Afin de protéger son centre de données contre une éventuelle intrusion physique, une entreprise a déployé un ensemble de caméras de vidéo-surveillance tout autour du périmètre. Les caméras sont dissimulées dans le décor afin qu’un éventuel intrus ne puisse pas les identifier, les masquer ou les contourner. Toutes les caméras sont placées sous le contrôle d’une équipe de gardiens opérant 24h/24 7J/7. Dans quelles catégories peut-on classer cette mesure de sécurité ?

[A] Dissuasive & Physique (Deterrent & Physical)

[B] Dissuasive & Détective (Deterrent & Detective)

[C] Détective & Physique (Detective & Physical)

[D] Détective & Technique (Detective & Technical)


reponse linkedin

CBK1 Q03 LINK


Pour répondre à cette question, commençons tout d’abord par regarder comment les 4 catégories de mesures de sécurité proposées sont définies dans le guide d’étude officiel du CISSP.

COVER OSG

Mesures de sécurité physiques : Ce sont des mécanismes de sécurité axés sur la protection des installations et des objets physiques (bâtiments, ordinateurs, médias, …). Exemples : caméras vidéo, gardes, clôtures, câble antivol pour ordinateur portable, …

Mesures de sécurité dissuasives : Elles sont déployées pour décourager les violations de la politique de sécurité. Leur objectif est de convaincre un individu de ne pas entreprendre une action indésirable. Exemples : politiques de sécurité, sensibilisation à la sécurité, caméras de sécurité,…

Mesures de sécurité détectives : Elles sont déployées pour découvrir ou détecter des activités non autorisées. Elles fonctionnent après coup et ne peuvent découvrir l’activité qu’une fois qu’elle s’est produite. Exemple : agents de sécurité, enregistrement et examen des événements capturés par des caméras de sécurité,…

Mesures de sécurité techniques (ou logiques) : Elles concernent les mécanismes matériels ou logiciels utilisés pour gérer les accès et assurer la protection des ressources et des systèmes informatiques. Exemples : Authentification des utilisateurs, chiffrement, ACL, Firewall,…

Les caméras vidéos correspondent bien aux 3 premières catégories (physique, dissuasive et détective) et sont même citées en exemple par les auteurs du guide. Par contre, les mesures de sécurité techniques (également appelées mesures logiques) ne correspondent pas à nos caméras de vidéo-surveillance. On peut donc éliminer la réponse [D].

Analysons maintenant d’un peu plus près la catégorie des mesures dissuasives. Elles ont pour objectif de dissuader l’attaquant d’agir. Or dans la question on dit que les caméras sont dissimulées dans le décor afin qu’un éventuel intrus ne puisse pas les identifier. Par conséquent, si l’attaquant ne voit pas les caméras, cela ne pourra pas le dissuader d’agir. Dans ce contexte de déploiement, les caméras ne rentrent pas dans la catégorie des mesures dissuasives. A l’opposé, on aurait pu imaginer de déployer des caméras factices bien visibles. Ces « fake » caméras ne sont pas connectées et ne rentrent pas dans la catégorie des mesures détectives mais leur objectif est de dissuader un intru de s’introduire dans une zone protégée. Une caméra factice rentre donc bien dans la catégorie des mesures de sécurité dissuasives. Ce raisonnement nous permet d’éliminer les réponses [A] et [B].

La bonne réponse est donc la réponse [C] Détective & Physique (Detective & Physical)


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE