Dans une agence gouvernementale, les données sensibles sont classifiées par niveaux et leur accès doit être rigoureusement validé selon le niveau d’habilitation des agents.

Dans ce contexte, quel est le principal modèle de contrôle d’accès à utiliser ?

[A] Contrôle d’accès basé sur les rôles (RBAC)

[B] Contrôle d’accès basé sur les règles (Rule-Based Access Control)

[C] Contrôle d’accès obligatoire (MAC)

[D] Contrôle d’accès discrétionnaire (DAC)


reponse linkedin

CBK5 Q15 LINK


Proposition [A] : Le contrôle d’accès basé sur les rôles (RBAC) se concentre sur l’attribution de privilèges en fonction des rôles des utilisateurs, ce qui n’est toujours suffisant pour gérer les accès aux données selon leurs de classification.

Proposition [B] : Le contrôle d’accès basé sur les règles (Rule-Based Access Control) applique des règles globales à tous les utilisateurs. Il est totalement inadapté au contexte de l’agence gouvernementale évoqué.

Proposition [C] : Le contrôle d’accès obligatoire (MAC) est spécifiquement conçu pour les environnements nécessitant une gestion stricte des accès en fonction des niveaux de classification de sécurité. Il utilise des étiquettes de sécurité (security labels) pour contrôler les accès et il est en ce sens parfaitement adapté aux environnements sécurisés des agences gouvernementales.

Proposition [D] : Le contrôle d’accès discrétionnaire (DAC) donne la liberté aux propriétaires des objets pour définir les accès. Cette approche n’est pas adaptée dans un environnement hautement sécurisé où les contrôles d’accès doivent être centralisés et standardisés.

La bonne réponse est la proposition [C]

tip

Pour en savoir plus sur le contrôle d’accès nous vous recommandons de suivre le module n°14 de notre formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE