L’Article principal de la série : Décrocher la certification CISSP 2026. Ce tutoriel approfondit le domaine 1 du CBK 2024 — celui qui pèse 16 % de l’examen, soit le poids le plus lourd des huit domaines. Si vous deviez ne maîtriser qu’un seul domaine à fond, ce serait celui-ci. Il porte sur la gouvernance, la conformité, le code éthique, la classification de l’information, la gestion du risque et la continuité d’activité.
Prérequis
- Une expérience opérationnelle en sécurité de l’information (au moins deux ans utiles)
- Le livre de référence à jour : Official Study Guide 10ᵉ édition ou All-in-One Exam Guide 9ᵉ édition
- Niveau attendu : intermédiaire à senior
- Temps estimé pour la préparation du domaine : 25 à 30 heures réparties sur deux à trois semaines
Étape 1 — Cartographier le périmètre du domaine 1
Avant de plonger dans le contenu, il faut comprendre ce qui est examinable. Le domaine 1 ne contient quasiment aucun élément technique opérationnel — pas de commande à exécuter, pas de protocole à configurer. Il porte sur la capacité à raisonner comme un manager sécurité face à un dossier de gouvernance, de conformité ou d’incident à arbitrer. L’outillage du candidat est donc un vocabulaire précis, une grille de modèles (CIA, AAA, RMF), et la capacité à reconnaître la bonne réponse parmi quatre formulations très proches.
Sortez une feuille A4 et listez les sept sous-objectifs publiés par ISC2 : compréhension et application des concepts de confidentialité-intégrité-disponibilité ; évaluation et application des principes de gouvernance ; conformité aux exigences légales et réglementaires ; gestion de l’éthique professionnelle ; développement, documentation et mise en œuvre des politiques ; identification, analyse et gestion du risque ; mise en œuvre de la formation et de la sensibilisation. Cette cartographie est votre plan d’attaque — chaque révision doit aboutir à pouvoir réciter ces sept points sans hésiter.
Étape 2 — Maîtriser le code éthique ISC2
Le code éthique est sur-représenté à l’examen. L’ISACA expose un code éthique parallèle pour les détenteurs CISM avec une logique de recertification (120 CPE / 3 ans) très proche du modèle ISC2. Vous tomberez sur une à trois questions qui vous demanderont de choisir la bonne action déontologique dans une situation ambiguë. Mémorisez l’ordre exact des quatre canons — l’ordre est lui-même examinable car il dicte la priorité en cas de conflit.
| Rang | Canon | Implication pratique |
|---|---|---|
| 1 | Protect society, the common good, public trust and confidence, and the infrastructure | L’intérêt général prime sur l’intérêt du client en cas de conflit majeur |
| 2 | Act honorably, honestly, justly, responsibly, and legally | Aucune action légalement contestable même si demandée par un supérieur |
| 3 | Provide diligent and competent service to principals | Servir le commettant (employeur, client) avec compétence et diligence |
| 4 | Advance and protect the profession | Ne pas dénigrer publiquement la profession ; signaler les fraudes constatées |
L’astuce mnémotechnique des candidats francophones consiste à retenir l’ordre SHPP — Society, Honor, Principals, Profession. Une question typique vous présentera un dilemme où l’employeur demande quelque chose qui nuit à la société : le canon 1 prime, vous refusez et vous documentez. Sur une question d’arbitrage entre intérêt du client et intérêt de la profession, c’est le client qui prime (canon 3 avant canon 4).
Étape 3 — Internaliser CIA, AAA et le non-répudiation
Les triades CIA et AAA sont les fondations sémantiques du CBK entier. Toutes les autres définitions s’y raccrochent. Vous devez les réciter sans hésiter et savoir quel concrètement chaque axe protège.
La triade CIA couvre Confidentiality (la donnée n’est lue que par les personnes autorisées), Integrity (la donnée n’est modifiée que par les personnes autorisées et de manière auditée) et Availability (la donnée est accessible quand on en a besoin). Tout contrôle de sécurité protège un ou plusieurs de ces axes — un chiffrement protège la confidentialité, un hash protège l’intégrité, une redondance protège la disponibilité.
La triade AAA couvre Authentication (prouver qui on est), Authorization (vérifier ce qu’on a le droit de faire) et Accounting / Auditing (tracer ce qui a été fait). Le non-répudiation est un axe complémentaire qui empêche un acteur de nier une action — il est garanti par les signatures numériques avec PKI et les journaux d’audit horodatés et scellés.
Exercice de fixation : pour chaque contrôle suivant, dites quel axe CIA et quel maillon AAA est protégé : MFA, sauvegarde quotidienne sur site distant, signature numérique d’un courriel, mise à jour de sécurité Windows, certificat TLS d’un serveur web. Les bonnes réponses : MFA renforce Authentication ; la sauvegarde renforce Availability ; la signature renforce Integrity et fournit la non-répudiation ; le patch renforce Confidentiality-Integrity-Availability indirectement ; le certificat TLS protège Confidentiality (chiffrement) et Authentication (validation du serveur).
Étape 4 — Pratiquer la gestion quantitative du risque
Cette section produit régulièrement deux à quatre questions à l’examen. Les concepts à intégrer sont SLE, ARO, ALE et leur enchaînement. Vous devez être capable d’effectuer les calculs mentalement en moins de soixante secondes.
La Single Loss Expectancy, ou SLE, est la perte attendue pour un événement unique. Elle se calcule par SLE = Asset Value × Exposure Factor, où l’Exposure Factor est le pourcentage de la valeur d’actif qui serait perdu si l’événement se produit. L’Annualized Rate of Occurrence, ou ARO, est le nombre estimé d’événements par an — souvent une fraction comme 0,1 (un événement attendu tous les dix ans). L’Annualized Loss Expectancy, ou ALE, est la perte annuelle attendue : ALE = SLE × ARO.
Cas pratique. Un serveur de base de données vaut 200 000 USD. Un sinistre incendie détruirait 75 % de la valeur (le matériel est à 75 % et les données sont sauvegardées hors site). L’expérience locale et les statistiques d’assurance estiment qu’un tel sinistre se produit en moyenne une fois tous les quinze ans. La SLE vaut 200 000 × 0,75 = 150 000 USD. L’ARO vaut 1 / 15 = 0,0667. L’ALE vaut 150 000 × 0,0667 ≈ 10 000 USD par an. Cette ALE devient le plafond budgétaire d’un contrôle de prévention : dépenser plus de 10 000 USD par an pour réduire ce risque est statistiquement excessif, sauf si d’autres facteurs (réputation, obligations légales) entrent en ligne de compte.
La gestion qualitative, à l’inverse, utilise des matrices probabilité × impact à 3 ou 5 niveaux (Low-Medium-High ou échelle 1-5). Elle ne produit pas de chiffres en monnaie mais des classements relatifs. L’examen aime opposer les deux approches en demandant laquelle est appropriée pour quel contexte. Règle de pouce : qualitative pour les premières évaluations et pour les actifs immatériels ; quantitative quand l’asset value est connue et que la décision doit s’inscrire dans un budget.
Étape 5 — Distinguer politiques, standards, procédures, baselines, guidelines
Cette hiérarchie est testée à chaque examen. Une confusion entre les niveaux fait perdre des points facilement évitables.
| Niveau | Caractère | Exemple |
|---|---|---|
| Policy | Document de haut niveau, court, signé par la direction, obligatoire | « Tous les accès au SI nécessitent une authentification forte » |
| Standard | Détail technique obligatoire qui dérive de la politique | « L’authentification forte utilise TOTP RFC 6238 avec OATH » |
| Procedure | Étapes opérationnelles obligatoires pour mettre en œuvre le standard | « Pour activer le TOTP, l’utilisateur scanne le QR code dans Authenticator… » |
| Baseline | Configuration minimale obligatoire pour une classe d’équipements | « Configuration minimale Windows Server 2022 selon CIS Benchmark niveau 1 » |
| Guideline | Recommandation non obligatoire, à valeur de bonne pratique | « Il est conseillé d’enregistrer deux facteurs au cas où le téléphone serait perdu » |
Le piège classique de l’examen est de présenter un document détaillé et de demander à quel niveau il appartient. Si c’est obligatoire et technique, c’est un standard, pas une politique. Si c’est obligatoire et étape-par-étape, c’est une procédure. Si c’est obligatoire et lié à une classe d’équipements, c’est une baseline. Si c’est non obligatoire, c’est une guideline — peu importe le niveau de détail.
Étape 6 — Mémoriser les frameworks et lois examinables
L’examen ne vous demande pas de réciter le texte des lois. Il vous demande de reconnaître à quoi sert chaque référence et dans quel contexte elle s’applique. Voici la liste minimale que tout candidat doit savoir associer à son périmètre.
| Référence | Périmètre | À retenir |
|---|---|---|
| ISO/IEC 27001 | SMSI, certification d’organisation | Cadre internationale du système de management de la sécurité |
| ISO/IEC 27002 | Catalogue de contrôles | Le « comment » qui accompagne le « quoi » du 27001 |
| NIST CSF 2.0 | Framework volontaire d’origine fédérale US | Six fonctions : Govern, Identify, Protect, Detect, Respond, Recover (CSF 2.0 a ajouté Govern en février 2024) |
| NIST SP 800-53 Rev 5 | Catalogue de contrôles fédéraux US | Référence des contrôles US, mappé sur 20 familles |
| NIST RMF (SP 800-37) | Méthode de gestion du risque | Sept étapes : Prepare, Categorize, Select, Implement, Assess, Authorize, Monitor |
| COBIT 2019 | Gouvernance IT | Cadre ISACA, séparé de la sécurité pure |
| GDPR (RGPD) | Protection des données personnelles UE | Notification de violation sous 72 h, sanctions jusqu’à 4 % du CA mondial |
| HIPAA | Données de santé US | Confidentialité et intégrité des PHI, sanctions civiles et pénales |
| PCI DSS 4.0.1 | Données de carte de paiement | Contrats privés imposés par les schémas (Visa, Mastercard…) |
| SOX | Reporting financier US (cotées) | Section 404 sur les contrôles internes IT |
Le NIST CSF 2.0 a ajouté la fonction Govern en février 2024 — c’est un point d’actualité que l’examen 2024+ teste. Un candidat qui réciterait les cinq fonctions historiques (Identify, Protect, Detect, Respond, Recover) sans mentionner Govern serait pénalisé sur une question d’identification de version.
Étape 7 — Maîtriser la continuité d’activité et les sigles RTO, RPO, MTD
La gouvernance amont qui définit la politique de continuité (charte, comité, RACI) et la méthode de registre des risques sont traités côté management dans la série CISM : gouvernance et RACI et registre des risques pas-à-pas. Le candidat CISSP doit en connaître la logique pour répondre aux questions de niveau architecte.
Le Business Continuity Management apparaît sur deux à trois questions. Les sigles à connaître sont le RTO, RPO, MTD et la WRT, plus la séquence des étapes du BIA.
Le Recovery Time Objective (RTO) est le délai maximum entre l’incident et le retour à un fonctionnement acceptable. Le Recovery Point Objective (RPO) est la perte de données maximale tolérée, mesurée en temps écoulé depuis la dernière sauvegarde restaurable. Le Maximum Tolerable Downtime (MTD) est le délai au-delà duquel l’organisation ne peut plus survivre — il englobe RTO plus WRT, le temps de remise en état pleinement opérationnelle (Work Recovery Time).
Un cas pratique aide à fixer la relation. Une banque définit pour son service de virement instantané un RTO de 4 heures, un RPO de 15 minutes et un MTD de 24 heures. Cela signifie qu’après un sinistre, le service doit être techniquement opérationnel sous 4 heures, qu’au maximum 15 minutes de transactions peuvent être perdues, et qu’à 24 heures d’interruption la banque considère que la franchise commerciale est rompue. Le RTO impose une infrastructure secondaire active ou tiède ; le RPO impose une réplication synchrone ou quasi-synchrone ; le MTD encadre le plan de communication client et la stratégie d’assurance.
La séquence du Business Impact Analysis (BIA) est elle aussi examinable : identifier les processus critiques, déterminer les ressources qui les supportent, mesurer leur tolérance à l’interruption, prioriser les processus et chiffrer les pertes. Le BIA précède toujours le DRP (plan technique de reprise) et le BCP (plan d’activité de continuité). L’ordre BIA → BCP/DRP est un classique du piège examen — la question demande quelle est l’étape préalable et la bonne réponse est le BIA, pas le RPO.
Étape 8 — Auto-évaluation : 30 minutes de simulation
Cette étape verrouille votre préparation. Asseyez-vous 30 minutes avec un simulateur de qualité (Boson, Wiley ou ISC2 Official Practice Tests) et tirez 25 questions ciblées sur le domaine 1 uniquement. Visez 80 % de réussite. Tout en-dessous indique qu’il faut retravailler la zone faible identifiée.
Les zones les plus fréquemment ratées par les candidats francophones sont : le code éthique (mauvaise mémorisation de l’ordre des canons), le distinguo politique/standard (confusion linguistique), les calculs ALE (erreur sur l’ARO fractionnaire) et la séquence BIA-BCP-DRP. Si l’auto-évaluation marque un point faible sur l’un de ces sujets, retournez à l’étape correspondante et refaites un cycle question-réponse de 15 minutes ciblé.
Signal de réussite : trois auto-évaluations de 25 questions en moins d’une semaine, toutes au-dessus de 80 %. À partir de là, le domaine 1 est suffisamment ancré pour passer au domaine suivant sans le perdre.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Sous-investir le domaine 1 parce qu’il paraît « facile » | Profil ingénieur opérationnel qui le trouve évident en lecture | Mesurer son score réel en simulateur — il est rarement au-dessus de 65 % sans étude ciblée |
| Mélanger NIST CSF et NIST SP 800-53 | Acronymes proches | CSF = cadre haut niveau, six fonctions ; SP 800-53 = catalogue de contrôles techniques |
| Erreur sur l’ordre du code éthique | Mémorisation par cœur sans logique | Retenir SHPP : Society > Honor > Principals > Profession |
| Confondre RTO et RPO | Acronymes proches, concepts opposés | RTO = temps de récupération du service, RPO = pertes de données acceptées |
| Oublier la fonction Govern du NIST CSF 2.0 | Préparation avec support antérieur à février 2024 | Vérifier la date de publication du livre ou du cours, exiger 2024 minimum |
Tutoriels frères
- Retour au guide principal : Décrocher la certification CISSP 2026
- Suite : Domaine 2 — Asset Security : classification et cycle de vie de la donnée
- Connexe : Domaine 6 — Security Assessment and Testing : audits et KPI
Ressources et références
- ISC2 Code of Ethics (texte officiel)
- NIST RMF — Risk Management Framework SP 800-37
- NIST Cybersecurity Framework 2.0
- ISO/IEC 27001:2022 — Système de management de la sécurité de l’information
- RGPD — texte officiel et notifications de violation 72 h
Foire aux questions
Faut-il connaître la valeur des sanctions RGPD exactement ?
Vous devez savoir que les sanctions vont jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros (le plus élevé des deux). Vous devez savoir que la notification d’une violation à l’autorité de contrôle est de 72 heures. Le reste est secondaire.
Le NIST CSF 2.0 remplace-t-il le NIST CSF 1.1 à l’examen ?
Le CSF 2.0 est sorti en février 2024 et le CBK 2024 a été publié en avril 2024 — l’examen aligne donc sur CSF 2.0. Si votre support de cours date d’avant février 2024, il vous manque la fonction Govern et certains exemples d’amélioration. Mettez à jour.
Faut-il mémoriser tous les pays et leurs lois ?
Non. L’examen est neutre culturellement. On vous teste sur les grandes lois citées dans le CBK (GDPR, HIPAA, SOX, PCI DSS, Computer Fraud and Abuse Act). Vous ne devez pas connaître la loi française Hamon ou la loi sénégalaise sur la protection des données — sauf à titre de culture personnelle.
Le BIA est-il un livrable ou un processus ?
Les deux. Le BIA est d’abord un processus itératif d’analyse, qui produit ensuite un livrable documenté (rapport BIA) dont la maintenance est annuelle. À l’examen, BIA désigne le plus souvent l’étape ou le livrable, selon le contexte de la question.