CISSP · Réussir du premier coup
L'aide-mémoire ultime : tous les chiffres, sigles, distinctions à connaître, étapes ordonnées et mnémoniques — à réviser pendant la dernière semaine.
Ce chapitre ne s'apprend pas comme les autres : il se révise. Les 6 derniers jours, parcourez-le chaque matin ; ce qui accroche, retournez au chapitre d'origine. Le jour J, une relecture rapide des sections 1 (chiffres) et 3 (distinctions à connaître) suffit — le reste doit déjà être acquis. Ne tentez rien de neuf cette semaine : consolidez.
| Élément | Valeur |
|---|---|
| Expérience requise | 5 ans, ≥ 2 domaines (−1 an par diplôme/certif) |
| Associate of ISC2 | 6 ans pour compléter l'expérience |
| Endorsement | 9 mois |
| CPE | 120 / cycle de 3 ans |
| Examen CAT | 100–150 questions, 25 pretest, 180 min, 700/1000 |
| Chaîne mnémonique | 5 · 2 · 1 · 6 · 9 · 120 · 3 |
| Algorithme | Clé | Bloc |
|---|---|---|
| DES | 56 bits | 64 bits |
| 3DES | 112 / 168 bits | 64 bits |
| AES | 128 / 192 / 256 | 128 bits |
| RSA/DH ≈ AES-128 | 3072 bits | — |
| ECC ≈ AES-128 | 256 bits | — |
| SHA-2 | 256/384/512 bits (sortie) | — |
| Clés symétriques (n pers.) | n(n−1)/2 · Asymétriques : 2n | |
| Port | Service | Port | Service |
|---|---|---|---|
| 21/20 | FTP | 161/162 | SNMP |
| 22 | SSH | 389 | LDAP |
| 23 | Telnet | 443 | HTTPS |
| 25 | SMTP | 445 | SMB |
| 53 | DNS | 636 | LDAPS |
| 80 | HTTP | 993/995 | IMAPS/POP3S |
| 88 | Kerberos | 3389 | RDP |
| 110 | POP3 | 1433/1521 | SQL/Oracle |
| 123 | NTP | 143 | IMAP |
| Réseau | Valeur |
|---|---|
| RFC 1918 privées | 10/8 · 172.16/12 · 192.168/16 |
| Loopback / APIPA | 127.0.0.1 · 169.254.0.0/16 |
| Ports well-known / registered / dynamic | 0–1023 / 1024–49151 / 49152–65535 |
| Cuivre torsadé (Cat5e–8) | 100 m |
| IPv4 / IPv6 | 32 bits / 128 bits |
| Élément | Valeur |
|---|---|
| Clôtures | 3–4 ft (occasionnel) · 6–7 ft (anti-escalade) · 8 ft + barbelés (déterminé) |
| Éclairage sécurité | 2 foot-candles à 8 ft de hauteur |
| Humidité datacenter | 40–60 % |
| Classes de feu | A solides · B liquides · C électrique · D métaux · K huiles |
| Élément | Valeur | Chapitre |
|---|---|---|
| GDPR — notification autorité | 72 heures | 1 |
| GDPR — amende max | 20 M€ ou 4 % CA mondial | 1 |
| Copyright | vie + 70 ans | 1 |
| Patent | 20 ans dès le dépôt | 1 |
| EAL | 1 à 7 | 6 |
| CMMI | 1 à 5 | 22 |
| Protection rings | 0 à 3 | 6 |
| Kerberos — tolérance horloge | ~5 min | 15 |
| SOC 2 Type II — période | 6–12 mois | 17 |
| Sauvegarde 3-2-1 | 3 copies, 2 supports, 1 hors site | 20 |
| RAID | 0 (0 tol.) · 5 (1 disque) · 6 (2 disques) | 20 |
| CVSS | 0 à 10 | 16 |
| Sigle | Développé |
|---|---|
| ABAC | Attribute-Based Access Control |
| ACID | Atomicity, Consistency, Isolation, Durability |
| AH / ESP | Authentication Header / Encapsulating Security Payload (IPsec) |
| ALE / SLE / ARO / EF / AV | Annualized/Single Loss Expectancy, Annualized Rate of Occurrence, Exposure Factor, Asset Value |
| ATO / IATT / DATO | Authorization To Operate / Interim Authorization To Test / Denial of ATO |
| BCP / DRP / COOP | Business Continuity / Disaster Recovery / Continuity of Operations Plan |
| BIA | Business Impact Analysis |
| CASB | Cloud Access Security Broker |
| CER / FAR / FRR | Crossover / False Acceptance / False Rejection Rate |
| CMMI | Capability Maturity Model Integration |
| CVE / CVSS / SCAP | Common Vulnerabilities and Exposures / Scoring System / Security Content Automation Protocol |
| DAC / MAC / RBAC | Discretionary / Mandatory / Role-Based Access Control |
| DLP / DRM / IRM | Data Loss Prevention / Digital & Information Rights Management |
| EAP | Extensible Authentication Protocol |
| EDR / XDR / MDR | Endpoint / Extended / Managed Detection and Response |
| FIDO2 | Fast Identity Online 2 (WebAuthn) |
| HSM / TPM | Hardware Security Module / Trusted Platform Module |
| IDaaS / IdP / SP | Identity as a Service / Identity Provider / Service Provider |
| KDC / TGT / TGS / AS | Key Distribution Center / Ticket Granting Ticket & Service / Authentication Service |
| KPI / KRI | Key Performance / Risk Indicator |
| MTD / RTO / RPO / WRT | Maximum Tolerable Downtime / Recovery Time & Point Objective / Work Recovery Time |
| MTBF / MTTR / MTTF | Mean Time Between Failures / To Repair / To Failure |
| NAC | Network Access Control |
| OIDC / SAML / OAuth | OpenID Connect / Security Assertion Markup Language / Open Authorization |
| PAM | Privileged Access Management |
| PAP / PDP / PEP / PIP | Policy Administration / Decision / Enforcement / Information Point |
| PKI / CA / RA / CRL / OCSP | Public Key Infrastructure / Certificate & Registration Authority / Certificate Revocation List / Online Certificate Status Protocol |
| RMF | Risk Management Framework (NIST 800-37) |
| SAST / DAST / IAST / RASP / SCA | Static / Dynamic / Interactive Application Security Testing / Runtime App Self-Protection / Software Composition Analysis |
| SASE | Secure Access Service Edge |
| SBOM | Software Bill of Materials |
| SDN / SD-WAN / NFV | Software-Defined Networking / WAN / Network Functions Virtualization |
| SIEM / SOAR | Security Information & Event Management / Orchestration, Automation and Response |
| SoD | Separation of Duties |
| SPOF | Single Point of Failure |
| SSO / MFA | Single Sign-On / Multi-Factor Authentication |
| STRIDE / PASTA / DREAD | Threat modeling frameworks (chapitre 3) |
| TOCTOU | Time Of Check to Time Of Use |
| TOTP / HOTP | Time / HMAC-based One-Time Password |
| TSC | Trust Services Criteria (SOC 2) |
| VLAN / VPC / VXLAN | Virtual LAN / Private Cloud / Extensible LAN |
| WAF / NGFW / UTM | Web Application Firewall / Next-Gen Firewall / Unified Threat Management |
| WPA3 / SAE / OWE | Wi-Fi Protected Access 3 / Simultaneous Authentication of Equals / Opportunistic Wireless Encryption |
| A vs B | La différence en une phrase |
|---|---|
| Due care / Due diligence | Care = agir (corriger) ; Diligence = savoir (investiguer/surveiller). |
| MTD / RTO / RPO / WRT | MTD = mur ; RTO = délai de restauration ; RPO = perte de données (en arrière) ; WRT = reprise du travail. RTO+WRT ≤ MTD. |
| MTBF / MTTR / MTTF | Entre pannes / pour réparer / jusqu'à la panne (non réparable). |
| FAR / FRR / CER | FAR = imposteur accepté (danger) ; FRR = légitime rejeté (gêne) ; CER = point d'égalité (bas = mieux). |
| Inference / Aggregation | Inférence = déduire l'interdit ; agrégation = additionner l'anodin. |
| Verification / Validation | Verification = conforme aux specs ; validation = répond au besoin. |
| Certification / Accreditation | Certification = évaluation technique ; accréditation = décision du management. |
| Enticement / Entrapment | Enticement = leurre légal ; entrapment = inciter au crime, illégal. |
| Iris / Retina | Iris = sans contact, stable ; rétine = intrusif, révèle la santé. |
| Vulnerability scan / Pentest | Scan = identifie ; pentest = exploite. |
| SOC 1 / 2 / 3 | Financier / sécurité (restreint) / public. |
| SOC Type I / II | Design à un instant T / efficacité sur 6–12 mois. |
| Symmetric / Asymmetric | Rapide, clé partagée, pas de non-répudiation / lent, paire, non-répudiation. |
| AH / ESP | AH authentifie ; ESP chiffre. |
| Transport / Tunnel (IPsec) | Transport = charge utile ; tunnel = paquet entier (VPN site-à-site). |
| Qualitative / Quantitative | Jugement (Delphi) / monnaie (SLE, ALE). |
| Safeguard / Countermeasure | Quasi synonymes : contrôle qui réduit le risque (proactif vs réactif selon les auteurs). |
| Incremental / Differential | Incremental = N jeux, efface l'archive bit ; differential = 2 jeux, ne l'efface pas. |
| Hot / Warm / Cold site | Minutes (cher) / heures / jours (pas cher). |
| Electronic vaulting / Remote journaling / mirroring | Chapitres / transactions / temps réel. |
| HA / Fault tolerance | Minimise l'interruption / zéro interruption. |
| Need-to-know / Least privilege | Info nécessaire / droits minimaux. |
| Awareness / Training / Education | Comportements / compétences / expertise. |
| Policy / Standard / Guideline / Procedure | Intention / exigence / recommandation (non obligatoire) / mode opératoire. |
| Bell-LaPadula / Biba | Confidentialité (no read up/write down) / intégrité (no read down/write up). |
| Capability table / ACL | Ligne (par sujet) / colonne (par objet). |
| SAML / OAuth / OIDC | Fédération XML / autorisation / authentification. |
| DAC / MAC / RBAC / ABAC | Propriétaire / système (labels) / rôle / attributs. |
| IDS / IPS | Détecte / bloque (inline). |
| SIEM / SOAR | Corrèle les logs / automatise la réponse. |
| Event / Incident | Observable / nuit ou menace. |
| Fail-safe / Fail-secure | Protège les personnes (ouvre) / protège les actifs (ferme). |
| Anonymization / Pseudonymization | Irréversible (sort du GDPR) / réversible (reste GDPR). |
| Scoping / Tailoring | Soustraire l'inapplicable / adapter la baseline. |
| TOTP / HOTP | Temps (synchrone) / compteur (asynchrone). |
| SAST / DAST | Code au repos / application en marche. |
| Cardinality / Degree | Nombre de lignes / de colonnes. |
| Timing / Storage covert channel | Via le temps / via un emplacement de stockage. |
| Password spraying / Credential stuffing | Un mot de passe sur beaucoup de comptes / identifiants volés ailleurs. |
| Golden / Silver ticket | TGT forgé (KRBTGT) / ticket de service forgé. |
| False positive / False negative | Fausse alerte / faille manquée (plus grave). |
| Modèle | À quoi ça sert / mot déclencheur |
|---|---|
| Bell-LaPadula | Confidentialité (no read up, no write down). |
| Biba | Intégrité (no read down, no write up). |
| Clark-Wilson | Intégrité commerciale : accès via TP (triple), IVP. |
| Brewer-Nash | Conflits d'intérêts, droits dynamiques (muraille de Chine). |
| Graham-Denning | 8 règles de gestion sûre des droits. |
| Take-Grant | Propagation des droits (take, grant, create, remove). |
| STRIDE | Catégoriser les menaces (6 lettres → 6 propriétés). |
| PASTA | Threat modeling en 7 étapes, centré risque/métier. |
| DREAD | Noter/prioriser les menaces. |
| NIST RMF (800-37) | Cycle de vie du risque des systèmes (7 étapes). |
| NIST CSF 2.0 | 6 fonctions : Govern, Identify, Protect, Detect, Respond, Recover. |
| ISO 27001 / 27002 | ISMS certifiable / guide de contrôles. |
| ISO 31000 / FAIR | Management du risque générique / quantification financière. |
| COBIT / SABSA | Gouvernance IT / architecture pilotée par le risque métier. |
| Common Criteria (ISO 15408) | Évaluation produits : PP (client), ST (vendeur), EAL 1–7. |
| CMMI | Maturité des processus (5 niveaux). |
| SAMM / BSIMM | Maturité de la sécurité applicative. |
| Purdue model | Étagement des réseaux ICS/OT. |
| Zero Trust (800-207) | Never trust, always verify. |
| Processus | Étapes |
|---|---|
| Incident (ISC2, 7) | Detection → Response → Mitigation → Reporting → Recovery → Remediation → Lessons Learned |
| NIST RMF (7) | Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor |
| NIST 800-61 incident (4) | Preparation → Detection & Analysis → Containment/Eradication/Recovery → Post-incident |
| BCP (4) | Scope & planning → BIA → Continuity planning → Approval & implementation |
| Tests DR (5) | Checklist → Tabletop → Simulation → Parallel → Full interruption |
| Pentest | Reconnaissance → Enumeration → Vulnerability analysis → Exploitation → Reporting |
| Ordre de volatilité | Registres/cache → RAM → Swap → Disque → Logs distants → Archives |
| Data lifecycle | Collect → Store → Use → Maintain → Retain → Destroy |
| eDiscovery (EDRM) | Identification → Preservation → Collection → Processing → Review → Analysis → Production → Presentation |
| PASTA (7) | Objectives → Technical scope → Decomposition → Threat analysis → Vuln analysis → Attack modeling → Risk analysis |
| Fagan (6) | Planning → Overview → Preparation → Inspection → Rework → Follow-up |
| Change management | Request → Review/Approval (CAB) → Test → Implement → Document → (Rollback) |
| Certificat (PKI) | Enrollment (CSR) → Validation → Issuance → Usage → Revocation → Renewal/Destruction |
| CMMI (5) | Initial → Repeatable/Managed → Defined → Quantitatively Managed → Optimizing |
Termes essentiels, ordre alphabétique — définition d'une ligne. (Complément des tableaux ci-dessus ; renvoi au chapitre pour l'approfondissement.)
| Terme | Définition |
|---|---|
| Accountability | Imputer chaque action à une identité unique. |
| Air gap | Isolement physique total d'un réseau (traversable par média amovible). |
| Aggregation | Combiner des données anodines jusqu'à un ensemble sensible. |
| ALE | Perte annuelle attendue = SLE × ARO. |
| Bastion host | Hôte exposé et fortement durci. |
| BIA | Analyse d'impact : fonctions critiques, MTD/RTO/RPO. |
| Break-glass | Compte d'urgence hautement surveillé. |
| CASB | Point de contrôle entre utilisateurs et cloud (4 modes). |
| Clipping level | Seuil filtrant le bruit et déclenchant une alerte. |
| Covert channel | Communication illégitime (timing/storage). |
| Crypto-shredding | Détruire les clés d'un média chiffré. |
| Data remanence | Résidu de données après effacement. |
| Defense in depth | Couches indépendantes de sécurité. |
| Due care / diligence | Agir prudemment / savoir et surveiller. |
| EDRM | Modèle en 8 étapes de l'eDiscovery. |
| Fail-safe / secure | Ouvre (personnes) / ferme (actifs) à la panne. |
| Federation | SSO au-delà d'une organisation (IdP/SP). |
| Homomorphic encryption | Calcul sur données chiffrées. |
| Implicit deny | Tout ce qui n'est pas autorisé est refusé. |
| Inference | Déduire l'interdit à partir de l'autorisé. |
| Kerberos | SSO à tickets (KDC, TGT, service ticket). |
| Least privilege | Droits minimaux nécessaires. |
| Legal hold | Suspension de la destruction pour litige. |
| Mantrap | Sas à deux portes contre le tailgating. |
| MFA | Facteurs de types différents. |
| Non-repudiation | Impossibilité de nier une action (signature). |
| OTP (one-time pad) | Chiffre parfait sous 4 conditions strictes. |
| PAM | Gestion des accès privilégiés (vault, JIT, recording). |
| Polyinstantiation | Versions multiples d'une ligne (anti-inférence). |
| Residual risk | Risque restant après contrôles (accepté par le management). |
| RPO / RTO / MTD | Perte de données / délai de restauration / interruption max. |
| SAE | Handshake WPA3 résistant au brute force hors ligne. |
| Salting | Sel aléatoire contre les rainbow tables. |
| Sandboxing | Exécution isolée d'un élément suspect. |
| SBOM | Inventaire des composants logiciels. |
| Shift left | Sécurité dès les premières phases du SDLC. |
| SoD | Aucune personne seule ne boucle une opération critique. |
| SSO | Une authentification, plusieurs services. |
| TOCTOU | Race condition entre vérification et usage. |
| Tokenization | Substitution par jeton aléatoire (coffre). |
| TPM / HSM | Puce locale / module dédié de gestion de clés. |
| Virtual patching | Bloquer l'exploitation via IPS/WAF sans modifier le système. |
| Zero trust | Vérifier chaque requête, aucune confiance implicite. |
Si vous parcourez ce référentiel sans surprise majeure, vous êtes prêt à affronter les examens blancs (chapitres 25 et 26). Traitez-les en conditions réelles, puis revenez ici cibler vos points faibles. Bonne révision — vous touchez au but.