Une entreprise de services financiers met en œuvre une nouvelle politique de classification des données. Le RSSI doit déterminer le principal facteur à utiliser pour attribuer des niveaux de classification aux différents ensembles de données, afin d’allouer les ressources de sécurité de la manière la plus efficace. Quel devrait être ce principal facteur ?
[A] La valeur des données pour l’organisation incluant notamment leur sensibilité et leur criticité
[B] Le type de données comme par exemple s’il s’agit de données de santé (PHI) ou de propriété intellectuelle
[C] L’emplacement de stockage des données qu’il soit sur site (on-premise) ou dans le cloud
[D] Les exigences réglementaires spécifiques applicables aux données
C’est une question classique du domaine “Asset Security” (Domaine 2) qui concerne la classification des données et la réponse correcte est la proposition [A], voici pourquoi :
[A] Valeur des données pour l’organisation
La classification vise à allouer les ressources de sécurité là où elles sont le plus nécessaires, ce qui exige de comprendre la valeur métier : impact financier, opérationnel, légal, réputationnel.
Le RSSI classe selon ce que l’entreprise risque de perdre en cas de compromission.
Lorsqu’une organisation met en place une politique de classification des données, le facteur numéro 1 à considérer (selon l’ISC2) est la valeur des données pour l’entreprise. Ce principe est explicitement enseigné dans les chapitres “Asset Security” du guide officiel d’étude du CISSP.
Un actif doit être protégé proportionnellement à sa valeur, c’est-à-dire selon sa sensibilité (confidentialité), sa criticité (impact sur la disponibilité ou l’intégrité) et plus globalement sa valeur métier (business value).
Cela permet d’aligner la sécurité sur les objectifs du business (Security supports the business).
[B] Type de données (PHI, propriété intellectuelle…)
Le type de donnée influence la classification, mais ce n’est pas le facteur principal, car deux données de même type peuvent n’avoir pas la même valeur selon le contexte. D’autre part, une données de santé obsolète peut valoir moins qu’un secret industriel récent. Le type de données est donc un critère mais ce n’est pas le principal critère.
[C] Emplacement des données
L’emplacement (on-prem, cloud…) influence les contrôles, pas la classification. La classification est indépendante de l’infrastructure.
[D] Exigences réglementaires
Les réglementations (GDPR, GLBA, etc.) affectent le niveau minimal de protection, mais elles viennent après la définition de la valeur des données et par conséquent elles ne constituent pas le facteur principal de classification.
✅ La bonne réponse est la proposition [A]
Pour en savoir plus sur la classification et sécurité des actifs nous vous recommandons de suivre le module n°5 de notre formation CISSP en distanciel.
🔐 Notre mission : vous faire obtenir la certification CISSP mais aussi (et surtout) que vous soyez compétent et confiant au quotidien dans votre job cybersécurité.
🔍 Curieux d’en savoir plus ? 👉 https://www.verisafe.fr/formation-cissp
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
