Vous êtes le responsable de la sécurité au sein d’un important éditeur de logiciels. Une récente évaluation des risques a révélé que des informations sensibles de votre entreprise (codes sources, données clients, …) sont stockées et traitées sans aucune classification. En tant que responsable, vous devez initier une stratégie pour classer ces informations afin d’assurer leur protection.

Dans ce contexte, quelle serait la première étape la plus appropriée dans la mise en œuvre d’une stratégie de classification des informations ?

[A] Recenser et identifier tous les actifs matériels utilisés pour stocker ou traiter les données sensibles
[B] Élaborer une politique de classification des données définissant des niveaux de classification et des contrôles associés
[C] Former les employés à identifier et classer les informations qu’ils traitent
[D] Mettre en place des étiquettes (logiques ou physiques) sur tous les supports contenant des informations sensibles


reponse linkedin

CBK2 Q17 LINK


Proposition [A] Bien que l’identification des actifs soit une étape essentielle de la gestion des informations et de la sécurité des actifs, elle n’est pas la première étape dans une stratégie de classification. Les données elles-mêmes doivent être classifiées avant de déterminer où et comment elles sont stockées.

Proposition [B] La mise en place d’une politique de classification constitue la base d’une gestion efficace des données sensibles. Elle fournit des directives claires sur la façon de classer les informations (confidentiel, privé, public, etc.) et définit les contrôles requis pour chaque niveau.

Proposition [C] Bien que la formation des employés soit très importante, elle intervient après l’établissement de la politique de classification. Sans une directive claire, les employés risquent de mal interpréter les classifications ou de ne pas les appliquer correctement.

Proposition [D] Cette étape fait partie de la mise en œuvre d’une politique de classification, mais elle n’est pas la première action à réaliser. L’étiquetage ne peut être effectué qu’une fois que les informations ont été classifiées selon une politique définie.

La bonne réponse est la proposition [B]

Une politique de classification est le fondement sur lequel repose toute la gestion de la sécurité des actifs. Elle permet de garantir une approche cohérente et alignée sur les exigences de l’organisation et les normes de sécurité.

tip

Pour en savoir plus sur la classification des données nous vous recommandons de suivre le module n°4 de la formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE