DoS/DDoS : SYN flood, smurf, fraggle, teardrop, amplification ; zero-day = faille inconnue sans correctif.
Objectif 7.2Logging et monitoring
Système
Rôle
IDS
Détecte et alerte (hors bande)
IPS
Détecte et bloque (en ligne / inline)
HIDS / NIDS
Sur l'hôte / sur le réseau
Deux méthodes de détection : signature / knowledge-based (compare à une base de menaces connues — précise, mais aveugle au nouveau) et anomaly / behavior-based (apprend le « normal » et alerte sur l'écart — détecte l'inconnu, mais génère des faux positifs) ; l'approche heuristique combine les deux.
SIEM : agrégation, corrélation, normalisation et rétention des logs de toute l'organisation — le cœur du SOC. Prérequis : temps synchronisé (NTP, chapitre 16) et protection des logs contre l'altération.
SOAR : Security Orchestration, Automation and Response — exécute des playbooks automatisés pour répondre plus vite (isoler un poste, désactiver un compte).
Egress monitoring : surveiller les sorties pour détecter l'exfiltration, la stéganographie, les canaux cachés (chapitre 5).
Log management : centralisation, clipping levels (seuils au-delà desquels on alerte, pour filtrer le bruit), sampling.
Threat intelligence (feeds, OSINT), threat hunting (chasse proactive), UEBA (analyse comportementale des utilisateurs et entités).
Need-to-know (accès à l'information nécessaire) vs least privilege (droits/permissions minimaux) — nuance testée : l'un porte sur les données, l'autre sur les capacités d'action.
Separation of duties (aucune personne seule ne boucle une opération critique), two-person control et split knowledge (M-of-N, chapitre 8).
Job rotation et mandatory vacations : contrôles détectifs — faire tenir le poste par un autre révèle les fraudes dissimulées.
Privileged account management (PAM, chapitre 15).
SLA et métriques de fiabilité :
Sigle
Signification
MTBF
Temps moyen entre deux pannes (équipement réparable)
MTTR
Temps moyen de réparation
MTTF
Temps moyen jusqu'à la panne (équipement non réparable)
Resource protection (7.5) : gestion des médias (marquage, manipulation, stockage — chapitre 4), protection de la donnée at rest / in transit (chapitre 5), MTBF des supports.
Objectif 7.6Les 7 étapes de la gestion d'incident
La séquence ISC2, à connaître par cœur et dans l'ordre :
Detection — repérer l'incident (SIEM, alerte, signalement). D'abord distinguer event (fait observable) et incident (qui nuit ou menace).
Response — activer l'équipe (CSIRT), suivre le plan ; ne pas agir en héros isolé (chapitre 0).
Mitigation (containment) — contenir pour limiter les dégâts (isoler le système, couper le compte).
Reporting — informer les parties prenantes et, si requis, les autorités/régulateurs (GDPR 72 h, chapitre 1).
Recovery — restaurer les systèmes en production propre.
Remediation — traiter la cause racine pour empêcher la récidive (root cause analysis, chapitre 18).
Lessons Learned — retour d'expérience, amélioration du plan.
Le mapping NIST SP 800-61 (4 phases) : Preparation → Detection & Analysis → Containment/Eradication/Recovery → Post-incident. Les deux référentiels décrivent le même cycle ; ISC2 le détaille en sept temps.
🧠 Mnémonique — les 7 étapes
« Des Renards Malins Rôdent, Repèrent, Réparent, Réfléchissent » — Detection, Response, Mitigation, Reporting, Recovery, Remediation, Lessons learned. Le containment (Mitigation) vient après la Response, jamais avant d'avoir activé le plan.
Objectif 7.7Mesures préventives et malware
Firewalls, IDS/IPS (rappel chapitre 12), allow-listing (n'autoriser que l'approuvé — plus sûr) vs deny-listing (bloquer le connu-mauvais).
Sandboxing : détoner un fichier suspect dans un environnement isolé.
Honeypots / honeynets : leurres pour observer les attaquants — l'enticement (attirer un attaquant déjà décidé vers un leurre) est légal ; l'entrapment (inciter quelqu'un à commettre un crime qu'il n'aurait pas commis) est illégal. Padded cell, darknet complètent la panoplie.
Anti-malware : signature vs heuristique vs comportemental ; outils ML/IA.
Panorama des malwares
Type
Caractéristique
Virus
Se greffe à un fichier, nécessite une exécution (variantes : polymorphic, multipartite, stealth, macro)
Worm
Se propage seul sur le réseau, sans hôte
Trojan
Se cache dans un programme d'apparence légitime
RAT
Cheval de Troie d'accès distant (contrôle de la machine)
Logic bomb
Se déclenche à une condition (date, événement)
Rootkit
Se dissimule au cœur du système (souvent en mode noyau)
Ransomware
Chiffre les données pour extorsion ; double extorsion = exfiltration + menace de publication
Botnet / C2
Machines zombies pilotées par un serveur de commande et contrôle
Fileless
Vit en mémoire, sans fichier sur disque (échappe à l'antivirus classique)
Spyware / adware
Espionne / affiche de la publicité
Attaques par déni de service
DoS / DDoS : SYN flood (connexions à moitié ouvertes, chapitre 10), smurf (amplification ICMP par broadcast), fraggle (idem en UDP), teardrop (fragments malformés), land (source = destination), ping of death, amplification (DNS/NTP). Un zero-day exploite une faille inconnue de l'éditeur, sans correctif disponible — d'où la valeur de la défense en profondeur et des contrôles comportementaux.
SIEM corrèle les logs ; SOAR automatise la réponse (playbooks). Ne pas confondre.
Les 7 étapes dans l'ordre : Detection, Response, Mitigation, Reporting, Recovery, Remediation, Lessons learned. Le containment (mitigation) suit la response.
Event ≠ incident : l'incident nuit ou menace.
Need-to-know = information ; least privilege = droits d'action. Nuance testée.
Job rotation et mandatory vacations sont détectifs (révèlent la fraude), pas préventifs.
Worm se propage seul ; virus a besoin d'un hôte et d'une exécution. Fileless échappe à l'AV classique.
Zero-day = pas de correctif ⇒ contrôles comportementaux et défense en profondeur.
Scénario fil rouge — Awa
Le SOC de la fintech monte en puissance. Awa déploie un SIEM qui corrèle les logs des deux entités (NTP recalé au préalable) et un SOAR dont les playbooks isolent automatiquement un poste compromis. Un ransomware à double extorsion frappe une filiale : l'équipe suit les 7 étapes — détection par l'IDS, response via le CSIRT, mitigation par isolation réseau, reporting au régulateur sous 72 h, recovery depuis les sauvegardes testées, remediation de la faille d'origine, puis lessons learned qui amende le plan. Awa refuse de payer la rançon (posture manager, chapitre 0). Côté prévention, elle bascule les serveurs critiques en allow-listing, installe un honeypot pour observer les intrus — en veillant à rester dans l'enticement légal, jamais l'entrapment — et confie la surveillance 24/7 à un MDR. Elle rappelle enfin au comité la différence entre MTBF et MTTR pour dimensionner les SLA des équipements de paiement.
Quiz25 questions
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
Question 1
What is the KEY difference between an IDS and an IPS?
An IDS blocks traffic; an IPS only alerts
An IDS detects and alerts; an IPS detects and blocks inline
They are identical
An IPS works only on hosts
Voir la réponseRéponse : B
L'IDS détecte et alerte (hors bande) ; l'IPS, inline, bloque. A inverse les deux rôles.
Question 2
Which detection method can identify previously unknown attacks but produces more false positives?
Signature-based
Anomaly/behavior-based
Knowledge-based
Static rule matching
Voir la réponseRéponse : B
L'anomaly-based apprend le normal et détecte l'inconnu, au prix de faux positifs. Le signature-based (A) ne voit que le connu.
Question 3
What is the PRIMARY function of a SIEM?
Automating incident response with playbooks
Aggregating and correlating logs from across the organization
Encrypting network traffic
Blocking traffic inline
Voir la réponseRéponse : B
Le SIEM agrège et corrèle les logs. L'automatisation par playbooks (A) est le rôle du SOAR.
Question 4
Which technology orchestrates and automates response actions using playbooks?
SIEM
SOAR
IDS
DNS
Voir la réponseRéponse : B
Le SOAR orchestre et automatise la réponse via des playbooks. Le SIEM (A) corrèle, il n'agit pas seul.
Question 5
What is the purpose of egress monitoring?
Blocking inbound attacks
Detecting data exfiltration and covert channels leaving the network
Assigning IP addresses
Speeding up backups
Voir la réponseRéponse : B
L'egress monitoring surveille les sorties pour détecter exfiltration et canaux cachés. Il ne bloque pas l'entrant (A).
Question 6
What distinguishes an event from an incident?
An event always causes damage
An incident harms or threatens security, while an event is simply observable
They are identical
An event requires law enforcement
Voir la réponseRéponse : B
Un incident nuit ou menace la sécurité ; un event est simplement observable. Tous les events ne sont pas des incidents.
Question 7
What is the correct order of the ISC2 incident management steps?
Detection → Response → Mitigation → Reporting → Recovery → Remediation → Lessons learned. Les autres ordres brisent la séquence.
Question 8
In incident management, what does the mitigation (containment) step accomplish?
Identifying the incident
Limiting the damage, for example by isolating the affected system
Writing the lessons-learned report
Fixing the root cause permanently
Voir la réponseRéponse : B
Le containment limite les dégâts (isolation). Traiter la cause racine (D) est la remediation, plus tard.
Question 9
Which incident step addresses the root cause to prevent recurrence?
Detection
Recovery
Remediation
Reporting
Voir la réponseRéponse : C
La remediation traite la cause racine pour empêcher la récidive. La recovery (B) restaure, sans corriger la cause.
Question 10
The NIST SP 800-61 phase "containment, eradication, and recovery" maps to which ISC2 steps?
Detection and reporting
Mitigation, recovery, and remediation
Lessons learned only
Response only
Voir la réponseRéponse : B
La phase NIST « containment/eradication/recovery » recouvre mitigation, recovery et remediation côté ISC2 — même cycle, découpage différent.
Question 11
What is the difference between need-to-know and least privilege?
Need-to-know concerns access to information; least privilege concerns the rights to perform actions
They are identical
Least privilege applies only to executives
Need-to-know concerns physical access only
Voir la réponseRéponse : A
Need-to-know porte sur l'information ; least privilege sur les droits d'action. La nuance est classiquement testée.
Question 12
Which control is DETECTIVE and reveals fraud by having another person perform a role?
Encryption
Mandatory vacations and job rotation
A firewall
Least privilege
Voir la réponseRéponse : B
Vacances obligatoires et rotation sont détectives : le remplaçant révèle la fraude dissimulée. Ce ne sont pas des contrôles préventifs.
Question 13
Which metric represents the average time between failures of a repairable device?
MTTR
MTBF
MTTF
RTO
Voir la réponseRéponse : B
Le MTBF mesure le temps moyen entre deux pannes d'un équipement réparable. Le MTTR (A) est le temps de réparation.
Question 14
Which metric represents the average time to repair a failed component?
MTBF
MTTR
MTTF
RPO
Voir la réponseRéponse : B
Le MTTR est le temps moyen de réparation. Le MTBF (A) est l'intervalle entre pannes, le MTTF (C) la durée de vie d'un non-réparable.
Question 15
A decoy system used to observe an attacker who is already attempting intrusion illustrates what legal concept?
Entrapment (illegal)
Enticement (legal)
Coercion
Extortion
Voir la réponseRéponse : B
Attirer un attaquant déjà décidé vers un leurre = enticement, légal. L'entrapment (A) inciterait au crime — illégal.
Question 16
Why is entrapment problematic?
It is a legal defensive technique
It induces someone to commit a crime they would not otherwise have committed, which is illegal
It speeds up investigations
It only applies to honeypots
Voir la réponseRéponse : B
L'entrapment pousse quelqu'un à commettre un crime qu'il n'aurait pas commis : illégal, il vicie toute poursuite.
Question 17
Which endpoint approach permits only explicitly approved software to run?
Deny-listing
Allow-listing
Signature-only scanning
Open execution
Voir la réponseRéponse : B
L'allow-listing n'autorise que l'approuvé : par défaut tout le reste est bloqué — plus sûr que le deny-listing (A).
Question 18
Which malware propagates across a network on its own, without needing a host file?
Virus
Worm
Trojan
Logic bomb
Voir la réponseRéponse : B
Le worm se propage seul, sans hôte. Le virus (A) a besoin d'un fichier et d'une exécution.
Question 19
Which malware triggers its payload only when a specific condition, such as a date, is met?
Worm
Logic bomb
Rootkit
Adware
Voir la réponseRéponse : B
La logic bomb se déclenche sur condition (date, événement). Le worm (A) se propage en continu.
Question 20
Ransomware that also exfiltrates data and threatens to publish it uses which tactic?
Single extortion
Double extortion
Amplification
Spoofing
Voir la réponseRéponse : B
Chiffrer et menacer de publier les données volées = double extorsion. La simple extorsion (A) ne fait que chiffrer.
Question 21
Which malware runs entirely in memory to evade traditional file-based antivirus?
Macro virus
Fileless malware
Adware
Trojan
Voir la réponseRéponse : B
Le fileless malware vit en mémoire, sans fichier — d'où son évasion de l'antivirus classique. Le macro virus (A) est fichier.
Question 22
A smurf attack achieves denial of service by doing what?
Sending SYN packets without completing the handshake
Amplifying ICMP traffic using a network's broadcast address
Injecting SQL commands
Encrypting the victim's files
Voir la réponseRéponse : B
Le smurf amplifie l'ICMP via l'adresse de broadcast d'un réseau. Le SYN flood (A) exploite le handshake TCP.
Question 23
What defines a zero-day vulnerability?
A flaw with an available patch
A flaw unknown to the vendor with no patch available
A flaw that only affects old systems
A flaw in encryption keys
Voir la réponseRéponse : B
Un zero-day est inconnu de l'éditeur, sans correctif — d'où le recours aux contrôles comportementaux. A décrit l'inverse.
Question 24
Which service provides managed detection and response on behalf of an organization?
MDR
DNS
DHCP
NTP
Voir la réponseRéponse : A
Le MDR fournit détection et réponse managées 24/7. DNS, DHCP et NTP sont des services d'infrastructure.
Question 25
What is the PRIMARY purpose of a clipping level in log management?
To encrypt logs
To set a threshold that filters routine noise and triggers alerts above it
To delete old logs
To compress the SIEM database
Voir la réponseRéponse : B
Le clipping level fixe un seuil qui filtre le bruit routinier et alerte au-delà — pour ne pas noyer le SOC.
Auto-diagnostic
≥ 20/25 : passez au chapitre 20. Entre 15 et 19 : récitez les 7 étapes de l'incident et le panorama malware. < 15 : relisez le chapitre — c'est le plus dense du domaine 7.
DoS : SYN flood, smurf (ICMP broadcast), fraggle (UDP), teardrop, amplification ; zero-day = sans correctif.
Ce site utilise des cookies de mesure d'audience (Google Analytics) pour comprendre sa fréquentation. Vous pouvez accepter ou refuser — votre choix est conservé.