Objectifs du CBK (ISC)²
Les 6 domaines d'apprentissage officiels du Domaine 2. Cliquez un objectif pour le détail.
Identifier et classer l'information et les actifs
Inventorier les actifs (information, systèmes, supports) et leur attribuer un niveau de classification selon leur sensibilité et leur criticité. La classification pilote tous les contrôles ultérieurs : les protections suivent la classification, jamais l'inverse.
Points clés
- Classification (sensibilité) vs categorization (par impact/type)
- Schémas militaire (Top Secret/Secret/Confidential) et privé (Confidential/Private/Public)
- Le data owner décide de la classification ; le custodian l'applique
Établir les exigences de manipulation des actifs
Définir comment marquer (marking), étiqueter (labeling), stocker, transporter et détruire les actifs selon leur classification. Le marking est humainement visible ; le label est une métadonnée exploitable par les systèmes pour l'enforcement.
Points clés
- Marking (humain) vs labeling (métadonnée d'enforcement)
- Handling : stockage, transport, accès selon la sensibilité
- Déclassification et fin de vie encadrées
Provisionner les ressources de façon sécurisée
Gérer le cycle de vie des actifs (IT Asset Management) : inventaire, acquisition, déploiement, maintenance, retrait. Définir clairement les rôles : l'owner est accountable, le custodian exécute, l'inventaire (ITAM/CMDB) reste la source de vérité.
Points clés
- IT Asset Management Life Cycle (de l'acquisition au retrait)
- Inventaire ITAM / CMDB = source de vérité
- Owner accountable, custodian exécute, controller vs processor
Gérer le cycle de vie des données
Suivre la donnée de sa création à sa destruction : create, store, use, share, archive, destroy. À chaque phase, des contrôles adaptés et des rôles définis (owner, custodian, controller, processor, subject) garantissent la protection et la conformité.
Points clés
- Data Security Life Cycle : 6 phases create -> destroy
- Rôles GDPR/NIST : controller, processor, owner, custodian, subject
- Localisation, collecte et maintenance des données
Assurer une rétention appropriée des actifs
Conserver les données ni trop longtemps (risque, coût, exposition légale) ni trop peu (obligations légales, métier). Gérer la fin de vie (EOL) et la fin de support (EOS) du matériel et des logiciels, et la rémanence des données lors de la destruction.
Points clés
- Politique de rétention : équilibre légal/métier/risque
- EOL vs EOS du matériel et des logiciels
- Data remanence : Delete < Clear < Purge < Destroy
Déterminer les contrôles de sécurité et la conformité des données
Choisir les contrôles à partir d'une baseline (minimum de référence), puis l'ajuster par scoping (retirer le non pertinent) et tailoring (adapter au contexte). Protéger la donnée dans ses trois états (at rest, in transit, in use) et outiller la conformité (DLP, DRM, CASB).
Points clés
- Baseline puis scoping & tailoring
- Protéger les 3 états : at rest, in transit, in use
- DLP, DRM, CASB ; standards de conformité
Concepts clés
Classification des données
Critères : Valeur, Utilité, Âge, Association. Militaire : Top Secret > Secret > Confidential > Sensitive but unclassified > Unclassified. Privé : Sensitive > Confidential > Private > Public.
Classification vs categorization
La classification porte sur l'ACCÈS : marquer l'information pour que seuls les niveaux de clearance adéquats y accèdent. La categorization porte sur l'IMPACT : évaluer l'effet d'une perte de confidentialité, intégrité ou disponibilité (faible/moyen/élevé). Références de categorization : NIST SP 800-60 et FIPS 199.
Actifs tangibles et intangibles
Un actif tangible est physique (serveur, disque, bâtiment, le support qui stocke l'information). Un actif intangible est immatériel : l'information elle-même, la propriété intellectuelle, un savoir tacit non couché par écrit. Le support est tangible, la donnée qu'il porte est intangible : les deux ont une valeur à protéger.
Inventaire des actifs, CMDB, ITAM
L'inventaire recense tous les actifs physiques et virtuels : matériel, logiciel, données. La CMDB (Configuration Management Database) trace ce que l'on possède ET sa configuration, et sert de point de restauration. ITAM (IT Asset Management) gouverne le cycle complet matériel/logiciel/données ; ISO/IEC 19770 en est la norme.
Cycle de vie d'un actif IT (plan → retire)
Cycle de gestion d'un actif IT : planifier (plan) → acquérir (acquire/procure) → déployer (deploy) → exploiter et maintenir (operate/maintain) → mettre à jour (upgrade) → retirer et éliminer (retire/dispose). À chaque étape : marquage, contrôles et, en fin de vie, sanitization avant réutilisation ou destruction.
Cycle de vie de la donnée (CSUSAD)
Six phases : Create (création/acquisition, où s'appliquent privacy by design et classification), Store (stockage, contrôles physiques et logiques), Use (traitement, le moment le plus exposé), Share (partage), Archive (rétention), Destroy (destruction sécurisée). Mnémonique CSUSAD.
Rôles GDPR de la donnée personnelle
Data Subject (personne concernée). Controller : décide finalités et moyens du traitement, légalement responsable et imputable. Processor : traite pour le compte du controller, PAS d'imputabilité légale propre. Data Steward (contenu/contexte/qualité), Data Custodian (garde, transport, stockage, protection technique), DPO (interface conformité/autorités). L'owner reste accountable de la classification et de la destruction.
Localisation et data localization
Avec le cloud, savoir OÙ résident les données devient critique. Des lois de data localization imposent que certaines données restent dans une juridiction donnée, soient stockées, traitées ou consultées localement. Le praticien doit cartographier les emplacements et interconnexions des types de données vitales, et gérer les clés de chiffrement en conséquence.
Marquage et étiquetage
Le support doit porter une étiquette physique indiquant la sensibilité, si le contenu est chiffré, un point de contact et la période de rétention. Idéalement le système applique les labels, ce qui n'arrive en pratique qu'en MAC ; en DAC les labels ne sont pas appliqués uniformément et peuvent se perdre lors des transferts. Règle clé : tout média trouvé SANS étiquette est traité au plus haut niveau de sensibilité jusqu'à analyse.
Déclassification
Abaisser la classification d'un actif à un niveau de sensibilité inférieur ; marquage, manipulation et stockage sont ajustés en conséquence. Le data owner y joue un rôle central. Peut s'appuyer sur des techniques d'obfuscation : de-identification (anonymisation) ou tokenization (remplacement par des jetons sans valeur exploitable).
Rétention : minimums et maximums
Conserver la donnée seulement le temps requis. Il existe des minimums (ex. la finance impose 7 ans) imposés par la loi, le contrat ou la réglementation, et des maximums au-delà desquels conserver devient un risque (exposition, coût, non-conformité). Erreur classique : prendre la rétention la plus longue et l'appliquer partout. Sans exigence externe, l'organisation fixe sa propre politique selon le besoin métier.
Scoping vs tailoring
On adopte un framework (NIST SP 800, ISO 27001) puis on l'adapte. Scoping : décider quels contrôles s'appliquent et à quels actifs (on RETIRE les contrôles non pertinents) ; à approuver par l'authorizing official. Tailoring : AJUSTER l'ensemble de contrôles aux caractéristiques et besoins de l'organisation pour éviter des approches coûteuses ou trop complexes.
Baselines et standards selection
Une baseline est le minimum de contrôles à appliquer ; elle dérive d'un framework retenu. La sélection de standards est souvent imposée par lois, réglementations, contrats ou exigences de marché : NIST SP 800-37 RMF, NIST CSF, PCI-DSS, HIPAA, GDPR, US DoDI RMF. L'organisation établit sa baseline puis la scope et la tailor.
DLP : composants et topologies
Le DLP (Data Loss Prevention) empêche la perte ou l'accès non autorisé aux données sensibles. Trois composants : découverte/classification des données, moteur de politiques (inspection et règles), application/remédiation (bloquer, chiffrer, alerter). Trois topologies selon l'état : Data In Motion (DIM, sur le réseau), Data At Rest (DAR, sur les stockages) et Data In Use (DIU, sur l'endpoint).
DRM vs DLP
DRM (Digital Rights Management) : outils et processus contrôlant l'USAGE, la modification et la distribution de la propriété intellectuelle sur tout son cycle de vie. DLP : technologies et pratiques garantissant que la donnée sensible n'est ni perdue ni consultée par des parties non autorisées. DRM protège des droits d'usage ; DLP empêche la fuite.
CASB : 4 fonctions
Le CASB (Cloud Access Security Broker) est un point de contrôle centralisé entre le client cloud (CSC) et le fournisseur (CSP). Quatre fonctions : Visibilité, Sécurité des données, Protection contre les menaces, Conformité. Déploiement en forward proxy, reverse proxy ou via API.
Data in use et secure enclaves
Data in use = donnée en cours de traitement, d'analyse ou de partage : elle est en clair (plaintext), donc l'état le plus difficile à protéger. On la borne par contrôles d'accès, DLP et DRM, et par des secure enclaves (zones d'exécution isolées et chiffrées en mémoire) qui maintiennent la confidentialité pendant le calcul.
Chiffrement link vs end-to-end
Link encryption : chiffre tout le trafic (charge utile ET en-têtes) saut par saut ; déchiffré et rechiffré à chaque nœud, donc en clair dans les équipements intermédiaires. End-to-end : chiffre seulement la charge utile de la source à la destination, les en-têtes restent visibles pour le routage mais le contenu n'est jamais en clair en transit. Le DIM s'appuie sur TLS, IPSec, PGP, S/MIME, VPN.
Rôles data
Data Owner (décide classification, destruction), Data Custodian (applique contrôles au quotidien, sauvegardes), System Owner (baseline sécurité), Administrator (permissions), End User (respecte politiques).
Trois états des données
At Rest (chiffrement AES), In Motion (TLS/HTTPS), In Use (scoping & tailoring des contrôles).
Rémanence et destruction
Sanitizing (complet), Degaussing (magnétique, irrécupérable), Erasing (logiciel), Overwriting/Shredding, Zero fill, Destruction physique, Encryption. La rémanence est la trace résiduelle laissée après une suppression incomplète ; supprimer un fichier ne retire pas les données du support, seul le répertoire est marqué libre.
Clearing, purging, destruction
Trois niveaux croissants de sanitization (NIST SP 800-88). Clearing : écraser avec des motifs aléatoires (clobbering/zeroizing) ; un bloc manqué peut rester récupérable, et la donnée reste sur le même environnement. Purging : éliminer les traces physiques résiduelles, résiste à une récupération en labo (ex. degaussing pour média magnétique). Destruction : broyage, incinération, pulvérisation, acide ; remède ultime à la rémanence.
Politiques, standards, guidelines
Regulatory (obligatoire), Advisory (recommandée), Informative (guidance). Baseline = minimum. Procedures = étapes concrètes.
Frameworks & standards
| Framework | Rôle |
|---|---|
| NIST SP 800-88 | Guidelines pour sanitization et rémanence (clearing, purging, destruction). |
| NIST SP 800-145 | Standards cloud computing. |
| NIST SP 800-60 | Guide de categorization : associer un type d'information à un niveau d'impact. |
| FIPS 199 | Catégorise les systèmes par impact (low/moderate/high) sur C, I, A. |
| NIST SP 800-53 | Catalogue de contrôles de sécurité et de confidentialité ; base de baselines à scope/tailor. |
| NIST SP 800-37 (RMF) | Risk Management Framework : catégoriser, sélectionner, implémenter, évaluer, autoriser, surveiller. |
| NIST CSF | Cybersecurity Framework : Identify, Protect, Detect, Respond, Recover. |
| ISO/IEC 27001 / 27002 | 27001 : exigences d'un ISMS certifiable ; 27002 : code de pratique des contrôles. |
| ISO/IEC 19770 | Norme de gestion des actifs IT (ITAM) : processus et données de gouvernance. |
| PCI-DSS | Standard de protection des données de cartes de paiement (chiffrement, périmètre). |
| GDPR | Règlement UE sur les données personnelles : rôles controller/processor/DPO, droits du subject. |
| HIPAA | Protège les données de santé (PHI/EPHI) aux États-Unis. |
| FIPS | Federal Information Processing Standards. |
Acronymes
| Sigle | Signification |
|---|---|
| AES | Advanced Encryption Standard |
| NIST | National Institute of Standards and Technology |
| FIPS | Federal Information Processing Standards |
| EFS | Encrypting File System |
| ITAM | IT Asset Management (gestion des actifs IT) |
| CMDB | Configuration Management Database |
| DLP | Data Loss Prevention (prévention de fuite de données) |
| DRM | Digital Rights Management (gestion des droits numériques) |
| CASB | Cloud Access Security Broker |
| PII | Personally Identifiable Information (donnée personnelle) |
| PHI | Protected Health Information (donnée de santé protégée) |
| EPHI | Electronic Protected Health Information (PHI électronique) |
| GDPR | General Data Protection Regulation (RGPD) |
| DPO | Data Protection Officer (délégué à la protection des données) |
| HDD | Hard Disk Drive (disque magnétique) |
| SSD | Solid State Drive (mémoire flash) |
| RMF | Risk Management Framework |
| CSF | Cybersecurity Framework |
| MAC | Mandatory Access Control (applique les labels) |
| DAC | Discretionary Access Control (labels non uniformes) |
| TLS | Transport Layer Security |
| IPSec | Internet Protocol Security |
| PGP | Pretty Good Privacy |
| S/MIME | Secure/Multipurpose Internet Mail Extensions |
| VPN | Virtual Private Network |
Mnémotechniques
3 états = 3 contrôles. At rest → chiffrement. In motion → TLS. In use → scoping.
Owner DÉCIDE (classification, destruction). Custodian EXÉCUTE (backups, contrôles au quotidien).
Militaire (décroissant) : Top Secret > Secret > Confidential > Sensitive-but-unclassified > Unclassified.
Degaussing = support MAGNÉTIQUE uniquement (HDD oui, SSD non). SSD → crypto-shredding ou destruction physique.
CSUSAD = Create, Store, Use, Share, Archive, Destroy. Six phases du cycle de vie de la donnée, dans l'ordre.
Scoping = RETIRER les contrôles hors périmètre. Tailoring = AJUSTER ceux qui restent. Scope d'abord, tailor ensuite.
Controller = aCCountable (décide finalités/moyens). Processor = exécute, PAS d'imputabilité légale propre.
Clearing < Purging < Destruction. Plus la sensibilité monte, plus on monte dans l'échelle (NIST 800-88).
Pièges d'examen
Owner ≠ Custodian
Data Owner DÉCIDE ; Data Custodian EXÉCUTE. Piège fréquent à l'examen.
Degaussing ne marche pas sur SSD
Degaussing = support magnétique uniquement. Pour un SSD : destruction physique ou crypto-shredding.
Classification (accès) ≠ Categorization (impact)
Si la question parle de qui peut ACCÉDER et de niveaux de clearance → classification. Si elle parle de l'IMPACT d'une perte de C/I/A (low/moderate/high, NIST 800-60, FIPS 199) → categorization.
Scoping ≠ Tailoring
Scoping = décider quels contrôles s'appliquent (on en retire). Tailoring = ajuster/affiner ceux retenus. L'examen inverse souvent les deux.
Controller imputable, Processor non
Sous GDPR, le data controller détermine finalités et moyens et porte l'imputabilité légale. Le data processor traite pour son compte et n'a pas d'imputabilité légale propre. Ne pas confondre avec owner/custodian.
Clearing < Purging < Destruction
Clearing écrase mais peut laisser des blocs récupérables. Purging résiste à une récupération en labo. Destruction est physique et irréversible. La bonne réponse dépend du niveau de sensibilité et du futur usage du support.
Data in use = plaintext, le plus dur
En traitement, la donnée est en clair en mémoire : c'est l'état le plus difficile à protéger. On s'appuie sur DLP, DRM, contrôles d'accès et secure enclaves, pas sur du chiffrement at-rest classique.
Une classification n'est pas un label
La classification est la décision de niveau de sensibilité ; le label/marking est l'étiquette qui la matérialise sur le support. Média trouvé SANS étiquette → traité au plus haut niveau jusqu'à analyse.
L'accountability ne se délègue pas
Le data owner peut déléguer l'exécution (au custodian, au processor) mais reste accountable de la classification, de la protection et de la destruction. Déléguer une tâche ne transfère pas la responsabilité finale.
Cas concrets
Rebuter un vieux serveur bancaire
Serveur contenant des données clients. Plan : 1) crypto-shredding (détruire les clés), 2) overwriting multi-passe, 3) destruction physique du disque. Documenter chaque étape dans le registre de chain of custody.
SolarWinds : chaîne d'approvisionnement
Une mise à jour logicielle compromise a propagé une porte dérobée chez des milliers de clients. Leçon D2 : les actifs logiciels et leurs dépendances doivent être inventoriés (ITAM/CMDB), versionnés et leur intégrité vérifiée ; un actif tiers non maîtrisé devient un vecteur de fuite des données qu'il traite.
Cambridge Analytica / Facebook
Des données personnelles collectées pour une finalité ont été réutilisées à d'autres fins, sans base légale ni limitation d'usage. Leçon D2/GDPR : le controller doit définir et borner la finalité et les moyens, encadrer le processor par un contrat de traitement, et respecter use limitation et data minimization.
Dispositifs médicaux d'un hôpital
Des appareils connectés stockent et transmettent du PHI/EPHI. Plan : inventorier chaque dispositif (CMDB), catégoriser sa criticité (FIPS 199), chiffrer DAR et DIM (TLS/IPSec), appliquer la rétention HIPAA, et prévoir une sanitization NIST 800-88 avant maintenance ou réforme.
À retenir en 10 secondes
À retenir en 10 secondes
- Owner décide et reste accountable, Custodian exécute, User respecte.
- Classification = accès ; Categorization = impact (NIST 800-60, FIPS 199).
- Cycle de vie de la donnée : CSUSAD (Create, Store, Use, Share, Archive, Destroy).
- Inventaire + CMDB + ITAM (ISO 19770) pour gouverner les actifs du plan au retrait.
- GDPR : controller imputable, processor exécutant ; DPO comme interface conformité.
- Scoping retire les contrôles hors périmètre, tailoring ajuste ceux retenus à partir d'une baseline.
- 3 états de données = 3 contrôles (AES, TLS/IPSec, DLP/scoping) ; data in use = plaintext, le plus dur.
- Sanitization croissante : clearing < purging < destruction (NIST 800-88).
- Destruction : degaussing magnétique uniquement, destruction physique ou crypto-shredding pour SSD.
- DLP empêche la fuite (DIM/DAR/DIU), DRM contrôle l'usage de la PI, CASB couvre le cloud (4 fonctions).
Quiz du domaine
Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.
🔒 Inscription requise pour les quiz
Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.