En tant que RSSI d’un fournisseur SaaS, vous avez mis en place un programme de réponse aux incidents de sécurité. Le service Cloud de votre entreprise subit actuellement une attaque par déni de service distribué (DDoS) et l’équipe de réponse à incident vient d’être informée que le service est désormais inaccessible pour vos clients. Selon les recommandations du NIST, quelle est l’action la plus prioritaire à effectuer par l’équipe de réponse à incident ?

[A] Informer la direction générale

[B] Contenir et éradiquer l’incident

[C] Documenter l’investigation et hiérarchiser l’incident

[D] Recueillir des preuves et veiller à leur conservation


reponse linkedin

CBK7 Q03 LINK


C’est une question relativement difficile mais typique du CISSP et nous avons ici 95% de mauvaises réponses. Pour répondre correctement, il faut tout d’abord savoir dans quel document le NIST décrit le processus de réponse à incident. Il s’agit de la publication spéciale SP-800-61 révision 2. L’agence américaine le décompose en 4 phases selon le schéma ci-dessous :

CBK7 Q03 nist process reponse incident

Dans ce document, le NIST décrit également une « check-list » plus précise pour détailler les 3 dernières phases du processus selon 19 activités indiquées dans le tableau suivant :

CBK7 Q03 nist tab reponse incident

  • La réponse [A] correspond à l’activité 3
  • La réponse [B] correspond aux activités 5 et 6
  • La réponse [C] correspond aux activités 1.4 et 2
  • La réponse [D] correspond à l’activité 4

La bonne réponse est donc la proposition [C] Documenter l’investigation et hiérarchiser l’incident

astuce examen cissp

Il peut paraître très difficile de mémoriser dans l’ordre ces 19 activités. Pour cela, je recommande aux participants à notre formation CISSP de réaliser une mind map du processus IR en la structurant selon ses 4 phases chronologiques :
Phase n°1 : Préparation
Phase n°2 : Détection / analyse
Phase n°3 : Confinement / éradication / récupération
Phase n°4 : Analyse « post mortem »

Il est alors très facile de mémoriser que les propositions [A] et [C] appartiennent à la phase n°2 et que les propositions [B] et [D] appartiennent à la phase n°3. Il ne reste plus qu’à choisir entre « Informer la direction générale » ou « Documenter l’investigation et hiérarchiser l’incident ».

Le NIST indique « Report the incident to the appropriate internal personnel and external organizations”. Il est en effet normal de reporter en urgence l’incident à des organisations externes. Cela peut être par exemple un prestataire de sécurité. Ici dans une attaque DDos, il s’agira de contacter toutes les prestataires et notamment le fournisseur du service réseau pour pouvoir remédier rapidement à l’incident. Dès le début d’une attaque Cyber, il est également pertinent de reporter à la Direction Générale. Mais que ce soit pour les prestataires comme pour la Direction Générale encore faut-il avoir commencer l’investigation pour savoir ce qu’il faut leur dire. La proposition [C] est donc prioritaire par rapport à [A].


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE