Évaluation Technique du Risque, des Vulnérabilités et des Systèmes de Management de la Sécurité de l'Information
PRÉSENTATION DU MODULE
Section intitulée « PRÉSENTATION DU MODULE »L’évaluation du risque et des vulnérabilités est fondamentale pour déterminer l’allocation appropriée des ressources organisationnelles en matière de sécurité réseau et de cyberopérations. Les analystes en cybersécurité utilisent le profilage réseau et des équipements pour établir des bases de référence statistiques, servant de points de comparaison pour identifier les déviations susceptibles d’indiquer une compromission. Ce module détaille les mécanismes techniques du profilage réseau et serveur, l’application du Common Vulnerability Scoring System (CVSS) pour la pondération des risques, le cycle de vie de la gestion des vulnérabilités, les activités de gestion des équipements, et la mise en œuvre des Systèmes de Management de la Sécurité de l’Information (SMSI) — incluant le NIST Cybersecurity Framework — pour identifier et traiter les risques liés à la sécurité de l’information.
CONCEPTS FONDAMENTAUX & DÉFINITIONS
Section intitulée « CONCEPTS FONDAMENTAUX & DÉFINITIONS »1. Profilage Réseau
Section intitulée « 1. Profilage Réseau »Le profilage réseau consiste à caractériser et analyser le fonctionnement normal du réseau afin de détecter les incidents de sécurité. Une base de référence statistique doit être établie sur une période prolongée pour tenir compte des fluctuations périodiques de la charge.
| Élément du Profil Réseau | Définition |
|---|---|
| Durée de Session | Temps écoulé entre l’établissement d’un flux de données et sa terminaison. |
| Débit Total | Quantité moyenne de données transitant d’une source spécifique vers une destination sur une période définie. |
| Ports Utilisés | Liste exhaustive des processus TCP ou UDP configurés pour accepter des données entrantes. |
| Espace d’Adressage des Actifs Critiques | Plages d’adresses IP logiques ou emplacements des systèmes et données essentiels de l’organisation. |
Conseil d’examen — Durée de Session vs Débit Total :
- Durée de Session = basée sur le temps (durée d’une connexion).
- Débit Total = basée sur le volume de données (quantité de données transitant).
Détection d’Anomalies par Fenêtre Glissante : Méthodologie définissant une fenêtre représentative de l’activité réseau, supprimant les données obsolètes et répétant les mesures pour maintenir la précision statistique.
2. Profilage Serveur
Section intitulée « 2. Profilage Serveur »Le profilage serveur établit l’état de fonctionnement accepté pour des entités serveur spécifiques en fonction de leurs fonctions réseau attendues. Les paramètres clés incluent :
| Élément du Profil Serveur | Définition |
|---|---|
| Ports en Écoute | Les démons TCP et UDP spécifiques autorisés à rester ouverts sur le serveur. |
| Comptes de Service | Définitions précisant les types de services qu’une application est autorisée à exécuter sur le serveur. |
| Environnement Logiciel | Les tâches, processus et applications spécifiques autorisés à s’exécuter sur le serveur (ce qui est permis de faire ou d’exécuter). |
| Comptes Utilisateurs | Les comptes utilisateurs autorisés à exister et à se connecter sur le serveur. |
Conseil d’examen :
- « Ce qu’une application est autorisée à faire ou exécuter sur un serveur » → Environnement Logiciel
- « Le type de service qu’une application est autorisée à exécuter » → Compte de Service
TAXONOMIE TECHNIQUE & CLASSIFICATION
Section intitulée « TAXONOMIE TECHNIQUE & CLASSIFICATION »3. CVSS v3.1 — Common Vulnerability Scoring System
Section intitulée « 3. CVSS v3.1 — Common Vulnerability Scoring System »Le Common Vulnerability Scoring System (CVSS) est un cadre neutre vis-à-vis des fournisseurs, standard dans l’industrie, pour pondérer les risques inhérents aux vulnérabilités. Il est organisé en trois groupes de métriques.
3.1 Groupe de Métriques de Base
Section intitulée « 3.1 Groupe de Métriques de Base »Le Groupe de Métriques de Base est divisé en deux classes : Exploitabilité et Impact. Il inclut également la métrique Portée.
Métriques d’Exploitabilité (classe)
Section intitulée « Métriques d’Exploitabilité (classe) »| Métrique | Question Clé | Définition |
|---|---|---|
| Vecteur d’Attaque (AV) | À quelle distance se trouve l’attaquant ? | Reflète la proximité de l’acteur malveillant par rapport au composant vulnérable. Une exploitation à distance obtient un score plus élevé qu’une exploitation locale. |
| Complexité d’Attaque (AC) | Quelle est la difficulté d’exploitation ? | Mesure les conditions indépendantes du contrôle de l’attaquant (ex. : configurations spécifiques, conditions de concurrence) devant être réunies pour que l’exploitation réussisse. |
| Privilèges Requis (PR) | Quel niveau d’accès l’attaquant doit-il posséder ? | Capture le niveau d’accès (privilèges) requis pour une exploitation réussie — aucun, faible ou élevé. |
| Interaction Utilisateur (UI) | Une action humaine est-elle nécessaire ? | Précise si une action humaine est requise (ex. : cliquer sur un lien) pour que l’exploitation réussisse. |
Métrique de Portée
Section intitulée « Métrique de Portée »| Métrique | Question Clé | Définition |
|---|---|---|
| Portée (S) | L’exploitation franchit-elle des frontières d’autorité ? | Détermine si plusieurs autorités (OS, Sandbox, BDD, frontière applicative) doivent être impliquées dans une exploitation — c’est-à-dire si l’impact dépasse le composant vulnérable. |
Métriques d’Impact (classe)
Section intitulée « Métriques d’Impact (classe) »| Métrique | Définition |
|---|---|
| Impact sur la Confidentialité (C) | Mesure le degré d’accès non autorisé à des données sensibles. |
| Impact sur l’Intégrité (I) | Mesure l’impact sur la fiabilité et l’authenticité des données. |
| Impact sur la Disponibilité (A) | Mesure l’impact sur l’accessibilité des ressources informationnelles. |
Conseil d’examen — Exploitabilité vs Impact :
- « Identifie les impacts sur la confidentialité, l’intégrité et la disponibilité » → classe de métriques Impact
- « Définit les caractéristiques de l’exploitation telles que le vecteur, la complexité, l’interaction utilisateur » → classe de métriques Exploitabilité
3.2 Groupe de Métriques Temporelles
Section intitulée « 3.2 Groupe de Métriques Temporelles »Affine le Score de Base en fonction des caractéristiques du code d’exploitation dans le temps, incluant la Maturité du Code d’Exploitation (degré de disponibilité et de preuve d’exploitation dans la nature).
3.3 Groupe de Métriques Environnementales
Section intitulée « 3.3 Groupe de Métriques Environnementales »Permet aux organisations de personnaliser le Score de Base pour refléter leur environnement spécifique, en utilisant des métriques de Base Modifiées et en ajustant les pondérations d’impact.
4. Carte de Référence Rapide des Métriques CVSS
Section intitulée « 4. Carte de Référence Rapide des Métriques CVSS »| Si la question porte sur… | La réponse est… |
|---|---|
| Proximité de l’attaquant par rapport à la cible | Vecteur d’Attaque |
| Conditions indépendantes du contrôle de l’attaquant devant exister | Complexité d’Attaque |
| Niveau d’accès (privilège) requis | Privilèges Requis |
| Nécessité d’une action humaine pour l’exploitation | Interaction Utilisateur |
| Franchissement de plusieurs domaines d’autorité | Portée |
| Impacts CIA (confidentialité, intégrité, disponibilité) | Impact (classe de métriques) |
| Caractéristiques de l’exploitation (vecteur, complexité, interaction) | Exploitabilité (classe de métriques) |
ACTIVITÉS DE GESTION DES ÉQUIPEMENTS & DE LA SÉCURITÉ
Section intitulée « ACTIVITÉS DE GESTION DES ÉQUIPEMENTS & DE LA SÉCURITÉ »5. Les Quatre Activités Clés de Gestion des Équipements
Section intitulée « 5. Les Quatre Activités Clés de Gestion des Équipements »Ces quatre activités sont fréquemment évaluées ensemble. Apprenez à les distinguer précisément.
| Activité de Gestion | Domaine Principal | Caractéristiques Clés |
|---|---|---|
| Gestion de Configuration | Inventaire et contrôle des configurations matérielles et logicielles | Utilise des outils comme Puppet, Chef, Ansible, SaltStack. Garantit que les systèmes sont configurés correctement et de manière cohérente. |
| Gestion des Actifs | Suivi de l’emplacement et de la configuration des équipements réseau et logiciels à l’échelle de l’entreprise | Mise en œuvre de systèmes traçant la localisation et la configuration des équipements et logiciels. |
| Gestion des Vulnérabilités | Prévention proactive de l’exploitation des vulnérabilités informatiques au sein d’une organisation | Pratique proactive ; identifie et remédie aux vulnérabilités avant qu’elles ne soient exploitées. |
| Gestion des Correctifs d’Entreprise | Moyen le plus efficace d’atténuer les vulnérabilités logicielles ; exigé par certaines réglementations de conformité | Traite les failles logicielles via des correctifs ; imposé par des normes telles que SOX, HIPAA. |
| Gestion des Appareils Mobiles (MDM) | Mesures de sécurité pour les appareils mobiles/perdus | Peut désactiver un appareil perdu, chiffrer les données de l’appareil et renforcer l’accès via une authentification robuste. |
Conseil d’examen — les paires les plus souvent confondues :
- « Inventaire et contrôle des configurations matérielles et logicielles » → Gestion de Configuration
- « Suivi de l’emplacement et de la configuration des équipements réseau à l’échelle d’une entreprise » → Gestion des Actifs
- « Prévention proactive de l’exploitation des vulnérabilités » → Gestion des Vulnérabilités
- « Moyen le plus efficace d’atténuation des vulnérabilités logicielles / exigé par la conformité » → Gestion des Correctifs d’Entreprise
- « Désactiver un appareil perdu / chiffrer les données / authentification robuste » → Gestion des Appareils Mobiles
ANALYSE OPÉRATIONNELLE
Section intitulée « ANALYSE OPÉRATIONNELLE »6. Cycle de Vie de la Gestion des Vulnérabilités
Section intitulée « 6. Cycle de Vie de la Gestion des Vulnérabilités »La gestion efficace des vulnérabilités est une pratique proactive visant à réduire la fenêtre d’exploitation des actifs informatiques. Les six étapes sont :
Découvrir → Prioriser les Actifs → Évaluer → Rapporter → Remédier → Vérifier| Étape | Activité |
|---|---|
| 1. Découvrir | Réaliser un inventaire des actifs sur le réseau pour identifier les détails des hôtes, les OS et les services ouverts. |
| 2. Prioriser les Actifs | Classer les actifs en fonction de leur criticité pour les opérations de l’organisation. |
| 3. Évaluer | Déterminer le profil de vulnérabilité des actifs identifiés. |
| 4. Rapporter | Documenter les résultats et fournir des recommandations techniques. |
| 5. Remédier | Appliquer des correctifs ou des modifications de configuration pour neutraliser les vulnérabilités. |
| 6. Vérifier | Effectuer des tests pour confirmer que la vulnérabilité a été correctement éliminée. |
Conseil d’examen : « Quelle étape réalise l’inventaire de tous les actifs et identifie les détails des hôtes, OS et services ouverts ? » → Découvrir
7. Stratégies de Réponse à la Gestion des Risques
Section intitulée « 7. Stratégies de Réponse à la Gestion des Risques »Les organisations appliquent des techniques de gestion des risques pour sélectionner des contrôles de sécurité sur la base d’évaluations pondérées.
| Stratégie de Réponse | Action Principale | Exemple |
|---|---|---|
| Évitement du Risque | Mettre fin aux activités générant un risque inacceptable. | Arrêter complètement un service à risque élevé. |
| Réduction du Risque | Diminuer la vulnérabilité en implémentant des contrôles de sécurité. | Appliquer une gestion systématique des correctifs sur les systèmes vulnérables. |
| Partage du Risque | Transférer une partie du risque à des tiers. | Externalisation vers un prestataire SECaaS ou souscription d’une cyber-assurance. |
| Acceptation du Risque | Accepter le risque et ses conséquences potentielles. | Conserver les risques à faible impact lorsque le coût de mitigation dépasse l’impact. |
Conseil d’examen : « Diminuer le risque en prenant des mesures pour réduire la vulnérabilité » → Réduction du Risque
8. Méthodologies de Gestion des Correctifs
Section intitulée « 8. Méthodologies de Gestion des Correctifs »| Méthode | Description |
|---|---|
| Analyse Avec Agent | Nécessite un agent logiciel résidant sur chaque hôte pour rapporter l’état des logiciels et installer les correctifs avec des privilèges élevés. |
| Analyse Sans Agent | Utilise une analyse réseau pour identifier les vulnérabilités sans logiciel résidant sur l’hôte. |
CADRES & NORMES
Section intitulée « CADRES & NORMES »9. Framework NIST CSF — Fonctions de base (Core Functions)
Section intitulée « 9. Framework NIST CSF — Fonctions de base (Core Functions) »Le framework NIST CSF intègre les standards et les meilleures pratiques de l’industrie pour gérer les risques de cybersécurité à travers cinq fonctions simultanées et continues :
| Fonction | Activité principale | Question clé | Parties prenantes (Stakeholders) |
|---|---|---|---|
| IDENTIFIER | Comprendre les risques pour les systèmes, les actifs, les données et les capacités. | Quels sont nos actifs et les risques associés ? | Gestionnaires de risques, Propriétaires d’actifs |
| PROTÉGER | Mettre en œuvre des mesures pour assurer la livraison des services critiques. | Comment limiter l’impact d’une attaque ? | Sécurité IT, Administrateurs |
| DÉTECTER | Développer des activités pour identifier l’occurrence d’un événement. | Comment savoir si un incident a eu lieu ? | Analystes SOC, Support IT |
| RÉPONDRE | Entreprendre des actions suite à la détection d’un incident de cybersécurité. | Que faisons-nous quand l’incident arrive ? | Management (Direction), CSIRT, Juridique |
| RECOUVRER | Maintenir des plans de résilience et restaurer les services altérés. | Comment revenir à la normale ? | Propriétaires métiers, Ops IT |
Moyen mnémotechnique : I-P-D-R-R → “Identifier, Protéger, Détecter, Répondre, Recouvrer”
9.1 Coordination de la réponse aux incidents (Parties prenantes / Stakeholders)
Section intitulée « 9.1 Coordination de la réponse aux incidents (Parties prenantes / Stakeholders) »Selon le standard NIST SP 800-61, une réponse aux incidents efficace est un effort pluridisciplinaire. L’expertise technique seule est insuffisante ; une synergie entre ces acteurs est obligatoire pour équilibrer la remédiation technique et le risque métier :
- Management (Direction) : L’autorité centrale de coordination. Il assure la liaison entre tous les départements. Le management possède l’autorité hiérarchique pour prendre des décisions à fort impact (ex: déconnecter un service critique générant du revenu) et porte la responsabilité de minimiser l’impact business global.
- Information Assurance (IA) / Gouvernance : Garantit la protection des cinq piliers : Confidentialité, Intégrité, Disponibilité, Authentification et Non-répudiation. L’IA fournit le contexte de risque (Criticité des actifs) et s’assure que la réponse est conforme aux politiques de sécurité et aux cadres de gestion des risques de l’organisation.
- Département Juridique (Legal) : Analyse les obligations de conformité (RGPD, contrats clients, PCI DSS) et gère les risques juridiques. Il fournit des directives essentielles sur la Chaîne de causalité (Chain of Custody) pour garantir que les preuves restent admissibles lors de poursuites pénales ou civiles.
- Relations Publiques / Communication (PR) : Gère la communication externe. Son objectif est de contrôler la narration de l’incident, de rassurer les parties prenantes et de limiter les dommages réputationnels. Il empêche la divulgation prématurée de détails techniques sensibles exploitables par des attaquants.
- Ressources Humaines (RH) : Indispensables si l’incident implique une Menace Interne (Insider Threat). Les RH gèrent les aspects contractuels, les accords de confidentialité (NDA) et l’application des mesures disciplinaires conformément au règlement intérieur.
- Sécurité Physique / Moyens Généraux : Fournit les logs d’accès physiques, les enregistrements de vidéosurveillance et assure la sécurité du périmètre des centres de données ou du matériel compromis durant l’investigation.
- Forces de l’ordre (Law Enforcement) : Contactées en cas d’activité criminelle avérée (extorsion, fuite de données massive). Le NIST recommande d’établir ces relations avant un incident pour faciliter le partage d’informations.
- Support IT / Équipe Technique : Les “opérationnels de terrain” concentrés sur le Confinement, l’Éradication et l’Analyse Forensique. Crucialement, ils n’ont pas l’autorité pour coordonner les parties prenantes non techniques ou prendre des décisions stratégiques de risque métier.
PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE (MISE À JOUR)
Section intitulée « PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE (MISE À JOUR) »| Si la question porte sur… | La fonction NIST ou le rôle est… |
|---|---|
| La gestion des risques liés aux actifs et données | Identifier (Identify) |
| Les sauvegardes et la limitation d’impact | Protéger (Protect) |
| L’identification de l’occurrence d’un événement | Détecter (Detect) |
| Les actions immédiates suite à un événement | Répondre (Respond) |
| La coordination des parties prenantes pour minimiser les dommages | Management |
| La restauration des capacités et la résilience | Recouvrer (Recover) |
10. Couplage Menace-Vulnérabilité (T-V Pairing)
Section intitulée « 10. Couplage Menace-Vulnérabilité (T-V Pairing) »Le Couplage Menace-Vulnérabilité (T-V Pairing) est le processus d’identification des menaces et vulnérabilités, et de mise en correspondance des menaces avec les vulnérabilités afin de déterminer un profil de risque inhérent pour un actif ou un système. Il constitue une entrée pour l’évaluation des risques et guide la sélection des contrôles de sécurité.
Conseil d’examen : T-V Pairing = identification + mise en correspondance des menaces avec les vulnérabilités. Ce n’est pas une comparaison avec des logiciels malveillants connus, ni une notice d’avis, ni une détection basée sur une base de données centrale.
SOURCES D’INFORMATION SUR LES VULNÉRABILITÉS
Section intitulée « SOURCES D’INFORMATION SUR LES VULNÉRABILITÉS »| Source | Description |
|---|---|
| CVE (Common Vulnerabilities and Exposures) | Dictionnaire de noms communs (identifiants CVE) pour les vulnérabilités de cybersécurité publiquement connues. Fournit un schéma de nommage standardisé. |
| NVD (National Vulnerability Database) | Base de données maintenue par le NIST enrichissant les entrées CVE avec des scores CVSS, des détails techniques et les entités affectées. |
| CVSS | Cadre de notation fournissant un score de sévérité numérique (0–10) pour chaque vulnérabilité. |
11. NIST Incident Response Life Cycle (SP 800-61)
Section intitulée « 11. NIST Incident Response Life Cycle (SP 800-61) »Alors que le CSF (point 9) donne une vue d’ensemble, le processus opérationnel suit ces étapes :
- Preparation: Mise en place des outils et formation de l’équipe (CSIRT).
- Detection & Analysis:
- Detection: Identification d’un signe précurseur ou d’un incident.
- Scoping (Analysis): Analyse pour déterminer l’étendue (systèmes affectés), l’origine (qui/quoi) et le mécanisme (comment). C’est ici que le périmètre est défini.
- Containment, Eradication, & Recovery: Limiter les dégâts, supprimer la menace et restaurer les services.
- Post-Incident Activity: “Lessons Learned” pour améliorer la sécurité future.
| Question d’examen | Phase / Étape NIST |
|---|---|
| Déterminer quels réseaux/systèmes sont affectés | Scoping (Analysis) |
| Identifier qui ou quoi a causé l’incident | Scoping (Analysis) |
| Déterminer comment l’incident se produit | Scoping (Analysis) |
| Action de prévenir les parties prenantes | Notification |
12. Documentation de réponse aux incidents (SOP et Politiques)
Section intitulée « 12. Documentation de réponse aux incidents (SOP et Politiques) »Pour garantir une réponse cohérente, répétable et sans erreur, le framework NIST s’appuie sur des types de documents spécifiques :
- Politique (Policy) : Le “Pourquoi”. Elle définit l’autorité du CSIRT, les objectifs stratégiques et le cadre légal de l’organisation.
- SOP (Standard Operating Procedures) : Le “Comment” au niveau granulaire.
- Définition : Les procédures détaillées, étape par étape, qui sont suivies durant la réponse à un incident.
- Contenu : Processus techniques, listes de contrôle (checklists) et formulaires à remplir.
- Objectif : Minimiser les erreurs humaines et s’assurer que chaque membre de l’équipe suit le même protocole rigoureux.
13. Le Framework MITRE ATT&CK
Section intitulée « 13. Le Framework MITRE ATT&CK »Le framework MITRE ATT&CK est une base de connaissances mondiale, accessible publiquement, qui répertorie les tactiques et techniques des adversaires basées sur des observations réelles. Contrairement aux approches basées sur des signatures (comme un antivirus), MITRE se concentre sur le comportement de l’attaquant.
13.1 Concepts fondamentaux (TTPs)
Section intitulée « 13.1 Concepts fondamentaux (TTPs) »- Tactics (Tactiques) : Le “Pourquoi”. C’est l’objectif tactique immédiat de l’adversaire (ex: Accès initial, Persistance, Exfiltration).
- Techniques : Le “Comment”. C’est la méthode spécifique utilisée pour atteindre une tactique (ex: Spearphishing pour obtenir l’accès initial).
- Procedures (Procédures) : L’implémentation réelle. La manière précise dont un groupe de menace (ex: APT28) utilise une technique ou un logiciel spécifique.
13.2 Cas d’utilisation pour l’analyste
Section intitulée « 13.2 Cas d’utilisation pour l’analyste »- Détection basée sur le comportement : Au lieu de chercher une simple adresse IP, l’analyste cherche des motifs d’activité (techniques).
- Threat Hunting : Rechercher proactivement des techniques spécifiques dans le réseau.
- Évaluation des défenses : Identifier quelles techniques l’organisation n’est pas encore capable de détecter.
PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE (MITRE)
Section intitulée « PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE (MITRE) »| Terme | Définition technique | Question d’examen type |
|---|---|---|
| Tactics | L’objectif de l’adversaire (le “Pourquoi”). | Quel est le but de l’attaquant ? |
| Techniques | Le moyen pour atteindre l’objectif (le “Comment”). | Quelle méthode est utilisée pour persister ? |
| Procedures | L’exécution spécifique par un acteur de menace. | Comment APT38 a-t-il utilisé cet outil ? |
| Matrix | L’organisation visuelle des TTPs. | Où sont cartographiées les techniques ? |
PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE (DOCUMENTATION)
Section intitulée « PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE (DOCUMENTATION) »| Si la question porte sur… | Le terme technique est… |
|---|---|
| Les procédures étape par étape / checklists | SOP (Standard Operating Procedures) |
| Les indicateurs pour mesurer les capacités | Metrics (Métriques) / KPI |
| La feuille de route pour améliorer les capacités à long terme | Roadmap |
| Les règles générales et l’autorité de l’équipe IR | Politique (Policy) |
PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE CONSOLIDÉE
Section intitulée « PRÉPARATION À L’EXAMEN — RÉFÉRENCE RAPIDE CONSOLIDÉE »Éléments du Profil Réseau (style questions à trous)
Section intitulée « Éléments du Profil Réseau (style questions à trous) »| Définition | Terme |
|---|---|
| Quantité de données transitant d’une source vers une destination sur une période donnée | Débit Total |
| Temps entre l’établissement et la terminaison d’un flux de données | Durée de Session |
| Liste des processus TCP ou UDP disponibles pour accepter des données | Ports Utilisés |
| Emplacement logique des systèmes ou données essentiels | Espace d’Adressage des Actifs Critiques |
Métriques CVSS (style questions à trous)
Section intitulée « Métriques CVSS (style questions à trous) »| Définition | Métrique |
|---|---|
| Niveau d’accès requis pour une exploitation réussie | Privilèges Requis |
| Nombre de conditions indépendantes du contrôle de l’attaquant devant être présentes | Complexité d’Attaque |
| Nécessité d’impliquer plusieurs autorités dans une exploitation | Portée |
| Proximité de l’acteur malveillant par rapport au composant vulnérable | Vecteur d’Attaque |
| Nécessité d’une action humaine pour que l’exploitation réussisse | Interaction Utilisateur |
| Identifie les impacts sur la confidentialité, l’intégrité et la disponibilité | Impact (classe de métriques) |
| Définit les caractéristiques de l’exploitation (vecteur, complexité, interaction) | Exploitabilité (classe de métriques) |
Activités de Gestion des Équipements (style questions à trous)
Section intitulée « Activités de Gestion des Équipements (style questions à trous) »| Définition | Activité |
|---|---|
| Moyen le plus efficace d’atténuer les vulnérabilités logicielles ; exigé par la conformité | Gestion des Correctifs d’Entreprise |
| Inventaire et contrôle des configurations matérielles et logicielles | Gestion de Configuration |
| Suivi de l’emplacement et de la configuration des équipements réseau à l’échelle de l’entreprise | Gestion des Actifs |
| Prévention proactive de l’exploitation des vulnérabilités informatiques | Gestion des Vulnérabilités |
| Peut désactiver un appareil perdu, chiffrer les données, renforcer l’authentification | Gestion des Appareils Mobiles |
Fonctions NIST CSF (style questions à trous)
Section intitulée « Fonctions NIST CSF (style questions à trous) »| Activité | Fonction |
|---|---|
| Prendre des mesures face à un événement de cybersécurité détecté | Répondre |
| Restaurer les capacités affectées par un événement de cybersécurité | Récupérer |
| Identifier l’occurrence d’un événement de cybersécurité | Détecter |
| Mettre en œuvre des mesures de protection pour assurer les services d’infrastructure critiques | Protéger |
| Développer la compréhension pour gérer le risque cybersécurité | Identifier |
Stratégies de Risque (style questions à trous)
Section intitulée « Stratégies de Risque (style questions à trous) »| Définition | Stratégie |
|---|---|
| Diminuer le risque en prenant des mesures pour réduire la vulnérabilité | Réduction du Risque |
| Mettre fin à l’activité générant le risque | Évitement du Risque |
| Accepter le risque et ses conséquences | Acceptation du Risque |
| Transférer le risque à un tiers | Partage du Risque |
Étapes du Cycle de Vie de la Gestion des Vulnérabilités
Section intitulée « Étapes du Cycle de Vie de la Gestion des Vulnérabilités »| Définition | Étape |
|---|---|
| Inventaire de tous les actifs ; identification des détails des hôtes, OS, services ouverts | Découvrir |
| Classer les actifs par criticité | Prioriser les Actifs |
| Déterminer le profil de vulnérabilité des actifs | Évaluer |
| Documenter les résultats et les recommandations | Rapporter |
| Appliquer des correctifs ou des modifications de configuration | Remédier |
| Confirmer que la vulnérabilité a été éliminée | Vérifier |
ÉTUDES DE CAS & POINTS D’EXAMEN SPÉCIFIQUES
Section intitulée « ÉTUDES DE CAS & POINTS D’EXAMEN SPÉCIFIQUES »Fonctions de Gestion de la Sécurité — Configuration vs Actifs vs Vulnérabilités
Section intitulée « Fonctions de Gestion de la Sécurité — Configuration vs Actifs vs Vulnérabilités »Ces trois termes sont évalués de manière interchangeable et doivent être mémorisés avec précision :
- Gestion de Configuration → concerne l’inventaire et le contrôle des configurations matérielles et logicielles (dimension comment ils sont configurés).
- Gestion des Actifs → concerne la mise en œuvre de systèmes traçant l’emplacement et la configuration des équipements réseau et logiciels à l’échelle de l’entreprise (dimension où ils se trouvent).
- Gestion des Vulnérabilités → concerne la prévention proactive de l’exploitation des vulnérabilités informatiques (dimension posture de sécurité).
Profil Serveur : Environnement Logiciel vs Compte de Service
Section intitulée « Profil Serveur : Environnement Logiciel vs Compte de Service »- Environnement Logiciel → ce que l’application est autorisée à faire ou exécuter sur un serveur (processus, tâches, applications).
- Compte de Service → le type de service qu’une application est autorisée à exécuter (le contexte de compte sous lequel les services s’exécutent).
CVSS — Résumé de la Structure du Groupe de Métriques de Base
Section intitulée « CVSS — Résumé de la Structure du Groupe de Métriques de Base »Groupe de Métriques de Base├── Exploitabilité (classe)│ ├── Vecteur d'Attaque│ ├── Complexité d'Attaque│ ├── Privilèges Requis│ └── Interaction Utilisateur├── Portée└── Impact (classe) ├── Impact sur la Confidentialité ├── Impact sur l'Intégrité └── Impact sur la Disponibilité