Pour se prémunir contre les attaques par rançongiciels (ransomware), le RSSI d’une entreprise a décidé de renforcer ses procédures de sauvegarde. Dans la terminologie utilisée par l’(ISC)2 dans le CISSP, quelle expression caractérise le mieux cette mesure de sécurité ?
[A] Safeguard
[B] Countermeasure
[C] Physical control
[D] Security control
Dans la terminologie utilisée par l’ISC2, le terme de « Safeguard » décrit une mesure de sécurité destinée à agir avant que l’évènement redouté ne se produise. Une « Safeguard » est de nature proactive et agit essentiellement sur la vraisemblance (likelihood). Les mesures de sécurité préventives sont typiquement des « Safeguards ».
Une contre-mesure (countermeasure) est une mesure de sécurité destinée à agir après qu’un évènement redouté ne se produise (post incident de sécurité). Une contre-mesure est de nature réactive et agit essentiellement sur l’impact de l’incident de sécurité. Les mesures de sécurité correctives sont typiquement des contre-mesures.
Voici comment le CBK définit une contremesure :
« A countermeasure is activated after a risk event has occurred and the goal is to reduce the duration and impact of the incident. »
Le guide d’étude officiel du CISSP met les sauvegardes dans les catégories « corrective », « récupération » et de « compensation ». Les catégories « récupération » et « compensation » font partie du jargon du CISSP et l’on ne les retrouve dans aucune méthode d’analyse de risques habituelles comme EBIOS RM ou l’ISO 27005.
« If a preventive control fails to stop the deletion of a file, a backup can be a compensation control, allowing for restoration of that file. »
« A corrective control modifies the environment to return systems to normal after an unwanted or unauthorized activity has occurred. They also include antimalware solutions that can remove or quarantine a virus, backup and restore plans to ensure that lost data can be restored. »
« Examples of recovery controls include backups and restores, fault-tolerant drive systems, system imaging, server clustering, antimalware software, and database or virtual machine shadowing. »
Les mesures de sécurité physiques (Physical controls) sont des mécanismes de sécurité axés sur la protection des installations et des objets physiques comme les bâtiments, les ordinateurs ou encore les médias (gardes, clôtures, câble antivol pour ordinateur portable,…)
Le terme « mesure de sécurité » (security control) est un terme qui englobe tout type de mesures que l’on peut déployer pour mitiger un risque. Les « Physical controls », « Safeguards » et « Countermeasures » sont donc des sous-ensembles de «Security controls ».
Pour lutter contre les rançongiciels, les sauvegardes sont bien sûr une mesure de sécurité mais elles n’agissent pas sur la probabilité d’occurrence. En d’autres termes, un attaquant aura la même probabilité de réussir à chiffrer les systèmes de sa victime que cette dernière dispose ou pas de sauvegardes. Il s’agit donc d’une mesure de sécurité corrective qui limitera l’impact de la cyberattaque. La proposition [D] « Security control » est donc une bonne réponse mais contremesure est une meilleure réponse car elle caractérise mieux la mesure de sécurité.
La bonne réponse est donc la proposition [B] Countermeasure
Les plus fins connaisseurs des livres de l’(ISC)2 me retorqueront que dans le CBK (emplacement Kindle 2647 / 17365), on peut lire « Firewalls, system backups, and security awareness training are other common examples of preventative controls. » Et donc si les sauvegardes sont des mesures préventives alors on doit les mettre dans la case « Safeguards ». Oui mais … non. En fait, les sauvegardes ne sont pas des mesures préventives. Une sauvegarde n’a jamais empêché un cybercriminel de chiffrer des systèmes. Par contre, si je dispose de sauvegardes, je peux les restaurer et donc contrairement à ce qui est écrit dans le CBK officiel de l’(ISC)2, une sauvegarde est très clairement une mesure corrective et non pas préventive. Je rappelle encore une fois qu’une mesure de sécurité préventive a pour objectif de réduire la probabilité qu’un incident de sécurité ne se produise alors qu’un mesure corrective baisse l’impact engendré par l’incident sur l’organisme.
Et voici ci-dessous un schéma qui illustre ces termes :
Pour conclure, je vous dirais que tout ces types de «security controls» utilisés par l’(ISC)2 (preventive, deterrent, detective, compensating, corrective, recovery ou directive) sont finalement assez peu utiles en dehors du contexte de l’examen CISSP. L’(ISC)2 devrait oublier ce jargon américain et s’appuyer plutôt sur des référentiels internationaux. Ainsi par exemple, l’ISO 27002:2022 ajoute une propriété pour chacune des 93 mesures de sécurité proposées dans la norme. Et parmi ces propriétés, l’ISO définit seulement 3 types de mesures : préventive, détective et corrective.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
