Le CISSP est la certification la plus reconnue dans le monde de la cybersécurité. L’examen est exigeant et demande un travail préparatoire soutenu quel que soit le mode choisi (voir les conseils de préparation). Le programme officiel (Common Body of Knowledge) est régulièrement revu par l’(ISC)². Son contenu est très large. Il couvre de nombreux concepts, pratiques et techniques couramment utilisés en cybersécurité qu’un professionnel compétent doit connaitre, sans pour autant en être un expert. On dit souvent que le CISSP est « surfacique » : beaucoup de connaissances, jusqu’à la sécurité physique sont abordées sans être approfondies. Le champ des questions possibles est très large. Cet article est consacré au domaine 5 qui traite de la sécurité des identités et des accès. Il représente 13 % du programme.

Contrôle des accès et fédération d’identités

Cette partie est un récapitulatif des concepts et des principales techniques pour contrôler les accès et protéger les biens sensibles aussi bien d’un point de vue physique (accès aux locaux, protection des salles techniques) que d’un point de vue des systèmes d’information. Les notions de défense en profondeur et les mécanismes d’identification, d’authentification et d’autorisation doive être connus dans le détail. Les caractéristiques de différents systèmes couramment utilisés : biométrie, cartes à puce avec son contact, annuaires, systèmes Single-Sign-On (SSO) sont étudiées. Plusieurs protocoles très présents dans le monde IAM (Identity Access Management) doivent être connus et peuvent faire l’objet de questions, en particulier sous l’angle des avantages et inconvénients en termes de sécurité. Citons par exemple KERBEROS, SAML, OAuth, OpenID, WS-Federation et les échanges de messages SOAP que l’on peut trouver dans certains protocoles. Les notions de fédération d’identité sont maintenant plus détaillées du fait de la forte proportion d’applications en mode SaaS. Différents modes pour fédérer les domaines de confiance ainsi que les avantages et inconvénients des méthodes pour synchroniser les annuaires sont étudiés et font l’objet de questions. Les aspects organisationnels complexes de mise en œuvre des processus IAM, en particulier pour les grandes organisations doivent être maîtrisés. Les risques en termes de sécurité font l’objet de questions ainsi que les bonnes pratiques en la matière : revue des accès, gestion des comptes privilégiés, attribution des secrets d’authentification, changement de fonction, principe de moindre privilège et séparation des tâches.

Méthodes de gestion des accès

Plusieurs méthodes et mécanismes utilisés pour gérer les accès et contrôler les autorisations sont au programme comme MAC (Mandatory Access Control), DAC et NDAC (Discretionnary Access Control) et (Non Discretionnary Access Control), Role Based Access Control, Rule-Based Access Control et Attribute Based Access Control. L’accent est mis sur les notions de preuve (Accountability) dans les systèmes IAM. Les environnements actuels permettant d’établir une évaluation du risque en fonction d’un contexte d’utilisation (Risk Based Access Control) et la sélection de mécanismes authentification appropriés. Certains aspects techniques comme par exemple les méthodes d’attaques (cassage des empreintes de mots de passe, détournement d’authentification « Pass The Hash ») font aussi partie du programme.

Les connaissances du domaine IAM sont donc assez hétéroclites. Certaines sont liées aux concepts et n’ont pas beaucoup évolué depuis plusieurs années. D’autres ont été fortement mises à jour et nécessitent un travail conséquent pour les stagiaires préparant le CISSP ne travaillant pas au quotidien dans ce domaine.

 

 Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :