Une entreprise multinationale de commerce électronique cherche à améliorer sa posture de sécurité globale et à s’assurer qu’elle respecte les meilleures pratiques de l’industrie. L’entreprise gère des données sensibles de clients, utilise des services cloud et traite des paiements par carte bancaire. En tant que CISO (Chief Information Security Officer), vous devez recommander un référentiel de sécurité approprié.

Dans ce contexte, quelle serait la meilleure approche pour répondre aux besoins de l’entreprise tout en permettant une gestion efficace de la sécurité ?

[A] Mettre en œuvre PCI DSS pour sécuriser les opérations de l’entreprise et assurer sa conformité

[B] Adopter le NIST CSF (CyberSecurity Framework) et l’adapter aux besoins spécifiques de l’entreprise

[C] Utiliser COBIT pour aligner la sécurité sur les objectifs commerciaux

[D] Utiliser SABSA pour développer une architecture de sécurité adaptée aux risques et alignée sur les objectifs métier


reponse linkedin

CBK1 Q17 LINK 1


Proposition [A] : Bien que PCI DSS soit fondamental pour la protection des données de paiement, il ne couvre pas tous les aspects de la sécurité nécessaires à une grande entreprise multinationale de commerce électronique. Se concentrer uniquement sur PCI DSS laisserait de nombreuses autres zones de risque non traitées, ce qui n’est pas la solution pour une approche globale de la sécurité.

Proposition [B] : Le NIST Cybersecurity Framework est conçu pour être flexible et adaptable à différents types et tailles d’organisations. Il fournit une approche complète pour prévenir, détecter et répondre aux cyberattaques. L’adaptabilité du NIST CSF permet un ajustement aux besoins spécifiques de l’entreprise, assurant ainsi une couverture globale des risques.

Proposition [C] : COBIT est un excellent framework pour aligner l’IT et la sécurité sur les objectifs commerciaux, mais il peut être trop axé sur la gouvernance IT pour répondre à tous les besoins de sécurité spécifiques d’une entreprise de commerce électronique. Il manquerait certains aspects pratiques de la cybersécurité nécessaires dans ce contexte. COBIT est un complément pertinent mais insuffisant pour sécuriser à lui seul un environnement de e-commerce international.

Proposition [D] : SABSA est un framework pertinent pour concevoir une architecture de sécurité basée sur les risques et les objectifs métiers. Cependant, il est plus axé sur la création d’architectures de sécurité personnalisées que sur la gestion quotidienne et standardisée de la sécurité. SABSA n’est donc pas le référentiel de sécurité le plus pertinent dans le contexte de la question.

La bonne réponse est la proposition [B]

tipPour en savoir plus sur les référentiels de sécurité nous vous recommandons de suivre le module n°01 de notre formation CISSP en distanciel.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE