testé |
|---|---|---|
| Internal (1re partie) | L'organisation elle-même | Amélioration, préparation ; manque d'indépendance totale |
| External (2de partie) | Un client/partenaire sur son fournisseur | Vérifier un tiers avec qui l'on contracte |
| Third-party (tierce) | Un cabinet indépendant accrédité | Objectivité, attestations opposables (SOC, ISO) |
Principe cardinal : l'auditeur doit être indépendant de ce qu'il audite (sinon il se juge lui-même) ; une charte d'audit fonde son mandat et son autorité.
Les rapports SOC (System and Organization Controls, AICPA, norme SSAE 18) attestent des contrôles d'un prestataire de services — l'outil clé pour évaluer un fournisseur cloud/SaaS (SCRM, chapitre 3) :
| Rapport | Objet | Diffusion |
|---|---|---|
| SOC 1 | Contrôles ayant un impact sur le reporting financier du client | Restreint (client, auditeurs) |
| SOC 2 | Contrôles de sécurité selon les Trust Services Criteria | Restreint (sous NDA — clients, régulateurs) |
| SOC 3 | Version publique et allégée du SOC 2 (label marketing) | Public, sans détail sensible |
Les 5 Trust Services Criteria du SOC 2 : Security (obligatoire, le socle commun), Availability, Processing Integrity, Confidentiality, Privacy — l'organisation choisit les critères pertinents pour son service.
| Type | Ce qu'il atteste | Période |
|---|---|---|
| Type I | La conception des contrôles à un instant T (« ils sont bien conçus ») | Une date |
| Type II | L'efficacité opérationnelle des contrôles dans la durée (« ils fonctionnent réellement ») | 6 à 12 mois |
C'est le SOC 2 Type II qu'on exige d'un fournisseur critique : il prouve que les contrôles ont fonctionné sur plusieurs mois, pas seulement qu'ils existaient sur le papier un jour donné (rappel chapitre 3).
« 1 = Finance, 2 = Sécurité (secret), 3 = Show (public). » Et pour les types : Type I = Instant (design à une date), Type II = Temps (efficacité sur la durée). Un fournisseur sérieux fournit un SOC 2 Type II.
Autres référentiels d'audit : ISO 27001 (certification d'un ISMS par audit externe, chapitre 1) et ISO 27002 (guide de contrôles) ; NIST SP 800-53A (procédures d'évaluation des contrôles 800-53 pour le fédéral US). Le PCI DSS impose ses propres audits (QSA) — contractuel, pas légal (chapitre 1).
Awa présente au comité des risques un tableau de bord distinguant clairement KPI (94 % des systèmes patchés dans les délais) et KRI (le nombre de comptes de service à secret non tourné, en hausse — signal d'alerte avant incident). Elle rappelle qu'une sauvegarde n'est validée qu'après un test de restauration réussi, et fait ajouter cette donnée au reporting mensuel. Un chercheur externe signale une faille sur le portail client : Awa applique la coordinated disclosure — correctif d'abord, publication ensuite, remerciements au chercheur (posture éthique, chapitre 0). Pour la remédiation, elle priorise par le risque et documente une exception signée par le COMEX sur un système legacy non patchable, assortie de contrôles compensatoires et d'une date de revue. Enfin, pour sélectionner le nouveau fournisseur KYC, elle exige un SOC 2 Type II — pas un Type I, qui ne photographierait la conception qu'à un instant donné — et lit les critères couverts (Security et Confidentiality au minimum). L'audit interne, lui, reste rattaché directement au conseil pour garantir son indépendance vis-à-vis de l'IT qu'il contrôle.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
Which indicator is forward-looking and warns of increasing risk before an incident occurs?
Le KRI est prospectif : il alerte avant l'incident. Le KPI (A) mesure le passé — « KRI regarde devant ».
A KPI measures what?
Le KPI mesure une performance passée contre un objectif. Le risque à venir (A) est le domaine du KRI.
Why is a backup only meaningful once its restoration has been tested?
Une sauvegarde non restaurée ne prouve aucune capacité de récupération : seul le test de restauration en fait une vraie sauvegarde. Les autres options sont fantaisistes.
In an ISO 27001 ISMS, what is management review?
La revue de direction est une exigence de l'ISO 27001 : le management évalue périodiquement la performance de l'ISMS. Ce n'est ni optionnel (A) ni un pentest (C).
A security report should be written for which audiences?
Deux publics, deux registres : executive summary orienté décision, détail technique orienté correction. Écrire pour un seul public dessert l'autre.
How should remediation of identified vulnerabilities be prioritized?
On priorise par le risque (gravité × exposition × valeur de l'actif), pas par la facilité (A). C'est le raisonnement manager du chapitre 3.
A vulnerability cannot be fixed within the required window. What is the correct action?
Une exception documentée et signée, avec compensations et date de revue, transforme la faille en risque accepté. L'ignorer (A) ou la masquer (D) est une négligence.
A researcher finds a vulnerability in a vendor's product. What does responsible (coordinated) disclosure require?
La coordinated disclosure prévient l'éditeur et laisse un délai de correction avant publication. La full disclosure immédiate (A) expose les utilisateurs sans défense.
Which audit type provides the greatest independence and objectivity?
L'audit tierce (third-party), mené par un cabinet indépendant, offre la plus grande objectivité. L'interne (A) manque d'indépendance complète.
What is the fundamental requirement for an auditor?
L'indépendance vis-à-vis de l'audité est la condition de crédibilité : sinon l'auditeur se juge lui-même. A, C et D détruisent cette indépendance.
Which SOC report addresses controls relevant to a client's financial reporting?
SOC 1 couvre les contrôles à impact sur le reporting financier du client. SOC 2 vise la sécurité (B), SOC 3 est sa version publique (C).
Which SOC report covers security controls under the Trust Services Criteria and is restricted in distribution?
SOC 2 = contrôles de sécurité (Trust Services Criteria), à diffusion restreinte sous NDA. C'est le rapport clé pour évaluer un fournisseur.
Which SOC report is a general-use, public summary suitable for marketing?
SOC 3 est la version publique et allégée du SOC 2, utilisable en communication. « 3 = Show. »
What does a SOC 2 Type I report attest to?
Le Type I atteste la conception des contrôles à un instant T. L'efficacité dans la durée (A) est le Type II.
A company wants proof that a SaaS provider's controls actually operated effectively over the past year. Which report should it request?
Prouver l'efficacité sur la durée = SOC 2 Type II (6–12 mois). Le Type I (A) ne photographie que la conception à une date.
Which is the ONLY mandatory Trust Services Criterion in a SOC 2 report?
Security est le critère obligatoire, socle commun de tout SOC 2 ; les quatre autres sont optionnels selon le service.
Which of the following is NOT one of the five Trust Services Criteria?
Scalability n'est pas un TSC. Les cinq sont Security, Availability, Processing Integrity, Confidentiality, Privacy.
Under which standard are SOC reports issued?
Les rapports SOC sont émis sous SSAE 18 (AICPA). ISO 27001 (A) est une norme de certification distincte.
Which standard is used to certify an information security management system?
ISO 27001 certifie un ISMS par audit externe. SOC 3 (B) est une attestation, 800-53A (C) une méthode d'évaluation fédérale.
What is the purpose of an audit charter?
La charte d'audit établit le mandat et l'autorité de la fonction d'audit. Les autres options n'ont aucun rapport.
Which data source demonstrates the effectiveness of a security awareness program?
Résultats de phishing et taux de complétion mesurent l'efficacité de la sensibilisation (chapitre 3). Le débit du pare-feu (A) est sans rapport.
Which report should be shared publicly without exposing sensitive control details?
SOC 3 est conçu pour la diffusion publique sans détails sensibles. Le SOC 2 (B) reste sous NDA, les working papers (D) sont internes.
DR/BC test data primarily reveals what?
Les tests DR/BC révèlent si les objectifs de reprise (RTO) sont réellement atteints — l'écart entre le plan et la réalité (chapitre 20).
To whom should an internal audit function ideally report to preserve independence?
Rattacher l'audit interne au conseil/comité d'audit préserve son indépendance vis-à-vis de l'IT qu'il contrôle. Le rattacher à l'audité (A) la détruit.
Which NIST publication provides procedures for assessing the controls in SP 800-53?
NIST SP 800-53A fournit les procédures d'évaluation des contrôles 800-53. 800-82 = ICS, 800-63B = authentification, 800-207 = zero trust.
≥ 20/25 : le domaine 6 est bouclé — cap sur le domaine 7 (chapitre 18). Entre 15 et 19 : récitez la grille SOC (1/2/3, Type I/II, 5 TSC). < 15 : relisez le chapitre ; les rapports SOC sont un incontournable du domaine 6.