Révision rapide
Révision rapide : Contrôles de sécurité – ISC2 CC
Cette fiche de révision vous aide à revoir les principaux types de contrôles de sécurité et leur rôle dans la réduction du risque avant de passer au quiz.
Ce que vous devez vraiment savoir
Les contrôles de sécurité sont des mesures utilisées pour réduire le risque et protéger les systèmes, les données, les utilisateurs et les processus. Pour ISC2 CC, vous devez comprendre que tous les contrôles ne font pas la même chose : certains préviennent, d'autres détectent, d'autres corrigent ou réduisent l'impact d'un incident.
Une erreur fréquente consiste à penser qu'un contrôle est toujours un outil technique. En réalité, un contrôle peut être technique, administratif ou physique.
Concepts clés
- Contrôle préventif : cherche à empêcher qu'un incident se produise.
- Contrôle détectif : détecte les événements, les anomalies ou les activités suspectes.
- Contrôle correctif : aide à rétablir une situation après un problème.
- Contrôle dissuasif : décourage les comportements non autorisés.
- Contrôle compensatoire : réduit le risque lorsque le contrôle principal n'est pas disponible ou n'est pas suffisant.
- Contrôle technique : utilise la technologie, les systèmes ou les logiciels.
- Contrôle administratif : concerne les politiques, les procédures, la formation et la gestion.
- Contrôle physique : protège les environnements, les bâtiments, les dispositifs et les accès physiques.
Différences à ne pas confondre
| Type de contrôle | Fonction principale |
|---|---|
| Préventif | Empêche ou réduit la probabilité d'un incident |
| Détectif | Détecte des événements ou des activités suspectes |
| Correctif | Aide à récupérer après un incident |
| Dissuasion | Décourage les comportements non autorisés |
| Compensatoire | Réduit le risque en alternative ou en soutien à d'autres contrôles |
| Technique | Utilise des outils technologiques |
| Administratif | Utilise des règles, des politiques et des processus |
| Physique | Protège les personnes, les locaux et les dispositifs |
Contrôles préventifs
Un contrôle préventif sert à éviter qu'un problème se produise ou à en réduire la probabilité.
Exemples :
- pare-feu ;
- authentification multifactorielle ;
- contrôle des accès ;
- formation anti-phishing ;
- application des correctifs système ;
- politique de mots de passe.
Pour l'examen ISC2 CC, vous devez retenir qu'un contrôle préventif agit avant l'incident.
Contrôles détectifs
Un contrôle détectif sert à identifier les activités suspectes, les anomalies ou les incidents déjà en cours ou déjà survenus.
Exemples :
- IDS ;
- journaux de sécurité ;
- systèmes SIEM ;
- alertes de surveillance ;
- piste d'audit ;
- revue des accès.
Un contrôle détectif n'empêche pas nécessairement l'incident, mais il permet de le découvrir et de réagir.
Contrôles correctifs
Un contrôle correctif sert à rétablir la situation après un incident ou une erreur.
Exemples :
- sauvegarde ;
- reprise après sinistre ;
- restauration des configurations ;
- suppression de malware ;
- application de correctifs après une compromission ;
- procédures de réponse aux incidents.
Un contrôle correctif est important parce qu'aucun système n'est totalement immunisé contre les incidents.
Contrôles dissuasifs
Un contrôle dissuasif sert à décourager les comportements indésirables ou non autorisés.
Exemples :
- panneaux de vidéosurveillance ;
- politiques disciplinaires ;
- avertissements légaux ;
- badges visibles ;
- caméras ;
- présence de gardes.
Le point clé est que le contrôle dissuasif ne bloque pas toujours physiquement l'action, mais cherche à dissuader la personne qui pourrait l'accomplir.
Contrôles compensatoires
Un contrôle compensatoire est utilisé lorsque le contrôle principal n'est pas possible, n'est pas suffisant ou doit être soutenu par un autre contrôle.
Exemple : si un système legacy ne prend pas en charge MFA, on peut utiliser la segmentation réseau, une surveillance plus stricte, des restrictions IP et des contrôles d'accès plus rigoureux.
Le contrôle compensatoire n'est pas un contrôle choisi au hasard : il doit réduire concrètement le risque résiduel.
Contrôles techniques, administratifs et physiques
Les contrôles peuvent également être classés selon leur nature.
Les contrôles techniques utilisent la technologie. Exemples : pare-feu, antivirus, MFA, chiffrement, IDS, IPS.
Les contrôles administratifs concernent les règles et les processus. Exemples : politiques de sécurité, formation, procédures, évaluation des risques, onboarding et offboarding.
Les contrôles physiques protègent les environnements et les dispositifs. Exemples : serrures, badges, caméras, portails, armoires rack verrouillées, contrôle d'accès aux bâtiments.
Exemples pratiques à retenir
| Scénario | Contrôle le plus probable |
|---|---|
| Bloquer le trafic non autorisé | Préventif / Technique |
| Détecter des tentatives d'intrusion | Détectif / Technique |
| Restaurer des données perdues | Correctif |
| Décourager les accès non autorisés à un bâtiment | Dissuasion / Physique |
| Définir des règles de sécurité d'entreprise | Administratif |
| Utiliser des sauvegardes après un ransomware | Correctif |
| Former les utilisateurs contre le phishing | Préventif / Administratif |
| Utiliser des caméras à l'entrée | Dissuasion / Physique |
Erreurs fréquentes dans les quiz
- Confondre contrôles préventifs et détectifs.
- Penser qu'un IDS est préventif uniquement parce qu'il concerne la sécurité.
- Oublier qu'une sauvegarde est un contrôle correctif.
- Confondre contrôles techniques et administratifs.
- Penser que les contrôles physiques ne font pas partie de la cybersécurité.
- Croire qu'un contrôle compensatoire élimine toujours complètement le risque.
- Penser qu'un contrôle dissuasif bloque toujours physiquement une attaque.
Mini scénario d'examen
Une entreprise installe un système IDS pour recevoir des alertes lorsqu'un trafic suspect est détecté sur le réseau. Il s'agit d'un contrôle détectif, car il sert à détecter des activités potentiellement dangereuses et à générer des alertes.
Si, en revanche, l'entreprise utilise un pare-feu pour bloquer le trafic non autorisé avant qu'il n'atteigne les systèmes internes, il s'agit d'un contrôle préventif.
Mini checklist avant le quiz
Avant de commencer le quiz, vous devriez savoir expliquer :
- ce que fait un contrôle préventif ;
- ce que fait un contrôle détectif ;
- ce que fait un contrôle correctif ;
- ce que signifie contrôle dissuasif ;
- quand on utilise un contrôle compensatoire ;
- la différence entre contrôles techniques, administratifs et physiques ;
- pourquoi les sauvegardes sont des contrôles correctifs ;
- pourquoi un IDS est détectif et non préventif ;
- pourquoi plusieurs contrôles ensemble réduisent mieux le risque.
FAQ
Que sont les contrôles de sécurité ?
Ce sont des mesures techniques, administratives ou physiques utilisées pour réduire le risque et protéger les systèmes, les données, les utilisateurs et les processus.
Quelle est la différence entre un contrôle préventif et un contrôle détectif ?
Un contrôle préventif cherche à empêcher qu'un incident se produise. Un contrôle détectif sert à détecter des événements ou des activités suspectes.
Quel type de contrôle est une sauvegarde ?
Une sauvegarde est principalement un contrôle correctif, parce qu'elle aide à restaurer les données et les systèmes après un incident.
Un IDS est-il un contrôle préventif ?
Non. Un IDS est un contrôle détectif, parce qu'il détecte les activités suspectes et génère des alertes. En général, il ne bloque pas directement le trafic.
Que signifie contrôle compensatoire ?
C'est un contrôle utilisé pour réduire le risque lorsque le contrôle principal n'est pas possible, n'est pas suffisant ou doit être soutenu par d'autres mesures.
Les contrôles physiques font-ils partie de la cybersécurité ?
Oui. Les serrures, badges, caméras et accès physiques protègent les systèmes, dispositifs et environnements critiques.
Testez maintenant ce que vous avez révisé
Après la révision, passez au quiz pour vérifier si vous maîtrisez vraiment les concepts principaux.