Un cabinet de conseil financier fournit des services à deux banques concurrentes, la Banque A et la Banque B. Pour éviter les conflits d’intérêts, il est impératif qu’un consultant travaillant sur les données de la Banque A ne puisse pas accéder aux données de la Banque B au cours de la même session. Quel modèle de sécurité est le plus approprié pour appliquer cette politique de contrôle d’accès dynamique ?

[A] Le modèle Bell-LaPadula

[B] Le modèle Biba

[C] Le modèle Clark-Wilson

[D] Le modèle Brewer and Nash (Muraille de Chine)

 

reponse linkedin

CBK3 Q19 LINK 1

 

[A] Le modèle Bell-LaPadula ne convient pas car :

  • Il est centré sur la confidentialité (no read up, no write down)
  • Il est adapté aux environnements militaires, pas aux conflits d’intérêts

[B] Biba ne convient pas car :

  • Il est centré sur l’intégrité (no read down, no write up)
  • Il ne traite pas les problématiques d’accès concurrentiel ou de séparation de clients

[C] Clark-Wilson n’est également pas la solution car :

  • Le modèle est orienté intégrité des données et séparation des tâches, avec transactions contrôlées
  • Il ne gère pas les conflits d’intérêts entre clients concurrents

[D] Le modèle Brewer and Nash, aussi appelé modèle de la Muraille de Chine, a été conçu spécifiquement pour :

  • Empêcher qu’un même utilisateur accède à des données sensibles appartenant à des entités concurrentes
  • Mettre en œuvre un contrôle d’accès dynamique : une fois qu’un consultant accède aux données de la Banque A, le modèle interdit automatiquement l’accès aux données de la Banque B pendant la même session (ou tant que le conflit existe). C’est exactement la règle demandée dans l’énoncé.

Le modèle Brewer and Nash est donc parfaitement adapté à une problématique de conflit d’intérêts dans un cabinet de conseil travaillant pour des organisations concurrentes.

✅ La bonne réponse est la proposition [D]

tip

Pour en savoir plus sur les modèles de sécurité nous vous recommandons de suivre le module n°8 de notre formation CISSP en distanciel.

 

📈 Chez Verisafe, votre préparation évolue avec vous.
Test de positionnement, modules ciblés, examens blancs, IA d’entraînement… tout est conçu pour maximiser vos chances de réussite.

💡 En route vers la certification CISSP : https://www.verisafe.fr/formation-cissp

Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE