CISSP · Réussir du premier coup

Chapitre 24
Le grand
référentiel

L'aide-mémoire ultime : tous les chiffres, sigles, distinctions à connaître, étapes ordonnées et mnémoniques — à réviser pendant la dernière semaine.

Usage
J-7 à J-1 · révision intensive
Format
Tableaux de synthèse détachables
Renvoi
Chaque fait pointe vers son chapitre d'origine
Comment utiliser ce référentiel

Ce chapitre ne s'apprend pas comme les autres : il se révise. Les 6 derniers jours, parcourez-le chaque matin ; ce qui accroche, retournez au chapitre d'origine. Le jour J, une relecture rapide des sections 1 (chiffres) et 3 (distinctions à connaître) suffit — le reste doit déjà être acquis. Ne tentez rien de neuf cette semaine : consolidez.

1Tous les chiffres à mémoriser

Certificat & examen (chapitre 0)

ÉlémentValeur
Expérience requise5 ans, ≥ 2 domaines (−1 an par diplôme/certif)
Associate of ISC26 ans pour compléter l'expérience
Endorsement9 mois
CPE120 / cycle de 3 ans
Examen CAT100–150 questions, 25 pretest, 180 min, 700/1000
Chaîne mnémonique5 · 2 · 1 · 6 · 9 · 120 · 3

Crypto — tailles de clés et blocs (chapitre 8)

AlgorithmeCléBloc
DES56 bits64 bits
3DES112 / 168 bits64 bits
AES128 / 192 / 256128 bits
RSA/DH ≈ AES-1283072 bits
ECC ≈ AES-128256 bits
SHA-2256/384/512 bits (sortie)
Clés symétriques (n pers.)n(n−1)/2 · Asymétriques : 2n

Réseau — ports & câblage (chapitre 10)

PortServicePortService
21/20FTP161/162SNMP
22SSH389LDAP
23Telnet443HTTPS
25SMTP445SMB
53DNS636LDAPS
80HTTP993/995IMAPS/POP3S
88Kerberos3389RDP
110POP31433/1521SQL/Oracle
123NTP143IMAP
RéseauValeur
RFC 1918 privées10/8 · 172.16/12 · 192.168/16
Loopback / APIPA127.0.0.1 · 169.254.0.0/16
Ports well-known / registered / dynamic0–1023 / 1024–49151 / 49152–65535
Cuivre torsadé (Cat5e–8)100 m
IPv4 / IPv632 bits / 128 bits

Physique & environnement (chapitre 9)

ÉlémentValeur
Clôtures3–4 ft (occasionnel) · 6–7 ft (anti-escalade) · 8 ft + barbelés (déterminé)
Éclairage sécurité2 foot-candles à 8 ft de hauteur
Humidité datacenter40–60 %
Classes de feuA solides · B liquides · C électrique · D métaux · K huiles

Autres chiffres transverses

ÉlémentValeurChapitre
GDPR — notification autorité72 heures1
GDPR — amende max20 M€ ou 4 % CA mondial1
Copyrightvie + 70 ans1
Patent20 ans dès le dépôt1
EAL1 à 76
CMMI1 à 522
Protection rings0 à 36
Kerberos — tolérance horloge~5 min15
SOC 2 Type II — période6–12 mois17
Sauvegarde 3-2-13 copies, 2 supports, 1 hors site20
RAID0 (0 tol.) · 5 (1 disque) · 6 (2 disques)20
CVSS0 à 1016

2Les acronymes (liste alphabétique)

SigleDéveloppé
ABACAttribute-Based Access Control
ACIDAtomicity, Consistency, Isolation, Durability
AH / ESPAuthentication Header / Encapsulating Security Payload (IPsec)
ALE / SLE / ARO / EF / AVAnnualized/Single Loss Expectancy, Annualized Rate of Occurrence, Exposure Factor, Asset Value
ATO / IATT / DATOAuthorization To Operate / Interim Authorization To Test / Denial of ATO
BCP / DRP / COOPBusiness Continuity / Disaster Recovery / Continuity of Operations Plan
BIABusiness Impact Analysis
CASBCloud Access Security Broker
CER / FAR / FRRCrossover / False Acceptance / False Rejection Rate
CMMICapability Maturity Model Integration
CVE / CVSS / SCAPCommon Vulnerabilities and Exposures / Scoring System / Security Content Automation Protocol
DAC / MAC / RBACDiscretionary / Mandatory / Role-Based Access Control
DLP / DRM / IRMData Loss Prevention / Digital & Information Rights Management
EAPExtensible Authentication Protocol
EDR / XDR / MDREndpoint / Extended / Managed Detection and Response
FIDO2Fast Identity Online 2 (WebAuthn)
HSM / TPMHardware Security Module / Trusted Platform Module
IDaaS / IdP / SPIdentity as a Service / Identity Provider / Service Provider
KDC / TGT / TGS / ASKey Distribution Center / Ticket Granting Ticket & Service / Authentication Service
KPI / KRIKey Performance / Risk Indicator
MTD / RTO / RPO / WRTMaximum Tolerable Downtime / Recovery Time & Point Objective / Work Recovery Time
MTBF / MTTR / MTTFMean Time Between Failures / To Repair / To Failure
NACNetwork Access Control
OIDC / SAML / OAuthOpenID Connect / Security Assertion Markup Language / Open Authorization
PAMPrivileged Access Management
PAP / PDP / PEP / PIPPolicy Administration / Decision / Enforcement / Information Point
PKI / CA / RA / CRL / OCSPPublic Key Infrastructure / Certificate & Registration Authority / Certificate Revocation List / Online Certificate Status Protocol
RMFRisk Management Framework (NIST 800-37)
SAST / DAST / IAST / RASP / SCAStatic / Dynamic / Interactive Application Security Testing / Runtime App Self-Protection / Software Composition Analysis
SASESecure Access Service Edge
SBOMSoftware Bill of Materials
SDN / SD-WAN / NFVSoftware-Defined Networking / WAN / Network Functions Virtualization
SIEM / SOARSecurity Information & Event Management / Orchestration, Automation and Response
SoDSeparation of Duties
SPOFSingle Point of Failure
SSO / MFASingle Sign-On / Multi-Factor Authentication
STRIDE / PASTA / DREADThreat modeling frameworks (chapitre 3)
TOCTOUTime Of Check to Time Of Use
TOTP / HOTPTime / HMAC-based One-Time Password
TSCTrust Services Criteria (SOC 2)
VLAN / VPC / VXLANVirtual LAN / Private Cloud / Extensible LAN
WAF / NGFW / UTMWeb Application Firewall / Next-Gen Firewall / Unified Threat Management
WPA3 / SAE / OWEWi-Fi Protected Access 3 / Simultaneous Authentication of Equals / Opportunistic Wireless Encryption

3Les distinctions à connaître — A vs B

A vs BLa différence en une phrase
Due care / Due diligenceCare = agir (corriger) ; Diligence = savoir (investiguer/surveiller).
MTD / RTO / RPO / WRTMTD = mur ; RTO = délai de restauration ; RPO = perte de données (en arrière) ; WRT = reprise du travail. RTO+WRT ≤ MTD.
MTBF / MTTR / MTTFEntre pannes / pour réparer / jusqu'à la panne (non réparable).
FAR / FRR / CERFAR = imposteur accepté (danger) ; FRR = légitime rejeté (gêne) ; CER = point d'égalité (bas = mieux).
Inference / AggregationInférence = déduire l'interdit ; agrégation = additionner l'anodin.
Verification / ValidationVerification = conforme aux specs ; validation = répond au besoin.
Certification / AccreditationCertification = évaluation technique ; accréditation = décision du management.
Enticement / EntrapmentEnticement = leurre légal ; entrapment = inciter au crime, illégal.
Iris / RetinaIris = sans contact, stable ; rétine = intrusif, révèle la santé.
Vulnerability scan / PentestScan = identifie ; pentest = exploite.
SOC 1 / 2 / 3Financier / sécurité (restreint) / public.
SOC Type I / IIDesign à un instant T / efficacité sur 6–12 mois.
Symmetric / AsymmetricRapide, clé partagée, pas de non-répudiation / lent, paire, non-répudiation.
AH / ESPAH authentifie ; ESP chiffre.
Transport / Tunnel (IPsec)Transport = charge utile ; tunnel = paquet entier (VPN site-à-site).
Qualitative / QuantitativeJugement (Delphi) / monnaie (SLE, ALE).
Safeguard / CountermeasureQuasi synonymes : contrôle qui réduit le risque (proactif vs réactif selon les auteurs).
Incremental / DifferentialIncremental = N jeux, efface l'archive bit ; differential = 2 jeux, ne l'efface pas.
Hot / Warm / Cold siteMinutes (cher) / heures / jours (pas cher).
Electronic vaulting / Remote journaling / mirroringChapitres / transactions / temps réel.
HA / Fault toleranceMinimise l'interruption / zéro interruption.
Need-to-know / Least privilegeInfo nécessaire / droits minimaux.
Awareness / Training / EducationComportements / compétences / expertise.
Policy / Standard / Guideline / ProcedureIntention / exigence / recommandation (non obligatoire) / mode opératoire.
Bell-LaPadula / BibaConfidentialité (no read up/write down) / intégrité (no read down/write up).
Capability table / ACLLigne (par sujet) / colonne (par objet).
SAML / OAuth / OIDCFédération XML / autorisation / authentification.
DAC / MAC / RBAC / ABACPropriétaire / système (labels) / rôle / attributs.
IDS / IPSDétecte / bloque (inline).
SIEM / SOARCorrèle les logs / automatise la réponse.
Event / IncidentObservable / nuit ou menace.
Fail-safe / Fail-secureProtège les personnes (ouvre) / protège les actifs (ferme).
Anonymization / PseudonymizationIrréversible (sort du GDPR) / réversible (reste GDPR).
Scoping / TailoringSoustraire l'inapplicable / adapter la baseline.
TOTP / HOTPTemps (synchrone) / compteur (asynchrone).
SAST / DASTCode au repos / application en marche.
Cardinality / DegreeNombre de lignes / de colonnes.
Timing / Storage covert channelVia le temps / via un emplacement de stockage.
Password spraying / Credential stuffingUn mot de passe sur beaucoup de comptes / identifiants volés ailleurs.
Golden / Silver ticketTGT forgé (KRBTGT) / ticket de service forgé.
False positive / False negativeFausse alerte / faille manquée (plus grave).

4Modèles et frameworks en une ligne

ModèleÀ quoi ça sert / mot déclencheur
Bell-LaPadulaConfidentialité (no read up, no write down).
BibaIntégrité (no read down, no write up).
Clark-WilsonIntégrité commerciale : accès via TP (triple), IVP.
Brewer-NashConflits d'intérêts, droits dynamiques (muraille de Chine).
Graham-Denning8 règles de gestion sûre des droits.
Take-GrantPropagation des droits (take, grant, create, remove).
STRIDECatégoriser les menaces (6 lettres → 6 propriétés).
PASTAThreat modeling en 7 étapes, centré risque/métier.
DREADNoter/prioriser les menaces.
NIST RMF (800-37)Cycle de vie du risque des systèmes (7 étapes).
NIST CSF 2.06 fonctions : Govern, Identify, Protect, Detect, Respond, Recover.
ISO 27001 / 27002ISMS certifiable / guide de contrôles.
ISO 31000 / FAIRManagement du risque générique / quantification financière.
COBIT / SABSAGouvernance IT / architecture pilotée par le risque métier.
Common Criteria (ISO 15408)Évaluation produits : PP (client), ST (vendeur), EAL 1–7.
CMMIMaturité des processus (5 niveaux).
SAMM / BSIMMMaturité de la sécurité applicative.
Purdue modelÉtagement des réseaux ICS/OT.
Zero Trust (800-207)Never trust, always verify.

5Les étapes ordonnées à réciter

ProcessusÉtapes
Incident (ISC2, 7)Detection → Response → Mitigation → Reporting → Recovery → Remediation → Lessons Learned
NIST RMF (7)Prepare → Categorize → Select → Implement → Assess → Authorize → Monitor
NIST 800-61 incident (4)Preparation → Detection & Analysis → Containment/Eradication/Recovery → Post-incident
BCP (4)Scope & planning → BIA → Continuity planning → Approval & implementation
Tests DR (5)Checklist → Tabletop → Simulation → Parallel → Full interruption
PentestReconnaissance → Enumeration → Vulnerability analysis → Exploitation → Reporting
Ordre de volatilitéRegistres/cache → RAM → Swap → Disque → Logs distants → Archives
Data lifecycleCollect → Store → Use → Maintain → Retain → Destroy
eDiscovery (EDRM)Identification → Preservation → Collection → Processing → Review → Analysis → Production → Presentation
PASTA (7)Objectives → Technical scope → Decomposition → Threat analysis → Vuln analysis → Attack modeling → Risk analysis
Fagan (6)Planning → Overview → Preparation → Inspection → Rework → Follow-up
Change managementRequest → Review/Approval (CAB) → Test → Implement → Document → (Rollback)
Certificat (PKI)Enrollment (CSR) → Validation → Issuance → Usage → Revocation → Renewal/Destruction
CMMI (5)Initial → Repeatable/Managed → Defined → Quantitatively Managed → Optimizing

6Les mnémoniques rassemblés

🧠 Les mnémoniques du livre
  • 5·2·1·6·9·120·3 — les chiffres du certificat.
  • PAPA — canons éthiques : Protect, Act, Provide, Advance.
  • S.A.M. — Safety → Assess → Management (réflexe scénario).
  • CIA-AN — les 5 piliers ; IAAAA — Id, Auth, Autz, Audit, Account.
  • DD = Do Detect · DC = Do Correct — due diligence / due care.
  • Une fois = SLE, un an = ALE ; RPO regarde en arrière, RTO court devant, MTD est le mur.
  • People Can See I Am Always Monitoring — NIST RMF.
  • STRIDE découvre, DREAD note, PASTA gère.
  • Every Cat Purrs Deeply — Erase < Clear < Purge < Destroy.
  • AES au repos, TLS en route, TEE à l'œuvre — les 3 états ; Scoper = Soustraire.
  • Simple rime avec lire ; l'étoile écrit — BLP/Biba.
  • Sa privée signe, ta publique protège — crypto asymétrique.
  • AH Authentifie, ESP Enveloppe ; Transport = charge, Tunnel = paquet.
  • All People Seem To Need Data Processing — OSI 7→1.
  • WEP mort, WPA transite, WPA2 chiffre (AES), WPA3 scelle (SAE).
  • Type I = I'm rejected (FRR), Type II = intruder in (FAR) ; CER = Comparateur.
  • Sa privée signe ; RADIUS = UDP mot de passe, TACACS+ = TCP tout + AAA séparé.
  • TGT d'abord, service ticket ensuite ; horloge à 5 min.
  • KPI derrière, KRI devant ; SOC : 1 Finance, 2 Secret, 3 Show ; Type I Instant, Type II Temps.
  • Des Renards Malins Rôdent, Repèrent, Réparent, Réfléchissent — incident (D-R-M-R-R-R-L).
  • Incremental rapide à écrire/lent à lire ; Checklist, Table, Simule, Parallèle, Coupe.
  • Safety first — la vie avant tout.
  • Initial, Repeatable, Defined, Quantified, Optimizing — CMMI.
  • SQLi → paramètre ; XSS → encode ; CSRF → token ; ACID ; Cardinality = lignes.
  • Agrégation = Addition · Inférence = Intelligence.

7Glossaire maître

Termes essentiels, ordre alphabétique — définition d'une ligne. (Complément des tableaux ci-dessus ; renvoi au chapitre pour l'approfondissement.)

TermeDéfinition
AccountabilityImputer chaque action à une identité unique.
Air gapIsolement physique total d'un réseau (traversable par média amovible).
AggregationCombiner des données anodines jusqu'à un ensemble sensible.
ALEPerte annuelle attendue = SLE × ARO.
Bastion hostHôte exposé et fortement durci.
BIAAnalyse d'impact : fonctions critiques, MTD/RTO/RPO.
Break-glassCompte d'urgence hautement surveillé.
CASBPoint de contrôle entre utilisateurs et cloud (4 modes).
Clipping levelSeuil filtrant le bruit et déclenchant une alerte.
Covert channelCommunication illégitime (timing/storage).
Crypto-shreddingDétruire les clés d'un média chiffré.
Data remanenceRésidu de données après effacement.
Defense in depthCouches indépendantes de sécurité.
Due care / diligenceAgir prudemment / savoir et surveiller.
EDRMModèle en 8 étapes de l'eDiscovery.
Fail-safe / secureOuvre (personnes) / ferme (actifs) à la panne.
FederationSSO au-delà d'une organisation (IdP/SP).
Homomorphic encryptionCalcul sur données chiffrées.
Implicit denyTout ce qui n'est pas autorisé est refusé.
InferenceDéduire l'interdit à partir de l'autorisé.
KerberosSSO à tickets (KDC, TGT, service ticket).
Least privilegeDroits minimaux nécessaires.
Legal holdSuspension de la destruction pour litige.
MantrapSas à deux portes contre le tailgating.
MFAFacteurs de types différents.
Non-repudiationImpossibilité de nier une action (signature).
OTP (one-time pad)Chiffre parfait sous 4 conditions strictes.
PAMGestion des accès privilégiés (vault, JIT, recording).
PolyinstantiationVersions multiples d'une ligne (anti-inférence).
Residual riskRisque restant après contrôles (accepté par le management).
RPO / RTO / MTDPerte de données / délai de restauration / interruption max.
SAEHandshake WPA3 résistant au brute force hors ligne.
SaltingSel aléatoire contre les rainbow tables.
SandboxingExécution isolée d'un élément suspect.
SBOMInventaire des composants logiciels.
Shift leftSécurité dès les premières phases du SDLC.
SoDAucune personne seule ne boucle une opération critique.
SSOUne authentification, plusieurs services.
TOCTOURace condition entre vérification et usage.
TokenizationSubstitution par jeton aléatoire (coffre).
TPM / HSMPuce locale / module dédié de gestion de clés.
Virtual patchingBloquer l'exploitation via IPS/WAF sans modifier le système.
Zero trustVérifier chaque requête, aucune confiance implicite.
Prêt pour les examens blancs

Si vous parcourez ce référentiel sans surprise majeure, vous êtes prêt à affronter les examens blancs (chapitres 25 et 26). Traitez-les en conditions réelles, puis revenez ici cibler vos points faibles. Bonne révision — vous touchez au but.