Leçon 1 — Security & Risk Management + Asset Security
Domaines 1 (15%) et 2 (10%) du CBK CISSP : gouvernance, gestion des risques, conformité, classification des actifs et data lifecycle.
Objectifs pédagogiques
- Définir la triade CIA et les principes étendus de l'AICPA (Authenticity, Non-repudiation, Privacy)
- Maîtriser les frameworks de gouvernance (COSO, COBIT 2019, ISO/IEC 27001:2022)
- Appliquer la gestion quantitative et qualitative des risques (ALE, SLE, ROSI, NIST RMF)
- Comprendre les réglementations majeures (RGPD, HIPAA, PCI-DSS, SOX, NIS 2, DORA)
- Classifier les actifs informationnels et gérer leur cycle de vie complet (DLM)
Prérequis
Une expérience IT/cyber de 5+ ans est recommandée (exigence ISC2 pour la certification effective). Notions de management d'entreprise, lecture de l'anglais technique, familiarité avec les standards ISO/NIST. Aucun outil technique requis pour cette leçon — c'est de la gouvernance.
Introduction contextuelle
Le CISSP est une certification de management de la sécurité de l'information — pas une certification technique. Là où le CEH apprend à pirater et le CKS à sécuriser Kubernetes, le CISSP forme à piloter un programme sécurité d'entreprise au niveau du COMEX. Le candidat doit donc maîtriser autant le vocabulaire juridique (RGPD, contrats), comptable (ROSI, ALE), normatif (ISO 27001, NIST CSF), que technique (chiffrement, contrôle d'accès, segmentation réseau).
L'examen est conçu pour qu'un candidat pense en manager. Quand deux réponses semblent justes, choisir celle qui privilégie la sécurité humaine, le respect de la loi, l'alignement avec la politique d'entreprise. C'est l'approche « think like a manager » souvent répétée par les formateurs ISC2.
Le CBK (Common Body of Knowledge) est révisé tous les 3 ans environ — version actuelle 2024 (publiée avril 2024). Les 8 domaines sont :
- Security and Risk Management (15%)
- Asset Security (10%)
- Security Architecture and Engineering (13%)
- Communication and Network Security (13%)
- Identity and Access Management (IAM) (13%)
- Security Assessment and Testing (12%)
- Security Operations (13%)
- Software Development Security (11%)
Cette leçon couvre les domaines 1 et 2.
1. Domaine 1 — Security and Risk Management (15%)
1.1 La triade CIA et extensions
| Principe | Définition | Exemple d'attaque |
|---|
| Confidentiality | Données accessibles uniquement aux personnes autorisées | Fuite de données, sniffing |
| Integrity | Données non altérées sans autorisation | Manipulation BDD, MITM |
| Availability | Données accessibles quand nécessaire | DDoS, ransomware |
| Authenticity | Identité de l'émetteur vérifiable | Spoofing, phishing |
| Non-repudiation | L'émetteur ne peut nier avoir envoyé | Faux logs, fausse signature |
| Privacy | Respect des droits individuels sur les données perso | Collecte abusive, profilage |
1.2 Gouvernance et frameworks
- COSO ERM : framework de gestion des risques d'entreprise (5 composants, 20 principes)
- COBIT 2019 (ISACA) : gouvernance et management IT (40 objectifs)
- ISO/IEC 27001:2022 : SMSI (Système Mgmt Sécurité Information) — 93 contrôles annexe A
- ISO/IEC 27002:2022 : code de bonne pratique sécurité (compagnon 27001)
- NIST Cybersecurity Framework (CSF) 2.0 (févr 2024) : 6 fonctions — Govern, Identify, Protect, Detect, Respond, Recover
- NIST SP 800-53 Rev 5 : 1000+ contrôles de sécurité pour systèmes fédéraux US
- NIST RMF (SP 800-37) : Risk Management Framework — 7 étapes Prepare/Categorize/Select/Implement/Assess/Authorize/Monitor
1.3 Gestion des risques quantitative
Formules clés à mémoriser :
- AV (Asset Value) : valeur de l'actif en €
- EF (Exposure Factor) : % de perte si menace réalisée (0-1)
- SLE (Single Loss Expectancy) = AV × EF
- ARO (Annualized Rate of Occurrence) : nb fois/an
- ALE (Annualized Loss Expectancy) = SLE × ARO
- Safeguard cost : coût du contrôle
- ROSI (Return On Security Investment) = (ALE avant - ALE après - coût) / coût
Cas pratique — Calcul ALE / ROSI
Entreprise : actif serveur de paie valant 500 000 €. Menace ransomware. EF = 0,6 (60% des données perdues si attaque). ARO = 0,2 (1 attaque tous les 5 ans en moyenne).
- SLE = 500 000 × 0,6 = 300 000 €
- ALE = 300 000 × 0,2 = 60 000 €/an
L'entreprise envisage déployer un EDR + sauvegardes immutables coûtant 25 000 €/an. Après déploiement, EF chute à 0,2.
- Nouveau SLE = 500 000 × 0,2 = 100 000 €
- Nouveau ALE = 100 000 × 0,2 = 20 000 €/an
- ROSI = (60 000 - 20 000 - 25 000) / 25 000 = +0,6 (60% retour)
Décision : investir (ROSI positif).
1.4 Gestion des risques qualitative
Lorsque la quantification est impossible (intangibles, image), on utilise une matrice Impact × Probabilité avec échelle 1-5 ou Faible/Moyen/Élevé/Critique. Méthodologies : EBIOS RM (ANSSI), OCTAVE (Carnegie Mellon), FAIR (Factor Analysis of Information Risk), MEHARI (CLUSIF).
1.5 4 stratégies de traitement du risque
| Stratégie | Définition | Exemple |
|---|
| Avoid (éviter) | Éliminer l'activité à risque | Ne pas stocker de PII |
| Mitigate (réduire) | Implémenter un contrôle | EDR, MFA, sauvegarde |
| Transfer (transférer) | Assurance cyber, contrat | Police cyber 5M€, clause sous-traitant |
| Accept (accepter) | Le risque résiduel est tolérable | Décision documentée par direction |
1.6 Réglementations majeures (2026)
- RGPD (UE 2016/679) : notification 72h, DPO obligatoire, sanctions 4% CA mondial
- HIPAA (US 1996) : santé, Privacy Rule + Security Rule
- PCI-DSS v4.0 (mars 2022, mandatory avril 2024) : cartes de paiement
- SOX (US 2002) : contrôles financiers cotés
- NIS 2 (UE 2022/2555, déploiement 2024) : opérateurs essentiels et importants
- DORA (UE 2022/2554, applicable janv 2025) : résilience numérique secteur financier
- Cyber Resilience Act (UE 2024) : sécurité by-design produits IoT/logiciels
- EU AI Act (2024) : régulation IA selon niveaux de risque
- CCPA / CPRA (Californie 2018/2023) : équivalent US RGPD
- Loi 25 Québec (vigueur 2023) : protection renseignements personnels
Selon l'ISC2 CBK 2024 : « Risk management is a continuous process of identifying, analyzing, evaluating, and treating loss exposures, and monitoring risk control and financial resources to mitigate the adverse effects of loss. » (ISC2 OSG 9e éd., chapitre 2).
1.7 Éthique CISSP — ISC2 Code of Ethics
Tout candidat CISSP doit adhérer aux 4 canons :
- Protect society, the common good, necessary public trust and confidence, and the infrastructure
- Act honorably, honestly, justly, responsibly, and legally
- Provide diligent and competent service to principals
- Advance and protect the profession
Violation = révocation immédiate de la certification.
2. Domaine 2 — Asset Security (10%)
2.1 Classification des actifs
| Secteur gouvernement | Secteur privé |
|---|
| Top Secret | Confidential / Restricted |
| Secret | Private / Sensitive |
| Confidential | Internal / Proprietary |
| Unclassified / Public | Public |
2.2 Rôles dans la gestion des données
- Data Owner : responsable métier, définit la classification et l'usage
- Data Custodian : responsable technique, applique les contrôles techniques (chiffrement, backup)
- Data Processor (RGPD) : entité qui traite pour le compte du contrôleur
- Data Controller (RGPD) : entité qui décide finalités et moyens du traitement
- Data Subject : personne physique concernée
- DPO (Data Protection Officer) : point de contact RGPD
- System Owner : responsable du système hébergeur
2.3 Cycle de vie de la donnée (DLM)
- Create / Collect — minimisation RGPD, consentement
- Store — chiffrement at-rest (AES-256-GCM)
- Use — chiffrement in-use (homomorphic crypto, enclaves SGX/TDX)
- Share — TLS 1.3, DLP, watermarking
- Archive — rétention conforme légale (factures 10 ans FR)
- Destroy — destruction sécurisée (cf 2.4)
2.4 Destruction sécurisée
- Clear / Erase : écrasement logiciel (DBAN, NIST 800-88) — disques destinés à réutilisation
- Purge : Crypto Erase, démagnétisation (degaussing) — disques destinés à recyclage
- Destroy : broyage, incinération, déchiquetage — données Top Secret
- NIST SP 800-88 Rev.1 : guide officiel sanitization
2.5 Data states (3 états)
| État | Protection | Exemple |
|---|
| At-rest | Chiffrement disque (BitLocker, LUKS, AES-256) | Backup tape, SSD |
| In-transit | TLS 1.3, IPsec, SSH | API HTTPS, VPN site-to-site |
| In-use | Enclaves matérielles (SGX, TDX, SEV) | Computation chiffrée RAM |
Pièges fréquents :
- Penser que l'effacement Windows efface vraiment → seul un wipe DoD 5220.22-M ou NIST 800-88 le garantit
- Vendre un serveur sans Crypto Erase si SSD → impossible de purger complètement le NAND flash
- Pas de DPO RGPD si traitement de masse → amende administrative jusqu'à 10M€ ou 2% CA
- Sauvegardes non chiffrées → violation HIPAA / RGPD si vol
- Confondre Data Owner (métier) et Data Custodian (technique) — questions piège CISSP
Synthèse — points-clés à retenir
- Triade CIA + 3 extensions (Authenticity, Non-repudiation, Privacy)
- SLE = AV × EF ; ALE = SLE × ARO ; ROSI = (ALE_avant - ALE_après - coût) / coût
- 4 stratégies risque : Avoid / Mitigate / Transfer / Accept
- NIST CSF 2.0 = 6 fonctions (Govern ajouté en 2024)
- ISO 27001:2022 = SMSI, 93 contrôles annexe A
- RGPD : 72h notification, DPO obligatoire si conditions, 4% CA mondial
- 4 canons ISC2 Code of Ethics
- Data Owner ≠ Data Custodian (métier vs technique)
- 3 niveaux destruction : Clear / Purge / Destroy (NIST 800-88)
- Toujours « think like a manager » : sécurité humaine d'abord, légalité ensuite
Pour aller plus loin
