Une entreprise de services financiers envisage de renforcer sa sécurité des données afin de mieux protéger les informations sensibles de ses clients. Elle souhaite notamment que les données soient protégées dans leur transit réseau et leur stockage.

Quelle est la mesure de sécurité la plus efficace pour protéger les données sensibles de l’entreprise dans ces différents états ?

[A] Déployer un antivirus et un EDR sur tous les ordinateurs et serveurs de l’entreprise pour prévenir et détecter les logiciels malveillants

[B] Utiliser le chiffrement des données pour sécuriser les données

[C] Établir des politiques strictes de gestion des accès pour contrôler qui peut accéder aux données sensibles, quel que soit leur état

[D] Mettre en place un pare-feu pour bloquer tout trafic réseau suspect et prévenir tout accès non autorisé sur les données clients


reponse linkedin

CBK2 Q15 LINK


Proposition [A] : Une solution de sécurité de type antivirus ou EDR ne protège pas spécifiquement les données lors de leur transit réseau ou de leur stockage.

Proposition [B] : Le chiffrement des données est effectivement une mesure de sécurité efficace pour protéger les données sensibles dans différents états. Lorsqu’il est utilisé correctement, le chiffrement permet d’assurer la confidentialité des données transmises sur un réseau (data in motion) ou stockées sur des médias de stockage (data at rest). Il est possible d’aller encore plus loin dans la démarche de sécurisation avec l’informatique confidentielle (confidential computing). Il s’agit ici d’assurer la sécurité des données lors de leur utilisation (data in use). Avec l’informatique confidentielle, les données sont intégralement chiffrées en RAM et déchiffrées à la volée par les process dument habilités via des clés situées dans les enclaves sécurisées des processeurs Intel (technologie SGX) ou AMD (technologie SEV).

Propositions [C] et [D] : L’établissement de politiques strictes de gestion des accès ou la mise en œuvre d’un pare-feu sont des solutions de sécurité indispensables mais elles ne protègent pas spécifiquement les données lors de leur stockage ou de leur transit réseau. Par exemple, lorsqu’un média est perdu ou volé, le contrôle d’accès n’assure pas la confidentialité des données qu’il contient. Ici la solution consiste en un chiffrement intégral du disque alias FDE (Full-Disk Encryption) et des solutions comme Bitlocker (Windows), FileVault (MacOS) ou encore LUKS (Linux) en sont quelques exemples. Le contrôle d’accès ne protège pas non plus les données lors de leur transit réseau. C’est la raison pour laquelle il conviendra de chiffrer les flux réseaux via des protocoles comme IPsec ou TLS.

La bonne réponse est la proposition [B]

tip

Pour en savoir plus sur la sécurité des données nous vous recommandons de suivre les modules n°1, 5, 6 et 7 de la formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE