CISSP · Réussir du premier coup

Chapitre 19
Opérations, logging,
gestion des incidents

Domaine 7, deuxième partie : détection, SIEM/SOAR, concepts opérationnels, les 7 étapes de l'incident et les mesures défensives.

Domaine
7 — Security Operations · 13 %
Objectifs couverts
7.2 · 7.3 · 7.4 · 7.5 · 7.6 · 7.7
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • IDS détecte, IPS bloque (inline) ; signature/knowledge-based (connu) vs anomaly/behavior-based (inconnu, mais faux positifs).
  • SIEM agrège et corrèle les logs ; SOAR orchestre et automatise la réponse (playbooks).
  • Les 7 étapes ISC2 de l'incident, DANS L'ORDRE : Detection → Response → Mitigation → Reporting → Recovery → Remediation → Lessons Learned.
  • Un event est observable ; un incident nuit ou menace la sécurité.
  • Need-to-know (l'info) vs least privilege (les droits) ; SoD, two-person control, job rotation, mandatory vacations détectent la fraude.
  • MTBF (temps moyen entre pannes) · MTTR (temps de réparation) · MTTF (durée de vie non réparable).
  • Honeypot = enticement légal ; l'entrapment (inciter au crime) est illégal.
  • Allow-listing (n'autoriser que l'approuvé) > deny-listing (bloquer le connu-mauvais).
  • Malware : virus, worm (se propage seul), trojan, RAT, logic bomb, rootkit, ransomware (double extorsion), botnet/C2, fileless.
  • DoS/DDoS : SYN flood, smurf, fraggle, teardrop, amplification ; zero-day = faille inconnue sans correctif.

Objectif 7.2Logging et monitoring

SystèmeRôle
IDSDétecte et alerte (hors bande)
IPSDétecte et bloque (en ligne / inline)
HIDS / NIDSSur l'hôte / sur le réseau

Deux méthodes de détection : signature / knowledge-based (compare à une base de menaces connues — précise, mais aveugle au nouveau) et anomaly / behavior-based (apprend le « normal » et alerte sur l'écart — détecte l'inconnu, mais génère des faux positifs) ; l'approche heuristique combine les deux.

Objectifs 7.3–7.5Config, concepts opérationnels, ressources

Configuration management (7.3) : provisioning maîtrisé, inventaire des actifs (chapitre 4), baselining, images durcies, automatisation (IaC).

Concepts fondamentaux (7.4)

Resource protection (7.5) : gestion des médias (marquage, manipulation, stockage — chapitre 4), protection de la donnée at rest / in transit (chapitre 5), MTBF des supports.

Objectif 7.6Les 7 étapes de la gestion d'incident

La séquence ISC2, à connaître par cœur et dans l'ordre :

  1. Detection — repérer l'incident (SIEM, alerte, signalement). D'abord distinguer event (fait observable) et incident (qui nuit ou menace).
  2. Response — activer l'équipe (CSIRT), suivre le plan ; ne pas agir en héros isolé (chapitre 0).
  3. Mitigation (containment)contenir pour limiter les dégâts (isoler le système, couper le compte).
  4. Reporting — informer les parties prenantes et, si requis, les autorités/régulateurs (GDPR 72 h, chapitre 1).
  5. Recovery — restaurer les systèmes en production propre.
  6. Remediation — traiter la cause racine pour empêcher la récidive (root cause analysis, chapitre 18).
  7. Lessons Learned — retour d'expérience, amélioration du plan.

Le mapping NIST SP 800-61 (4 phases) : Preparation → Detection & Analysis → Containment/Eradication/Recovery → Post-incident. Les deux référentiels décrivent le même cycle ; ISC2 le détaille en sept temps.

🧠 Mnémonique — les 7 étapes

« Des Renards Malins Rôdent, Repèrent, Réparent, Réfléchissent »Detection, Response, Mitigation, Reporting, Recovery, Remediation, Lessons learned. Le containment (Mitigation) vient après la Response, jamais avant d'avoir activé le plan.

Objectif 7.7Mesures préventives et malware

Panorama des malwares

TypeCaractéristique
VirusSe greffe à un fichier, nécessite une exécution (variantes : polymorphic, multipartite, stealth, macro)
WormSe propage seul sur le réseau, sans hôte
TrojanSe cache dans un programme d'apparence légitime
RATCheval de Troie d'accès distant (contrôle de la machine)
Logic bombSe déclenche à une condition (date, événement)
RootkitSe dissimule au cœur du système (souvent en mode noyau)
RansomwareChiffre les données pour extorsion ; double extorsion = exfiltration + menace de publication
Botnet / C2Machines zombies pilotées par un serveur de commande et contrôle
FilelessVit en mémoire, sans fichier sur disque (échappe à l'antivirus classique)
Spyware / adwareEspionne / affiche de la publicité

Attaques par déni de service

DoS / DDoS : SYN flood (connexions à moitié ouvertes, chapitre 10), smurf (amplification ICMP par broadcast), fraggle (idem en UDP), teardrop (fragments malformés), land (source = destination), ping of death, amplification (DNS/NTP). Un zero-day exploite une faille inconnue de l'éditeur, sans correctif disponible — d'où la valeur de la défense en profondeur et des contrôles comportementaux.

⚠️ Pièges d'examen
  • IDS détecte, IPS bloque (inline). Signature = connu ; anomaly = inconnu + faux positifs.
  • SIEM corrèle les logs ; SOAR automatise la réponse (playbooks). Ne pas confondre.
  • Les 7 étapes dans l'ordre : Detection, Response, Mitigation, Reporting, Recovery, Remediation, Lessons learned. Le containment (mitigation) suit la response.
  • Event ≠ incident : l'incident nuit ou menace.
  • Need-to-know = information ; least privilege = droits d'action. Nuance testée.
  • Job rotation et mandatory vacations sont détectifs (révèlent la fraude), pas préventifs.
  • MTBF (entre pannes) ≠ MTTR (réparation) ≠ MTTF (non réparable).
  • Enticement (leurre) = légal ; entrapment (incitation au crime) = illégal.
  • Worm se propage seul ; virus a besoin d'un hôte et d'une exécution. Fileless échappe à l'AV classique.
  • Zero-day = pas de correctif ⇒ contrôles comportementaux et défense en profondeur.
Scénario fil rouge — Awa

Le SOC de la fintech monte en puissance. Awa déploie un SIEM qui corrèle les logs des deux entités (NTP recalé au préalable) et un SOAR dont les playbooks isolent automatiquement un poste compromis. Un ransomware à double extorsion frappe une filiale : l'équipe suit les 7 étapes — détection par l'IDS, response via le CSIRT, mitigation par isolation réseau, reporting au régulateur sous 72 h, recovery depuis les sauvegardes testées, remediation de la faille d'origine, puis lessons learned qui amende le plan. Awa refuse de payer la rançon (posture manager, chapitre 0). Côté prévention, elle bascule les serveurs critiques en allow-listing, installe un honeypot pour observer les intrus — en veillant à rester dans l'enticement légal, jamais l'entrapment — et confie la surveillance 24/7 à un MDR. Elle rappelle enfin au comité la différence entre MTBF et MTTR pour dimensionner les SLA des équipements de paiement.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

What is the KEY difference between an IDS and an IPS?

  1. An IDS blocks traffic; an IPS only alerts
  2. An IDS detects and alerts; an IPS detects and blocks inline
  3. They are identical
  4. An IPS works only on hosts
Voir la réponse Réponse : B

L'IDS détecte et alerte (hors bande) ; l'IPS, inline, bloque. A inverse les deux rôles.

Question 2

Which detection method can identify previously unknown attacks but produces more false positives?

  1. Signature-based
  2. Anomaly/behavior-based
  3. Knowledge-based
  4. Static rule matching
Voir la réponse Réponse : B

L'anomaly-based apprend le normal et détecte l'inconnu, au prix de faux positifs. Le signature-based (A) ne voit que le connu.

Question 3

What is the PRIMARY function of a SIEM?

  1. Automating incident response with playbooks
  2. Aggregating and correlating logs from across the organization
  3. Encrypting network traffic
  4. Blocking traffic inline
Voir la réponse Réponse : B

Le SIEM agrège et corrèle les logs. L'automatisation par playbooks (A) est le rôle du SOAR.

Question 4

Which technology orchestrates and automates response actions using playbooks?

  1. SIEM
  2. SOAR
  3. IDS
  4. DNS
Voir la réponse Réponse : B

Le SOAR orchestre et automatise la réponse via des playbooks. Le SIEM (A) corrèle, il n'agit pas seul.

Question 5

What is the purpose of egress monitoring?

  1. Blocking inbound attacks
  2. Detecting data exfiltration and covert channels leaving the network
  3. Assigning IP addresses
  4. Speeding up backups
Voir la réponse Réponse : B

L'egress monitoring surveille les sorties pour détecter exfiltration et canaux cachés. Il ne bloque pas l'entrant (A).

Question 6

What distinguishes an event from an incident?

  1. An event always causes damage
  2. An incident harms or threatens security, while an event is simply observable
  3. They are identical
  4. An event requires law enforcement
Voir la réponse Réponse : B

Un incident nuit ou menace la sécurité ; un event est simplement observable. Tous les events ne sont pas des incidents.

Question 7

What is the correct order of the ISC2 incident management steps?

  1. Response, detection, recovery, mitigation, reporting, remediation, lessons learned
  2. Detection, response, mitigation, reporting, recovery, remediation, lessons learned
  3. Detection, mitigation, response, recovery, reporting, lessons learned, remediation
  4. Reporting, detection, response, recovery, mitigation, remediation, lessons learned
Voir la réponse Réponse : B

Detection → Response → Mitigation → Reporting → Recovery → Remediation → Lessons learned. Les autres ordres brisent la séquence.

Question 8

In incident management, what does the mitigation (containment) step accomplish?

  1. Identifying the incident
  2. Limiting the damage, for example by isolating the affected system
  3. Writing the lessons-learned report
  4. Fixing the root cause permanently
Voir la réponse Réponse : B

Le containment limite les dégâts (isolation). Traiter la cause racine (D) est la remediation, plus tard.

Question 9

Which incident step addresses the root cause to prevent recurrence?

  1. Detection
  2. Recovery
  3. Remediation
  4. Reporting
Voir la réponse Réponse : C

La remediation traite la cause racine pour empêcher la récidive. La recovery (B) restaure, sans corriger la cause.

Question 10

The NIST SP 800-61 phase "containment, eradication, and recovery" maps to which ISC2 steps?

  1. Detection and reporting
  2. Mitigation, recovery, and remediation
  3. Lessons learned only
  4. Response only
Voir la réponse Réponse : B

La phase NIST « containment/eradication/recovery » recouvre mitigation, recovery et remediation côté ISC2 — même cycle, découpage différent.

Question 11

What is the difference between need-to-know and least privilege?

  1. Need-to-know concerns access to information; least privilege concerns the rights to perform actions
  2. They are identical
  3. Least privilege applies only to executives
  4. Need-to-know concerns physical access only
Voir la réponse Réponse : A

Need-to-know porte sur l'information ; least privilege sur les droits d'action. La nuance est classiquement testée.

Question 12

Which control is DETECTIVE and reveals fraud by having another person perform a role?

  1. Encryption
  2. Mandatory vacations and job rotation
  3. A firewall
  4. Least privilege
Voir la réponse Réponse : B

Vacances obligatoires et rotation sont détectives : le remplaçant révèle la fraude dissimulée. Ce ne sont pas des contrôles préventifs.

Question 13

Which metric represents the average time between failures of a repairable device?

  1. MTTR
  2. MTBF
  3. MTTF
  4. RTO
Voir la réponse Réponse : B

Le MTBF mesure le temps moyen entre deux pannes d'un équipement réparable. Le MTTR (A) est le temps de réparation.

Question 14

Which metric represents the average time to repair a failed component?

  1. MTBF
  2. MTTR
  3. MTTF
  4. RPO
Voir la réponse Réponse : B

Le MTTR est le temps moyen de réparation. Le MTBF (A) est l'intervalle entre pannes, le MTTF (C) la durée de vie d'un non-réparable.

Question 15

A decoy system used to observe an attacker who is already attempting intrusion illustrates what legal concept?

  1. Entrapment (illegal)
  2. Enticement (legal)
  3. Coercion
  4. Extortion
Voir la réponse Réponse : B

Attirer un attaquant déjà décidé vers un leurre = enticement, légal. L'entrapment (A) inciterait au crime — illégal.

Question 16

Why is entrapment problematic?

  1. It is a legal defensive technique
  2. It induces someone to commit a crime they would not otherwise have committed, which is illegal
  3. It speeds up investigations
  4. It only applies to honeypots
Voir la réponse Réponse : B

L'entrapment pousse quelqu'un à commettre un crime qu'il n'aurait pas commis : illégal, il vicie toute poursuite.

Question 17

Which endpoint approach permits only explicitly approved software to run?

  1. Deny-listing
  2. Allow-listing
  3. Signature-only scanning
  4. Open execution
Voir la réponse Réponse : B

L'allow-listing n'autorise que l'approuvé : par défaut tout le reste est bloqué — plus sûr que le deny-listing (A).

Question 18

Which malware propagates across a network on its own, without needing a host file?

  1. Virus
  2. Worm
  3. Trojan
  4. Logic bomb
Voir la réponse Réponse : B

Le worm se propage seul, sans hôte. Le virus (A) a besoin d'un fichier et d'une exécution.

Question 19

Which malware triggers its payload only when a specific condition, such as a date, is met?

  1. Worm
  2. Logic bomb
  3. Rootkit
  4. Adware
Voir la réponse Réponse : B

La logic bomb se déclenche sur condition (date, événement). Le worm (A) se propage en continu.

Question 20

Ransomware that also exfiltrates data and threatens to publish it uses which tactic?

  1. Single extortion
  2. Double extortion
  3. Amplification
  4. Spoofing
Voir la réponse Réponse : B

Chiffrer et menacer de publier les données volées = double extorsion. La simple extorsion (A) ne fait que chiffrer.

Question 21

Which malware runs entirely in memory to evade traditional file-based antivirus?

  1. Macro virus
  2. Fileless malware
  3. Adware
  4. Trojan
Voir la réponse Réponse : B

Le fileless malware vit en mémoire, sans fichier — d'où son évasion de l'antivirus classique. Le macro virus (A) est fichier.

Question 22

A smurf attack achieves denial of service by doing what?

  1. Sending SYN packets without completing the handshake
  2. Amplifying ICMP traffic using a network's broadcast address
  3. Injecting SQL commands
  4. Encrypting the victim's files
Voir la réponse Réponse : B

Le smurf amplifie l'ICMP via l'adresse de broadcast d'un réseau. Le SYN flood (A) exploite le handshake TCP.

Question 23

What defines a zero-day vulnerability?

  1. A flaw with an available patch
  2. A flaw unknown to the vendor with no patch available
  3. A flaw that only affects old systems
  4. A flaw in encryption keys
Voir la réponse Réponse : B

Un zero-day est inconnu de l'éditeur, sans correctif — d'où le recours aux contrôles comportementaux. A décrit l'inverse.

Question 24

Which service provides managed detection and response on behalf of an organization?

  1. MDR
  2. DNS
  3. DHCP
  4. NTP
Voir la réponse Réponse : A

Le MDR fournit détection et réponse managées 24/7. DNS, DHCP et NTP sont des services d'infrastructure.

Question 25

What is the PRIMARY purpose of a clipping level in log management?

  1. To encrypt logs
  2. To set a threshold that filters routine noise and triggers alerts above it
  3. To delete old logs
  4. To compress the SIEM database
Voir la réponse Réponse : B

Le clipping level fixe un seuil qui filtre le bruit routinier et alerte au-delà — pour ne pas noyer le SOC.

Auto-diagnostic

≥ 20/25 : passez au chapitre 20. Entre 15 et 19 : récitez les 7 étapes de l'incident et le panorama malware. < 15 : relisez le chapitre — c'est le plus dense du domaine 7.

FicheFiche de révision

À savoir par cœur avant le chapitre 20
  1. IDS détecte, IPS bloque (inline) ; signature (connu) vs anomaly (inconnu + faux positifs) ; HIDS/NIDS.
  2. SIEM corrèle les logs ; SOAR automatise (playbooks) ; egress monitoring (exfiltration) ; clipping levels ; UEBA, threat hunting.
  3. Config mgmt : baselining, images, IaC ; need-to-know (info) vs least privilege (droits).
  4. SoD, two-person control, split knowledge ; job rotation + mandatory vacations = détectifs (fraude).
  5. MTBF (entre pannes) · MTTR (réparation) · MTTF (non réparable).
  6. 7 étapes incident : Detection · Response · Mitigation · Reporting · Recovery · Remediation · Lessons learned.
  7. Event ≠ incident (nuit/menace) ; NIST 800-61 : preparation, detection & analysis, containment/eradication/recovery, post-incident.
  8. Enticement (leurre) légal ; entrapment (inciter au crime) illégal ; honeypot/honeynet/darknet, sandboxing, MSSP/MDR.
  9. Allow-listing > deny-listing.
  10. Malware : virus (hôte), worm (seul), trojan/RAT, logic bomb, rootkit, ransomware (double extorsion), botnet/C2, fileless.
  11. DoS : SYN flood, smurf (ICMP broadcast), fraggle (UDP), teardrop, amplification ; zero-day = sans correctif.