À la fin de ce cours, vous saurez
- Distinguer classification (accès, confidentialité) et categorization (impact, perte) et appliquer les schémas militaire et privé.
- Construire et maintenir un inventaire d'actifs et un CMDB, et attribuer correctement owner, custodian, controller et processor.
- Dérouler le cycle de vie des données (Create, Store, Use, Share, Archive, Destroy) et y mapper les contrôles.
- Choisir la bonne méthode de destruction selon le support (clearing, purging, degaussing, destruction physique, crypto-shredding).
- Protéger la donnée dans ses trois états et sélectionner les baselines par scoping et tailoring.
- Mettre en place DLP, DRM et CASB et relier le tout aux exigences de conformité (GDPR, HIPAA, PCI DSS, NIST).
Prérequis : Maîtriser la triade CIA, la notion de contrôle (administratif, technique, physique) et les bases de la gestion des risques (Domaine 1).
Parcours conseillé
Parcours conseillé en 4 sessions d'environ 3 à 4 h, à étaler sur 2 à 3 semaines. Refaites le point de contrôle de chaque module avant de passer à la session suivante, puis enchaînez le quiz complet (160 Q) en révision finale.
-
Session 1 - Classer et manipuler
MODULE 1 · MODULE 2
Actifs tangibles/intangibles, classification vs categorization, niveaux de sensibilité, marking, handling, déclassification.
-
Session 2 - Inventaire, ownership et cycle de vie
MODULE 3 · MODULE 4
ITAM, CMDB, owner vs custodian, rôles GDPR (controller/processor), cycle de vie des données, data localization.
-
Session 3 - Rétention, destruction et états
MODULE 5 · MODULE 6
Rétention (min/max), rémanence, sanitization (degaussing, crypto-shredding, NIST 800-88), 3 états et chiffrement (TLS, link vs end-to-end, enclaves).
-
Session 4 - Contrôles et conformité
MODULE 7
Types de contrôles et defense in depth, baselines, scoping vs tailoring, DLP/DRM/CASB, standards (PCI DSS, HIPAA, GDPR, NIST).
Identifier et classer l'information et les actifs
Prérequis : Aucun. Point de départ du Domaine 2, à étudier en premier.
Avant de protéger, il faut savoir ce qu'on protège et pourquoi. Ce module pose les définitions fondatrices : ce qu'est un actif (tangible et intangible), la différence entre classification et categorization, les schémas de niveaux (militaire et privé) et les critères qui guident la décision. C'est l'étape la plus structurante du domaine : un mauvais classement en amont produit des contrôles inadaptés en aval.
La classification est avant tout une décision de l'asset owner, car lui seul connaît la valeur métier de l'actif. Mais cette décision doit être cohérente et reproductible dans toute l'organisation, sinon la sécurité paraît arbitraire et perd la confiance des employés.
1.1 Qu'est-ce qu'un actif ?
Toute organisation s'appuie sur trois types de ressources. Les materials sont les intrants consommés par un processus de production (composants, plastique, emballages). Les supplies sont les consommables qui font tourner l'activité (papier, encre, fournitures). Les assets, eux, restent dans l'organisation et portent une valeur durable : ce sont eux que la sécurité protège.
Un actif peut être tangible (serveur, bâtiment, support de stockage) ou intangible (idée, donnée, procédure, propriété intellectuelle). Le point central du Domaine 2 est que l'information a une valeur dès l'instant où elle est conçue, avant même d'être écrite. Une base de données illustre bien cette superposition : les données sont un actif intangible, le SGBD qui les gère en est un autre, le serveur qui l'héberge est un actif tangible, et la connaissance du procédé dans la tête de l'employé est un actif tacite.
Identifier les actifs, et particulièrement les actifs informationnels, est donc le premier acte de tout programme de sécurité. On ne peut pas protéger ce qu'on n'a pas recensé.
- Asset = valeur durable conservée par l'organisation ; materials et supplies sont consommés.
- L'information a de la valeur dès sa création, sous forme tacite puis explicite.
- Un même objet métier (ex : base de données) mêle actifs tangibles et intangibles.
1.2 Classification vs categorization
Les deux mots sont souvent confondus, et c'est un piège d'examen récurrent. La classification s'intéresse d'abord à l'accès : elle reconnaît l'impact d'une compromission (confidentialité, intégrité, disponibilité, mais aussi authenticité, non-répudiation, vie privée, sûreté) et dérive des mandats de conformité de l'organisation. C'est le monde des labels 'Secret', 'Top Secret', 'Confidential'.
La categorization, elle, s'intéresse d'abord à l'impact : c'est le processus qui regroupe des ensembles de données aux sensibilités comparables et aux besoins de protection similaires imposés par la loi, les contrats ou la conformité. Les références officielles sont NIST SP 800-60 et FIPS 199, qui catégorisent l'impact en low, moderate, high.
Une formule à retenir : une classification n'est pas un label. Le label fait partie de l'implémentation des contrôles qui protègent l'information classée. Pendant longtemps, la conversation s'est limitée à la triade CIA ; le textbook insiste pour élargir aux actions CRUD (Create, Read, Update, Delete) car créer, mettre à jour et supprimer une donnée touche directement à son intégrité, sa disponibilité et son authenticité.
- Classification = accès/confidentialité ; categorization = impact/perte.
- FIPS 199 et NIST SP 800-60 sont les références de categorization (low/moderate/high).
- Une classification n'est PAS un label ; le label sert à appliquer les contrôles.
1.3 Schémas et niveaux : militaire et privé
Le schéma militaire/gouvernemental compte cinq niveaux, du plus sensible au moins sensible : Top Secret, Secret, Confidential, Sensitive but Unclassified (SBU), Unclassified. La compromission de chaque niveau est associée à un degré de dommage (exceptionally grave, serious, damage). Ces communautés privilégient la confidentialité avant tout.
Le schéma privé/commercial compte généralement quatre niveaux : Sensitive, Confidential, Private, Public, du plus au moins sensible. Il n'existe aucune nomenclature obligatoire : chaque organisation nomme ses niveaux. Le Center for Internet Security, par exemple, propose un schéma simple à trois niveaux (sensitive, business confidential, public) qui mappe sur low/medium/high.
La categorization, à l'inverse, n'a pas toujours d'ordre hiérarchique : on parle de catégories comme PII, PHI, proprietary, human safety critical, time-critical, compliance data. Un même actif peut porter plusieurs labels à la fois, par exemple 'human safety critical, HIPAA, highly restricted'.
- Militaire : 5 niveaux (Top Secret → Unclassified) centrés sur la confidentialité.
- Privé : 4 niveaux (Sensitive → Public), nomenclature libre.
- Categorization = catégories non hiérarchiques (PII, PHI, proprietary) ; labels multiples possibles.
1.4 Niveaux de sensibilité, labels et bénéfices
Au-delà du nom des niveaux, chaque niveau résume en un ou deux mots le préjudice possible si la donnée est compromise. Une échelle privée typique compte quatre crans. Highly restricted : la compromission pourrait menacer l'existence même de l'organisation, voire entraîner des pertes humaines, des dommages et les litiges qui suivent. Moderately restricted : perte d'un avantage concurrentiel temporaire, de revenus, ou perturbation d'investissements planifiés. Low sensitivity (souvent 'internal use only') : la compromission ne cause que des perturbations ou retards mineurs. Unrestricted public : donnée déjà publiée, aucun préjudice supplémentaire possible.
Les labels de categorization, eux, ne s'ordonnent pas forcément du plus au moins grave : ils reflètent la source ou la nature de l'exigence. Exemples : human safety critical (risque de mort ou blessure), equipment/property safety critical (dommage matériel), PII critical (identifie une personne), private data (diffusion limitée par accord), proprietary data (logique métier interne), compliance data (exigences légales ou contractuelles spécifiques), time-critical data (un retard fait échouer une activité). Un même actif peut cumuler plusieurs labels, par exemple 'human safety critical, HIPAA, highly restricted'.
Bien classer apporte des bénéfices au-delà de la protection : sensibilisation des employés et clients à l'engagement de l'organisation, identification des informations critiques et de leur vulnérabilité à la modification, focalisation sur les contrôles d'intégrité, compréhension de la valeur de l'information, et respect des exigences légales.
- 4 crans de sensibilité : highly restricted, moderately restricted, low/internal, unrestricted public.
- Labels de categorization non hiérarchiques ; un actif peut en cumuler plusieurs.
- Bénéfices : sensibilisation, focus intégrité, valeur de l'info, conformité légale.
1.5 Critères et enjeux de la classification
Pour fixer une classification, l'asset owner répond à une série de questions : qui doit accéder à la donnée et selon quels rôles ? Comment la donnée est-elle sécurisée par défaut (ouverte ou interdite) ? Combien de temps doit-elle être conservée (par exemple sept ans dans la finance) ? Comment sera-t-elle détruite ? Doit-elle être chiffrée ? Quel usage est approprié (interne, restreint, public) ?
La classification est conduite par l'asset owner parce qu'il comprend la valeur de l'actif. Il peut déléguer la tâche (la responsibility), mais jamais l'accountability : il reste comptable de la protection. L'analogie classique est celle du capitaine de navire, qui peut déléguer la conduite à un officier de quart mais reste responsable in fine du navire, de l'équipage et de la cargaison.
Les erreurs guettent : erreur humaine, méthodes incohérentes, décisions arbitraires ou capricieuses, labeling confus ou incomplet. Une classification incohérente donne l'impression que toutes les règles de sécurité sont arbitraires et détruit la confiance. Quand le data owner manque de connaissances, il a tendance à surclasser par prudence, ce qui gonfle inutilement les coûts ; un comité de classification réunissant les bonnes expertises corrige ce biais.
- L'owner peut déléguer la tâche mais reste accountable (capitaine de navire).
- Critères : accès, sécurisation, rétention, destruction, chiffrement, usage.
- Incohérence = perte de confiance ; surclassement = coût inutile ; comité = arbitrage.
Cas d'étude
Salhos Hospital : classer un parc de dispositifs médicaux
Contexte : Adriana, Senior Security Engineer d'un hôpital de 400 personnes spécialisé dans les maladies rares, lance un scan réseau qui révèle des milliers de dispositifs médicaux absents de l'inventaire matériel. Beaucoup traitent des données de santé (PHI/EPHI) et certains sont critiques pour les soins.
Question : Comment Adriana doit-elle conduire l'identification puis la classification de ces dispositifs, et sur quels critères ?
Voir l'analyse et la correction
L'identification passe d'abord par l'inventaire : enrichir le CMDB avec chaque dispositif (marque, modèle, numéro de série, version, emplacement, usage). C'est l'étape préalable à toute protection. Vient ensuite la double évaluation : la criticité pour les soins (catégorisation par impact - un respirateur est human safety critical) et la sensibilité des données traitées (PHI relève de HIPAA, donc highly restricted).
La classification suit la sensibilité, et les contrôles suivent la classification : un dispositif traitant de l'EPHI exigera chiffrement at rest et in transit, contrôle d'accès, journalisation. Comme certains dispositifs étaient inconnus, il faut appliquer le principe : un actif non étiqueté est traité au plus haut niveau de sensibilité jusqu'à analyse.
À retenir : Inventaire d'abord, puis double regard criticité (impact) et sensibilité (accès) ; sans label, on suppose le pire.
Classification ≠ categorization
Classification porte sur l'ACCÈS (confidentialité, qui peut lire). Categorization porte sur l'IMPACT (la perte pour l'organisation, low/moderate/high - FIPS 199). Si la question parle de 'niveau d'impact', pensez categorization.
Une classification n'est pas un label
La classification est une décision (reconnaître l'impact d'une compromission). Le label est le moyen visible d'appliquer les contrôles de protection. Ne confondez pas la décision et son marquage.
Point de contrôle — Identifier et classer
-
Dans le schéma de classification du secteur PRIVÉ, quel est l'ordre décroissant de sensibilité ?
- A Public > Private > Confidential > Sensitive
- B Sensitive > Confidential > Private > Public
- C Top Secret > Secret > Confidential > Unclassified
- D Confidential > Sensitive > Private > Public
Réponse & justification
Réponse : B — Sensitive > Confidential > Private > Public
Secteur privé (décroissant) : Sensitive > Confidential > Private > Public. La réponse C est le schéma militaire.
-
Quel processus est principalement concerné par l'IMPACT d'une perte sur l'organisation ?
- A Classification
- B Categorization
- C Labeling
- D Declassification
Réponse & justification
Réponse : B — Categorization
Categorization = impact (FIPS 199, NIST SP 800-60 : low/moderate/high). Classification = accès/confidentialité.
-
L'asset owner délègue la classification à un analyste. Qui reste comptable (accountable) de la protection de l'actif ?
- A L'analyste à qui la tâche est déléguée
- B L'asset owner
- C Le data custodian
- D Le RSSI
Réponse & justification
Réponse : B — L'asset owner
On peut déléguer la responsibility (la tâche), jamais l'accountability. L'owner reste comptable (analogie du capitaine).
-
Un support de stockage est trouvé sans étiquette de sensibilité. Comment le traiter ?
- A Comme public, jusqu'à preuve du contraire
- B Au plus haut niveau de sensibilité jusqu'à analyse
- C Le détruire immédiatement
- D Le rendre à son dernier utilisateur connu
Réponse & justification
Réponse : B — Au plus haut niveau de sensibilité jusqu'à analyse
Principe de prudence : un média non étiqueté est présumé au plus haut niveau jusqu'à analyse.
-
Une donnée dont la compromission pourrait menacer l'existence même de l'organisation relève de quel niveau de sensibilité ?
- A Low sensitivity (internal use only)
- B Moderately restricted
- C Highly restricted
- D Unrestricted public
Réponse & justification
Réponse : C — Highly restricted
Highly restricted = la compromission peut menacer l'existence de l'organisation (pertes humaines, litiges). Moderately restricted = perte d'avantage ou de revenus.
-
Pourquoi identifier et classer les actifs informationnels est-il une première étape critique de la sécurité ?
- A Cela permet de traiter tous les actifs de façon uniforme et simple
- B Cela aide à déterminer la valeur des actifs et à choisir les contrôles adaptés
- C Cela ne concerne que les informations confidentielles, pas les publiques
- D Les lois et règlements n'y jouent aucun rôle
Réponse & justification
Réponse : B — Cela aide à déterminer la valeur des actifs et à choisir les contrôles adaptés
Identifier et classer permet de comprendre la valeur de chaque actif et d'ajuster les contrôles en conséquence (allocation efficace des ressources). Traiter tout uniformément est inefficace et coûteux.
Points essentiels à retenir
- Inventaire et identification précèdent toute protection : on ne protège que ce qu'on a recensé.
- Classification = accès/confidentialité ; categorization = impact/perte (FIPS 199).
- Militaire : 5 niveaux ; privé : 4 niveaux ; categorization = catégories non hiérarchiques.
- L'owner classe et reste accountable même après délégation de la tâche.
Exigences de manipulation des actifs (handling)
Prérequis : Module 1 (classification et niveaux de sensibilité).
Une fois l'actif classé, encore faut-il le manipuler conformément à sa sensibilité. Ce module couvre le marquage et l'étiquetage, le handling, le stockage, la déclassification et l'enregistrement des destructions. L'idée directrice : à chaque niveau de classification correspond un ensemble cohérent de contrôles, du marquage jusqu'à la destruction.
Le marquage n'a de valeur que s'il est compris et respecté par tous. C'est pourquoi la formation des personnes qui manipulent les médias sensibles est indissociable des politiques d'étiquetage.
2.1 Marking, labeling et enforcement
Comme pour les actifs physiques, les actifs informationnels classés doivent être clairement marqués et étiquetés. Idéalement, les systèmes appliquent automatiquement ces labels - mais cela ne se produit en pratique que dans les systèmes à contrôle d'accès obligatoire (MAC). Les systèmes à contrôle d'accès discrétionnaire (DAC) n'appliquent pas les labels de façon uniforme, et le label peut se perdre quand l'information passe d'un système à un autre.
Un label de média doit indiquer la sensibilité de l'information, préciser si le média est chiffré, et peut contenir un point de contact et une période de rétention. Règle d'or déjà vue : un média trouvé sans label est étiqueté au plus haut niveau de sensibilité jusqu'à ce qu'une analyse prouve le contraire.
Le marquage traditionnel (étiquettes physiques, codes couleur) reste pertinent pour les supports amovibles et les documents papier. Côté numérique, les suites bureautiques commencent à utiliser le scan de mots-clés et l'analyse de sentiment pour repérer les labels incorrects, mais ces techniques ne sont pas encore généralisées.
- Seul MAC applique les labels uniformément ; DAC les laisse se perdre.
- Un label indique : sensibilité, chiffrement, contact, rétention.
- Média sans label = plus haut niveau jusqu'à analyse.
2.2 Handling et storage des médias sensibles
Seul le personnel désigné doit accéder aux médias sensibles, et les procédures de manipulation doivent être diffusées et enseignées. Le professionnel de sécurité doit garder à l'esprit qu'un média non chiffré n'offre aucune traçabilité numérique : une vigilance renforcée s'impose.
Le stockage combine contrôles physiques et logiques. Les médias de sauvegarde devraient être chiffrés et conservés dans un contenant sécurisé (coffre). Une copie chiffrée hors site est recommandée pour la reprise d'activité, tandis que les sauvegardes sur site sont placées dans un coffre ignifuge. Dans tous les cas, le nombre de personnes ayant accès aux médias est strictement limité, et la separation of duties ainsi que la job rotation sont mises en place quand c'est rentable.
- Média non chiffré = aucune traçabilité numérique, vigilance accrue.
- Backups chiffrés, coffre, copie hors site pour le DR, coffre ignifuge sur site.
- Accès strictement limité + SoD et job rotation quand c'est rentable.
2.3 Déclassification et fin de vie
La déclassification abaisse le niveau de sensibilité d'un actif. Les exigences de marquage, de handling et de stockage doivent alors être ajustées en conséquence, et l'owner joue un rôle central dans cette décision. Le processus peut s'appuyer sur des techniques d'obscurcissement comme la de-identification (retrait des identifiants) ou la tokenization (remplacement d'une valeur sensible par un jeton).
Les médias qui ne servent plus ou sont défectueux doivent être détruits plutôt que simplement jetés. Un enregistrement de la destruction est tenu, en cohérence avec les logs de manipulation des médias. Quand la sensibilité d'un média est inconnue, on applique des contrôles d'object reuse (réutilisation d'objet) plutôt que de le recycler tel quel : il faut s'assurer qu'aucun résidu exploitable ne subsiste.
- Déclassifier = ajuster marking, handling, storage ; décision de l'owner.
- De-identification et tokenization obscurcissent la donnée.
- Destruction tracée + object reuse quand la sensibilité est inconnue.
Cas d'étude
Salhos Hospital : procédures de handling des dispositifs
Contexte : Après le scan, Adriana réunit une équipe IT pour retrouver les dispositifs et les ajouter à l'inventaire. C'est le bon moment pour définir des procédures de manipulation, de sécurité physique et d'étiquetage.
Question : Quelles procédures de handling, de sécurité physique et d'étiquetage recommander, et comment communiquer les restrictions d'usage ?
Voir l'analyse et la correction
Chaque dispositif reçoit un label reflétant la sensibilité des données qu'il traite et indiquant s'il est chiffré. L'accès physique est restreint au personnel désigné, avec verrouillage des zones sensibles. Les procédures de manipulation sont écrites, diffusées et enseignées - un marquage que personne ne comprend ne protège rien.
Les restrictions d'usage sont communiquées par la formation, des politiques signées et, idéalement, une application technique via MAC quand le dispositif le permet. Pour les dispositifs non chiffrés transmettant de l'EPHI en clair (un risque identifié à l'hôpital), il faut prioriser le chiffrement at rest et in transit avant toute mise en service élargie.
À retenir : Label + accès restreint + procédures enseignées + enforcement technique : le handling se gère en couches.
Seul MAC applique les labels
Si la question demande quel modèle applique uniformément les labels de sensibilité, c'est MAC (Mandatory Access Control). DAC laisse les labels se perdre entre systèmes.
Point de contrôle — Handling et marquage
-
Quel modèle de contrôle d'accès applique automatiquement et uniformément les labels de sensibilité ?
- A DAC
- B MAC
- C RBAC
- D ABAC
Réponse & justification
Réponse : B — MAC
MAC (Mandatory Access Control) applique les labels. DAC ne les applique pas uniformément et les laisse se perdre.
-
Quelle technique remplace une valeur sensible par un jeton non exploitable hors contexte ?
- A Degaussing
- B Tokenization
- C Hashing à sens unique
- D Compression
Réponse & justification
Réponse : B — Tokenization
La tokenization substitue un jeton à la donnée sensible ; elle est utilisée en déclassification et obscurcissement.
-
Un média n'est plus utilisé et sa sensibilité est inconnue. Quelle est la bonne pratique ?
- A Le recycler tel quel pour réduire les coûts
- B Appliquer des contrôles d'object reuse avant tout
- C Le revendre d'occasion
- D Le stocker indéfiniment sans le toucher
Réponse & justification
Réponse : B — Appliquer des contrôles d'object reuse avant tout
Sensibilité inconnue : on applique des contrôles d'object reuse (s'assurer qu'aucun résidu n'est récupérable) plutôt que de recycler.
-
Quel est le but premier du marquage et de l'étiquetage (marking & labeling) d'un actif sensible ?
- A Rendre les actifs visuellement attrayants et ordonnés
- B Mettre en oeuvre le chiffrement des actifs numériques
- C Identifier facilement le niveau de sécurité, la classification, les limites de distribution et les consignes de manipulation
- D Optimiser le stockage physique et la reprise après sinistre
Réponse & justification
Réponse : C — Identifier facilement le niveau de sécurité, la classification, les limites de distribution et les consignes de manipulation
Le marquage/étiquetage sert à identifier rapidement le niveau de sécurité, la classification, les limites de distribution et les caveats de handling. Le chiffrement est un contrôle distinct.
Points essentiels à retenir
- Un niveau de classification = un ensemble cohérent de contrôles (marquage → destruction).
- MAC applique les labels, DAC non ; un média non étiqueté est traité au plus haut niveau.
- Déclassification = décision de l'owner + ajustement des contrôles + techniques d'obscurcissement.
- Destruction tracée et object reuse protègent contre la fuite par résidu.
Provisionner les ressources : inventaire et ownership
Prérequis : Module 1 (classification). Les notions de gouvernance du Domaine 1 aident.
Provisionner une ressource de façon sûre, c'est l'enregistrer, lui attribuer un propriétaire et la rattacher aux politiques avant même qu'elle ne serve. Ce module traite des deux cycles de vie qui structurent le domaine - l'IT Asset Management Life Cycle et le Data Security Life Cycle - puis se concentre sur l'inventaire, le CMDB et les rôles d'ownership.
L'inventaire est le socle : c'est la première étape de tout processus de gestion d'actifs, et c'est aussi un actif en soi, qui doit être protégé et maintenu.
3.1 L'IT Asset Management Life Cycle
Deux modèles de cycle de vie cadrent la sécurité de l'information : l'IT Asset Management Life Cycle (matériel, logiciel, données) et le Data Security Life Cycle (la donnée elle-même). Le premier comporte cinq grandes étapes.
Planning : aligner l'actif sur les objectifs, l'identifier et le valoriser (coût total d'acquisition et d'exploitation, revenus attendus, avantage concurrentiel, dommage potentiel en cas de compromission). C'est aussi le moment d'assigner les besoins de sécurité via classification et categorization. Acquiring : acquérir ou développer l'actif en intégrant dès la conception les exigences de sécurité identifiées. Deployment : mettre en service, former les utilisateurs et le support aux aspects de sécurité. Managing : exploiter et surveiller en continu (les contrôles fonctionnent-ils encore ? le paysage de menaces a-t-il changé ?), planifier la reprise et archiver. Retiring : retirer l'actif en traitant la destruction et la rémanence, et en sensibilisant le personnel.
Deux chemins mènent à la gestion : un chemin délibéré, piloté par les exigences, et un chemin de découverte (systems enumeration, baselining) pour les actifs préexistants. Les deux convergent sur la même première étape : faire l'inventaire.
- 5 étapes : Plan, Acquire, Deploy, Manage, Retire.
- La valorisation (coût, revenus, avantage, dommage) se fait au Planning.
- Chemin délibéré et chemin de découverte convergent sur l'inventaire.
3.2 Inventaire, ITAM et CMDB
L'inventaire d'actifs recense tous les actifs physiques et virtuels : matériel, logiciel, données. L'IT Asset Management (ITAM) est l'ensemble des pratiques de gouvernance et de gestion de ces actifs ; la norme de référence est l'ISO 19770.
Le Configuration Management Database (CMDB) va plus loin qu'une simple liste : il enregistre la marque, le modèle, le numéro de série, le type, la version de chaque actif. Il permet non seulement de tracer ce que l'on possède, mais aussi de savoir comment c'est configuré, et fournit un point de restauration (par exemple pour reconstruire le poste d'un utilisateur à la bonne version, matériel et logiciel compris).
Un point subtil souligné par le textbook : les outils d'énumération savent dire quelles applications sont installées et où résident les fichiers, mais ils ne savent pas repérer un actif informationnel au sens métier - par exemple 'le budget annuel', dispersé dans plusieurs bases, tableurs et e-mails. C'est pourquoi l'inventaire des actifs informationnels se construit aussi par le haut, à partir des processus métier critiques. Et le registre lui-même est un actif à protéger.
- ITAM = pratiques de gestion (ISO 19770) ; inventaire = liste complète.
- CMDB = inventaire + configuration + point de restauration.
- Les outils d'énumération ne voient pas l'actif informationnel métier : approche top-down nécessaire.
3.3 Ownership : owner accountable, custodian exécute
Identifier un propriétaire responsable est un acte central de la gestion d'actifs. L'asset owner (ou information owner, ou information steward) impose les exigences de sécurité et de qualité pour l'actif : il décide qui y accède et avec quel niveau de permission, combien de temps il est conservé, s'il peut être partagé. Il ne construit ni ne maintient lui-même les contrôles - c'est une fonction métier - mais il en est comptable (accountable).
Les responsabilités typiques de l'owner : déterminer l'impact de l'information sur la mission, en estimer le coût de remplacement, décider qui a besoin d'y accéder et selon quels critères de diffusion, et savoir quand l'information est inexacte ou doit être détruite.
Le data custodian, lui, exécute au quotidien : il protège, maintient et rend les données accessibles aux bons opérateurs. Ses tâches : respecter la politique de données, garantir l'accès en maintenant le niveau de sécurité, assurer la maintenance fondamentale (stockage, archivage), documenter, et valider la qualité par des audits périodiques. La règle d'examen : l'owner DÉCIDE, le custodian EXÉCUTE.
- Owner = fonction métier, décide (classification, accès, rétention, destruction), accountable.
- Custodian = exécute (protection, backups, maintenance, audits).
- Owner DÉCIDE, custodian EXÉCUTE : piège d'examen récurrent.
Cas d'étude
La chaîne hôtelière : actifs visibles et invisibles
Contexte : Un mentor d'Adriana travaille avec des chaînes hôtelières internationales. Adriana l'interroge sur leur approche de la gestion d'actifs : quels actifs, lesquels sont les plus précieux, pourquoi les suivre étroitement.
Question : Quels sont les actifs d'une chaîne hôtelière, et que représente le registre d'actifs pour l'organisation ?
Voir l'analyse et la correction
Une chaîne hôtelière mêle actifs tangibles (immobilier, linge, téléviseurs, café) et intangibles (registres clients, données marketing, licences logicielles, versions d'OS, numéros de série). Les deux comptent autant : même une rupture de café peut nuire à la réputation. La valeur la plus stratégique réside souvent dans les données clients, qui appellent une protection au titre de la vie privée.
Le CMDB enregistre marque, modèle, numéro de série, type et version de chaque actif. Il permet de suivre le parc mais aussi de reconstruire un poste à l'identique en cas d'incident. Le registre est lui-même un actif : sans lui, on ne sait ni ce qu'on possède ni comment c'est configuré. Le suivre étroitement, c'est se donner les moyens d'évaluer le risque et l'impact métier.
À retenir : Tangibles et intangibles comptent autant ; le CMDB dit non seulement ce qu'on a mais comment c'est configuré ; le registre est un actif.
Owner vs custodian
Le data owner DÉCIDE (classification, qui accède, rétention, destruction) et reste accountable. Le data custodian EXÉCUTE (protection au quotidien, backups, maintenance). Ne les inversez pas.
CMDB ≠ simple liste
Un CMDB ne se réduit pas à un inventaire : il enregistre la configuration (make/model/serial/version) et sert de point de restauration. Si la question oppose 'liste simple' et 'détails + restauration', choisissez le second.
Point de contrôle — Inventaire et ownership
-
Quel est le principal apport d'un CMDB par rapport à une simple liste d'inventaire ?
- A Il chiffre automatiquement les actifs
- B Il enregistre la configuration et fournit un point de restauration
- C Il remplace la politique de classification
- D Il supprime le besoin d'owner
Réponse & justification
Réponse : B — Il enregistre la configuration et fournit un point de restauration
Le CMDB enregistre make/model/serial/version (configuration) et permet de reconstruire un actif : c'est un point de restauration.
-
Qui est responsable de la protection des données au quotidien, sur instruction de l'owner ?
- A Le data owner
- B Le data custodian
- C Le data subject
- D L'auditeur
Réponse & justification
Réponse : B — Le data custodian
Le data custodian exécute la protection au quotidien (backups, maintenance, accès) selon les instructions de l'owner.
-
À quelle étape du cycle ITAM réalise-t-on la valorisation de l'actif (coût, revenus, avantage, dommage) ?
- A Planning
- B Deployment
- C Managing
- D Retiring
Réponse & justification
Réponse : A — Planning
La valorisation et l'assignation des besoins de sécurité (classification) se font au Planning, en amont de l'acquisition.
-
Quelle est une responsabilité PREMIÈRE de l'asset owner dans un cadre de sécurité de l'information ?
- A Réaliser les tests d'intrusion sur les actifs
- B Maintenir à jour l'inventaire des actifs informationnels
- C Appliquer les politiques d'usage acceptable des processors
- D Superviser la gestion de la supply chain
Réponse & justification
Réponse : B — Maintenir à jour l'inventaire des actifs informationnels
L'owner tient à jour l'inventaire des actifs (suivi, documentation des changements). Les pentests relèvent de spécialistes ; usage acceptable et supply chain ne sont pas sa responsabilité première.
Points essentiels à retenir
- Deux cycles : ITAM (matériel/logiciel/données) et Data Security Life Cycle (la donnée).
- ITAM : Plan, Acquire, Deploy, Manage, Retire ; les deux chemins convergent sur l'inventaire.
- CMDB = inventaire + configuration + point de restauration ; ISO 19770 encadre l'ITAM.
- Owner décide et est accountable ; custodian exécute.
Cycle de vie des données et rôles
Prérequis : Modules 1 et 3 (classification, inventaire et ownership).
La donnée vit : on la crée, la stocke, l'utilise, la partage, l'archive, puis on la détruit. Ce module déroule le Data Security Life Cycle et y mappe les contrôles, puis détaille les rôles que la conformité (notamment le GDPR) impose de distinguer : subject, controller, processor, steward, custodian, owner, DPO.
La distinction la plus testée à l'examen oppose le controller (accountable, décide des finalités et des moyens) au processor (agit pour le compte du controller, sans accountability). Mal attribuer ces rôles, c'est mal répartir la responsabilité juridique.
4.1 Le Data Security Life Cycle
La donnée traverse six grandes étapes. Create : génération ou acquisition de contenu - c'est le moment privilégié pour classer, car les contrôles dépendent de cette classification. Store : engagement sur un support, le plus souvent simultané à la création ; on applique chiffrement, contrôle d'accès, journalisation, redondance selon la classification. Use : la donnée est lue, traitée, modifiée ; c'est souvent l'état le plus vulnérable car elle est en clair ; on s'appuie sur DLP, DRM et contrôle d'accès. Share : l'information est partagée avec d'autres ; une fois partagée, elle échappe au contrôle de l'organisation, donc on ne partage que selon la classification et avec des destinataires autorisés ; DLP détecte les partages non autorisés, DRM maintient le contrôle. Archive : la donnée quitte l'usage actif pour un stockage long ; défis de conservation (le support sera-t-il encore lisible dans dix ans ?), protection maintenue selon la classification, exigences légales. Destroy : destruction défendable, selon des processus écrits, par du personnel habilité.
Ces étapes ne forment pas une séquence rigide : la création vient en premier et la destruction en dernier, mais stockage, usage, partage et archivage s'enchaînent dans n'importe quel ordre, autant de fois que nécessaire. Le modèle sert de cadre pour mapper les contrôles à chaque phase.
- 6 étapes : Create, Store, Use, Share, Archive, Destroy (ordre non rigide).
- On classe à la création ; on partage selon la classification.
- Data in use = état le plus vulnérable (en clair).
4.2 Les rôles de la donnée (GDPR et NIST)
La protection des données exige une distinction claire des rôles, de leurs accountabilities et de leurs responsibilities. NIST SP 800-18 et le GDPR en donnent des définitions comparables.
Data subject : la personne physique décrite ou identifiée par la donnée. Data controller : détermine les finalités et les moyens du traitement ; il est accountable, garant que toutes les obligations (GDPR ou autres) sont remplies ; il négocie avec les processors des accords de traitement (data processing agreements). Data processor : exécute les traitements pour le compte du controller (acquérir, utiliser, modifier, détruire) ; il peut être responsable de protéger la donnée, mais l'accountability reste au controller. Data owner : décide qui accède à quels niveaux, garantit qualité, intégrité et protection ; il prend ou délègue le rôle de controller. Data steward : responsable du contenu, du contexte et des règles métier de la donnée. Data custodian : protège la donnée tant qu'elle est sous sa garde (transport, stockage, traitement sûrs). Data protection officer (DPO) : conseille sur la conformité et fait l'interface avec les autorités de contrôle ; il devient obligatoire quand l'organisation traite des données sensibles (santé, génétique, origine, religion).
La hiérarchie d'accountability est la clé : le subject a une attente raisonnable de vie privée et d'intégrité ; le controller répond de tout ; le processor n'est jamais accountable à la place du controller.
- Controller = accountable (finalités + moyens) ; processor = agit pour son compte, pas accountable.
- Owner décide les accès ; steward gère contenu/règles ; custodian protège au quotidien.
- DPO obligatoire pour données sensibles ; interface avec les autorités.
4.3 Collection, localisation et maintenance
Data collection est la première phase : création et acquisition de contenu, mise à jour de l'existant. C'est là qu'on nomme les data owners et qu'on assigne les classifications, pour appliquer les bons contrôles au plus tôt. Les principes de secure defaults et de privacy by design s'appliquent dès cette phase.
Data location et localization deviennent critiques avec le cloud. Où stocker la donnée dépend de la législation locale, surtout pour les données personnelles traitées différemment selon les pays. Avant de collecter, on cartographie les exigences locales et globales : lieux de stockage autorisés, mécanismes de protection attendus, durées de rétention. Certaines lois de data localization peuvent même conditionner la décision d'opérer dans une région : l'expansion vers un nouveau marché peut être freinée par des exigences locales coûteuses.
Data maintenance vise à préserver confidentialité, intégrité et disponibilité tout au long de la vie de la donnée, via des contrôles adaptés à chaque état. La donnée at rest, en apparence la plus facile à protéger, demande malgré tout d'identifier tous les dépôts, de chiffrer, de gérer les accès et de sauvegarder. C'est aussi à cette phase qu'on arbitre l'éternel compromis functionality versus security.
- On nomme owners et classe la donnée dès la collection (privacy by design).
- Data localization peut conditionner la décision d'opérer dans un pays.
- Maintenance = CIA par état ; même at rest demande chiffrement, accès, backups.
Cas d'étude
Plateforme sociale : qui joue quel rôle ?
Contexte : Adriana revoit le cycle de vie et les rôles avec un ami qui exploite une plateforme sociale aux États-Unis. L'inscription est obligatoire ; une fois inscrit, l'utilisateur dispose de messagerie, groupes, posts et commentaires.
Question : Comment s'articulent data owner, controller, steward, custodian, processor et subject sur cette plateforme, et où sont les conflits d'intérêts ?
Voir l'analyse et la correction
Le data owner est accountable de la valeur de la donnée et définit les politiques d'accès. Le data controller, qui travaille pour l'owner, est accountable de la protection via la bonne implémentation des contrôles. Le data steward gère contenu, contexte et règles métier. Le data custodian protège la donnée tant qu'elle est sous sa garde. Le data processor traite pour le compte du controller : il peut être responsable de protéger, mais l'accountability reste au controller. Le data subject (l'utilisateur) a une attente raisonnable de vie privée (GDPR, HIPAA selon le contexte) et d'intégrité de ses données.
Les points de friction : la localisation des utilisateurs change les attentes légales (un utilisateur européen relève du GDPR) ; un processor négligent expose le controller ; et l'intérêt commercial d'exploiter la donnée peut entrer en conflit avec l'attente de vie privée du subject. C'est précisément ce conflit, mal géré, qui est au cœur des grands scandales de données.
À retenir : Controller accountable, processor non ; la localisation du subject change le droit applicable ; le conflit intérêt commercial / vie privée est structurel.
Appliquer une politique de cycle de vie dans votre organisation
Contexte : Lors d'une réunion de chapitre ISC2, on vous demande, en tant que manager, comment vous appliqueriez concrètement les considérations de politique du cycle de vie des données à un jeu de données réel de votre organisation.
Question : Pour ce jeu de données : qui y accède ? Quel usage est approprié ? Comment est-il sécurisé ? Combien de temps est-il conservé ? Comment le détruire ?
Voir l'analyse et la correction
Accès et usage : l'owner définit les rôles autorisés selon le least privilege et l'usage permis (interne, restreint, public), en s'appuyant sur la classification de la donnée. Sécurisation : on applique un contrôle par état - chiffrement at rest, TLS/IPSec in transit, contrôle d'accès et secure enclaves in use - dimensionné selon le niveau de classification.
Rétention : la durée est fixée par la loi ou le contrat (minimums) et bornée par la minimisation (maximums), puis documentée dans un calendrier de rétention. Destruction : méthode défendable adaptée au support (clearing, purging, degaussing, destruction physique ; crypto-shredding pour les SSD), tracée. Point clé : toutes ces décisions découlent de la classification posée dès la création, et se rejouent à chaque phase du cycle de vie.
À retenir : Une politique de cycle de vie répond, pour chaque donnée, à cinq questions - qui accède, quel usage, comment sécuriser, combien de temps, comment détruire - toutes pilotées par la classification.
Controller vs processor
Le data controller détermine les finalités et les moyens et reste accountable. Le data processor agit uniquement pour le compte du controller et n'est jamais accountable à sa place. Question 'qui est accountable de la conformité' → controller.
Point de contrôle — Cycle de vie et rôles
-
Dans un environnement GDPR, qui est accountable de la protection et de la conformité de la donnée personnelle ?
- A Data processor
- B Data subject
- C Data controller
- D Data steward
Réponse & justification
Réponse : C — Data controller
Le controller détermine finalités et moyens et reste accountable. Le processor agit pour son compte sans accountability.
-
À quelle étape du cycle de vie est-il préférable de classer la donnée ?
- A Create
- B Archive
- C Share
- D Destroy
Réponse & justification
Réponse : A — Create
On classe à la création (Create), car tous les contrôles ultérieurs dépendent de cette classification.
-
Quel rôle est responsable du contenu, du contexte et des règles métier d'un jeu de données ?
- A Data custodian
- B Data steward
- C Data processor
- D DPO
Réponse & justification
Réponse : B — Data steward
Le data steward gère contenu, contexte et règles métier ; le custodian protège au quotidien ; le DPO conseille sur la conformité.
-
Une entreprise hésite à entrer sur un marché à cause de lois imposant de stocker localement les données citoyennes. De quel concept s'agit-il ?
- A Data remanence
- B Data localization
- C Data masking
- D Data deduplication
Réponse & justification
Réponse : B — Data localization
Les lois de data localization imposent où la donnée peut résider et peuvent conditionner la décision d'opérer dans une région.
-
Quel est le but principal du modèle de cycle de vie des données en sécurité ?
- A Imposer un processus rigide et uniforme à toutes les organisations
- B Déterminer l'emplacement physique des données
- C Aider les organisations à traiter les besoins de sécurité à chaque phase
- D Minimiser l'usage de systèmes externes
Réponse & justification
Réponse : C — Aider les organisations à traiter les besoins de sécurité à chaque phase
Le modèle guide l'organisation pour comprendre et adresser les besoins de sécurité à chaque phase (Create, Store, Use, Share, Archive, Destroy). Il n'est pas rigide et ne fixe pas l'emplacement.
Points essentiels à retenir
- 6 étapes : Create, Store, Use, Share, Archive, Destroy ; on classe dès Create.
- Controller accountable, processor non ; owner décide les accès ; steward gère le contenu.
- DPO obligatoire pour données sensibles ; custodian protège au quotidien.
- Data localization peut conditionner l'implantation géographique.
Rétention, destruction et rémanence
Prérequis : Module 4 (cycle de vie des données).
Conserver une donnée a un coût et un risque ; la détruire mal en a un autre. Ce module traite la rétention (combien de temps, pourquoi), la rémanence (ce qui reste après une suppression) et les méthodes de destruction, du simple effacement à la destruction physique. C'est l'un des sujets les plus piégeux à l'examen, notamment sur les supports : ce qui marche sur un HDD ne marche pas forcément sur un SSD.
Le fil rouge : la destruction doit être défendable (defensible destruction), c'est-à-dire conduite selon des processus écrits, traçables et conformes, et non bricolée dans l'urgence.
5.1 Data retention : ni trop, ni trop peu
L'information ne doit être conservée que le temps requis. Des standards sectoriels, lois et règlements fixent des durées (par exemple sept ans dans la finance). En l'absence d'exigence externe, l'organisation définit sa propre politique de rétention, applicable aux copies papier comme numériques.
La rétention joue sur deux bornes. Les minimums sont imposés par la loi ou le contrat : conserver moins, c'est la non-conformité. Les maximums relèvent de la minimisation : conserver plus longtemps que nécessaire augmente le coût de stockage, le risque d'exposition et le 'bruit' lors des recherches, et peut violer des exigences externes. L'erreur classique consiste à prendre la durée de rétention la plus longue et à l'appliquer aveuglément à tout : c'est du gaspillage et du risque.
Une politique de rétention saine suit huit étapes : évaluer les exigences légales, contentieuses et métier ; classer les types d'enregistrement ; déterminer durées et pratiques de destruction ; rédiger et justifier la politique ; former le personnel ; auditer les pratiques de rétention et de destruction ; revoir périodiquement ; documenter politique, mise en oeuvre, formations et audits. Pour exécuter tout cela, un inventaire exact est indispensable (emplacement, durée, exigences de destruction de chaque actif).
- Trop peu = non-conformité (minimums) ; trop = coût + risque + bruit (maximums).
- Ne pas appliquer la durée la plus longue à tout, sans analyse.
- Politique de rétention = 8 étapes, appuyée sur un inventaire exact.
5.2 Data remanence : ce qui reste
La data remanence est la représentation résiduelle d'une donnée sur un support après un effacement supposé. Une suppression insuffisante peut compromettre l'information. Presque tout équipement conserve des données après l'étape de traitement : les registres du CPU ou du GPU, la mémoire vive, les fichiers temporaires, la circuiterie d'affichage gardent des valeurs jusqu'à réécriture, de quelques millisecondes à plusieurs minutes après la coupure d'alimentation.
Le point crucial : effacer un fichier ne supprime pas réellement les données. Le système se contente de marquer l'entrée du répertoire comme supprimée et de remettre l'espace dans la liste des ressources libres ; les données restent physiquement présentes jusqu'à réécriture. C'est pourquoi un disque 'vidé' par une simple suppression reste récupérable avec des outils adaptés. Les fichiers temporaires sont une source de rémanence souvent négligée.
- Rémanence = données récupérables après un effacement supposé.
- Supprimer un fichier ne fait que marquer l'espace comme libre.
- RAM, registres, fichiers temporaires retiennent des données après usage.
5.3 Méthodes de destruction et choix du support
La référence officielle est le NIST SP 800-88 (Guidelines for Media Sanitization). Les méthodes s'échelonnent par niveau d'assurance. Clearing : réécrire des motifs (souvent aléatoires) sur tout le support. Le 'zeroizing' (écrire des zéros) en est une variante, mais avec le risque qu'un bloc manqué reste récupérable. Le clearing protège contre une récupération par fonctions système normales et suffit dans beaucoup d'environnements opérationnels. Purging : éliminer fortement la probabilité de récupération, même en laboratoire. Le degaussing (champ magnétique puissant) en relève - mais il s'applique uniquement aux supports magnétiques (HDD, bandes) et détruit aussi la servo track, rendant le disque inutilisable. Destruction physique : broyage, incinération, pulvérisation, attaque à l'acide - le remède ultime à la rémanence.
Le piège majeur : le degaussing ne fonctionne PAS sur les SSD (mémoire flash, non magnétique). Pour un SSD, on privilégie le crypto-shredding (détruire les clés de chiffrement pour rendre les données inexploitables) ou la destruction physique. Enfin, la defensible destruction exige que tout cela soit conduit selon des processus écrits, par du personnel habilité, et tracé - sinon la destruction n'est pas juridiquement défendable.
- Échelle : clearing < purging/degaussing < destruction physique.
- Degaussing = magnétique seulement (HDD) ; détruit la servo track.
- SSD → crypto-shredding ou destruction physique ; NIST SP 800-88 est la bible.
Cas d'étude
SolarWinds : la rétention et la supply chain
Contexte : Découverte en décembre 2020, l'attaque SolarWinds fut une attaque sophistiquée de supply chain visant le logiciel Orion. Les attaquants ont compromis le processus de développement et injecté du code malveillant dans des mises à jour distribuées à de nombreuses organisations, dont des agences gouvernementales.
Question : En quoi cet incident touche-t-il la sécurité des actifs, la rétention et la vie privée ?
Voir l'analyse et la correction
L'attaque illustre que la sécurité des actifs ne s'arrête pas aux frontières de l'organisation : un logiciel tiers largement déployé devient un actif critique dont la compromission expose des données sensibles. Côté rétention et vie privée, l'incident a soulevé la crainte d'exposition de données conservées, rappelant que toute donnée retenue est une donnée à risque. Moins on conserve (minimisation), moins la surface d'exposition est grande en cas de brèche.
Le lien avec le Domaine 2 : un inventaire à jour et une classification correcte des données traitées par les outils tiers permettent d'évaluer l'impact réel d'une telle compromission. La gestion des relations tierces (contrats, audits, droit d'audit) prolonge la sécurité des actifs au-delà du périmètre interne.
À retenir : Tout actif tiers déployé est un actif critique ; minimiser la rétention réduit la surface d'exposition.
Mettre au rebut un serveur bancaire
Contexte : Une banque retire un serveur contenant des données clients. Une partie est sur des HDD magnétiques, une autre sur des SSD chiffrés. Le RSSI exige une destruction défendable, traçable pour les auditeurs.
Question : Quel plan de destruction appliquer support par support ?
Voir l'analyse et la correction
Pour les HDD magnétiques : degaussing (purging) ou réécriture multi-passes, puis destruction physique (broyage) si la sensibilité l'exige. Pour les SSD chiffrés : le degaussing est inefficace (non magnétique) ; on procède au crypto-shredding (destruction des clés de chiffrement) qui rend instantanément les données inexploitables, complété au besoin par une destruction physique. Chaque étape est consignée dans un registre (chain of custody) : qui, quand, quel support, quelle méthode, quel résultat.
La logique : choisir la méthode selon le support (jamais l'inverse), monter en assurance selon la classification des données, et tout tracer pour que la destruction soit juridiquement défendable.
À retenir : La méthode suit le support : HDD → degaussing/destruction ; SSD → crypto-shredding/destruction. Tout est tracé.
Projet Waxbill : rétention multi-parties et SOC 1 Type 2
Contexte : MLZ Systems est le maître d'oeuvre d'un drone d'observation environnementale (Waxbill), avec des partenaires logiciels en Israël, une équipe de sûreté à Chicago, de la R&D à Boston et des partenaires universitaires. MLZ doit mettre à jour sa politique de rétention des données, applicable à toutes les parties. Le client principal, le Dr Smythe-Beecham, réclame en outre un rapport SOC 1 Type 2 sur les trois dernières années, pour MLZ et ses sous-traitants.
Question : Que prioriser dans la politique de rétention, et pourquoi un client réclame-t-il un rapport SOC 1 Type 2 ?
Voir l'analyse et la correction
La politique de rétention doit rester spécifique, concise et facile à suivre : un document long et complexe ferait courir le risque que des partenaires la comprennent mal. Elle doit définir des durées par type de donnée (alignées sur les exigences légales et contractuelles), être appliquée, monitorée, et toute violation doit entraîner des conséquences disciplinaires. Dans un projet multi-parties, elle est partagée avec tous ceux qui doivent s'y conformer.
Le rapport SOC 1 Type 2 est une assurance tierce : sur une période donnée, il atteste l'efficacité opérationnelle des contrôles d'une organisation (ici sur les aspects susceptibles d'affecter le reporting financier du client). En l'exigeant pour MLZ et ses sous-traitants, le client cherche à vérifier que la chaîne entière maîtrise ses risques - c'est un contrôle de supply chain. Le scénario rappelle aussi que sous-payer un personnel clé peut créer un risque de corruption ou de coercition : la sécurité des actifs englobe le facteur humain, du chercheur au personnel d'entretien.
À retenir : Politique de rétention courte, suivie et monitorée ; SOC 1 Type 2 = assurance tierce sur l'efficacité des contrôles, étendue à la supply chain.
Gérer le cycle de vie des données de santé (PHI / HIPAA)
Contexte : Le responsable HIPAA de l'hôpital demande à Adriana de définir un processus garantissant la conformité HIPAA pour les données de santé électroniques (EPHI) générées par les dispositifs médicaux, de la collecte à la destruction.
Question : Quelles pratiques mettre en place pour gérer le cycle de vie de l'EPHI (collecte, stockage, transmission, rétention, destruction) en conformité HIPAA ?
Voir l'analyse et la correction
Collecte et classification : marquer l'EPHI comme highly restricted dès sa création et assigner un data owner. Stockage : chiffrement at rest conforme (algorithmes FIPS), contrôle d'accès strict (least privilege), sauvegardes chiffrées. Transmission : TLS ou IPSec, jamais en clair (SSL proscrit). Usage : journalisation et audit, secure enclaves quand c'est possible, la donnée étant en clair pendant le traitement.
Rétention : durée conforme aux exigences HIPAA et de l'État, consignée dans un calendrier documenté. Destruction : defensible destruction tracée, adaptée au support. Responsabilités : le data controller reste accountable ; tout prestataire cloud relève d'une responsabilité partagée encadrée par un contrat dédié (Business Associate Agreement, BAA).
À retenir : PHI = highly restricted : chiffrement at rest et in transit, accès strict, audit, rétention et destruction conformes HIPAA, et responsabilités partagées contractualisées (BAA).
Mettre au rebut en toute sécurité des portables SSD contenant des données classifiées
Contexte : Une organisation renouvelle son parc et doit retirer 200 portables dont les disques sont des SSD (mémoire flash, non magnétique). Certains contenaient des données classifiées Confidential, d'autres des données publiques. La direction propose de tout dégausser (degaussing) puis de revendre les machines, par souci d'économie.
Question : Le dégaussage est-il adapté aux SSD ? Quelle méthode de sanitization choisir selon la classification, et comment garantir une destruction « défendable » (defensible destruction) ?
Voir l'analyse et la correction
Le dégaussage agit sur un champ magnétique : il efface les disques magnétiques (HDD, bandes), mais il est INEFFICACE sur les SSD (mémoire flash, non magnétique). Le proposer ici laisserait des données récupérables : c'est une erreur classique d'examen.
La méthode suit la classification (la protection suit la classification). Pour les données publiques, un clearing (réécriture) ou un crypto-erase suffit avant revente. Pour les données Confidential sur SSD, deux options fiables : le crypto-erase (purge des clés si le disque était chiffré de bout en bout, rendant les données illisibles) ou la destruction physique (shredding/incinération) si la revente n'est pas requise ou si la sensibilité l'impose.
La defensible destruction signifie que l'on peut PROUVER, en cas de litige ou d'audit, que la destruction a été menée selon une politique, avec la bonne méthode pour le support, et tracée : certificats de destruction, chain of custody, journal (qui, quoi, quand, méthode). Sans cette traçabilité, l'organisation reste exposée même si les données sont effacées.
À retenir : Le dégaussage n'efface pas les SSD ; choisir la méthode selon le support ET la classification, et tracer pour une destruction défendable.
- Le dégaussage efface les supports MAGNÉTIQUES (HDD, bandes), pas les SSD (flash).
- La méthode de sanitization suit le support ET la classification de la donnée.
- Crypto-erase = effacer les clés d'un disque chiffré rend les données illisibles.
- Defensible destruction = pouvoir prouver la destruction (politique, méthode, traçabilité).
- Réemploi/revente possible seulement après sanitization adaptée et vérifiée.
Le degaussing ne marche pas sur SSD
Le degaussing agit par champ magnétique : efficace sur HDD et bandes, inutile sur SSD (mémoire flash). Pour un SSD : crypto-shredding ou destruction physique. C'est le piège D2 le plus fréquent.
Clearing vs purging vs destruction
Clearing résiste à une récupération par fonctions système normales. Purging résiste même à une récupération en laboratoire (ex : degaussing). Destruction physique = remède ultime. Le niveau d'assurance monte dans cet ordre.
Point de contrôle — Rétention et destruction
-
Vous remplacez des laptops par des modèles à SSD. Quelle méthode de destruction des données serait la MOINS efficace sur ces SSD ?
- A Crypto-erasure
- B Degaussing
- C Broyage (shredding)
- D Incinération
Réponse & justification
Réponse : B — Degaussing
Le degaussing n'agit que sur les supports magnétiques. Un SSD étant en mémoire flash, le degaussing est inefficace.
-
Quelle est la principale conséquence de conserver une donnée bien au-delà de sa durée utile ?
- A Une meilleure conformité automatique
- B Une hausse du coût de stockage, du risque d'exposition et du bruit
- C Une amélioration de l'intégrité
- D Une réduction des obligations légales
Réponse & justification
Réponse : B — Une hausse du coût de stockage, du risque d'exposition et du bruit
Au-delà de la durée utile (maximums/minimisation) : coût, risque d'exposition et bruit augmentent, avec risque de non-conformité.
-
Pourquoi 'supprimer' un fichier ne protège-t-il pas contre la data remanence ?
- A Parce que le fichier est immédiatement chiffré
- B Parce que le système marque seulement l'espace comme libre, sans effacer les données
- C Parce que la corbeille conserve une copie légale
- D Parce que le degaussing s'applique automatiquement
Réponse & justification
Réponse : B — Parce que le système marque seulement l'espace comme libre, sans effacer les données
La suppression logique marque l'entrée comme libre ; les données restent physiquement présentes et récupérables jusqu'à réécriture.
-
Quel terme désigne une destruction conduite selon des processus écrits, traçables et conformes ?
- A Zeroizing
- B Defensible destruction
- C Clearing
- D Object reuse
Réponse & justification
Réponse : B — Defensible destruction
La defensible destruction est une destruction contrôlée, légalement défendable et conforme à la réglementation.
Points essentiels à retenir
- Rétention : minimums légaux vs maximums (minimisation) ; ne pas tout garder au plus long.
- Rémanence : supprimer ne suffit pas ; les données restent jusqu'à réécriture.
- Destruction : clearing < purging/degaussing < destruction physique (NIST SP 800-88).
- Degaussing magnétique seulement ; SSD → crypto-shredding ; toujours defensible et tracée.
États des données et contrôles cryptographiques
Prérequis : Module 4 (cycle de vie et états de la donnée).
À tout instant, une donnée est dans l'un de trois états : at rest, in transit (in motion) ou in use. Ces états sont supposés atomiques et mutuellement exclusifs, et chacun appelle ses propres contrôles. Comprendre cette grille est essentiel pour choisir le bon mécanisme de protection.
Le message clé : la donnée in use est la plus difficile à protéger, car elle doit être en clair pour être traitée. Les enclaves sécurisées sont la réponse émergente à ce problème.
6.1 Les trois états : at rest, in transit, in use
Data at rest : la donnée stockée sur un support, ni transmise ni traitée. Le risque est l'accès physique ou logique non autorisé au support. La protection de référence est le chiffrement (algorithmes limitant l'accès aux détenteurs de clés), complété par des contrôles d'accès, de la redondance et des sauvegardes. Supports amovibles et terminaux mobiles (laptops, tablettes, smartphones, wearables) doivent être chiffrés.
Data in transit (ou in motion) : la donnée qui circule, typiquement sur un réseau, sans être traitée. Le risque - identique à celui de la donnée at rest - est l'interception, la modification, l'indisponibilité. La protection est le chiffrement, au niveau donnée, réseau, ou les deux. Les interfaces web sensibles passent par TLS ; SSL, sous toutes ses formes, est considéré cassable et déprécié. L'e-mail n'est pas sûr par défaut (transmis en clair) : il faut PGP ou S/MIME. Hors web, on chiffre au niveau applicatif, ou à défaut au niveau réseau via IPSec ou des tunnels SSH.
Data in use : la donnée traitée par un logiciel, un matériel ou un utilisateur. C'est l'état le plus difficile à protéger car la donnée doit être en clair pour que sa structure et ses valeurs soient lisibles. Les contrôles principaux sont le contrôle d'accès, l'audit et la non-répudiation. Un exemple de risque trivial : l'over-the-shoulder attack, où un tiers lit l'écran d'un utilisateur.
- At rest → chiffrement + accès + backups ; In transit → TLS/IPSec/SSH (pas SSL).
- In use → en clair, le plus exposé ; contrôle d'accès, audit, non-répudiation.
- E-mail non sûr par défaut : PGP ou S/MIME pour les données sensibles.
6.2 Link vs end-to-end encryption
La donnée se chiffre sur un réseau selon deux approches. Le link encryption est réalisé par les opérateurs : il chiffre toutes les données le long d'un chemin de communication (liaison satellite, circuit téléphonique, ligne T-1), y compris les informations de routage. Conséquence : chaque noeud doit déchiffrer pour continuer à router, puis rechiffrer. Un attaquant compromettant un noeud peut donc voir le message en clair à ce point. En contrepartie, comme le routage est chiffré, le link encryption offre une meilleure confidentialité du trafic (traffic confidentiality) : il masque les informations d'adressage et prévient les inférences sur l'existence d'échanges entre deux parties.
Le end-to-end encryption est réalisé par l'utilisateur final : la donnée est chiffrée à l'origine et ne se déchiffre qu'à destination. Elle reste chiffrée à la traversée du réseau, mais les informations de routage restent visibles. Un VPN en est un exemple. Le compromis est inverse de celui du link encryption : meilleure protection du contenu de bout en bout, mais le routage reste observable.
- Link : opérateurs, chiffre le routage, déchiffre/rechiffre à chaque noeud → traffic confidentiality.
- End-to-end : utilisateur, chiffré de bout en bout, routage visible (VPN).
- Chaque approche protège ce que l'autre laisse exposé.
6.3 Protéger la donnée in use : les enclaves
Protéger la donnée pendant son traitement est le défi le plus dur, puisqu'elle doit être déchiffrée pour être traitée. La piste industrielle est la secure enclave : une zone isolée du reste de l'architecture où le traitement a lieu. La donnée y reste traitée en clair, mais l'enclave est conçue pour être imperméable aux vulnérabilités et aux malwares présents ailleurs dans le système. Le mot 'enclave' désigne d'ailleurs un territoire isolé d'un autre.
Au-delà des enclaves, les contrôles classiques restent pertinents : contrôle d'accès strict, journalisation et audit pour détecter les usages anormaux, non-répudiation. La détection d'anomalies d'usage, combinée à des techniques forensiques, permet de débusquer fraude et abus. Le risque demeure : altération accidentelle ou malveillante, exposition non autorisée (l'over-the-shoulder attack en est l'exemple le plus simple).
- Donnée in use = déchiffrée pour traitement → la plus dure à protéger.
- Secure enclave = zone isolée, imperméable aux vulnérabilités du reste du système.
- Compléments : accès strict, audit, non-répudiation, détection d'anomalies.
Cas d'étude
Dispositifs médicaux transmettant l'EPHI en clair
Contexte : Pendant l'inventaire, Adriana découvre que certains dispositifs envoient et reçoivent de l'EPHI en clair. La direction lui demande un plan garantissant que la donnée stockée et transmise est chiffrée de façon appropriée.
Question : Comment appliquer le chiffrement aux états at rest et in transit, et garantir que seuls les personnels autorisés interagissent avec les dispositifs ?
Voir l'analyse et la correction
In transit : remplacer les transmissions en clair par du TLS pour les interfaces web des dispositifs, et par du chiffrement applicatif ou IPSec/SSH pour le trafic non-web. SSL est proscrit. At rest : chiffrer le stockage local des dispositifs et des serveurs adjacents avec des algorithmes conformes FIPS. In use, là où la donnée doit être traitée en clair, on s'appuie sur des contrôles d'accès stricts et de la journalisation.
Côté accès : restreindre l'interaction aux personnels autorisés via authentification forte et revue périodique des permissions (least privilege). Comme il s'agit de PHI, la conformité HIPAA encadre le tout : chiffrement, contrôle d'accès, traçabilité, et gestion des responsabilités partagées avec d'éventuels prestataires cloud.
À retenir : Un contrôle par état : TLS/IPSec in transit, chiffrement FIPS at rest, accès strict + audit in use ; HIPAA encadre le PHI.
Data in use = la plus dure à protéger
La donnée in use doit être en clair pour être traitée : c'est l'état le plus exposé. Si la question demande l'état le plus difficile à protéger, c'est in use (réponse : enclaves, contrôle d'accès, audit).
SSL est déprécié
Pour la donnée in transit, le bon protocole est TLS. SSL (toutes versions) est cassable et déprécié - une réponse 'SSL' à une question de protection moderne est un distracteur.
Point de contrôle — États et chiffrement
-
Quel état de la donnée est le plus difficile à protéger et pourquoi ?
- A Data at rest, car elle est stockée longtemps
- B Data in transit, car elle traverse le réseau
- C Data in use, car elle doit être en clair pour être traitée
- D Tous les états sont équivalents
Réponse & justification
Réponse : C — Data in use, car elle doit être en clair pour être traitée
Data in use est en clair (déchiffrée) pour être traitée, donc la plus exposée. Réponses : enclaves, contrôle d'accès, audit.
-
Quelle approche de chiffrement masque les informations de routage et offre une meilleure traffic confidentiality ?
- A End-to-end encryption
- B Link encryption
- C TLS applicatif
- D Crypto-shredding
Réponse & justification
Réponse : B — Link encryption
Le link encryption chiffre aussi le routage (déchiffré à chaque noeud), masquant l'adressage : meilleure traffic confidentiality.
-
Pour protéger une donnée sensible in transit sur une interface web, quel protocole privilégier ?
- A SSLv3
- B TLS
- C FTP
- D Telnet
Réponse & justification
Réponse : B — TLS
TLS est le standard moderne. SSL (toutes versions) est déprécié ; FTP et Telnet transmettent en clair.
-
Quelle association état de la donnée / contrôle principal est correcte ?
- A At rest -> TLS ; in transit -> enclaves ; in use -> degaussing
- B At rest -> chiffrement ; in transit -> TLS/IPSec ; in use -> contrôle d'accès et enclaves
- C At rest -> enclaves ; in transit -> chiffrement ; in use -> TLS
- D Les trois états utilisent exactement le même contrôle
Réponse & justification
Réponse : B — At rest -> chiffrement ; in transit -> TLS/IPSec ; in use -> contrôle d'accès et enclaves
At rest = chiffrement (+ contrôle d'accès, backups) ; in transit = TLS/IPSec/SSH ; in use = contrôle d'accès, audit et secure enclaves (la donnée y est en clair).
Points essentiels à retenir
- 3 états : at rest (chiffrement, accès, backups), in transit (TLS/IPSec/SSH), in use (le plus dur).
- Link encryption chiffre le routage (traffic confidentiality) ; end-to-end protège le contenu.
- Data in use → secure enclaves + contrôle d'accès + audit + non-répudiation.
- TLS oui, SSL non ; e-mail non sûr par défaut (PGP/S-MIME).
Baselines, scoping/tailoring, DLP et conformité
Prérequis : Modules 1 et 6 (classification, états des données, notion de contrôle).
Comment passer d'un catalogue de contrôles générique à un dispositif adapté à SON organisation ? Par les baselines (niveau minimum de protection) puis par scoping et tailoring. Ce module couvre aussi les technologies qui font respecter ces choix - DLP, DRM, CASB - et les standards de conformité à connaître.
Le piège le plus testé : scoping retire des contrôles non applicables, tailoring ajuste les contrôles restants au contexte. Confondre les deux est une erreur classique d'examen.
7.1 Types de contrôles et défense en profondeur
Pour protéger les actifs, on combine trois grands types de contrôles. Les contrôles administratifs sont les politiques, procédures, standards et formations - le cadre humain et organisationnel. Les contrôles techniques (ou logiques) sont mis en oeuvre par la technologie : chiffrement, contrôle d'accès, DLP, journalisation. Les contrôles physiques protègent l'environnement : serrures, badges, caméras, contrôles environnementaux.
Les contrôles se rangent aussi par mode d'action (preventive, detective, corrective, deterrent, recovery, compensating), mais cette catégorisation n'est pas absolue : un même contrôle peut relever de plusieurs catégories selon son implémentation.
Le point clé pour la sécurité des actifs : s'appuyer sur un seul type ou une seule catégorie de contrôle, c'est créer un single point of failure. En combinant plusieurs types et catégories, on force l'attaquant à préparer plusieurs voies d'attaque au lieu d'une seule - c'est le principe de defense in depth, qui dissuade, ralentit et augmente les chances de détecter une attaque.
- 3 types : administratif (politiques), technique/logique (chiffrement, DLP), physique (badges).
- Un seul type de contrôle = single point of failure.
- Combiner types et catégories = defense in depth (dissuade, ralentit, détecte).
7.2 Baselines : le minimum de référence
Une baseline de sécurité est un niveau minimum de protection servant de point de référence. Elle garantit que toute évolution de la technologie ou de l'architecture reste au-dessus d'un seuil compris et accepté. Une fois les contrôles en place, tout se mesure par rapport à la baseline.
Les baselines se déclinent par niveau de classification. Si l'on classe en high, medium, low, on définit une baseline pour chacun : par exemple, niveau high = mots de passe forts + NDA + chiffrement symétrique 128 bits pour création, stockage et transmission + watermark + monitoring temps réel ; niveau low = simple processus d'accès approuvé par l'owner, pas de chiffrement, pas de labeling, pas de monitoring. Les baselines peuvent aussi être techniques (la configuration minimale d'une machine Windows avant raccordement au réseau) ou non techniques (port du badge, escorte des visiteurs). En résumé : une baseline est un point de référence cohérent, qui définit le minimum requis et se décline en configurations par architecture.
- Baseline = niveau minimum de protection servant de référence.
- Une baseline par niveau de classification (high/medium/low).
- Baselines techniques (config) et non techniques (badge, escorte).
7.3 Scoping et tailoring
On adopte rarement un framework tel quel : on le scope et on le tailore pour son contexte. Ces deux opérations sont distinctes et fréquemment confondues à l'examen.
Scoping : c'est le processus consistant à déterminer quels contrôles s'appliquent et à quels actifs, en retirant de la baseline générale les recommandations qui ne s'appliquent pas. Plusieurs considérations influencent l'application des contrôles ; le plan de sécurité du système doit identifier clairement les contrôles ayant fait l'objet d'un scoping et décrire les décisions prises, validées par l'autorité d'homologation (authorizing official).
Tailoring : c'est le processus consistant à modifier l'ensemble des contrôles pour qu'il colle aux caractéristiques et exigences spécifiques de l'organisation. Cela donne plus de flexibilité et évite des approches coûteuses ou inutilement complexes. Formellement, le tailoring inclut l'application du scoping, la spécification de contrôles compensatoires si nécessaire, et la définition de paramètres organisationnels. À retenir : scoping RETIRE ce qui ne s'applique pas, tailoring AJUSTE ce qui reste.
- Scoping = retirer les contrôles baseline non applicables.
- Tailoring = ajuster/modifier les contrôles restants au contexte (+ compensatoires).
- Le système security plan documente les décisions de scoping, validées par l'authorizing official.
7.4 DLP, DRM et CASB
Le Data Loss Prevention (DLP) regroupe les contrôles assurant que certaines données restent conformes aux politiques. Il repose sur trois composants : discovery & classification (cartographier et classer automatiquement les données), monitoring (surveiller l'usage à travers les emplacements et plateformes, fonction clé), enforcement (interroger la donnée et comparer son emplacement, usage ou destination aux politiques, puis alerter, journaliser, bloquer, rerouter ou chiffrer). Le DLP dépend fortement d'une identification fiable de la donnée : sans discovery, classification et labeling préalables, il est beaucoup plus difficile à exploiter. C'est l'une des rares technologies efficaces contre l'insider threat.
Trois topologies de déploiement, alignées sur les états : Data in Motion (network/gateway DLP, près de la passerelle, surveille HTTP/HTTPS/SMTP/FTP), Data at Rest (storage DLP, là où la donnée est stockée), Data in Use (endpoint/client DLP, sur les postes). Le DRM (Digital Rights Management) chiffre la donnée dans le fichier lui-même (format-preserving) et contrôle son usage, sa modification et sa distribution tout au long de la vie de la propriété intellectuelle ; si le DLP ne s'intègre pas au DRM, il ne peut pas lire les fichiers protégés. Enfin, le CASB (Cloud Access Security Broker) est un point de contrôle entre le consommateur cloud (CSC) et le fournisseur (CSP) ; il assure quatre fonctions - visibility, data security, threat protection, compliance - et se déploie en forward proxy, reverse proxy ou via API.
- DLP = discovery/classification + monitoring + enforcement ; efficace contre l'insider threat.
- Topologies DLP : DIM (network), DAR (storage), DIU (endpoint).
- DRM chiffre dans le fichier ; CASB = point de contrôle CSC↔CSP, 4 fonctions, proxy/API.
7.5 Sélection des standards de conformité
Les organisations adoptent des standards (parfois appelés frameworks) pour structurer leur posture de sécurité, comprendre les contrôles de baseline et évaluer leur maturité. Selon l'activité, certains sont obligatoires (loi ou règlement) : PCI DSS pour les données de carte, HIPAA pour la santé, GDPR pour les données personnelles européennes. Côté frameworks de pilotage : NIST SP 800-37 (Risk Management Framework), NIST Cybersecurity Framework, NIST SP 800-53 (catalogue de contrôles), ISO 27001/27002 (SMSI), sans oublier des entités comme l'ENISA ou l'ITU.
Le professionnel doit connaître ce paysage et savoir que les exigences contractuelles ou légales peuvent dicter directement un contrôle (PCI DSS impose le chiffrement des données de carte, par exemple). On adopte rarement un framework intégralement : on en implémente des parties via scoping et tailoring, pour cibler les risques réellement pertinents sans gaspiller. La logique d'ensemble du Domaine 2 boucle ici : classer pour connaître la valeur, choisir une baseline selon cette valeur, scoper et tailorer pour l'adapter, et faire respecter le tout par les bons contrôles techniques et de conformité.
- Certains standards sont obligatoires (PCI DSS, HIPAA, GDPR), d'autres de pilotage (NIST RMF/CSF, ISO 27001).
- Une exigence légale/contractuelle peut dicter directement un contrôle (ex : chiffrement PCI DSS).
- On implémente des parties via scoping et tailoring, pas le framework entier.
Cas d'étude
Cambridge Analytica / Facebook : la donnée échappée
Contexte : En 2018, le scandale Cambridge Analytica révèle l'exploitation non autorisée des données d'environ 87 millions d'utilisateurs Facebook, collectées via une app tierce ('This Is Your Digital Life') et utilisées pour du profilage psychographique à visée politique. Facebook est critiqué pour des mesures de protection insuffisantes et un contrôle laxiste des apps tierces.
Question : Quels contrôles de sécurité des données auraient limité l'incident ?
Voir l'analyse et la correction
Plusieurs leviers du Domaine 2 ont fait défaut. Gestion des exigences : un processus de vetting plus strict des apps tierces, avec audits réguliers de conformité. Restrictions de sécurité : appliquer le principe de least privilege en limitant les types et le volume de données accessibles aux apps tierces, via des modèles de permissions granulaires. Rétention et possession : des politiques de cycle de vie rigoureuses, avec durées de rétention définies et suppression sécurisée - les données inutiles auraient dû être détruites, réduisant la surface d'exposition. Catégorisation et ownership : catégoriser la donnée selon sa sensibilité et définir clairement propriété et usages permis aurait ajouté des couches de protection contre le détournement par des tiers.
La leçon transverse : la sécurité des actifs ne s'arrête pas à la collecte ; elle se joue sur tout le cycle de vie, jusqu'à la destruction, et dans la maîtrise des relations tierces.
À retenir : Least privilege sur les tiers, rétention minimale + suppression sûre, ownership et catégorisation claires : la donnée non détruite est une donnée à risque.
Cas d'école : sécuriser de bout en bout les données d'un projet multi-parties
Contexte : Un consortium industriel développe un système complexe avec plusieurs sous-traitants internationaux et un hébergement cloud partagé. En tant que professionnel de sécurité, vous devez bâtir la stratégie de sécurité des actifs de bout en bout - de l'identification à la destruction - et l'étendre aux tiers.
Question : Quelle démarche complète appliquer, quels topics du Domaine 2 sont mobilisés, et quels sont les éléments d'apprentissage clés ?
Voir l'analyse et la correction
Topics traités (tout le Domaine 2) : (1) inventaire et identification des actifs via CMDB et ITAM ; (2) classification (axe accès) et categorization (axe impact) ; (3) ownership - owner accountable, custodian exécute, controller/processor sous GDPR ; (4) cycle de vie des données (Create, Store, Use, Share, Archive, Destroy) avec contrôles par phase ; (5) états de la donnée (at rest, in transit, in use) et chiffrement (link vs end-to-end) ; (6) rétention (minimums/maximums) et destruction défendable (degaussing, crypto-shredding, NIST SP 800-88) ; (7) baselines scopées et tailorées ; (8) DLP, DRM et CASB ; (9) conformité (PCI DSS, HIPAA, GDPR) et assurance tierce (SOC 1/2, BAA, supply chain).
Démarche : inventorier puis classer et catégoriser les actifs ; assigner owners et rôles ; appliquer une baseline par niveau, scopée et tailorée ; protéger chaque état par le bon contrôle ; piloter rétention et destruction de façon défendable et tracée ; encadrer les tiers par des clauses contractuelles, un droit d'audit, des rapports SOC et des BAA. La politique unique est partagée avec toutes les parties qui doivent s'y conformer, appliquée et monitorée.
À retenir : Éléments d'apprentissage clés : classer avant de protéger ; l'owner reste accountable (non délégable) ; un contrôle par état ; degaussing inefficace sur SSD ; scoping retire / tailoring ajuste ; la sécurité des actifs s'étend à la supply chain (SOC, BAA).
Scoping (retirer) vs tailoring (ajuster)
Scoping = retirer de la baseline les contrôles qui ne s'appliquent pas. Tailoring = modifier/ajuster les contrôles retenus au contexte (et ajouter des compensatoires). 'Limiter en retirant ce qui ne s'applique pas' → scoping.
DLP ≠ DRM ≠ CASB
DLP empêche la fuite de données (discovery/monitoring/enforcement). DRM contrôle l'usage de la propriété intellectuelle en chiffrant dans le fichier. CASB est le point de contrôle entre consommateur et fournisseur cloud. Ne les confondez pas.
Point de contrôle — Baselines, scoping et DLP
-
Quelle définition correspond au scoping ?
- A Modifier les baselines pour qu'elles s'appliquent plus spécifiquement
- B Limiter les recommandations de baseline en retirant celles qui ne s'appliquent pas
- C Ajouter des contrôles compensatoires partout
- D Chiffrer toutes les données au repos
Réponse & justification
Réponse : B — Limiter les recommandations de baseline en retirant celles qui ne s'appliquent pas
Scoping = retirer de la baseline les contrôles non applicables. La réponse A décrit le tailoring (modification/ajustement).
-
Quels sont les trois composants fonctionnels d'une solution DLP ?
- A Chiffrement, hachage, signature
- B Discovery & classification, monitoring, enforcement
- C Forward proxy, reverse proxy, API
- D Clearing, purging, destruction
Réponse & justification
Réponse : B — Discovery & classification, monitoring, enforcement
Le DLP repose sur discovery & classification, monitoring (fonction clé) et enforcement. Les proxies décrivent un CASB.
-
Une organisation veut un point de contrôle centralisé entre ses utilisateurs et plusieurs services cloud (visibilité, sécurité des données, conformité). Quelle technologie ?
- A DRM
- B CASB
- C Degaussing
- D RAID
Réponse & justification
Réponse : B — CASB
Le CASB s'intercale entre CSC et CSP et assure visibility, data security, threat protection et compliance.
-
Quel standard impose contractuellement le chiffrement des données de carte de paiement ?
- A HIPAA
- B PCI DSS
- C FERPA
- D ISO 19770
Réponse & justification
Réponse : B — PCI DSS
PCI DSS est une exigence contractuelle qui impose, entre autres, le chiffrement des données de carte.
-
Pourquoi ne faut-il pas s'appuyer sur un seul type de contrôle pour protéger un actif ?
- A Parce que c'est plus coûteux
- B Parce que cela crée un single point of failure
- C Parce que la loi l'interdit
- D Parce que les contrôles techniques sont toujours suffisants
Réponse & justification
Réponse : B — Parce que cela crée un single point of failure
Un seul type ou une seule catégorie de contrôle = single point of failure. Combiner administratif, technique et physique = defense in depth.
Points essentiels à retenir
- Baseline = minimum de référence, déclinée par niveau de classification.
- Scoping RETIRE les contrôles non applicables ; tailoring AJUSTE les restants.
- DLP (discovery/monitoring/enforcement, topologies DIM/DAR/DIU) vs DRM vs CASB.
- Conformité : PCI DSS/HIPAA/GDPR obligatoires ; NIST RMF/CSF, ISO 27001 pour piloter.
Synthèse du domaine
La sécurité des actifs distingue deux formes d'actifs informationnels : les actifs intangibles (idées, données, connaissances) et les actifs tangibles (matériel, logiciel, supports) qui les enregistrent et les transportent. Deux cycles de vie cadrent la pratique : le cycle de gestion des actifs IT (Plan, Acquire, Deploy, Manage, Retire) et le cycle de vie des données (Create, Store, Use, Share, Archive, Destroy).
La logique d'ensemble est cumulative : on classe pour reconnaître la valeur et la sensibilité, on catégorise pour mesurer l'impact, puis on dérive les contrôles que due care et due diligence imposent, à appliquer dans les trois états de la donnée (at rest, in transit, in use). L'inventaire et l'attribution d'un owner accountable forment le socle ; les baselines, scopées et tailorées, fixent le minimum de protection par niveau ; la rétention maîtrisée et la destruction défendable bornent la fin de vie. Enfin, la conformité (PCI DSS, HIPAA, GDPR) et la maîtrise des relations tierces (rapports SOC, supply chain) étendent la protection au-delà du périmètre interne.
Glossaire (Terms & Definitions)
Les termes-clés du Domaine 2, à maîtriser en anglais pour l'examen.
| Terme | Définition |
|---|---|
| Asset | Tout bien ayant de la valeur pour une organisation, tangible (systèmes, biens physiques) ou intangible (propriété intellectuelle). |
| Accountability | Garantie qu'on peut tracer une action jusqu'à un responsable identifié et que seuls les utilisateurs autorisés accèdent au système correctement. |
| Responsibility | Obligation d'accomplir une tâche : elle peut être déléguée (contrairement à l'accountability). |
| Inventory | Liste complète et exhaustive des actifs détenus par l'organisation. |
| Recovery | Processus traitant conjointement la résilience métier et la restauration des infrastructures et fonctions critiques après une interruption. |
| Classification | Reconnaissance des impacts pour l'organisation si la confidentialité, l'intégrité, la disponibilité ou la vie privée de l'information est compromise. |
| Categorization | Regroupement des données ayant des sensibilités comparables (impact ou perte) et des besoins de sécurité similaires imposés par la loi ou les contrats. |
| Data Classification Levels | Échelle de sensibilité (ex. public, interne, confidentiel, restreint/secret) déterminant les contrôles applicables à chaque niveau. |
| Baseline | Configuration de sécurité documentée représentant le niveau minimal autorisé par une norme ou l'organisation. |
| Scoping | Limitation des recommandations d'une baseline en retirant celles qui ne s'appliquent pas au contexte. |
| Tailoring | Adaptation d'une baseline de contrôles via le scoping, l'ajout de contrôles compensatoires et la définition de paramètres propres à l'organisation. |
| Supplementation | Ajout de contrôles supplémentaires à une baseline pour couvrir des risques spécifiques non traités par défaut. |
| Clearing | Effacement des données sensibles d'un support de sorte qu'elles ne soient pas reconstructibles par les fonctions normales du système ou des utilitaires de récupération. |
| Purging | Suppression des données sensibles d'un support avec l'intention qu'elles ne puissent être reconstruites par aucune technique connue. |
| Degaussing | Application d'un champ magnétique intense effaçant les données des supports magnétiques (disques durs, bandes) : inefficace sur les SSD. |
| Crypto-shredding | Destruction des clés de chiffrement rendant les données chiffrées définitivement illisibles (crypto-erase). |
| Defensible Destruction | Élimination des données de manière contrôlée, juridiquement défendable et conforme à la réglementation. |
| Media Sanitization | Processus de retrait des données d'un support selon NIST SP 800-88 (Clear, Purge, Destroy), choisi en fonction de la sensibilité. |
| Data Remanence | Données résiduelles subsistant sur un support après un effacement nominal, source de fuite si la sanitisation est insuffisante. |
| Data Owner | Personne responsable (accountable) de la classification, de la protection et de l'usage d'un actif informationnel : rôle non délégable. |
| Data Custodian | Personne gérant au quotidien les permissions et la protection d'un actif selon les instructions du data owner. |
| Data Controller | Entité (RGPD) qui détermine les finalités et moyens du traitement des données personnelles : responsable légal du traitement. |
| Data Processor | Entité (RGPD) qui traite les données personnelles pour le compte et sur instruction du data controller. |
| Data Steward | Responsable de la qualité, de la cohérence et du bon usage métier des données conformément aux règles de gouvernance. |
| Data Subject | Personne physique identifiée ou identifiable à laquelle se rapportent les données personnelles. |
| PII | Personally Identifiable Information : toute donnée permettant d'identifier directement ou indirectement une personne. |
| PHI | Protected Health Information : données de santé identifiables protégées notamment par HIPAA aux États-Unis. |
| Cardholder Data (PCI) | Données de porteur de carte (PAN, date, code) protégées par la norme PCI DSS. |
| Sensitive Data | Donnée dont la divulgation, l'altération ou la perte cause un préjudice : exige des contrôles renforcés. |
| Need-to-Know | Principe limitant l'accès aux seules informations strictement nécessaires à la tâche d'un individu. |
| Data States | Les trois états de la donnée : at rest (stockée), in transit/in motion (transmise) et in use (en mémoire/traitement). |
| Data at Rest | Donnée stockée sur un support (disque, base, sauvegarde) : protégée principalement par le chiffrement at rest. |
| Data in Transit | Donnée en cours de transmission sur un réseau : protégée par TLS/IPsec et le chiffrement de transport. |
| Data in Use | Donnée chargée en mémoire ou en cours de traitement : protégée par le contrôle d'accès, l'isolation et le confidential computing. |
| Encryption at Rest | Chiffrement des données stockées (FDE, TDE, chiffrement objet) pour les protéger en cas de vol du support. |
| Data Lifecycle | Cycle de vie de la donnée : création, stockage, utilisation, partage, archivage et destruction. |
| Information Lifecycle Management | Gestion des politiques appliquées à l'information à chaque phase de son cycle de vie selon sa valeur. |
| IT Asset Management Lifecycle | Cycle de vie de gestion des actifs IT (acquisition, déploiement, maintenance, retrait) influençant la classification. |
| Data Retention | Durée pendant laquelle les données doivent être conservées avant suppression, dictée par la loi et le métier. |
| Record Retention | Politiques de conservation et de destruction programmée des enregistrements pour la conformité légale. |
| End-of-Life (EOL) | Fin de commercialisation d'un produit matériel ou logiciel par le fournisseur. |
| End-of-Support (EOS) | Fin des correctifs et du support fournisseur : un actif EOS devient une vulnérabilité non corrigeable. |
| Data Sovereignty | Principe selon lequel les données sont soumises aux lois du pays où elles sont physiquement stockées. |
| Data Residency | Exigence définissant l'emplacement géographique où les données doivent résider. |
| Data Localization | Obligation légale de stocker et traiter certaines données à l'intérieur des frontières d'un pays. |
| GDPR | General Data Protection Regulation : règlement européen sur la protection des données personnelles, avec sanctions et droits des personnes. |
| De-identification / Tokenization | Retrait ou substitution des identifiants directs : la tokenization remplace une valeur sensible par un jeton non réversible sans table de correspondance. |
| Anonymization | Transformation irréversible empêchant toute ré-identification : sort les données du champ des données personnelles. |
| Pseudonymization | Remplacement des identifiants par des pseudonymes réversibles via une clé conservée séparément (RGPD). |
| Data Masking | Masquage des valeurs sensibles (caractères cachés ou substitués) tout en préservant le format pour l'usage non productif. |
| Watermarking | Insertion d'une marque visible ou invisible dans un contenu pour tracer la source d'une fuite ou prouver la propriété. |
| DLP | Data Loss Prevention : technologie détectant et bloquant l'exfiltration de données sensibles selon leur classification. |
| DRM | Digital Rights Management : contrôles techniques restreignant l'usage, la copie et la diffusion de contenus protégés. |
| CASB | Cloud Access Security Broker : point d'application des politiques de sécurité entre utilisateurs et services cloud. |
| CMDB | Configuration Management Database : référentiel des configuration items et de leurs relations. |
| Configuration Item | Composant identifié et géré sous contrôle de configuration (matériel, logiciel, service) suivi dans la CMDB. |
| ITAM | IT Asset Management : gestion du cycle de vie financier, contractuel et inventaire des actifs IT. |
| Asset Inventory | Recensement à jour de tous les actifs matériels et logiciels, socle de la gestion et de la sécurité des actifs. |
| Hardware Asset | Actif physique (serveur, poste, équipement réseau, support de stockage) à inventorier et protéger. |
| Software Asset | Actif logiciel (applications, licences) géré pour la conformité de licence et la posture de sécurité. |
| Provenance / Lineage | Traçabilité de l'origine et des transformations successives d'une donnée à travers ses traitements. |
| Golden Record / MDM | Master Data Management : enregistrement unique et faisant autorité consolidant les données de référence. |
| Data Audit | Examen vérifiant la classification, l'accès, la conformité et l'usage des données par rapport aux politiques. |
| Qualitative | Mesure sans chiffres, à l'aide d'adjectifs, d'échelles ou de niveaux (faible/moyen/élevé). |
| Quantitative | Mesure à l'aide de nombres, généralement des valeurs monétaires (ex. SLE, ALE). |
Points essentiels du domaine
Ce qu'il faut absolument retenir
- Les actifs se protègent sur tout leur cycle de vie, de la création à la destruction, par des contrôles techniques, physiques et administratifs.
- Identifier et classer les actifs est l'étape fondatrice : on ne protège bien que ce dont on connaît la valeur, la sensibilité et la criticité.
- Classification = accès/confidentialité ; categorization = impact (FIPS 199) ; une classification n'est pas un label.
- L'owner décide et reste accountable ; le custodian exécute ; le controller est accountable, le processor non.
- Les contrôles se choisissent par état de la donnée (at rest, in transit, in use) et se combinent en defense in depth pour éviter tout single point of failure.
- Rétention équilibrée (minimums légaux, maximums par minimisation) et destruction défendable adaptée au support (degaussing magnétique, crypto-shredding pour SSD, NIST SP 800-88).
- Les baselines se scopent et se tailorent ; la conformité (PCI DSS, HIPAA, GDPR) et les relations tierces (SOC, supply chain) prolongent la sécurité au-delà du périmètre interne.