CISSP · Réussir du premier coup

Chapitre 2
Investigations, politiques,
continuité, personnel

Domaine 1, deuxième partie : les types d'enquêtes, la pyramide documentaire, la BIA et ses calculs, la sécurité des personnes.

Domaine
1 — Security & Risk Management · 16 %
Objectifs couverts
1.5 · 1.6 · 1.7 · 1.8
Entraînement
5 exercices chiffrés + 25 questions
L'essentiel en 60 secondes
  • Quatre + une investigations : administrative (interne, standard le plus souple), criminal (beyond a reasonable doubt), civil (preponderance), regulatory (agences), industry standards (contractuel, ex. PCI).
  • Pyramide documentaire : policy (haut niveau, signée par le management senior) → standards et baselinesprocedures ; tout est obligatoire sauf les guidelines.
  • BCP = maintenir l'activité ; DRP = restaurer l'IT après sinistre. Le DRP est un sous-ensemble du BC.
  • Les 4 étapes du BCP : Project scope & planning → BIA → Continuity planning → Approval & implementation.
  • Formules : AV × EF = SLE ; SLE × ARO = ALE ; valeur d'un contrôle = ALE avant − ALE après − coût annuel.
  • Ligne du temps : RPO (perte de données, regarde en arrière) · RTO (délai de restauration) · WRT (reprise du travail) · RTO + WRT ≤ MTD.
  • Le soutien et l'approbation du management senior sont le facteur n° 1 de succès du BCP.
  • Départ d'un salarié : les accès se désactivent au moment de la notification, pas après.
  • Vérifications d'embauche proportionnelles à la sensibilité du poste ; NDA survit au contrat.
  • Surveillance des employés : licite si l'attente de vie privée a été levée (AUP signée, bannières).

Objectif 1.5Les types d'investigations

Toute enquête se classe selon qui la conduit et quel niveau de preuve elle exige. Cette classification décide de tout le reste : rigueur de la collecte, chaîne de custody, conséquences possibles. L'erreur fatale — et testée — est de traiter avec légèreté une affaire qui pourrait finir au pénal : on ne peut jamais « durcir » rétroactivement des preuves mal collectées.

TypeConduite parStandard de preuveIssue typique
AdministrativeL'organisation elle-même (RH, sécurité)Le plus souple — préponderance interne, règles de l'entrepriseSanction disciplinaire, correctif opérationnel
CriminalForces de l'ordre, procureurBeyond a reasonable doubt — le plus exigeantPrison, amendes pénales
CivilParties privées (avocats)Preponderance of the evidenceDommages et intérêts
RegulatoryAgence gouvernementale (autorité sectorielle)Selon le régime — peut basculer civil ou pénalAmendes, sanctions, retrait d'agrément
Industry standardsAssesseurs mandatés par contrat (ex. PFI pour PCI DSS)Termes du contratPénalités contractuelles, perte du droit de traiter

Deux réflexes de manager : d'abord, qualifier l'enquête avant de collecter — si une issue pénale est plausible, appliquer d'emblée les standards les plus stricts (chaîne de custody complète, forensics — détaillés au chapitre 18). Ensuite, savoir ce que coûte l'appel aux forces de l'ordre : on gagne des pouvoirs d'enquête, on perd le contrôle du calendrier, de la confidentialité et du matériel saisi.

Objectif 1.6La pyramide documentaire

La documentation de sécurité s'étage du stratégique à l'opérationnel. Chaque niveau a une fonction, un degré d'obligation et un signataire — trois attributs que l'examen teste en permutation.

DocumentNatureObligatoire ?Exemple
PolicyIntention stratégique de haut niveau ; approuvée par le management senior ; stable dans le tempsOui« L'information est classifiée et protégée selon sa sensibilité »
StandardExigence uniforme et précise (technologies, formats)Oui« Le chiffrement au repos utilise AES-256 »
BaselineSocle minimal de sécurité d'un système ; point de référence mesurableOuiConfiguration durcie de référence des serveurs Linux
GuidelineRecommandation, bonne pratique adaptableNon« Privilégier les phrases de passe longues »
ProcedureMode opératoire pas à pas (SOP)OuiLes 12 étapes de création d'un compte

Trois familles de policies : organizational (la politique maîtresse, qui fonde le programme), issue-specific / functional (un sujet transverse : email, usage acceptable, télétravail), system-specific (un système donné : la politique du mainframe de paie). La politique ne cite jamais de technologies — c'est le rôle des standards ; elle survit ainsi aux changements d'outils.

🧠 Mnémonique

« La Politique parle, le Standard précise, la Baseline borne, le Guide conseille, la Procédure prescrit. » Un seul document se contente de conseiller : tout est obligatoire sauf la guideline.

Objectif 1.7Continuité d'activité : BCP et BIA

BCP contre DRP — les périmètres

Le Business Continuity Plan vise à maintenir l'activité pendant et après une perturbation : périmètre stratégique, centré sur les processus métier, les personnes et les communications. Le Disaster Recovery Plan vise à restaurer l'infrastructure IT après un sinistre : périmètre tactique et technique. Le DR est un sous-ensemble de l'effort de continuité : le DRP s'active quand la perturbation a dépassé ce que le BCP pouvait absorber. Une question qui parle de « restaurer les serveurs au site de secours » vit dans le DRP (chapitre 20) ; une question qui parle de « quelles fonctions maintenir en priorité » vit ici.

Les quatre étapes du BCP

  1. Project scope and planning — analyse de l'organisation, sélection de l'équipe BCP (métiers + IT + juridique, pas seulement la sécurité), ressources, cadre légal et réglementaire. Le prérequis absolu : l'engagement du management senior, qui fixe la priorité et finance.
  2. Business Impact Analysis — le cœur quantitatif, détaillé ci-dessous.
  3. Continuity planning — développement de la stratégie : quels risques on accepte, lesquels on mitige ; provisions et processus (personnes, bâtiments, infrastructure) pour tenir les objectifs de la BIA.
  4. Approval and implementation — approbation formelle par le management senior (elle signale l'importance du plan à toute l'organisation), déploiement, formation et sensibilisation, puis maintenance continue du plan.

La BIA — identifier, chiffrer, prioriser

La BIA identifie les fonctions critiques de l'organisation, mesure l'impact de leur interruption et en déduit les priorités de continuité. Elle inclut les dépendances externes — fournisseurs, énergie, télécoms, prestataires cloud : une fonction n'est jamais plus résiliente que la dépendance dont elle ne peut se passer. Ses livrables clés sont quatre métriques temporelles et trois valeurs financières.

MétriqueDéfinitionLe point testé
MTD / MADMaximum Tolerable Downtime : durée d'interruption au-delà de laquelle le dommage devient irréparableLe mur infranchissable — fixé par le métier, pas par l'IT
RTORecovery Time Objective : délai cible pour remettre le service en routeRTO ≤ MTD, toujours
WRTWork Recovery Time : temps, après restauration technique, pour vérifier et reprendre le travail normalRTO + WRT ≤ MTD
RPORecovery Point Objective : perte de données maximale tolérable, exprimée en tempsRegarde en arrière ; dicte la fréquence des sauvegardes/réplication
🧠 Mnémonique — la ligne du temps du sinistre

« RPO regarde en arrière, RTO court devant, WRT range l'atelier, MTD est le mur. » Et pour les formules : une fois = SLE, un an = ALE — la chaîne complète s'écrit AV × EF = SLE, puis SLE × ARO = ALE.

Le chiffrage quantitatif

Exercices — cinq calculs corrigés
  1. Datacenter de 2 000 000 $ ; une inondation en détruirait 25 % ; crue attendue tous les 20 ans. SLE = 2 000 000 × 0,25 = 500 000 $ ; ARO = 1/20 = 0,05 ; ALE = 25 000 $.
  2. Ferme web de 200 000 $ ; un DDoS majeur coûte 50 % de sa valeur ; deux attaques par an. SLE = 100 000 $ ; ARO = 2 ; ALE = 200 000 $ — un ARO peut dépasser 1.
  3. Vol de portables : 4 000 $ pièce, perte totale (EF = 100 %), 30 vols par an. SLE = 4 000 $ ; ARO = 30 ; ALE = 120 000 $.
  4. Un contrôle ramènerait l'ALE de 80 000 $ à 10 000 $ et coûte 30 000 $/an. Valeur = 80 000 − 10 000 − 30 000 = + 40 000 $ : on l'implémente. (Formule : ALE₁ − ALE₂ − ACS.)
  5. À rebours : ALE = 50 000 $ pour un ARO de 0,5 ; l'actif vaut 400 000 $. SLE = 50 000 / 0,5 = 100 000 $ ; EF = 100 000 / 400 000 = 25 % — l'examen inverse parfois la formule.

Le rôle du management senior traverse tout le processus : il déclenche le projet, arbitre les priorités issues de la BIA (c'est une décision métier, pas technique), approuve le plan final et porte la responsabilité de son existence — un BCP absent ou périmé est un défaut de due care qui lui est directement imputable.

⚠️ Pièges d'examen
  • RPO mesure une perte de données (en arrière) ; RTO mesure un délai de restauration (en avant). Les distracteurs les permutent systématiquement.
  • RTO + WRT doivent tenir sous le MTD ; un RTO « égal au MTD » ne laisse aucun temps de reprise du travail.
  • « Quelle est l'étape la plus critique du BCP ? » — l'obtention du soutien/de l'approbation du management senior, pas la BIA.
  • Le MTD est fixé par le métier ; l'IT en déduit le RTO — jamais l'inverse.
  • Ne confondez pas SLE (une occurrence) et ALE (annuel) : lisez si la question demande la perte « per incident » ou « per year ».
  • BCP ≠ DRP : maintien de l'activité contre restauration IT. Le mot « restore » oriente DRP, le mot « continue » oriente BCP.

Objectif 1.8Sécurité du personnel

L'humain est à la fois le premier actif et le premier vecteur de risque. Le cycle de vie de l'employé se sécurise de bout en bout — et chaque étape a son contrôle phare.

Recruter : screening et contrats

Vivre : onboarding, transferts, surveillance

Partir : le moment critique

Le départ — surtout contraint — est l'instant le plus dangereux du cycle. La règle d'or : les accès sont désactivés au moment même de la notification, jamais « en fin de journée ». Le processus type d'un licenciement : coordination RH/sécurité, désactivation des comptes synchronisée avec l'entretien, récupération des actifs (badge, portable, tokens), rappel écrit des obligations du NDA, escorte de sortie. Pour un départ amical, la rigueur reste la même — les statistiques de vol de données par les partants ne distinguent pas l'humeur du départ.

Tiers : vendors, consultants, contractors

Les externes reçoivent le même traitement plus des garde-fous contractuels : NDA systématique, accès limités dans le temps et le périmètre, comptes nominatifs (jamais partagés — souvenez-vous de l'accountability, chapitre 1), surveillance renforcée, clauses de sécurité et SLA. Le risque multipartite se gère par contrat et par revue — c'est l'antichambre du SCRM traité au chapitre 3.

Scénario fil rouge — Awa

La BIA de la plateforme de paiement fusionnée occupe Awa trois semaines. Les métiers fixent le MTD du traitement des paiements à 4 heures ; l'IT propose un RTO de 2 heures, laissant 2 heures de WRT — l'équation tient. Le RPO exigé est de 5 minutes : la sauvegarde nocturne ne suffit plus, il faut une réplication continue. Pour la financer, Awa parle la langue du comité : l'indisponibilité coûte 150 000 $ de l'heure, l'ALE des pannes majeures atteint 300 000 $ ; la réplication à 90 000 $/an qui la ramène à 40 000 $ vaut donc + 170 000 $ par an. Approbation immédiate. Le même mois, un administrateur hérité de l'acquisition est licencié pour contournement des contrôles : ses accès tombent pendant l'entretien RH, son NDA lui est rappelé par écrit, et l'enquête — d'abord administrative — est documentée avec la rigueur du pénal, au cas où le parquet s'en saisirait.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

Which type of investigation requires the HIGHEST standard of evidence?

  1. Administrative
  2. Civil
  3. Criminal
  4. Regulatory
Voir la réponse Réponse : C

Le pénal exige beyond a reasonable doubt — le standard le plus élevé, car la liberté est en jeu. Le civil se contente de la prépondérance (B), l'administratif des règles internes (A), le réglementaire varie selon le régime (D).

Question 2

Human resources investigates an employee suspected of violating the acceptable use policy. What type of investigation is this?

  1. Criminal
  2. Administrative
  3. Regulatory
  4. Civil
Voir la réponse Réponse : B

Enquête interne, conduite par l'organisation, sur une violation de politique : administrative. Aucune infraction pénale alléguée (A), aucune agence (C), aucun litige entre parties (D).

Question 3

A financial supervisory agency opens an inquiry into a bank's compliance with capital security rules. What type of investigation is this?

  1. Regulatory
  2. Industry standards
  3. Administrative
  4. Civil
Voir la réponse Réponse : A

Une agence gouvernementale qui contrôle le respect de sa réglementation mène une investigation réglementaire. Industry standards serait contractuel (B) ; l'administratif est interne (C) ; le civil oppose des parties privées (D).

Question 4

After a card data breach, a merchant undergoes a forensic investigation mandated by its payment processing contract. What type of investigation is this?

  1. Criminal
  2. Regulatory
  3. Civil
  4. Industry standards
Voir la réponse Réponse : D

PCI DSS est contractuel (chapitre 1) : l'enquête forensique qu'il impose relève des industry standards. Ni procureur (A), ni agence (B), ni procès entre parties (C) — même si chacun peut suivre.

Question 5

An internal investigation may lead to criminal prosecution. What should the investigation team do?

  1. Apply evidence collection standards suitable for criminal proceedings from the start
  2. Collect evidence informally and formalize it later if needed
  3. Wait for law enforcement before collecting anything, including volatile data
  4. Restrict the investigation to administrative standards to save time
Voir la réponse Réponse : A

On ne peut pas durcir rétroactivement des preuves : si le pénal est plausible, on collecte d'emblée au standard le plus strict. B est l'erreur fatale ; C sacrifie les données volatiles qui disparaissent en attendant ; D optimise le temps au prix du dossier.

Question 6

Which security document is advisory rather than mandatory?

  1. Standard
  2. Baseline
  3. Guideline
  4. Procedure
Voir la réponse Réponse : C

Seule la guideline est une recommandation adaptable. Standards, baselines et procédures sont tous obligatoires — le mnémonique : tout est obligatoire sauf le Guide.

Question 7

Which document defines the minimum security configuration that every server must meet?

  1. Policy
  2. Baseline
  3. Guideline
  4. Business impact analysis
Voir la réponse Réponse : B

Le socle minimal mesurable d'un système est la baseline. La policy reste stratégique (A), la guideline n'oblige pas (C), la BIA analyse des impacts (D).

Question 8

Who should approve the organizational security policy?

  1. The chief information security officer
  2. Senior management
  3. The legal department
  4. The security steering committee's technical members
Voir la réponse Réponse : B

La politique organisationnelle engage toute l'entreprise : seul le management senior a l'autorité — et la responsabilité — de la signer. Le CISO la rédige et la propose (A) ; le juridique la relit (C) ; les techniciens l'alimentent (D).

Question 9

A document lists the exact steps for provisioning a new user account. What is it?

  1. A policy
  2. A standard
  3. A guideline
  4. A procedure
Voir la réponse Réponse : D

Des étapes exécutables une à une : c'est la définition de la procédure (SOP). La policy dit pourquoi, le standard dit quoi, la procédure dit comment, pas à pas.

Question 10

Why should a security policy avoid naming specific technologies?

  1. To remain stable while standards evolve with technology
  2. Because technologies are confidential
  3. Because policies are optional documents
  4. To make the policy shorter
Voir la réponse Réponse : A

La politique fixe une intention durable ; les technologies changent — elles vivent dans les standards, révisés plus souvent. B, C et D n'ont aucun fondement (et C est faux : la policy est obligatoire).

Question 11

Which statement BEST describes the relationship between business continuity and disaster recovery?

  1. They are identical plans with different names
  2. Disaster recovery focuses on restoring IT operations and is a subset of the broader continuity effort
  3. Business continuity is a subset of disaster recovery
  4. Disaster recovery covers people; business continuity covers technology
Voir la réponse Réponse : B

Le DR restaure l'IT ; il est un sous-ensemble de l'effort de continuité, qui vise le maintien de l'activité. C inverse la hiérarchie, D inverse les périmètres, A nie la distinction.

Question 12

What is the FIRST phase of business continuity planning?

  1. Business impact analysis
  2. Continuity planning
  3. Project scope and planning
  4. Approval and implementation
Voir la réponse Réponse : C

Scope & planning ouvre le processus : organisation, équipe, ressources, cadre légal. La BIA vient en deuxième (A) — piège classique, car elle est l'étape la plus connue.

Question 13

Which factor is MOST critical to the success of a business continuity program?

  1. The choice of business continuity software
  2. Senior management support and approval
  3. The size of the BCP team
  4. Annual penetration testing
Voir la réponse Réponse : B

Sans le soutien et l'approbation du management senior, le BCP n'a ni budget, ni autorité, ni participation des métiers. L'outil (A), la taille d'équipe (C) et le pentest (D) sont secondaires ou hors sujet.

Question 14

What is the PRIMARY purpose of the business impact analysis?

  1. To identify critical business functions and quantify the impact of their disruption
  2. To restore servers after a disaster
  3. To test the disaster recovery plan
  4. To assign blame after an incident
Voir la réponse Réponse : A

Identifier les fonctions critiques et chiffrer l'impact de leur interruption — pour prioriser. B décrit le DRP, C les tests (chapitre 20), D n'est jamais une bonne réponse CISSP.

Question 15

Who should determine the maximum tolerable downtime of the order-processing function?

  1. The infrastructure team, based on server capabilities
  2. Business unit leadership, based on operational and financial impact
  3. The backup administrator, based on backup windows
  4. The external auditor
Voir la réponse Réponse : B

Le MTD est une décision métier : combien de temps l'activité survit sans la fonction. L'IT en déduit le RTO (A et C inversent la logique) ; l'auditeur vérifie, il ne fixe pas (D).

Question 16

A function has an MTD of 8 hours. Which combination of objectives is acceptable?

  1. RTO of 8 hours and WRT of 2 hours
  2. RTO of 6 hours and WRT of 4 hours
  3. RTO of 5 hours and WRT of 2 hours
  4. RTO of 10 hours and WRT of 0 hours
Voir la réponse Réponse : C

Il faut RTO + WRT ≤ MTD : 5 + 2 = 7 ≤ 8 ✓. A donne 10 > 8 ; B donne 10 > 8 ; D a un RTO qui dépasse déjà le mur.

Question 17

A business unit states it can afford to lose at most 15 minutes of transaction data. Which metric captures this requirement, and what does it drive?

  1. RTO; it drives the choice of recovery site
  2. MTD; it drives staffing levels
  3. RPO; it drives backup and replication frequency
  4. WRT; it drives testing schedules
Voir la réponse Réponse : C

« Perte de données maximale » = RPO, qui regarde en arrière et dicte la fréquence de sauvegarde/réplication (15 minutes → réplication quasi continue). Les trois autres métriques regardent la restauration, pas la donnée.

Question 18

A warehouse is valued at $800,000. A fire would destroy 40% of it. What is the single loss expectancy?

  1. $32,000
  2. $320,000
  3. $200,000
  4. $800,000
Voir la réponse Réponse : B

SLE = AV × EF = 800 000 × 0,40 = 320 000 $. A oublie un zéro ; C invente ; D suppose EF = 100 %.

Question 19

The SLE of a power outage is $60,000 and such an outage is expected once every four years. What is the annualized loss expectancy?

  1. $240,000
  2. $60,000
  3. $15,000
  4. $6,000
Voir la réponse Réponse : C

ARO = 1/4 = 0,25 ; ALE = 60 000 × 0,25 = 15 000 $. A multiplie au lieu de diviser la fréquence ; B confond SLE et ALE ; D divise par 10.

Question 20

A safeguard costing $25,000 per year would reduce an ALE from $120,000 to $30,000. What is the annual value of the safeguard to the organization?

  1. $90,000
  2. $65,000
  3. $120,000
  4. $5,000
Voir la réponse Réponse : B

Valeur = ALE₁ − ALE₂ − ACS = 120 000 − 30 000 − 25 000 = 65 000 $. A oublie le coût du contrôle ; C ignore tout le calcul ; D soustrait dans le désordre.

Question 21

During the BIA, the team discovers that payment processing depends entirely on a single telecom provider. How should this be treated?

  1. Ignored, since the provider is outside the organization
  2. Documented as an external dependency and factored into continuity priorities
  3. Transferred automatically to the provider's insurance
  4. Escalated directly to law enforcement
Voir la réponse Réponse : B

Les dépendances externes font partie intégrante de la BIA : on les documente et on les intègre aux priorités (redondance de fournisseur, clauses contractuelles). A est un angle mort classique ; C n'existe pas ; D est absurde.

Question 22

What principle should guide the depth of pre-employment background checks?

  1. All employees receive identical checks for fairness
  2. The depth is proportional to the sensitivity and risk of the position
  3. Checks are only needed for executives
  4. Checks are unnecessary when a NDA is signed
Voir la réponse Réponse : B

Proportionnalité au risque du poste : un administrateur de systèmes critiques justifie des vérifications approfondies, un poste sans accès sensible non. A gaspille et peut violer le droit local ; C et D confondent des contrôles distincts.

Question 23

Which statement about non-disclosure agreements is correct?

  1. They expire automatically when employment ends
  2. Their confidentiality obligations survive the end of employment
  3. They are only enforceable for executives
  4. They replace the need for security awareness training
Voir la réponse Réponse : B

Le NDA survit au contrat de travail — c'est sa raison d'être : la confidentialité n'expire pas avec le badge. A est le contresens testé ; C et D n'ont aucun fondement.

Question 24

An employee is being terminated for cause this afternoon. When should his system access be disabled?

  1. At the time he is notified of the termination
  2. At the end of his last working day
  3. One week after departure, to allow handover
  4. Only if he behaves suspiciously during the exit interview
Voir la réponse Réponse : A

La désactivation se synchronise avec la notification : entre l'annonce et la coupure, un partant mécontent a tous les motifs et tous les accès. B, C et D laissent la fenêtre ouverte — C au nom d'un « handover » qui se prépare avant, avec les accès d'un tiers.

Question 25

An employee moves from the finance team to the procurement team. What is the MOST important access management action?

  1. Granting the new procurement permissions immediately
  2. Reviewing his access and removing finance permissions no longer required by the new role
  3. Keeping all existing access in case he returns to finance
  4. Creating a second account for the new role
Voir la réponse Réponse : B

Le transfert est le moment du privilege creep : revue complète, retrait des droits de l'ancien rôle, puis attribution du nouveau au moindre privilège. A saute la revue, C institutionnalise l'accumulation, D multiplie les identités sans régler le fond.

Auto-diagnostic

≥ 20/25 : passez au chapitre 3 — le cœur du domaine 1. Entre 15 et 19 : refaites les cinq calculs de la BIA sur papier et relisez les sections manquées. < 15 : relisez le chapitre ; les formules AV × EF = SLE et SLE × ARO = ALE doivent devenir des automatismes avant le chapitre 3, qui les généralise.

FicheFiche de révision

À savoir par cœur avant le chapitre 3
  1. Investigations : administrative (interne, souple) · criminal (beyond a reasonable doubt) · civil (preponderance) · regulatory (agences) · industry standards (contractuel).
  2. Si le pénal est plausible : collecter d'emblée au standard le plus strict — jamais de durcissement rétroactif.
  3. Appeler les forces de l'ordre = gagner des pouvoirs, perdre le contrôle.
  4. Pyramide : Policy (parle) · Standard (précise) · Baseline (borne) · Guideline (conseille) · Procedure (prescrit).
  5. Tout est obligatoire sauf la guideline ; la policy est signée par le management senior et ne cite pas de technologies.
  6. BCP = continuer l'activité ; DRP = restaurer l'IT ; le DR est un sous-ensemble du BC.
  7. BCP en 4 étapes : Scope & planning → BIA → Continuity planning → Approval & implementation.
  8. Facteur n° 1 de succès du BCP : le soutien et l'approbation du management senior.
  9. AV × EF = SLE · SLE × ARO = ALE · valeur d'un contrôle = ALE₁ − ALE₂ − ACS.
  10. Une fois = SLE ; un an = ALE ; l'ARO peut dépasser 1.
  11. RPO = perte de données (en arrière) · RTO = délai de restauration · WRT = reprise du travail · RTO + WRT ≤ MTD.
  12. Le MTD est fixé par le métier ; l'IT en déduit le RTO.
  13. La BIA inclut les dépendances externes (fournisseurs, télécoms, énergie, cloud).
  14. Screening proportionnel au risque du poste ; le NDA survit au contrat.
  15. Départ : accès désactivés à la notification ; transfert : retirer avant d'accorder (privilege creep).
  16. Surveillance licite = attente de vie privée levée (AUP, bannières) + proportionnalité + droit local.