CISSP · Réussir du premier coup

Chapitre 1
Concepts, gouvernance
& droit

Domaine 1, première partie : les cinq piliers, la gouvernance de la sécurité et le paysage juridique mondial.

Domaine
1 — Security & Risk Management · 16 %
Objectifs couverts
1.1 · 1.2 · 1.3 · 1.4
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Cinq piliers depuis 2024 : Confidentiality, Integrity, Availability + Authenticity et Nonrepudiation.
  • Chaîne de responsabilisation : Identification → Authentication → Authorization → Auditing → Accountability.
  • La sécurité se gouverne du haut vers le bas (top-down) : le management senior initie, approuve et répond de tout.
  • Le data owner classifie ; le custodian protège au quotidien ; l'auditeur vérifie.
  • ISO 27001 = ISMS certifiable ; ISO 27002 = catalogue de bonnes pratiques ; NIST CSF 2.0 = 6 fonctions dont Govern.
  • Due diligence = savoir (investiguer) ; due care = agir (en personne prudente). Leur absence = négligence.
  • Pénal : beyond a reasonable doubt ; civil : preponderance of the evidence.
  • Propriété intellectuelle : copyright vie + 70 ans · patent 20 ans dès le dépôt · trademark renouvelable sans fin · trade secret tant que le secret tient.
  • GDPR : notification à l'autorité sous 72 h, amendes jusqu'à 20 M€ ou 4 % du CA mondial, rôles controller / processor.
  • PCI DSS n'est pas une loi : c'est une obligation contractuelle.

Objectif 1.1Éthique professionnelle

Le code d'éthique de l'ISC2 (ISC2 Code of Ethics) — préambule, quatre canons ordonnés, recevabilité des plaintes — a été traité en profondeur au chapitre 0 (§ 0.4) ; révisez-le maintenant si le mnémonique PAPA ne vous revient pas instantanément.

L'objectif 1.1 ajoute les codes d'éthique organisationnels : chartes internes, codes de conduite, politiques d'usage acceptable (acceptable use policy). Le professionnel doit soutenir le code de son organisation, y adhérer de manière visible — et faire remonter les conflits. Hiérarchie en cas de contradiction : la loi, puis le code de l'ISC2 (dans l'ordre des canons), puis le code de l'organisation. Un code interne ne peut jamais justifier un acte illégal ni une atteinte au public : c'est la logique des canons I et II, déjà rencontrée dans le scénario d'Awa au chapitre 0.

Objectif 1.2Les cinq piliers et les concepts fondamentaux

Le triangle CIA reste le cœur du métier, mais le référentiel 2024 énumère cinq piliers. Chacun se définit par ce qu'il empêche — et l'examen adore vous faire identifier lequel est violé dans un scénario.

PilierDéfinitionViolé par (exemples)Protégé par (exemples)
ConfidentialityAucune divulgation non autoriséeInterception, shoulder surfing, ingénierie socialeChiffrement, contrôle d'accès, classification
IntegrityAucune altération non autorisée ; exactitude et cohérenceModification de données, malware, erreur de saisieHachage, signatures, contrôles d'entrée, ACL
AvailabilityAccès fiable et opportun pour les ayants droitDoS, panne, sinistre, suppressionRedondance, sauvegardes, DR, maintenance
AuthenticityLa donnée provient bien de la source qu'elle revendiqueUsurpation, spoofing, faux expéditeurCertificats, signatures, authentification forte
NonrepudiationL'auteur d'une action ne peut pas la nierRépudiation d'une transaction ou d'un envoiSignatures numériques, journaux horodatés

Le miroir offensif du CIA est la triade DAD : Disclosure, Alteration, Destruction — divulgation contre la confidentialité, altération contre l'intégrité, destruction contre la disponibilité. Retenez aussi la notion de surprotection : maximiser un pilier peut en sacrifier un autre (un chiffrement si strict que personne n'accède plus aux données protège la confidentialité en détruisant la disponibilité). La sécurité est un équilibre piloté par le risque, jamais un absolu.

La chaîne IAAAA

Cinq services s'enchaînent — dans un ordre strict — pour rendre chacun comptable de ses actes :

  1. Identification — revendiquer une identité (« je suis awa@fintech »).
  2. Authentication — prouver cette identité (mot de passe, badge, biométrie).
  3. Authorization — déterminer ce que cette identité a le droit de faire.
  4. Auditing — enregistrer ce qu'elle fait (journaux, surveillance).
  5. Accountability — pouvoir imputer chaque action à une personne unique.

La subtilité testée : l'accountability n'existe que si toute la chaîne tient — sans authentification solide, les journaux ne prouvent rien ; avec un compte partagé, l'imputation est impossible.

🧠 Mnémoniques

CIA-AN : les cinq piliers — Confidentiality, Integrity, Availability + Authenticity, Nonrepudiation. IAAAA : « Id, Auth, Autz, Audit, Account » — cinq A dans l'ordre, l'accountability toujours en dernier, car elle est la conséquence des quatre autres.

Objectif 1.3Gouvernance de la sécurité

La gouvernance est l'ensemble des pratiques par lesquelles l'organisation dirige sa sécurité : elle garantit que la fonction sécurité sert la stratégie, la mission et les objectifs métier — jamais l'inverse. Deux conséquences d'examen : la sécurité est un business enabler (elle rend possible, elle n'interdit pas par principe), et l'approche est top-down — c'est le management senior qui initie, finance, approuve les politiques et porte la responsabilité ultime. Une démarche « bottom-up », partie des équipes techniques sans mandat, est la marque d'un programme voué à l'échec.

Processus organisationnels

Rôles et responsabilités

RôleResponsabilitéÀ retenir
Senior managementResponsabilité ultime ; approuve politiques ; accepte les risquesSigne tout — répond de tout
Security professionalConçoit et met en œuvre le programme ; conseilleResponsabilité fonctionnelle, pas décisionnelle
Data / asset ownerClassifie l'information, fixe les exigences de protectionUn manager métier — jamais l'IT par défaut
Data custodianApplique la protection au quotidien (sauvegardes, ACL)Exécute les décisions de l'owner
UserRespecte les politiques dans son usage quotidienLe need to know s'applique à lui
AuditorVérifie de façon indépendante l'efficacité des contrôlesIndépendance = sa raison d'être

Les frameworks de contrôle

FrameworkNatureMot déclencheur dans une question
ISO/IEC 27001Exigences d'un ISMS — certifiable« Certifier notre système de management »
ISO/IEC 27002Guide de bonnes pratiques (catalogue de contrôles)« Guidance » — on ne se certifie pas 27002
NIST CSF 2.0Cadre volontaire, 6 fonctions : Govern, Identify, Protect, Detect, Respond, Recover« Améliorer la posture », tous secteurs
NIST SP 800-53Catalogue de contrôles — obligatoire pour le fédéral US« Agence fédérale », « FISMA »
COBITGouvernance de l'IT (ISACA)« Aligner l'IT sur le métier », audit IT
SABSAArchitecture de sécurité pilotée par le risque métier« Architecture d'entreprise »
PCI DSSContractuel — marques de cartes de paiement« Données de cartes » — pas une loi
FedRAMPAutorisation des services cloud pour le fédéral US« Vendre du cloud au gouvernement US »
CIS Controls18 contrôles prescriptifs, priorisés« Par où commencer concrètement »

Due care et due diligence

La paire la plus testée du domaine 1. Due diligence = savoir : rechercher, investiguer, comprendre les risques et les obligations avant d'agir — et vérifier ensuite, continûment, que les mesures fonctionnent. Due care = agir : faire ce qu'une personne prudente et raisonnable ferait dans les mêmes circonstances (le prudent person rule). L'entreprise qui étudie les menaces mais n'implémente rien fait preuve de diligence sans due care ; celle qui déploie des contrôles au hasard, sans analyse, l'inverse. L'absence des deux, quand un dommage survient, caractérise la négligence — et engage la responsabilité juridique du management.

🧠 Mnémonique

DD = Do Detect · DC = Do Correct. La diligence détecte et comprend ; le care corrige et agit. Autre ancrage : la due diligence est le travail du détective, le due care celui du bon père de famille.

⚠️ Pièges d'examen
  • « Qui classifie les données ? » — l'owner (un manager métier), jamais le custodian ni le RSSI.
  • ISO 27001 se certifie ; ISO 27002 non. Une question sur la « certification ISMS » vise toujours 27001.
  • NIST CSF 2.0 compte six fonctions — Govern s'est ajoutée aux cinq historiques.
  • Lors d'une acquisition, la première action sécurité est la due diligence sur la cible — pas l'intégration des réseaux.
  • Due diligence précède et surveille ; due care exécute. Les distracteurs inversent systématiquement les deux.

Objectif 1.4Droit, réglementation et conformité

Les catégories de droit

CatégorieQui poursuitCharge de la preuveSanctions
Criminal lawL'État (procureur)Beyond a reasonable doubtPrison, amendes pénales
Civil law (tort)Une partie privéePreponderance of the evidenceDommages et intérêts
Administrative / regulatoryAgences gouvernementalesStandards propres à l'agenceAmendes, sanctions, retrait de licence
Private regulationPartenaires contractuelsTermes du contratPénalités contractuelles, résiliation (ex. PCI DSS)

La distinction des charges de preuve est un grand classique : le pénal exige une quasi-certitude (beyond a reasonable doubt), le civil se contente du « plus probable qu'improbable » (preponderance). Même affaire, deux procès possibles, deux standards différents.

Lois américaines testables

LoiObjetDéclencheur en question
CFAA (1986, amendée)Crime informatique fédéral : accès non autorisé ou excédant l'autorisation« Hacking », poursuite pénale fédérale
ECPA (1986)Protection des communications électroniques contre l'interceptionÉcoutes, monitoring des communications
FISMA (2002 / 2014)Programme de sécurité obligatoire des agences fédérales, adossé au NIST« Agence fédérale », 800-53, RMF
Privacy Act (1974)Encadre les dossiers personnels détenus par les agences fédéralesGouvernement fédéral et données citoyens
Fourth AmendmentProtection contre perquisitions et saisies abusives ; fonde l'expectation of privacyPreuves obtenues par le gouvernement

Côté violations de données : les 50 États américains ont chacun leur loi de notification (la Californie fut pionnière) — il n'existe pas de loi fédérale générale unique, ce qui contraste avec l'approche unifiée du GDPR.

Propriété intellectuelle — le tableau à réciter

InstrumentProtègeDuréeFormalité
CopyrightŒuvres originales exprimées (dont le code source)Vie de l'auteur + 70 ans (œuvre de commande : 95 ans après publication ou 120 après création)Automatique dès la création ; dépôt utile pour agir en justice
TrademarkMarques, logos, identités commercialesPériodes de 10 ans renouvelables indéfiniment™ sans dépôt ; ® après enregistrement (USPTO)
Patent (utility)Inventions nouvelles, utiles, non évidentes20 ans à compter du dépôt (non du grant)Examen et délivrance ; divulgation publique de l'invention
Trade secretSavoir-faire confidentiel à valeur commerciale (formule, algorithme)Illimitée — tant que le secret est activement protégéAucune ; NDA et mesures de protection exigés

Le DMCA complète le copyright numérique : il pénalise le contournement des protections techniques (anti-circumvention) et offre aux hébergeurs un safe harbor — exonération s'ils retirent promptement les contenus signalés. Les licences logicielles relèvent du contrat : EULA négociée, shrink-wrap (acceptée à l'ouverture), click-through (acceptée d'un clic) — cette dernière est privilégiée car le consentement est démontrable.

🧠 Mnémonique — durées IP

« Le © survit 70 ans à son auteur ; le brevet file 20 ans dès le dépôt ; la marque se renouvelle à l'infini ; le secret vit tant qu'il se tait. » Un brevet divulgue pour protéger ; un secret cache pour protéger — c'est le choix stratégique testé (Coca-Cola n'a jamais breveté sa formule).

Import / export et flux transfrontières

GDPR — la référence mondiale

Le règlement européen s'applique aux données personnelles des personnes situées dans l'UE, y compris pour des entreprises hors UE qui leur offrent des biens/services ou les profilent (portée extraterritoriale). L'architecture à connaître :

Lois de protection sectorielles — le tableau réflexe

TextePérimètreLe point testé
HIPAADonnées de santé (PHI) — covered entities et business associatesPrivacy Rule + Security Rule ; le sous-traitant est lié par un BAA ; HITECH ajoute la notification
GLBAInstitutions financières USSafeguards Rule (programme de sécurité) + Privacy Rule ; interdit le pretexting
SOXSociétés cotées USIntégrité des rapports financiers ; responsabilité pénale des dirigeants (sections 302/404)
COPPAEnfants de moins de 13 ans en ligneConsentement parental vérifiable avant collecte
FERPADossiers scolaires (établissements financés au fédéral)Droits d'accès des parents puis de l'étudiant majeur
CCPA / CPRAConsommateurs californiensDroit de savoir, de supprimer, d'opt-out de la vente ; la CPRA crée une agence dédiée
PIPEDASecteur privé canadienConsentement et finalités ; équivalent fédéral canadien
APEC Privacy FrameworkAsie-PacifiqueCadre volontaire de flux transfrontières (règles CBPR)

Les trois natures de conformité

Toute exigence tombe dans l'une de trois familles — et l'examen teste votre capacité à les distinguer : légale/réglementaire (GDPR, HIPAA — imposée par la puissance publique), contractuelle (PCI DSS, SLA, NDA — imposée par un contrat librement signé), standards sectoriels (ISO, NIST pour le privé — adoptés volontairement, mais opposables dès qu'un contrat ou un juge s'y réfère comme mesure du « raisonnable »).

⚠️ Pièges d'examen
  • PCI DSS n'est pas une loi : obligation contractuelle des marques de cartes. Toute option la qualifiant de « réglementation gouvernementale » est fausse.
  • Patent : 20 ans dès le dépôt — un distracteur proposera « from grant » ou « 17 ans ».
  • GDPR : 72 h vers l'autorité ; la notification aux personnes n'a pas ce délai chiffré (piège d'inversion).
  • Crypto commerciale à l'export : EAR (double usage), pas ITAR — ITAR vise le militaire.
  • HIPAA s'étend aux business associates : « nous ne sommes qu'un prestataire de facturation » n'exonère pas.
  • Le code source se protège par copyright ou trade secret — pas par trademark ; l'algorithme secret non déposé est un trade secret.
Scénario fil rouge — Awa

La fintech d'Awa rachète une startup berlinoise de paiement. Avant signature, Awa mène la due diligence sécurité : audit du programme de la cible, revue de ses incidents, cartographie de ses obligations — GDPR car les clients sont européens (la startup est controller de ses données clients, son hébergeur cloud processor), PCI DSS car elle traite des cartes (obligation contractuelle, rappelle-t-elle au juriste qui parlait de « loi PCI »). Elle découvre que l'algorithme de scoring, cœur de la valeur, n'est protégé que par le secret : elle recommande NDA renforcés et cloisonnement d'accès (trade secret) plutôt qu'un brevet qui publierait la méthode. Post-acquisition, elle implémente les contrôles décidés — la due care qui concrétise la diligence — et fait valider chaque acceptation de risque résiduel par le comité de gouvernance. Chaque geste illustre la posture attendue : investiguer, conseiller, faire décider le management, exécuter dans les règles.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées sur papier avant de consulter le corrigé.

Question 1

Beyond confidentiality, integrity, and availability, which two concepts complete the five pillars of information security?

  1. Authenticity and nonrepudiation
  2. Authentication and authorization
  3. Accountability and auditing
  4. Privacy and safety
Voir la réponse Réponse : A

Le référentiel 2024 nomme cinq piliers : CIA + authenticity + nonrepudiation. B et C listent des services de la chaîne IAAAA, pas des piliers ; D mélange des objectifs voisins mais hors liste officielle.

Question 2

An attacker modifies the amounts on invoices stored in a company database. Which security pillar is MOST directly violated?

  1. Confidentiality
  2. Integrity
  3. Availability
  4. Nonrepudiation
Voir la réponse Réponse : B

Modification non autorisée = atteinte à l'intégrité (le « A » de la triade DAD : Alteration). Rien n'a été divulgué (A), le service reste disponible (C), et la répudiation n'est pas en jeu (D).

Question 3

A customer denies having authorized a wire transfer that was actually initiated from her account. Which mechanism BEST prevents this kind of denial?

  1. Symmetric encryption of the transaction
  2. A digital signature applied by the customer
  3. A firewall protecting the banking application
  4. Data backups of all transactions
Voir la réponse Réponse : B

La non-répudiation exige une preuve imputable au seul client : sa signature numérique, fondée sur sa clé privée. Le chiffrement symétrique (A) utilise une clé partagée — chaque partie peut nier ; C protège sans prouver ; D conserve sans imputer.

Question 4

Several administrators share a single "root" account on a critical server. Which security service is MOST directly undermined?

  1. Identification
  2. Authorization
  3. Accountability
  4. Availability
Voir la réponse Réponse : C

Un compte partagé rend impossible l'imputation d'une action à une personne : l'accountability s'effondre, même si les journaux existent. L'identification et l'autorisation fonctionnent techniquement (A, B) — c'est le maillon final de la chaîne qui casse.

Question 5

Which statement BEST describes effective security governance?

  1. Security requirements drive business strategy
  2. The security function is aligned with and supports business strategy, mission, and objectives
  3. Technical teams define security priorities based on threat intelligence
  4. Security decisions are delegated entirely to an external auditor
Voir la réponse Réponse : B

Définition canonique de la gouvernance : la sécurité sert la stratégie métier. A inverse la relation ; C décrit une dérive bottom-up ; D confond gouvernance et assurance — l'auditeur vérifie, il ne gouverne pas.

Question 6

During the acquisition of another company, what should the security team do FIRST?

  1. Merge the two corporate networks to enable collaboration
  2. Perform security due diligence on the target organization
  3. Deploy the acquiring company's security tools on the target's systems
  4. Terminate the target's existing vendor contracts
Voir la réponse Réponse : B

Évaluer avant d'agir : la due diligence sur la cible précède toute intégration. A est le piège classique — connecter deux réseaux avant évaluation importe les compromissions de la cible ; C et D sont des actions prématurées sans analyse.

Question 7

An organization is divesting a business unit. Which action is MOST important before the separation is finalized?

  1. Increasing the marketing budget of the divested unit
  2. Removing the divested employees' access to remaining corporate systems and sanitizing shared data
  3. Transferring all security staff to the divested unit
  4. Renewing all software licenses
Voir la réponse Réponse : B

La cession crée deux risques symétriques : des sortants qui gardent des accès, et des données qui partent avec l'unité cédée. Révocation d'accès + sanitisation sont la priorité sécurité ; A, C et D sont hors sujet ou absurdes.

Question 8

Who is responsible for classifying a dataset of customer records?

  1. The database administrator who manages the server
  2. The data owner from the business unit
  3. The chief information security officer
  4. The internal auditor
Voir la réponse Réponse : B

La classification est une décision métier : elle appartient au data owner. Le DBA est custodian — il applique (A) ; le CISO conseille et outille (C) ; l'auditeur vérifie (D). Ce partage des rôles revient à chaque examen.

Question 9

An organization wants its information security management system independently certified. Which standard should it pursue?

  1. ISO/IEC 27002
  2. NIST SP 800-53
  3. ISO/IEC 27001
  4. CIS Controls
Voir la réponse Réponse : C

Seul ISO 27001 définit des exigences certifiables pour un ISMS. 27002 est un guide (A) ; 800-53 un catalogue de contrôles fédéral (B) ; les CIS Controls une liste prescriptive sans schéma de certification d'organisation (D).

Question 10

Which function was added in version 2.0 of the NIST Cybersecurity Framework?

  1. Identify
  2. Govern
  3. Respond
  4. Protect
Voir la réponse Réponse : B

Govern rejoint Identify, Protect, Detect, Respond, Recover — six fonctions en CSF 2.0. Les trois autres options appartiennent au cadre depuis l'origine.

Question 11

A cloud service provider wants to sell its services to United States federal agencies. Which authorization program applies?

  1. PCI DSS
  2. FedRAMP
  3. SABSA
  4. COBIT
Voir la réponse Réponse : B

FedRAMP est le programme d'autorisation des offres cloud pour le fédéral américain. PCI DSS vise les cartes (A), SABSA est une méthode d'architecture (C), COBIT un cadre de gouvernance IT (D).

Question 12

A company thoroughly researched industry threats and best practices, documented the findings, but never implemented any of the recommended controls. A breach occurs. Which statement is MOST accurate?

  1. The company exercised due care but not due diligence
  2. The company exercised due diligence but not due care
  3. The company exercised both due care and due diligence
  4. The company cannot be found negligent because it documented the risks
Voir la réponse Réponse : B

Rechercher et documenter = due diligence (savoir) ; implémenter = due care (agir) — absent ici. A inverse les termes, C ignore l'absence d'action, D est dangereusement faux : documenter des risques sans agir peut aggraver la négligence démontrée.

Question 13

The "prudent person rule" is used to evaluate which of the following?

  1. Whether senior management exercised due care
  2. Whether evidence is admissible in court
  3. Whether a patent application is non-obvious
  4. Whether an employee passed a background check
Voir la réponse Réponse : A

Le prudent person rule mesure le due care : le management a-t-il agi comme une personne prudente et raisonnable l'aurait fait ? Les autres options relèvent du droit de la preuve (B), des brevets (C) ou du personnel (D).

Question 14

In a civil lawsuit over damages caused by a data breach, what standard of proof must the plaintiff meet?

  1. Beyond a reasonable doubt
  2. Probable cause
  3. Preponderance of the evidence
  4. Clear and convincing certainty in all cases
Voir la réponse Réponse : C

Au civil : preponderance of the evidence — « plus probable qu'improbable ». A est le standard pénal ; B concerne les mandats et arrestations ; D surqualifie le standard civil ordinaire.

Question 15

A former employee is criminally prosecuted for accessing his ex-employer's systems without authorization. Which US law MOST likely applies?

  1. The Computer Fraud and Abuse Act
  2. The Privacy Act of 1974
  3. The Gramm-Leach-Bliley Act
  4. FISMA
Voir la réponse Réponse : A

Accès non autorisé à un système : c'est le cœur du CFAA, la loi pénale fédérale du crime informatique. Privacy Act vise les agences fédérales (B), GLBA la finance (C), FISMA la sécurité des agences (D).

Question 16

Which statement about PCI DSS is correct?

  1. It is a US federal law enforced by the FTC
  2. It is an EU regulation applicable to card payments
  3. It is a contractual obligation imposed by payment card brands
  4. It is a voluntary framework with no enforcement mechanism
Voir la réponse Réponse : C

PCI DSS est imposé par contrat via les marques de cartes et les banques acquéreuses. Ni loi fédérale (A), ni règlement européen (B) ; et il est bel et bien sanctionnable — amendes contractuelles, perte du droit de traiter les cartes (D).

Question 17

A software company wants to protect a proprietary pricing algorithm and is unwilling to disclose how it works. Which protection is MOST appropriate?

  1. Patent
  2. Copyright
  3. Trademark
  4. Trade secret
Voir la réponse Réponse : D

Refus de divulguer + valeur commerciale + protection active = trade secret. Le brevet exige la publication de l'invention (A) ; le copyright protège l'expression du code, pas la méthode (B) ; la marque protège l'identité commerciale (C).

Question 18

How long does utility patent protection last in the United States?

  1. 17 years from the date the patent is granted
  2. 20 years from the date the application is filed
  3. 70 years after the inventor's death
  4. 10 years, renewable indefinitely
Voir la réponse Réponse : B

20 ans à compter du dépôt de la demande. A est l'ancien régime (piège historique) ; C est la durée du copyright ; D celle des marques.

Question 19

Which intellectual property protection can last indefinitely, provided it is actively maintained?

  1. Copyright and patent
  2. Trademark and trade secret
  3. Patent and trademark
  4. Copyright and trade secret
Voir la réponse Réponse : B

La marque se renouvelle indéfiniment par périodes de 10 ans ; le secret d'affaires dure tant qu'il est effectivement protégé. Copyright et patent ont des termes fixes — toute combinaison les incluant est fausse.

Question 20

An online service provider promptly removes copyrighted material when notified by rights holders. Under the DMCA, what does this behavior provide?

  1. Immunity from all civil lawsuits
  2. Safe harbor protection against liability for user-posted content
  3. An exemption from the anti-circumvention provisions
  4. Automatic transfer of the copyright to the provider
Voir la réponse Réponse : B

Retirer promptement les contenus signalés vaut safe harbor : l'hébergeur n'est pas responsable des contenus publiés par ses utilisateurs. A surestime la portée (immunité totale) ; C confond avec l'anti-contournement ; D est absurde.

Question 21

A US company plans to export commercial encryption software with both civilian and military applications. Which regime governs this export?

  1. ITAR, administered by the Department of State
  2. EAR, administered by the Department of Commerce
  3. FISMA, administered by NIST
  4. The Wassenaar Arrangement, enforced directly as US law
Voir la réponse Réponse : B

Double usage civil/militaire = EAR, Département du Commerce. ITAR couvre le strictement militaire (A) ; FISMA n'a rien à voir avec l'export (C) ; Wassenaar est un accord multilatéral que chaque État transpose — il ne s'applique pas « directement » comme loi US (D).

Question 22

A European customer's personal data is breached at a US-based SaaS company serving EU residents. Under GDPR, what must the data controller do?

  1. Notify the relevant supervisory authority within 72 hours of becoming aware of the breach
  2. Notify all customers worldwide within 24 hours
  3. Nothing, because the company is established outside the EU
  4. Notify the supervisory authority within 30 days
Voir la réponse Réponse : A

72 heures vers l'autorité de contrôle, dès la prise de connaissance. B invente un délai et un périmètre ; C ignore la portée extraterritoriale du GDPR — servir des résidents UE suffit ; D quadruple le délai.

Question 23

A retailer decides which customer data to collect and why; a cloud analytics vendor processes that data on the retailer's behalf. Under GDPR, which roles apply?

  1. The retailer is the processor; the vendor is the controller
  2. The retailer is the controller; the vendor is the processor
  3. Both are joint controllers in all cases
  4. The vendor is the data subject
Voir la réponse Réponse : B

Qui détermine finalités et moyens est controller — le retailer ; qui traite pour le compte d'autrui est processor — le vendor. A inverse ; C surinterprète (la co-responsabilité exige une détermination conjointe) ; D confond les rôles avec la personne concernée.

Question 24

A medical billing company processes patient health information on behalf of hospitals. Which statement is correct under HIPAA?

  1. Only the hospitals are subject to HIPAA requirements
  2. The billing company is a business associate and must protect PHI under a business associate agreement
  3. The billing company is exempt because it does not treat patients
  4. HIPAA applies only to government-run hospitals
Voir la réponse Réponse : B

Le prestataire qui manipule du PHI pour une covered entity est un business associate : obligations HIPAA directes, contractualisées par un BAA. A et C reproduisent l'exonération imaginaire du sous-traitant ; D invente une restriction au secteur public.

Question 25

A website aimed at children collects personal information from users under 13 years of age. Which US law requires verifiable parental consent?

  1. FERPA
  2. COPPA
  3. GLBA
  4. SOX
Voir la réponse Réponse : B

COPPA : consentement parental vérifiable avant toute collecte auprès des moins de 13 ans. FERPA vise les dossiers scolaires (A), GLBA la finance (C), SOX les rapports financiers des sociétés cotées (D).

Auto-diagnostic

≥ 20/25 : passez au chapitre 2. Entre 15 et 19 : relisez les sections des questions manquées — le bloc juridique (1.4) est le plus dense — et refaites le quiz demain. < 15 : relisez le chapitre entier, en récitant les deux tableaux (IP et lois sectorielles) avant la seconde tentative.

FicheFiche de révision

À savoir par cœur avant le chapitre 2
  1. Cinq piliers : Confidentiality · Integrity · Availability · Authenticity · Nonrepudiation (CIA-AN).
  2. Triade DAD : Disclosure / Alteration / Destruction — miroir offensif du CIA.
  3. Chaîne IAAAA : Identification → Authentication → Authorization → Auditing → Accountability.
  4. Compte partagé = accountability détruite, quels que soient les journaux.
  5. Gouvernance = top-down ; la sécurité sert la stratégie métier, jamais l'inverse.
  6. Owner classifie · custodian applique · auditor vérifie · senior management répond de tout.
  7. Acquisition → due diligence d'abord ; divestiture → révocation d'accès + sanitisation.
  8. ISO 27001 certifiable ; 27002 guide ; NIST CSF 2.0 = 6 fonctions (Govern ajoutée) ; 800-53 = fédéral US ; FedRAMP = cloud fédéral.
  9. Due diligence = savoir (Do Detect) ; due care = agir (Do Correct) ; leur absence = négligence (prudent person rule).
  10. Pénal : beyond a reasonable doubt · civil : preponderance of the evidence.
  11. IP : © vie + 70 · patent 20 ans dès dépôt · trademark 10 ans renouvelables ∞ · trade secret tant que le secret tient.
  12. DMCA : anti-contournement + safe harbor des hébergeurs.
  13. ITAR = militaire (État) · EAR = double usage, crypto (Commerce) · Wassenaar = accord multilatéral.
  14. GDPR : controller décide, processor exécute ; 72 h vers l'autorité ; 20 M€ / 4 % CA mondial.
  15. Réflexe sectoriel : santé → HIPAA (+ BAA) · finance → GLBA · cotées → SOX · < 13 ans → COPPA · scolaire → FERPA · Californie → CCPA/CPRA.
  16. PCI DSS = contractuel. Trois natures de conformité : légale · contractuelle · standards sectoriels.