Votre entreprise souhaite externaliser plusieurs applications chez un fournisseur de service Cloud en mode IaaS. En tant que RSSI vous êtes chargé de vérifier l’éligibilité du Cloud pour ces applications et choisir le fournisseur présentant les meilleures garanties en matière de sécurité. Pour cela vous avez décidé d’initier tout d’abord un processus de classification des données. Quelle est l’entité la moins pertinente pour participer à ce processus de classification ?
[A] Les directions métiers des applications concernées
[B] Le fournisseur IaaS
[C] Vous, en tant que RSSI
[D] Les propriétaires des données
Pour cette question procédons encore une fois par élimination. Les propriétaires des données doivent-ils participer à la classification des données ? Oui bien entendu, les « data owners » sont responsables de la classification et de la protection des données.
Les directions métiers doivent-elles participer au processus de la classification des données ? Elles n’ont pas d’obligation à le faire mais leur connaissance des données les obligent bien souvent à participer à ce processus. D’ailleurs bien souvent les directions métiers sont les propriétaires des données qu’elles traitent.
Le RSSI doit-il participer à la classification des données ? Là aussi rien n’oblige un RSSI à participer à la classification des données mais sa connaissance des différences systèmes de classification et de la taxinomie des données sera d’un grand secours pour l’équipe en charge du process. Et puis n’oublions pas que le principal objectif de la classification est de protéger les informations avec des mesures de sécurité adaptées. Le RSSI pourra alors vérifier la cohérence entre le niveau de classification des données et les mesures de sécurité que l’on devra mettre en œuvre ou que l’on devra exiger du fournisseur IaaS conformément à la politique de sécurité de l’entreprise.
Le fournisseur IaaS doit-il participer au processus de la classification des données ? Un fournisseur IaaS met à disposition un infrastructure physique et technologique pour permettre à ses clients de déployer leurs applications. Mais un fournisseur Cloud ne se soucie guère de la nature des données qui seront traitées par ses clients et à ce titre il n’est pas pertinent de vouloir le faire participer au processus de classification des données. Dans le modèle de responsabilité partagée du Cloud, la classification des données incombe au client du service (CSC) et non pas au fournisseur (CSP).
La bonne réponse est la proposition [B] Le fournisseur IaaS
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE