ObjectifCyber

Chapitre 1 — CIA, Risque & Fondamentaux de la Sécurité

Ce chapitre couvre les principes fondamentaux sur lesquels repose toute la sécurité informatique. Vous devez maîtriser la triade CIA, les concepts de risque, la terminologie des menaces et les garanties générales pour le domaine 1 (12%).

Mémorisez ! La triade CIA (Confidentialité, Intégrité, Disponibilité) est le fondement de toute politique de sécurité. Chaque contrôle de sécurité protège au moins un de ces trois attributs.

Confidentialité

La confidentialité garantit que l'information n'est accessible qu'aux personnes autorisées. Elle est protégée par le chiffrement, le contrôle d'accès et les mécanismes d'authentification.

Scénario : Une organisation stocke des données de patients. Quels contrôles garantissent la confidentialité ? Chiffrement du disque (BitLocker/LUKS), TLS pour le transit, ACL sur les dossiers et authentification forte des utilisateurs.

Intégrité

L'intégrité assure que les données ne sont pas modifiées de manière non autorisée — que ce soit pendant le stockage, le transit ou le traitement.

Disponibilité

La disponibilité garantit que les systèmes et les données sont accessibles aux utilisateurs autorisés quand ils en ont besoin.

Astuce Examen

Si une question mentionne "bloquer l'accès aux utilisateurs légitimes" → Disponibilité. "Données modifiées sans autorisation" → Intégrité. "Un attaquant a lu des données privées" → Confidentialité. Ces distinctions apparaissent fréquemment dans les questions à choix multiples.

La non-répudiation empêche un expéditeur de nier avoir envoyé un message ou effectué une action. Elle combine l'authentification + l'intégrité via les signatures numériques et les journaux d'audit.

Le modèle AAA

ConceptDéfinitionExemple
AuthenticationProuver qui vous êtesMot de passe, empreinte, carte à puce
AuthorizationDéterminer ce que vous pouvez faireACL, rôles RBAC, politiques
AccountingEnregistrer ce que vous avez faitJournaux, SIEM, audit trail

Mémorisez ! Risque = Probabilité × Impact. Le risque résiduel est ce qui reste après l'application des contrôles. L'appétit pour le risque est ce qu'une organisation accepte de subir.

Terminologie du risque

Traitements du risque

TraitementDescriptionExemple
ÉviterÉliminer l'activité risquéeNe pas utiliser un logiciel vulnérable
TransférerDéplacer le risque vers un tiersAssurance cybersécurité
AtténuerRéduire la probabilité ou l'impactPare-feu, antivirus, chiffrement
AccepterReconnaître le risque et continuerRisque faible documenté

Calculs de risque quantitatifs

Exercice : Un serveur vaut 50 000 €. Une inondation détruirait 40% de sa valeur (EF = 0,4). SLE = 50 000 × 0,4 = 20 000 €. Si une inondation survient tous les 10 ans (ARO = 0,1), ALE = 20 000 × 0,1 = 2 000 €/an. Un contrôle coûtant moins de 2 000 €/an est rentable.

Mémorisez ! Le Zero Trust n'est pas un produit unique — c'est une architecture basée sur trois principes : vérifier explicitement, utiliser le moindre privilège, et supposer une violation.

1. Une banque veut s'assurer qu'aucun employé seul ne puisse autoriser et exécuter un virement bancaire. Quel principe de sécurité applique-t-elle ?

La séparation des tâches exige que plusieurs personnes soient impliquées dans les processus critiques. La rotation change qui effectue la tâche dans le temps, mais ne divise pas les privilèges pour une même transaction.

2. Un serveur de base de données vaut 100 000 €. Un incendie détruirait 60% de sa valeur (EF=0,6). Une telle perte survient en moyenne une fois tous les 5 ans. Quelle est l'ALE ?

SLE = 100 000 × 0,6 = 60 000 €. ARO = 1/5 = 0,2. ALE = SLE × ARO = 60 000 × 0,2 = 12 000 €/an.

3. Lequel des éléments suivants est le plus directement lié à la protection de la confidentialité ?

Le chiffrement AES-256 protège la confidentialité. Le hachage et les signatures numériques protègent l'intégrité. RAID protège la disponibilité.

4. Une organisation décide de souscrire à une assurance cybersécurité pour couvrir les coûts d'un éventuel ransomware. Quelle stratégie de gestion du risque cela représente-t-il ?

L'assurance est un transfert de risque financier vers un tiers. L'atténuation réduirait la probabilité ou l'impact (ex: EDR, sauvegardes). L'acceptation ne fait rien. L'évitement supprimerait l'activité risquée.

5. Quel attribut de la triade CIA est directement ciblé par une attaque par déni de service (DoS) ?

Une attaque DoS vise à rendre le service indisponible — elle cible la Disponibilité. Elle ne lit pas de données (confidentialité) et ne les modifie pas (intégrité).

6. Un attaquant envoie un e-mail et prétend ensuite ne jamais l'avoir envoyé. Quel contrôle empêcherait cela ?

La non-répudiation est assurée par les signatures numériques. Elles lient cryptographiquement l'identité de l'expéditeur au message — impossible de nier l'avoir envoyé.

7. Le principe Zero Trust suppose que :

Zero Trust = "Never trust, always verify." Même un utilisateur sur le réseau interne doit s'authentifier et être autorisé. La micro-segmentation limite les mouvements latéraux.

8. Lequel des éléments suivants représente le "risque résiduel" ?

Le risque résiduel = risque inhérent − réduction apportée par les contrôles. Il est impossible d'éliminer tous les risques ; il reste toujours un risque résiduel.

9. Quelle est la différence entre un vecteur de menace (threat vector) et une vulnérabilité ?

Vecteur d'attaque = comment l'attaquant entre (phishing, USB, exploit web). Vulnérabilité = la faiblesse dans le système (patch manquant, mot de passe faible) qui est exploitée par le vecteur.

10. Un technicien informatique est absent deux semaines (vacances obligatoires). Pendant son absence, son supérieur découvre qu'il détournait des données clients. Quel principe de sécurité a permis cette découverte ?

Les vacances forcées obligent quelqu'un d'autre à couvrir le travail, ce qui révèle souvent des activités frauduleuses. C'est différent de la rotation (changement planifié de poste).