Article principal de la série : Décrocher la certification CISSP 2026. Ce tutoriel approfondit le domaine 7 du CBK 2024 — 13 % de l’examen. C’est le plus opérationnel et le plus large : SOC et SIEM, gestion d’incident, forensic, threat intelligence, continuité d’activité, gestion des patches, sécurité physique. Le candidat doit savoir orchestrer ces briques en architecture cohérente.
Prérequis
- Domaines 1 à 6 maîtrisés
- Avoir vu fonctionner un SIEM (Splunk, Sentinel, Elastic Security)
- Temps estimé : 25 à 30 heures sur trois semaines
Étape 1 — Architecture SOC et SIEM
Le SOC (Security Operations Center) est l’équipe et l’outillage qui surveille en continu la posture sécurité, détecte les incidents et coordonne la réponse. Trois niveaux d’analystes structurent la pyramide : L1 triage (qualifie les alertes, écarte les faux positifs), L2 investigation (creuse les incidents qualifiés, contient), L3 expertise (forensic, threat hunting, ajustement des règles).
Le SIEM (Security Information and Event Management) est le cœur technique : il ingère les logs de toutes les sources (firewalls, EDR, IAM, applicatifs), les normalise, applique des règles de corrélation, et déclenche des alertes. Le SOAR (Security Orchestration, Automation and Response) automatise la réponse — enrichissement automatique des alertes, exécution de playbooks de containment, ouverture de tickets, notifications.
Trois métriques opérationnelles à connaître. MTTD (Mean Time To Detect) — délai moyen entre la compromission et la détection ; le rapport IBM Cost of a Data Breach 2025 mesure 158 jours en moyenne (plus bas niveau en neuf ans), tandis qu’un SOC mature avec EDR/SOAR atteint quelques minutes. Le M-Trends 2025 de Mandiant rapporte un dwell time médian global de 11 jours, signe d’une progression notable des capacités défensives. MTTR (Mean Time To Respond) — délai entre la détection et le containment. Dwell time — durée totale de présence de l’attaquant dans le réseau, somme des deux. Réduire MTTD est l’enjeu majeur car il représente 90 % du dwell time chez la plupart des organisations.
Étape 2 — Cycle de vie de l’incident NIST SP 800-61r2
Le standard de référence pour la gestion d’incident est NIST SP 800-61 Revision 2. Il définit quatre phases majeures.
| Phase | Activités clés |
|---|---|
| Preparation | Procédures, équipe CSIRT, outillage, formations, drills |
| Detection & Analysis | Identification, qualification, priorisation, scope |
| Containment, Eradication & Recovery | Isolation, suppression de l’attaquant, restauration |
| Post-Incident Activity | Lessons learned, mise à jour des contrôles, rapport |
Le piège classique consiste à privilégier l’eradication avant la containment. La séquence est strictement : on contient d’abord (isoler la machine compromise), on collecte les preuves forensiques, puis on éradique. Inverser l’ordre détruit les preuves et empêche l’investigation. Autre piège : ne pas faire de post-incident review — c’est une étape NIST obligatoire qui produit l’apprentissage et la prévention de la récidive.
La containment elle-même se décompose en court terme (isoler immédiatement la menace sans bouleverser la production) et long terme (durcir l’environnement avant le retour en production). Pour un ransomware, le court terme déconnecte le réseau de la machine infectée ; le long terme déploie un EDR partout et révoque tous les credentials potentiellement exposés.
Étape 3 — Forensic et chaîne de preuves
Le forensic numérique a sa propre déontologie. Le principe fondateur est l’ordre de volatilité : on collecte d’abord ce qui s’efface le plus vite (mémoire vive, processus en cours, connexions réseau, tables ARP) avant ce qui persiste (disque, swap, sauvegardes). RFC 3227 codifie ce principe.
La chaîne de preuves (chain of custody) est un journal qui trace l’identité de chaque personne ayant accédé à la preuve, l’horodatage, la nature de l’accès, et la justification. Une rupture de la chaîne disqualifie la preuve en procédure judiciaire. Chaque support saisi est hashé (SHA-256 minimum) au moment de la saisie et à chaque transfert pour prouver l’intégrité.
Pour l’analyse, on travaille toujours sur une image bit-à-bit (dd, FTK Imager, EnCase Imager), jamais sur l’original. Le poste d’analyse est isolé du réseau, sans connexion à l’original. Les outils acceptés en procédure (recevabilité Daubert aux USA, expertise judiciaire en France) sont documentés par les éditeurs.
Étape 4 — Threat intelligence et MITRE ATT&CK
La threat intelligence structure la connaissance des adversaires en quatre niveaux : stratégique (qui nous cible et pourquoi, à l’usage du Comex), opérationnel (campagnes en cours, IOC indicateurs de compromission), tactique (TTP — Tactics Techniques Procedures), technique (hash, IP, domaines à bloquer dans les outils).
MITRE ATT&CK est le référentiel public des TTP utilisés par les attaquants en environnement réel. Sa structure en colonnes (14 tactiques Enterprise dans la matrice 2024-2026 : Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) et en cellules (techniques précises) sert à cartographier les capacités de détection d’une organisation. La Coverage Map ATT&CK est devenue un livrable standard en 2026.
La cyber kill chain de Lockheed Martin est l’ancêtre, encore cité au CBK 2024. Ses sept étapes sont Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, Actions on Objectives. Plus simple qu’ATT&CK mais moins granulaire — un candidat doit reconnaître les deux modèles et savoir pourquoi ATT&CK s’impose en 2026 pour la cartographie opérationnelle.
Étape 5 — Continuité d’activité et reprise après sinistre
Le BCP (Business Continuity Plan) couvre la continuité métier au sens large, organisationnel et technique. Le DRP (Disaster Recovery Plan) est la portion technique du BCP qui décrit la restauration des systèmes IT après sinistre. La séquence à retenir est BIA → BCP/DRP → tests → maintenance.
Quatre stratégies de site de secours à connaître par cœur.
| Site | Caractéristique | Délai de reprise | Coût |
|---|---|---|---|
| Hot site | Réplication temps réel, prêt à basculer | Minutes à heures | Très élevé |
| Warm site | Infrastructure prête, données à restaurer | Heures à 1 jour | Élevé |
| Cold site | Locaux et énergie, matériel à déployer | Plusieurs jours | Modéré |
| Reciprocal agreement | Accord d’hébergement mutuel entre deux organisations | Variable | Faible |
Le choix dépend du RTO et RPO du processus. Un RTO de 4 heures impose hot ou warm site. Un RTO de 7 jours peut se contenter d’un cold site. Le cloud transforme cette équation : un pilote light en région secondaire avec auto-scaling à la bascule peut atteindre des RTO de minutes pour des coûts modérés.
Étape 6 — Sauvegardes et règle 3-2-1
La règle classique 3-2-1 reste valable : 3 copies des données, sur 2 médias différents, dont 1 hors site. Le ransomware moderne impose une extension 3-2-1-1-0 : ajouter 1 copie hors ligne ou immuable, et viser 0 erreur lors des tests de restauration.
Les sauvegardes immutables (S3 Object Lock, AWS Backup Vault Lock, Veeam Hardened Repository, Wasabi Immutable) résistent à la suppression même par un administrateur compromis. C’est devenu un standard de fait depuis 2022 face aux ransomwares qui chiffrent les sauvegardes en même temps que les données opérationnelles.
Tester la restauration est non négociable. Une sauvegarde non testée n’est pas une sauvegarde — c’est un espoir. Les tests de restauration full (restauration intégrale en environnement isolé) doivent être planifiés trimestriellement pour les systèmes critiques, annuellement pour les autres.
Étape 7 — Patch management et vulnérabilité
Le cycle de gestion des patches est testé à l’examen. Cinq étapes : inventaire (CMDB à jour), évaluation (CVSS, EPSS, contexte business), test (en pré-production), déploiement (par vagues avec rollback possible), vérification (scan de confirmation).
Les SLA modernes attendent : critical (CVSS ≥ 9 avec exploit public) sous 7 jours, high sous 30 jours, medium sous 90 jours, low sous 365 jours. Les exceptions documentées (système legacy non patchable) doivent être compensées par des contrôles compensatoires (segmentation, virtual patching WAF) et approuvées par le risque.
Étape 8 — Sécurité physique
La sécurité physique est intégrée au domaine 7 et représente trois à cinq questions. À connaître : modèles de défense en couches (périmètre, accès bâtiment, zones intérieures, racks), contrôles techniques (mantraps pour empêcher le tailgating, biométrie pour le datacenter, badges RFID avec MFA pour les zones sensibles), classes d’incendie et systèmes (FM-200, novec 1230, brouillard d’eau — pas de sprinkler classique en datacenter), contrôles environnementaux (HVAC, UPS, redondance N+1 minimum).
Étape 9 — Threat hunting proactif
Le threat hunting est la démarche proactive de recherche d’indicateurs de compromission qui auraient échappé aux contrôles de détection automatiques. Trois approches structurent la pratique. La hypothesis-driven formule une hypothèse (par exemple, « un attaquant utiliserait PsExec depuis une station bureautique ») puis cherche les preuves dans les logs et l’EDR. La data-driven part d’anomalies statistiques (machine qui dévie de sa baseline) puis remonte aux causes. La IoC-driven consomme des feeds de threat intelligence (MISP, OpenCTI) et chasse leurs indicateurs dans l’historique conservé.
La pyramide de la douleur de David Bianco hiérarchise les indicateurs par coût d’évasion pour l’attaquant : hash et IP en bas (faciles à changer), domaines au milieu, artefacts réseau et hôtes plus haut, TTP au sommet (très coûteux à modifier). Cibler les TTP via MITRE ATT&CK plutôt que les seuls IoC produit une détection plus durable.
Étape 10 — Cyberassurance et transfert du risque
La cyberassurance transfère financièrement une partie du risque résiduel à un assureur. Trois grandes garanties à connaître : first-party (vos propres pertes — interruption d’activité, données détruites, rançon, frais de remédiation), third-party (responsabilité envers vos clients en cas de fuite), et regulatory (amendes, sanctions sectorielles, sous conditions). Les assureurs exigent désormais MFA généralisée, sauvegardes immutables testées, EDR déployé partout, plan de réponse à incident documenté, formation phishing périodique. Sans ces contrôles, la couverture est refusée ou exclut le ransomware.
Étape 11 — Gestion des prestataires et chaîne d’approvisionnement
Le risque tiers est devenu l’angle attaque dominant en 2025-2026 (SolarWinds, MOVEit, XZ Utils). Trois pratiques examinables. Due diligence amont au choix du prestataire : revue du SOC 2 Type II, audit de sécurité, références client, posture financière. Contractualisation : exigences sécurité explicites, droit d’audit, SLA sur la notification d’incident (24 à 48 heures), clauses de réversibilité, conformité applicable. Suivi continu : revue annuelle de la posture, suivi des changements majeurs, exercice de réponse à incident conjoint.
La SBOM (Software Bill of Materials) au format SPDX ou CycloneDX devient une exigence contractuelle progressive — l’Executive Order 14028 américain de 2021 l’a imposée aux fournisseurs fédéraux, et la Cyber Resilience Act européenne (en vigueur depuis 2024, applicable décembre 2027) l’étend à tout produit numérique vendu dans l’UE. La SBOM permet de réagir vite à une nouvelle CVE en identifiant immédiatement les produits touchés sans attendre une notification éditeur.
Étape 12 — Exercices et culture de réponse
Un plan de réponse à incident qui n’est pas testé n’est pas un plan — c’est de la documentation. La gouvernance amont qui décide du budget de ces exercices et de leur cadence est détaillée côté pilotage de programme. Quatre niveaux d’exercices à connaître. Le tabletop réunit le CSIRT autour d’un scénario lu (1 à 3 heures) pour valider les rôles et la communication — un déroulé complet de tabletop avec BIA est disponible côté management CISM. Le walkthrough détaille pas-à-pas les actions sans les exécuter (demi-journée). La simulation exerce les outils et les procédures en environnement contrôlé (1 jour). L’exercice plein bascule tout ou partie de la production sur le site de secours pour valider le DRP (1 à 3 jours). Une organisation mature combine tabletop trimestriel, simulation semestrielle, exercice plein annuel.
La culture sécurité est le facteur multiplicateur. Trois mesures examinables : programme de sensibilisation continu (modules courts mensuels, mises en situation), campagnes de phishing simulé mensuelles avec rapport non-punitif, désignation de relais sécurité dans chaque département (ambassadeurs formés qui propagent les bonnes pratiques). Le pilotage par KPI mesure l’évolution : taux de clic phishing, délai de signalement, score moyen aux quiz.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| Éradiquer avant de contenir | Réflexe naturel face au stress | Containment d’abord, preuves, puis éradication |
| Ignorer l’ordre de volatilité | Méconnaissance forensic | RFC 3227 : mémoire avant disque |
| Sauvegardes sans test | Faux sentiment de sécurité | Restauration testée trimestriellement |
| Skip post-incident review | Pression de retour à la normale | Lessons learned obligatoire |
| Confondre BCP et DRP | Vocabulaire flou | BCP global ; DRP est la portion IT |
Tutoriels frères
- Retour au guide principal : Décrocher la certification CISSP 2026
- Précédent : Domaine 6 — Security Assessment and Testing
- Suite : Domaine 8 — Software Development Security
Ressources et références
- NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide
- MITRE ATT&CK Framework
- RFC 3227 — Guidelines for Evidence Collection
- ISO/IEC 22301:2019 — Business Continuity
- CIS Controls v8
Foire aux questions
SOAR remplace-t-il le SIEM ?
Non, c’est complémentaire. Le SIEM détecte et alerte. Le SOAR orchestre la réponse en automatisant des playbooks. Les plateformes XDR modernes intègrent SIEM, SOAR, EDR et NDR dans une console unique.
Faut-il un SOC interne ou externalisé ?
Dépend de la taille et de la maturité. En dessous de 1 000 employés, un MSSP (Managed Security Service Provider) externalisé 24/7 est généralement plus rentable. Au-delà, un modèle hybride (SOC interne en heures ouvrables, MSSP de relais nocturne) ou interne 24/7 selon le secteur.
Quel est le délai légal de notification d’une violation de données ?
RGPD : 72 heures à l’autorité de contrôle, sans délai aux personnes concernées si risque élevé. HIPAA : 60 jours aux personnes concernées. PCI DSS : sans délai aux acquéreurs et marques. Ces délais sont examinables.