Domaine 2 · 10% Poids examen

Sécurité des actifs

Identifier, classer, protéger les données tout au long de leur cycle de vie : création, stockage, transmission, archivage, destruction. Questions d'ownership (propriétaire, custodian, utilisateur) et de rémanence.

Objectifs du CBK (ISC)²

Les 6 domaines d'apprentissage officiels du Domaine 2. Cliquez un objectif pour le détail.

Objectif A

Identifier et classer l'information et les actifs

Diagramme — Identifier et classer l'information et les actifs

Inventorier les actifs (information, systèmes, supports) et leur attribuer un niveau de classification selon leur sensibilité et leur criticité. La classification pilote tous les contrôles ultérieurs : les protections suivent la classification, jamais l'inverse.

Points clés

  • Classification (sensibilité) vs categorization (par impact/type)
  • Schémas militaire (Top Secret/Secret/Confidential) et privé (Confidential/Private/Public)
  • Le data owner décide de la classification ; le custodian l'applique
Objectif B

Établir les exigences de manipulation des actifs

Diagramme — Établir les exigences de manipulation des actifs

Définir comment marquer (marking), étiqueter (labeling), stocker, transporter et détruire les actifs selon leur classification. Le marking est humainement visible ; le label est une métadonnée exploitable par les systèmes pour l'enforcement.

Points clés

  • Marking (humain) vs labeling (métadonnée d'enforcement)
  • Handling : stockage, transport, accès selon la sensibilité
  • Déclassification et fin de vie encadrées
Objectif C

Provisionner les ressources de façon sécurisée

Diagramme — Provisionner les ressources de façon sécurisée

Gérer le cycle de vie des actifs (IT Asset Management) : inventaire, acquisition, déploiement, maintenance, retrait. Définir clairement les rôles : l'owner est accountable, le custodian exécute, l'inventaire (ITAM/CMDB) reste la source de vérité.

Points clés

  • IT Asset Management Life Cycle (de l'acquisition au retrait)
  • Inventaire ITAM / CMDB = source de vérité
  • Owner accountable, custodian exécute, controller vs processor
Objectif D

Gérer le cycle de vie des données

Diagramme — Gérer le cycle de vie des données

Suivre la donnée de sa création à sa destruction : create, store, use, share, archive, destroy. À chaque phase, des contrôles adaptés et des rôles définis (owner, custodian, controller, processor, subject) garantissent la protection et la conformité.

Points clés

  • Data Security Life Cycle : 6 phases create -> destroy
  • Rôles GDPR/NIST : controller, processor, owner, custodian, subject
  • Localisation, collecte et maintenance des données
Objectif E

Assurer une rétention appropriée des actifs

Diagramme — Assurer une rétention appropriée des actifs

Conserver les données ni trop longtemps (risque, coût, exposition légale) ni trop peu (obligations légales, métier). Gérer la fin de vie (EOL) et la fin de support (EOS) du matériel et des logiciels, et la rémanence des données lors de la destruction.

Points clés

  • Politique de rétention : équilibre légal/métier/risque
  • EOL vs EOS du matériel et des logiciels
  • Data remanence : Delete < Clear < Purge < Destroy
Objectif F

Déterminer les contrôles de sécurité et la conformité des données

Diagramme — Déterminer les contrôles de sécurité et la conformité des données

Choisir les contrôles à partir d'une baseline (minimum de référence), puis l'ajuster par scoping (retirer le non pertinent) et tailoring (adapter au contexte). Protéger la donnée dans ses trois états (at rest, in transit, in use) et outiller la conformité (DLP, DRM, CASB).

Points clés

  • Baseline puis scoping & tailoring
  • Protéger les 3 états : at rest, in transit, in use
  • DLP, DRM, CASB ; standards de conformité

Concepts clés

Classification des données

Critères : Valeur, Utilité, Âge, Association. Militaire : Top Secret > Secret > Confidential > Sensitive but unclassified > Unclassified. Privé : Sensitive > Confidential > Private > Public.

Classification vs categorization

La classification porte sur l'ACCÈS : marquer l'information pour que seuls les niveaux de clearance adéquats y accèdent. La categorization porte sur l'IMPACT : évaluer l'effet d'une perte de confidentialité, intégrité ou disponibilité (faible/moyen/élevé). Références de categorization : NIST SP 800-60 et FIPS 199.

Actifs tangibles et intangibles

Un actif tangible est physique (serveur, disque, bâtiment, le support qui stocke l'information). Un actif intangible est immatériel : l'information elle-même, la propriété intellectuelle, un savoir tacit non couché par écrit. Le support est tangible, la donnée qu'il porte est intangible : les deux ont une valeur à protéger.

Inventaire des actifs, CMDB, ITAM

L'inventaire recense tous les actifs physiques et virtuels : matériel, logiciel, données. La CMDB (Configuration Management Database) trace ce que l'on possède ET sa configuration, et sert de point de restauration. ITAM (IT Asset Management) gouverne le cycle complet matériel/logiciel/données ; ISO/IEC 19770 en est la norme.

Cycle de vie d'un actif IT (plan → retire)

Cycle de gestion d'un actif IT : planifier (plan) → acquérir (acquire/procure) → déployer (deploy) → exploiter et maintenir (operate/maintain) → mettre à jour (upgrade) → retirer et éliminer (retire/dispose). À chaque étape : marquage, contrôles et, en fin de vie, sanitization avant réutilisation ou destruction.

Cycle de vie de la donnée (CSUSAD)

Six phases : Create (création/acquisition, où s'appliquent privacy by design et classification), Store (stockage, contrôles physiques et logiques), Use (traitement, le moment le plus exposé), Share (partage), Archive (rétention), Destroy (destruction sécurisée). Mnémonique CSUSAD.

Rôles GDPR de la donnée personnelle

Data Subject (personne concernée). Controller : décide finalités et moyens du traitement, légalement responsable et imputable. Processor : traite pour le compte du controller, PAS d'imputabilité légale propre. Data Steward (contenu/contexte/qualité), Data Custodian (garde, transport, stockage, protection technique), DPO (interface conformité/autorités). L'owner reste accountable de la classification et de la destruction.

Localisation et data localization

Avec le cloud, savoir OÙ résident les données devient critique. Des lois de data localization imposent que certaines données restent dans une juridiction donnée, soient stockées, traitées ou consultées localement. Le praticien doit cartographier les emplacements et interconnexions des types de données vitales, et gérer les clés de chiffrement en conséquence.

Marquage et étiquetage

Le support doit porter une étiquette physique indiquant la sensibilité, si le contenu est chiffré, un point de contact et la période de rétention. Idéalement le système applique les labels, ce qui n'arrive en pratique qu'en MAC ; en DAC les labels ne sont pas appliqués uniformément et peuvent se perdre lors des transferts. Règle clé : tout média trouvé SANS étiquette est traité au plus haut niveau de sensibilité jusqu'à analyse.

Déclassification

Abaisser la classification d'un actif à un niveau de sensibilité inférieur ; marquage, manipulation et stockage sont ajustés en conséquence. Le data owner y joue un rôle central. Peut s'appuyer sur des techniques d'obfuscation : de-identification (anonymisation) ou tokenization (remplacement par des jetons sans valeur exploitable).

Rétention : minimums et maximums

Conserver la donnée seulement le temps requis. Il existe des minimums (ex. la finance impose 7 ans) imposés par la loi, le contrat ou la réglementation, et des maximums au-delà desquels conserver devient un risque (exposition, coût, non-conformité). Erreur classique : prendre la rétention la plus longue et l'appliquer partout. Sans exigence externe, l'organisation fixe sa propre politique selon le besoin métier.

Scoping vs tailoring

On adopte un framework (NIST SP 800, ISO 27001) puis on l'adapte. Scoping : décider quels contrôles s'appliquent et à quels actifs (on RETIRE les contrôles non pertinents) ; à approuver par l'authorizing official. Tailoring : AJUSTER l'ensemble de contrôles aux caractéristiques et besoins de l'organisation pour éviter des approches coûteuses ou trop complexes.

Baselines et standards selection

Une baseline est le minimum de contrôles à appliquer ; elle dérive d'un framework retenu. La sélection de standards est souvent imposée par lois, réglementations, contrats ou exigences de marché : NIST SP 800-37 RMF, NIST CSF, PCI-DSS, HIPAA, GDPR, US DoDI RMF. L'organisation établit sa baseline puis la scope et la tailor.

DLP : composants et topologies

Le DLP (Data Loss Prevention) empêche la perte ou l'accès non autorisé aux données sensibles. Trois composants : découverte/classification des données, moteur de politiques (inspection et règles), application/remédiation (bloquer, chiffrer, alerter). Trois topologies selon l'état : Data In Motion (DIM, sur le réseau), Data At Rest (DAR, sur les stockages) et Data In Use (DIU, sur l'endpoint).

DRM vs DLP

DRM (Digital Rights Management) : outils et processus contrôlant l'USAGE, la modification et la distribution de la propriété intellectuelle sur tout son cycle de vie. DLP : technologies et pratiques garantissant que la donnée sensible n'est ni perdue ni consultée par des parties non autorisées. DRM protège des droits d'usage ; DLP empêche la fuite.

CASB : 4 fonctions

Le CASB (Cloud Access Security Broker) est un point de contrôle centralisé entre le client cloud (CSC) et le fournisseur (CSP). Quatre fonctions : Visibilité, Sécurité des données, Protection contre les menaces, Conformité. Déploiement en forward proxy, reverse proxy ou via API.

Data in use et secure enclaves

Data in use = donnée en cours de traitement, d'analyse ou de partage : elle est en clair (plaintext), donc l'état le plus difficile à protéger. On la borne par contrôles d'accès, DLP et DRM, et par des secure enclaves (zones d'exécution isolées et chiffrées en mémoire) qui maintiennent la confidentialité pendant le calcul.

Chiffrement link vs end-to-end

Link encryption : chiffre tout le trafic (charge utile ET en-têtes) saut par saut ; déchiffré et rechiffré à chaque nœud, donc en clair dans les équipements intermédiaires. End-to-end : chiffre seulement la charge utile de la source à la destination, les en-têtes restent visibles pour le routage mais le contenu n'est jamais en clair en transit. Le DIM s'appuie sur TLS, IPSec, PGP, S/MIME, VPN.

Rôles data

Data Owner (décide classification, destruction), Data Custodian (applique contrôles au quotidien, sauvegardes), System Owner (baseline sécurité), Administrator (permissions), End User (respecte politiques).

Trois états des données

At Rest (chiffrement AES), In Motion (TLS/HTTPS), In Use (scoping & tailoring des contrôles).

Rémanence et destruction

Sanitizing (complet), Degaussing (magnétique, irrécupérable), Erasing (logiciel), Overwriting/Shredding, Zero fill, Destruction physique, Encryption. La rémanence est la trace résiduelle laissée après une suppression incomplète ; supprimer un fichier ne retire pas les données du support, seul le répertoire est marqué libre.

Clearing, purging, destruction

Trois niveaux croissants de sanitization (NIST SP 800-88). Clearing : écraser avec des motifs aléatoires (clobbering/zeroizing) ; un bloc manqué peut rester récupérable, et la donnée reste sur le même environnement. Purging : éliminer les traces physiques résiduelles, résiste à une récupération en labo (ex. degaussing pour média magnétique). Destruction : broyage, incinération, pulvérisation, acide ; remède ultime à la rémanence.

Politiques, standards, guidelines

Regulatory (obligatoire), Advisory (recommandée), Informative (guidance). Baseline = minimum. Procedures = étapes concrètes.

Frameworks & standards

FrameworkRôle
NIST SP 800-88 Guidelines pour sanitization et rémanence (clearing, purging, destruction).
NIST SP 800-145 Standards cloud computing.
NIST SP 800-60 Guide de categorization : associer un type d'information à un niveau d'impact.
FIPS 199 Catégorise les systèmes par impact (low/moderate/high) sur C, I, A.
NIST SP 800-53 Catalogue de contrôles de sécurité et de confidentialité ; base de baselines à scope/tailor.
NIST SP 800-37 (RMF) Risk Management Framework : catégoriser, sélectionner, implémenter, évaluer, autoriser, surveiller.
NIST CSF Cybersecurity Framework : Identify, Protect, Detect, Respond, Recover.
ISO/IEC 27001 / 27002 27001 : exigences d'un ISMS certifiable ; 27002 : code de pratique des contrôles.
ISO/IEC 19770 Norme de gestion des actifs IT (ITAM) : processus et données de gouvernance.
PCI-DSS Standard de protection des données de cartes de paiement (chiffrement, périmètre).
GDPR Règlement UE sur les données personnelles : rôles controller/processor/DPO, droits du subject.
HIPAA Protège les données de santé (PHI/EPHI) aux États-Unis.
FIPS Federal Information Processing Standards.

Acronymes

SigleSignification
AES Advanced Encryption Standard
NIST National Institute of Standards and Technology
FIPS Federal Information Processing Standards
EFS Encrypting File System
ITAM IT Asset Management (gestion des actifs IT)
CMDB Configuration Management Database
DLP Data Loss Prevention (prévention de fuite de données)
DRM Digital Rights Management (gestion des droits numériques)
CASB Cloud Access Security Broker
PII Personally Identifiable Information (donnée personnelle)
PHI Protected Health Information (donnée de santé protégée)
EPHI Electronic Protected Health Information (PHI électronique)
GDPR General Data Protection Regulation (RGPD)
DPO Data Protection Officer (délégué à la protection des données)
HDD Hard Disk Drive (disque magnétique)
SSD Solid State Drive (mémoire flash)
RMF Risk Management Framework
CSF Cybersecurity Framework
MAC Mandatory Access Control (applique les labels)
DAC Discretionary Access Control (labels non uniformes)
TLS Transport Layer Security
IPSec Internet Protocol Security
PGP Pretty Good Privacy
S/MIME Secure/Multipurpose Internet Mail Extensions
VPN Virtual Private Network

Mnémotechniques

Mémo · 3 états des données

3 états = 3 contrôles. At rest → chiffrement. In motion → TLS. In use → scoping.

Mémo · Owner vs Custodian

Owner DÉCIDE (classification, destruction). Custodian EXÉCUTE (backups, contrôles au quotidien).

Mémo · Classification

Militaire (décroissant) : Top Secret > Secret > Confidential > Sensitive-but-unclassified > Unclassified.

Mémo · Destruction

Degaussing = support MAGNÉTIQUE uniquement (HDD oui, SSD non). SSD → crypto-shredding ou destruction physique.

Mémo · Cycle de vie : CSUSAD

CSUSAD = Create, Store, Use, Share, Archive, Destroy. Six phases du cycle de vie de la donnée, dans l'ordre.

Mémo · Scoping vs Tailoring

Scoping = RETIRER les contrôles hors périmètre. Tailoring = AJUSTER ceux qui restent. Scope d'abord, tailor ensuite.

Mémo · Controller vs Processor

Controller = aCCountable (décide finalités/moyens). Processor = exécute, PAS d'imputabilité légale propre.

Mémo · Sanitization croissante

Clearing < Purging < Destruction. Plus la sensibilité monte, plus on monte dans l'échelle (NIST 800-88).

Pièges d'examen

Piège

Owner ≠ Custodian

Data Owner DÉCIDE ; Data Custodian EXÉCUTE. Piège fréquent à l'examen.

Piège

Degaussing ne marche pas sur SSD

Degaussing = support magnétique uniquement. Pour un SSD : destruction physique ou crypto-shredding.

Piège

Classification (accès) ≠ Categorization (impact)

Si la question parle de qui peut ACCÉDER et de niveaux de clearance → classification. Si elle parle de l'IMPACT d'une perte de C/I/A (low/moderate/high, NIST 800-60, FIPS 199) → categorization.

Piège

Scoping ≠ Tailoring

Scoping = décider quels contrôles s'appliquent (on en retire). Tailoring = ajuster/affiner ceux retenus. L'examen inverse souvent les deux.

Piège

Controller imputable, Processor non

Sous GDPR, le data controller détermine finalités et moyens et porte l'imputabilité légale. Le data processor traite pour son compte et n'a pas d'imputabilité légale propre. Ne pas confondre avec owner/custodian.

Piège

Clearing < Purging < Destruction

Clearing écrase mais peut laisser des blocs récupérables. Purging résiste à une récupération en labo. Destruction est physique et irréversible. La bonne réponse dépend du niveau de sensibilité et du futur usage du support.

Piège

Data in use = plaintext, le plus dur

En traitement, la donnée est en clair en mémoire : c'est l'état le plus difficile à protéger. On s'appuie sur DLP, DRM, contrôles d'accès et secure enclaves, pas sur du chiffrement at-rest classique.

Piège

Une classification n'est pas un label

La classification est la décision de niveau de sensibilité ; le label/marking est l'étiquette qui la matérialise sur le support. Média trouvé SANS étiquette → traité au plus haut niveau jusqu'à analyse.

Piège

L'accountability ne se délègue pas

Le data owner peut déléguer l'exécution (au custodian, au processor) mais reste accountable de la classification, de la protection et de la destruction. Déléguer une tâche ne transfère pas la responsabilité finale.

Cas concrets

Cas concret · Scénario pédagogique

Rebuter un vieux serveur bancaire

Serveur contenant des données clients. Plan : 1) crypto-shredding (détruire les clés), 2) overwriting multi-passe, 3) destruction physique du disque. Documenter chaque étape dans le registre de chain of custody.

Cas concret · Cas réel (illustratif)

SolarWinds : chaîne d'approvisionnement

Une mise à jour logicielle compromise a propagé une porte dérobée chez des milliers de clients. Leçon D2 : les actifs logiciels et leurs dépendances doivent être inventoriés (ITAM/CMDB), versionnés et leur intégrité vérifiée ; un actif tiers non maîtrisé devient un vecteur de fuite des données qu'il traite.

Cas concret · Cas réel (illustratif)

Cambridge Analytica / Facebook

Des données personnelles collectées pour une finalité ont été réutilisées à d'autres fins, sans base légale ni limitation d'usage. Leçon D2/GDPR : le controller doit définir et borner la finalité et les moyens, encadrer le processor par un contrat de traitement, et respecter use limitation et data minimization.

Cas concret · Scénario pédagogique

Dispositifs médicaux d'un hôpital

Des appareils connectés stockent et transmettent du PHI/EPHI. Plan : inventorier chaque dispositif (CMDB), catégoriser sa criticité (FIPS 199), chiffrer DAR et DIM (TLS/IPSec), appliquer la rétention HIPAA, et prévoir une sanitization NIST 800-88 avant maintenance ou réforme.

À retenir en 10 secondes

À retenir en 10 secondes

  • Owner décide et reste accountable, Custodian exécute, User respecte.
  • Classification = accès ; Categorization = impact (NIST 800-60, FIPS 199).
  • Cycle de vie de la donnée : CSUSAD (Create, Store, Use, Share, Archive, Destroy).
  • Inventaire + CMDB + ITAM (ISO 19770) pour gouverner les actifs du plan au retrait.
  • GDPR : controller imputable, processor exécutant ; DPO comme interface conformité.
  • Scoping retire les contrôles hors périmètre, tailoring ajuste ceux retenus à partir d'une baseline.
  • 3 états de données = 3 contrôles (AES, TLS/IPSec, DLP/scoping) ; data in use = plaintext, le plus dur.
  • Sanitization croissante : clearing < purging < destruction (NIST 800-88).
  • Destruction : degaussing magnétique uniquement, destruction physique ou crypto-shredding pour SSD.
  • DLP empêche la fuite (DIM/DAR/DIU), DRM contrôle l'usage de la PI, CASB couvre le cloud (4 fonctions).

Quiz du domaine

Trois niveaux disponibles. Choisissez selon le temps dont vous disposez.

🔒 Inscription requise pour les quiz

Les quiz format examen sont réservés aux membres (gratuit). Connectez-vous par lien magique ou passkey pour vous entraîner et enregistrer vos scores.