Lors d’un atelier de classification des actifs, un RSSI discute avec les responsables métiers des différents types de données et aborde le sujet des données critiques et des données sensibles. Comment le RSSI doit-il expliquer la différence entre ces deux types de données ?

[A] Il n’y a aucune différence. Les 2 termes sont synonymes

[B] La sensibilité concerne des exigences de confidentialité alors que la criticité concerne l’intégrité et la disponibilité

[C] La criticité concerne essentiellement des exigences de confidentialité alors que la sensibilité concerne la confidentialité, l’intégrité et la disponibilité

[D] La sensibilité concerne l’importance fonctionnelle / opérationnelle alors que la criticité concerne les risques en cas de divulgation non autorisée

reponse linkedin

CBK2 Q18 LINK 2

La sensibilité des données (Data Sensitivity) fait référence à la nature des données et aux conséquences potentielles liées à une divulgation non autorisée. Pour ce type de données le critère principal est la confidentialité (confidentiality). La sensibilité est évaluée selon l’impact que pourrait avoir une fuite d’information.

Voici quelques exemples de données sensibles :

  • Données personnelles (PII en anglais) : nom, adresse, numéro de sécurité sociale
  • Données de santé à caractère personnel (PHI en anglais)
  • Données financières : RIB, numéros de carte bancaire
  • Secrets industriels, codes sources, stratégies internes

Principaux objectifs de protection :

  • Empêcher l’accès non autorisé (fuite ou vol de données)
  • Respecter les obligations légales (ex : RGPD, HIPAA)

La criticité des données (Data Criticality) désigne l’importance opérationnelle des données pour le fonctionnement de l’organisation et les conséquences d’une indisponibilité, d’une altération, ou d’une perte. Pour ce type de données les critères principaux sont la disponibilité (availability) et l’intégrité (integrity) mais aussi parfois selon le contexte métier la confidentialité.

Voici quelques de données critiques :

  • Base de données clients utilisée pour la facturation
  • Planning de production en temps réel d’une usine
  • Données de pilotage d’un système de contrôle industriel (ICS/SCADA)
  • Systèmes de commande pour un hôpital ou un avion

Principaux objectifs de protection :

  • Garantir la continuité d’activité
  • Minimiser l’impact métier ou sociétal d’une interruption ou d’une perte de données
  • Respecter les obligations légales (ex : NIS2, DORA)

La bonne réponse est la proposition [B]

tip

Pour en savoir plus sur la classification et la gestion des actifs nous vous recommandons de suivre le module n°5 de la formation CISSP en distanciel de VERISAFE.

Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE