CISSP · Réussir du premier coup
Domaine 2, première partie : classifier, étiqueter, inventorier — puis suivre la donnée de sa collecte à sa destruction.
La classification attribue à chaque information un niveau de sensibilité qui détermine tous les contrôles en aval : chiffrement, accès, transport, stockage, destruction. Son bénéfice économique est le point que l'examen teste : elle concentre les protections coûteuses sur ce qui le mérite, au lieu de tout protéger uniformément — trop cher — ou insuffisamment — trop risqué. Elle démontre aussi l'engagement de l'organisation (due care) et répond à des obligations réglementaires.
| Gouvernement / militaire | Critère de dommage (divulgation) | Secteur privé | Exemples |
|---|---|---|---|
| Top Secret | Dommage exceptionnellement grave à la sécurité nationale | Confidential / Proprietary | Secrets d'affaires, R&D, clés |
| Secret | Dommage grave (serious damage) | Private | Données personnelles, RH, santé |
| Confidential | Dommage identifiable (damage) | Sensitive | Données internes, projets |
| Unclassified (dont CUI/FOUO) | Pas de dommage à la sécurité nationale | Public | Site web, communiqués |
Les critères de classification : valeur pour l'organisation, coût de remplacement, utilité, âge et obsolescence (la sensibilité décroît souvent avec le temps — d'où les processus de déclassification), obligations légales, et dommage causé par divulgation ou altération. Les assets (serveurs, médias, applications) héritent de la classification des données qu'ils traitent : un serveur qui héberge des données Confidential se protège comme elles.
G.S.D. — la gravité descend avec l'étiquette : Top Secret = exceptionnellement Grave · Secret = Sérieux · Confidential = Dommage. L'examen cite ces formules mot pour mot : « exceptionally grave damage » ne peut être que Top Secret.
Une classification sans exigences de manipulation est un vœu pieux. Quatre pratiques la rendent opérante, chacune graduée par niveau :
Premier principe d'Asset Security : on ne protège pas ce qu'on ne connaît pas. L'inventaire est donc le préalable de tout programme — et la réponse attendue quand une question demande « par où commencer ».
| Rôle | Responsabilité | Le point testé |
|---|---|---|
| Data owner | Classifie, fixe exigences de protection et de rétention ; accountable | Un manager métier senior — il délègue l'exécution, jamais la responsabilité |
| Data controller | Détermine finalités et moyens du traitement (vocabulaire GDPR) | L'organisation, vis-à-vis du régulateur |
| Data processor | Traite pour le compte du controller | Le prestataire (SaaS, infogéreur) — lié par contrat |
| Data custodian | Protection technique quotidienne : sauvegardes, ACL, intégrité | L'IT — il exécute les décisions de l'owner |
| Data steward | Qualité, cohérence et gouvernance métier de la donnée | Garant que la donnée est juste et exploitable |
| Data subject | La personne physique que la donnée décrit | Titulaire des droits GDPR (chapitre 1) |
| Data users | Consomment la donnée dans le cadre du need-to-know | Respectent les politiques, signalent les anomalies |
| Business / mission owner | Possède le processus métier servi par les systèmes | Arbitre valeur métier vs coût des contrôles |
| Administrators | Accordent les accès | Sur approbation de l'owner — jamais de leur propre chef |
« Le propriétaire décide, le gardien exécute, l'intendant soigne, l'utilisateur consomme. » Owner → décisions et responsabilité ; custodian → technique quotidienne ; steward → qualité métier ; user → usage encadré. Ajoutez la paire GDPR : controller décide, processor traite.
La data remanence est la persistance résiduelle des données après un effacement : supprimer un fichier ou formater un disque ne retire que les pointeurs de la table d'allocation — le contenu reste, récupérable avec des outils triviaux. D'où une gradation de méthodes, à choisir selon le média et la sensibilité :
| Méthode | Principe | Fonctionne sur | Protège contre |
|---|---|---|---|
| Erasing | Suppression logique (delete, format) | — | Rien : données récupérables |
| Clearing / overwriting | Réécriture par motifs (ex. zéros puis aléatoire) | HDD magnétiques ; peu fiable sur SSD (wear leveling, cellules de réserve) | Récupération logicielle ; pas les attaques de laboratoire |
| Purging | Assainissement renforcé : clearing répété, degauss, crypto erase, commandes sanitize | Selon la technique | Attaques de laboratoire — média réutilisable hors environnements les plus sensibles |
| Degaussing | Champ magnétique puissant | Médias magnétiques uniquement (HDD, bandes) — rend souvent le disque inutilisable | Récupération, y compris laboratoire — zéro effet sur SSD et optique |
| Cryptographic erasure / crypto-shredding | Destruction des clés d'un média chiffré | Tout média chiffré dès l'origine ; la seule option réaliste dans le cloud ; idéal SSD | Toute récupération (la donnée devient du bruit) |
| Physical destruction | Broyage, incinération, pulvérisation, fusion | Tout | Tout — la méthode la plus sûre, exigée au plus haut niveau de sensibilité |
Cas particulier SSD : le wear leveling disperse les écritures et conserve des cellules de réserve inaccessibles au système — la réécriture ne garantit rien, le degaussing ne fait rien (mémoire flash, pas magnétique). Les options valides : crypto erase, commandes sanitize du constructeur, ou destruction physique (avec granulométrie fine — les puces sont petites).
« Every Cat Purrs Deeply » — Erase < Clear < Purge < Destroy, du plus faible au plus sûr. Et trois réflexes : SSD → jamais de degauss ; cloud → crypto-shredding ; sensibilité maximale → destruction physique.
L'intégration de la startup berlinoise expose un chantier de données. Awa déploie l'échelle à quatre niveaux (Confidential, Private, Sensitive, Public), fait nommer un owner par domaine de données et des stewards côté métier — la qualité des données KYC était le point faible de l'audit. Dans le déménagement du vieux datacenter, on découvre un carton de bandes non étiquetées : traitées comme Confidential, inventoriées, vérifiées — deux contenaient des exports clients. Les disques durs réformés partent au degaussing puis au broyeur ; les SSD, eux, passent en crypto erase puis destruction — Awa a retoqué la procédure du prestataire qui proposait de les « démagnétiser ». Au contrat du fournisseur cloud KYC, elle fait ajouter une clause de cryptographic erasure attestée en fin de contrat : à distance, détruire les clés est la seule garantie réelle. Et quand le régulateur ouvre une enquête sur un ancien produit, le juriste déclenche le legal hold : le batch de purge trimestriel est suspendu pour tout le périmètre concerné, calendrier de rétention ou pas.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
In the government classification scheme, which label applies to information whose disclosure could cause exceptionally grave damage to national security?
« Exceptionally grave damage » est la formule exacte de Top Secret. Secret = serious damage (A), Confidential = damage (C) ; CUI est en dessous du classifié (D). G.S.D. : la gravité descend avec l'étiquette.
Which private-sector classification level typically protects trade secrets and proprietary research?
Le sommet de l'échelle privée — Confidential/Proprietary — protège ce dont la divulgation menace l'entreprise elle-même : secrets d'affaires, R&D. Private vise les données personnelles (C), Sensitive l'interne (B).
What is the PRIMARY factor in determining the classification of a dataset?
On classifie selon la valeur et le dommage potentiel (divulgation, altération) — avec l'âge, les obligations légales et le coût de remplacement en critères secondaires. Taille (A), matériel (C) et provenance (D) ne mesurent pas la sensibilité.
What is the MAIN economic benefit of data classification?
La classification permet de proportionner : protections coûteuses sur les données critiques, protections légères ailleurs. Elle n'élimine aucun contrôle (A), ne réduit pas les effectifs (C) et ne vaut pas conformité à elle seule (D).
A server processes data classified at two different levels. How should the server be protected?
Un asset hérite de la classification la plus élevée des données qu'il traite — le niveau bas serait sous-protégé par toute autre règle. Ce n'est jamais une décision d'administrateur (D) : elle appartient à l'owner.
A technician finds an unlabeled backup tape in a storage room that also holds Confidential media. What should be done with the tape?
Non étiqueté = présumé au niveau le plus élevé de l'environnement jusqu'à vérification : l'erreur « public par défaut » (A) est irréversible. Détruire sans vérifier (C) peut violer une rétention ou un legal hold ; reformater (D) aggrave tout.
What is the PRIMARY purpose of marking and labeling media?
L'étiquette transmet les exigences de manipulation à quiconque touche l'objet — humain ou outil (le DLP lit les labels électroniques). Elle complète les ACL, elle ne les remplace pas (C).
An organization launching an asset security program asks what to do FIRST. What is the BEST answer?
On ne protège pas ce qu'on ne connaît pas : l'inventaire précède le choix de tout contrôle. Chiffrer (A) ou acheter un DLP (C) sans connaître le périmètre, c'est dépenser à l'aveugle ; détruire (D) vient en fin de cycle.
Which repository tracks configuration items AND the relationships between them?
La CMDB modélise les configuration items et leurs relations — l'analyse d'impact « si ce serveur tombe » vient de là. Le registre de risques (C) et la BIA (D) consomment cette information, ils ne la portent pas.
Which of the following are intangible assets?
Intangible = sans substance physique : propriété intellectuelle, marque, données. Serveurs (A), bâtiments (B) et bandes (D) sont tangibles — même si les bandes contiennent un intangible.
Who is responsible for performing backups and maintaining access control lists on a dataset, following requirements set by another role?
Sauvegardes et ACL au quotidien, sur exigences fixées par l'owner : c'est la définition du custodian. L'owner décide (A), le subject est la personne concernée (C), le business owner possède le processus (D).
Which role is PRIMARILY responsible for the quality, consistency, and business governance of a dataset?
Qualité, cohérence, gouvernance métier = data steward — « l'intendant soigne ». Le processor traite pour autrui (B), l'administrateur outille (C), l'auditeur vérifie (D).
Under GDPR, what is the "data subject"?
Le data subject est la personne physique décrite par la donnée — titulaire des droits d'accès, de rectification, d'effacement. A décrit le controller, C le processor, D l'autorité de contrôle.
On what basis should an administrator grant a user access to a classified dataset?
L'administrateur exécute une décision d'accès prise par l'owner, dans le cadre du need-to-know. Son propre jugement (A), l'ancienneté (C) ou une demande orale (D) court-circuitent la chaîne de responsabilité.
What is the MOST effective way to protect personal data that is not required for any business purpose?
La minimisation est imbattable : une donnée absente n'a ni surface d'attaque, ni coût de protection, ni exposition juridique. Chiffrer (A), isoler (C) ou anonymiser (D) protègent une donnée qui n'aurait pas dû exister.
A company replicates its customer database to a backup site in another country. What is the MOST important consideration?
Souveraineté : chaque copie vit sous les lois de son territoire — accès gouvernementaux, obligations locales, restrictions de transfert (chapitre 1). Les répliques exigent les mêmes protections que l'original (B est un piège fréquent).
Which statement BEST describes the risk of retaining data longer than needed?
La sur-rétention est un passif triple : surface de breach, coûts d'eDiscovery (tout ce qui existe est discoverable), et violation des durées légales maximales. « Sauvegardé donc sans risque » (A) inverse le problème.
A lawsuit against the organization is reasonably anticipated. Scheduled destruction of potentially relevant records is due next week. What must happen?
Litige raisonnablement anticipé = legal hold : la destruction programmée est suspendue pour le périmètre concerné. Détruire « selon la politique » (A) reste de la spoliation ; le hold est ciblé et temporaire, pas une annulation générale (D).
What is data remanence?
La remanence est le résidu récupérable après effacement — la raison pour laquelle delete et format ne suffisent jamais. Les autres options décrivent la rétention (A), la réplication (C) et la qualité (D).
Before donating old computers to a charity, the IT team formats the hard drives. Is this sufficient?
Le formatage réécrit les structures d'allocation, pas le contenu : récupération triviale. La bonne pratique avant don : purge (overwrite complet vérifié, crypto erase) — la destruction systématique (D) est excessive pour des données peu sensibles ; la réponse dépend de la sensibilité.
Against what does clearing (overwriting) protect data on a magnetic drive?
Clearing bloque la récupération par outils logiciels ; les attaques de laboratoire exigent le purging. C nie l'apport réel de l'overwrite ; A le surestime — c'est la nuance clearing/purging que l'examen adore.
Why is degaussing ineffective on solid-state drives?
Le degausser neutralise des domaines magnétiques ; la flash stocke des charges électriques dans des cellules — le champ magnétique ne les affecte pas. Pour un SSD : crypto erase, sanitize constructeur ou destruction.
A company terminates its contract with a cloud provider and must ensure its data cannot be recovered. What is the MOST practical method?
Dans le cloud, on ne possède ni les disques ni leur localisation : détruire les clés de chiffrement est la seule garantie opérante — d'où l'exigence contractuelle d'un chiffrement dès l'origine. A est irréaliste (mutualisation), C impossible, D n'est pas une assurance.
Which sanitization method provides the HIGHEST assurance for top-sensitivity media at end of life?
Au plus haut niveau de sensibilité, la destruction physique (broyage, incinération) est la seule méthode sans hypothèse résiduelle. Les trois autres laissent soit des données (C, D), soit un doute de laboratoire (B).
What is the prerequisite for crypto-shredding to be an effective destruction method?
Le crypto-shredding détruit l'accès, pas le support : il n'opère que si tout le contenu était chiffré dès l'écriture — détruire les clés d'un disque partiellement en clair ne détruit que la partie chiffrée. Le média peut être de toute nature (A).
≥ 20/25 : passez au chapitre 5. Entre 15 et 19 : relisez le tableau des rôles et celui des méthodes de destruction, puis refaites le quiz demain. < 15 : relisez le chapitre — le couple owner/custodian et la destruction SSD reviennent dans tous les examens.