CISSP · Réussir du premier coup

Chapitre 27
Drill final ·
100 scénarios manager

Cent réflexes « FIRST / BEST / Who » à automatiser sur les 10 derniers jours — une session par jour.

Usage
10 sessions de 10 · J-10 à J-1
Objectif
Automatiser le raisonnement managérial
Format
Question anglaise → réponse + règle d'or française
Comment s'entraîner
  • Une session (10 scénarios) par jour, à voix haute : lisez, répondez avant de voir la solution.
  • Chaque scénario donne la bonne réponse et la règle d'or d'une ligne à graver.
  • Le but n'est pas la connaissance mais le réflexe : raisonner en manager sans y penser (chapitre 0).
  • La liste des 25 règles d'or les plus fréquentes clôt le chapitre — relisez-la la veille de l'examen.

Jour 1Session 1 — priorité & posture

1

A fire alarm sounds while staff are inside. What FIRST?

Ensure evacuation

La vie humaine avant tout actif.

2

Who ultimately accepts a residual risk?

Senior management

Seul le management possède et accepte le risque.

3

Active data exfiltration is confirmed. What FIRST?

Follow the IR plan

Le processus avant l'héroïsme.

4

Before adopting a new cloud tool, what FIRST?

Risk assessment

Évaluer avant d'agir.

5

A control costs more than the loss it prevents. What BEST?

Accept the risk

Un contrôle ne coûte jamais plus que l'actif.

6

Who is responsible for classifying data?

The data owner

La classification est une décision métier.

7

Most important factor for a security program's success?

Senior management support

Sans soutien du sommet, rien ne tient.

8

A colleague bypasses DLP controls. What FIRST?

Report via the established channel

Suivre la politique, pas la justice personnelle.

9

Client asks you to hide a breach from regulators. What BEST?

Decline and advise of legal duties

Légalité et société avant le client.

10

During an acquisition, what FIRST for security?

Due diligence on the target

Évaluer la cible avant toute intégration.

Jour 2Session 2 — risque & gouvernance

11

A risk remains after controls. What is it called?

Residual risk

Le résiduel s'accepte formellement.

12

A manager ignores a known risk with no analysis. This is?

Negligence (rejection)

Ignorer ≠ accepter.

13

Outsourcing payroll. Who remains accountable for the data?

The company

On transfère l'opération, jamais l'accountability.

14

Which comes first in the BCP?

Project scope & planning

La BIA vient en deuxième.

15

Best evidence a control works over time?

SOC 2 Type II

Type II = efficacité sur la durée.

16

Who approves the organizational security policy?

Senior management

La policy engage toute l'entreprise.

17

A vulnerability can't be fixed in time. What BEST?

Documented, signed exception

L'exception est un risque accepté et tracé.

18

How to prioritize remediation?

By risk

Pas par la facilité.

19

Which review revalidates access rights?

Recertification

Contre le privilege creep et les comptes orphelins.

20

Auditor must be what relative to the audited?

Independent

Sinon il se juge lui-même.

Jour 3Session 3 — incident & forensics

21

Running system, evidence collection. What FIRST?

RAM / registers

Ordre de volatilité : le plus fugace d'abord.

22

Criminal case likely. Evidence standards?

Strictest from the start

Pas de durcissement rétroactif.

23

After activating the IR plan, next step?

Mitigation (containment)

Contenir avant de restaurer.

24

Which incident step fixes the root cause?

Remediation

La récupération restaure, la remédiation corrige.

25

Involving law enforcement means what?

Loss of control

On gagne des pouvoirs, on perd la maîtrise.

26

Ransom note on a server. What FIRST?

Activate the IR plan

Ni payer, ni wiper, ni communiquer hors plan.

27

Who decides to involve law enforcement?

Management

Pas le premier technicien.

28

Legal hold means what?

Suspend destruction

Il prime sur le calendrier de rétention.

29

Proving a forensic image is faithful?

Hashing before/after

Empreintes identiques = copie fidèle.

30

Who declares a disaster?

Management

Selon des critères définis (MTD dépassé).

Jour 4Session 4 — accès & identité

31

Employee terminated. When disable access?

At notification

Jamais « en fin de journée ».

32

Role transition: what MOST important?

Remove old rights first

Retirer avant d'accorder.

33

Best mitigation for SSO's concentration risk?

MFA at entry

Protéger les clés du royaume.

34

Admin grants access on what basis?

Owner approval + need-to-know

L'admin exécute, l'owner décide.

35

Which biometric error is most dangerous?

FAR (Type II)

L'imposteur accepté est le vrai risque.

36

Best defense against stolen/guessed passwords?

MFA

Un secret volé ne suffit plus.

37

Privileged accounts: which approach?

PAM (vault, JIT, recording)

Pas de comptes admin permanents.

38

Verify identity before issuing credentials?

Identity proofing

Le maillon faible de la chaîne.

39

High-security reader tuning?

Minimize FAR (accept higher FRR)

Refuser un légitime > laisser entrer un imposteur.

40

Accountability requires what?

Individual identities

Jamais de comptes partagés.

Jour 5Session 5 — architecture & crypto

41

Occupied datacenter, fire. Door failure mode?

Fail-safe (unlock)

La vie avant les actifs.

42

Firewall crashes. Failure mode for assets?

Fail-closed

L'équipement de sécurité échoue fermé.

43

Confidential message to Bob. Which key?

Bob's public key

« Ta publique protège. »

44

Sign a document. Which key?

Your private key

« Sa privée signe. »

45

Legacy system can't be patched. What BEST?

Compensating controls (isolate, monitor)

Ou virtual patching.

46

Cloud tenant decommission, data unrecoverable?

Crypto-shredding

Détruire les clés est la seule garantie à distance.

47

Sanitize an SSD?

Crypto erase / destruction

Jamais de degaussing sur SSD.

48

Data in use protection?

Enclave / homomorphic

L'état le plus dur à protéger.

49

Site-to-site VPN. Which IPsec mode?

ESP tunnel mode

Le paquet entier encapsulé.

50

Choose a firewall via Common Criteria. Read what?

The Security Target

Vérifier que le périmètre évalué colle à l'usage.

Jour 6Session 6 — réseau & opérations

51

Telnet or SSH for remote admin?

SSH

Telnet transmet en clair.

52

Public web server placement?

In the DMZ

Jamais sur le LAN interne.

53

BYOD, protect corporate data only?

MAM / containerization

Wipe sélectif, vie privée préservée.

54

Guest Wi-Fi still on WEP. What BEST?

Migrate to WPA3

WEP est cassé.

55

Endpoint software control, most secure?

Allow-listing

N'autoriser que l'approuvé.

56

Correlate logs across systems requires what?

Time sync (NTP)

Sans horloges alignées, pas de corrélation.

57

Admin access to critical servers via what?

Jump box / PAW

Jamais de RDP exposé nu.

58

Patch a critical production system. What FIRST?

Test in staging

Un patch peut casser la production.

59

Emergency change applied. Documentation?

Document after the fact

Jamais sans trace.

60

ICS PLC vulnerability announced. What BEST?

Compensate, patch in maintenance window

Disponibilité et sûreté priment.

Jour 7Session 7 — données & conformité

61

GDPR breach. Notify authority within?

72 hours

Vers l'autorité, dès la connaissance.

62

Unnecessary personal data. Best protection?

Don't collect it

La minimisation est imbattable.

63

Unlabeled tape in Confidential area?

Treat as highest until verified

Jamais « public par défaut ».

64

Test data from production?

Masked / pseudonymized

Ne jamais exposer la production.

65

Secret algorithm, won't disclose. Protection?

Trade secret

Le brevet publierait la méthode.

66

PCI DSS is what type of requirement?

Contractual

Pas une loi.

67

Retaining data too long causes what?

Breach + eDiscovery + legal risk

La sur-rétention est un passif.

68

Dual-use crypto export governed by?

EAR

ITAR vise le militaire.

69

Take data out of GDPR scope?

True anonymization

La pseudonymisation reste GDPR.

70

Which system lifecycle milestone matters most for patching?

End of support

Fin des correctifs = danger.

Jour 8Session 8 — développement & test

71

When integrate security in the SDLC?

From the start (shift left)

Corriger tôt coûte moins cher.

72

Prevent SQL injection?

Parameterized queries

Séparer code et données.

73

Mitigate XSS?

Output encoding + CSP

Neutraliser le script injecté.

74

Test source code without running it?

SAST

Statique, tôt dans le cycle.

75

Before any pentest, obtain what?

Management approval + RoE

Sinon c'est une intrusion.

76

Most dangerous scan result?

False negative

Une faille manquée endort.

77

COTS vendor may disappear. Protect how?

Source code escrow

Récupérer le source si besoin.

78

Secrets in code repos. Prevent how?

Secrets scanning

Jamais de clés en dur.

79

Dependencies inherit vulnerabilities. Track with?

SCA + SBOM

Leçon Log4j.

80

Input validation strategy?

Allow-list

N'accepter que le connu-bon.

Jour 9Session 9 — pièges fins

81

CCTV nobody watches is what?

Just a recorder

Le contrôle vit dans son exploitation.

82

Observing a determined attacker via a decoy?

Enticement (legal)

L'entrapment inciterait au crime.

83

Continuity plan review frequency?

Annually + after major change

Un plan périmé = défaut de due care.

84

Returning to primary site: which functions first?

Least critical first

Protéger les vitales d'un site instable.

85

Full interruption DR test needs what?

Management approval

Le test le plus risqué.

86

Differential backup restores how many sets?

2 (full + last)

L'incremental en exige N.

87

RPO drives what?

Backup/replication frequency

Il regarde en arrière (perte de données).

88

Verification vs validation?

Specs vs need

Built right vs built the right thing.

89

Community cloud is for whom?

Orgs with common requirements

Définition mot pour mot.

90

Container vs VM isolation?

Containers share the kernel (weaker)

Sensibilités différentes → VM séparées.

Jour 10Session 10 — consolidation

91

Two options: protect people or protect servers?

Protect people

La vie d'abord, toujours.

92

FIRST vs BEST in a question?

FIRST = sequence, BEST = quality

Répondre à la question posée.

93

You are a security professional. Your role?

Advise, not act alone

Le CISSP conseille le management.

94

Order of ethics canons?

Protect, Act, Provide, Advance

L'ordre départage les conflits.

95

A tie between society and employer?

Society first

Canon I avant canon III.

96

Which is more englobant, quick fix or lasting fix?

Lasting fix

La cause avant le symptôme.

97

A distractor tells you to punish/bypass process?

Eliminate it

Jamais de justice hors processus.

98

NOT / LEAST / EXCEPT question. Approach?

Reread twice

Trois options correctes, un intrus.

99

Two answers both correct for FIRST?

Earliest in the correct sequence

Pas la plus importante.

100

Unsure between two options?

Eliminate two, apply the golden rules, move on

Ne jamais ruminer une question passée.


SynthèseLes 25 règles d'or les plus fréquentes

À réciter la veille de l'examen
  1. La vie humaine avant tout actif.
  2. Le management senior est ultimement responsable et seul à accepter un risque.
  3. Le CISSP conseille ; il n'agit pas en solitaire.
  4. Évaluer (risk assessment) avant d'agir.
  5. Suivre le plan/la politique avant d'improviser.
  6. Contenir avant de restaurer ; corriger la cause avant de clore.
  7. Un contrôle ne coûte jamais plus que l'actif protégé.
  8. La classification appartient au data owner.
  9. Accepter un risque = documenté et signé ; l'ignorer = négligence.
  10. Transférer/externaliser ne déplace jamais l'accountability.
  11. Désactiver les accès à la notification du départ ; retirer avant d'accorder.
  12. MFA neutralise la plupart des attaques par mot de passe.
  13. FIRST = séquence ; BEST = qualité globale ; NOT/LEAST = relire deux fois.
  14. Ordre de volatilité : RAM avant disque.
  15. Si le pénal est possible, standards de preuve stricts dès le départ.
  16. Impliquer la police = perdre le contrôle.
  17. Fail-safe (personnes) vs fail-secure (actifs).
  18. « Sa privée signe, ta publique protège. »
  19. Le serveur public va dans la DMZ, jamais sur le LAN interne.
  20. Tester un patch avant la production ; documenter les changements d'urgence après.
  21. SOC 2 Type II pour prouver l'efficacité d'un fournisseur.
  22. La minimisation est la meilleure protection des données.
  23. Full interruption et acceptation de risque : accord du management.
  24. L'auditeur doit être indépendant de l'audité.
  25. La société (canon I) avant l'employeur (canon III) ; l'ordre des canons départage.
Dernière ligne droite

Si ces 25 règles vous viennent instantanément et que vos deux examens blancs dépassent 80 %, vous êtes prêt. Passez au protocole du jour J (chapitre 28).