CISSP · Réussir du premier coup

Chapitre 4
Classification et cycle
de vie de la donnée

Domaine 2, première partie : classifier, étiqueter, inventorier — puis suivre la donnée de sa collecte à sa destruction.

Domaine
2 — Asset Security · 10 %
Objectifs couverts
2.1 · 2.2 · 2.3 · 2.4
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • Gouvernement : Top Secret (dommage exceptionnellement grave) · Secret (grave) · Confidential (dommage) · Unclassified.
  • Privé : Confidential/Proprietary · Private · Sensitive · Public.
  • C'est le data owner qui classifie ; le custodian applique la protection au quotidien.
  • Média non étiqueté = traité au niveau le plus élevé jusqu'à vérification.
  • On ne protège pas ce qu'on ne connaît pas : l'inventaire (tangible + intangible) précède tout.
  • GDPR : controller décide, processor exécute, data subject est la personne concernée ; le steward soigne la qualité.
  • Minimisation : la meilleure protection d'une donnée inutile est de ne pas la collecter.
  • Le legal hold suspend le calendrier de rétention et de destruction.
  • Remanence : effacer et formater ne détruisent pas la donnée — seuls les pointeurs disparaissent.
  • Escalade de destruction : erase < clear < purge < destroy ; le degaussing est inutile sur SSD ; dans le cloud, la seule vraie option est le crypto-shredding.

Objectif 2.1Identifier et classifier les assets

La classification attribue à chaque information un niveau de sensibilité qui détermine tous les contrôles en aval : chiffrement, accès, transport, stockage, destruction. Son bénéfice économique est le point que l'examen teste : elle concentre les protections coûteuses sur ce qui le mérite, au lieu de tout protéger uniformément — trop cher — ou insuffisamment — trop risqué. Elle démontre aussi l'engagement de l'organisation (due care) et répond à des obligations réglementaires.

Les deux échelles canoniques

Gouvernement / militaireCritère de dommage (divulgation)Secteur privéExemples
Top SecretDommage exceptionnellement grave à la sécurité nationaleConfidential / ProprietarySecrets d'affaires, R&D, clés
SecretDommage grave (serious damage)PrivateDonnées personnelles, RH, santé
ConfidentialDommage identifiable (damage)SensitiveDonnées internes, projets
Unclassified (dont CUI/FOUO)Pas de dommage à la sécurité nationalePublicSite web, communiqués

Les critères de classification : valeur pour l'organisation, coût de remplacement, utilité, âge et obsolescence (la sensibilité décroît souvent avec le temps — d'où les processus de déclassification), obligations légales, et dommage causé par divulgation ou altération. Les assets (serveurs, médias, applications) héritent de la classification des données qu'ils traitent : un serveur qui héberge des données Confidential se protège comme elles.

🧠 Mnémonique — l'échelle gouvernementale

G.S.D. — la gravité descend avec l'étiquette : Top Secret = exceptionnellement Grave · Secret = Sérieux · Confidential = Dommage. L'examen cite ces formules mot pour mot : « exceptionally grave damage » ne peut être que Top Secret.

Objectif 2.2Marquage, manipulation, stockage

Une classification sans exigences de manipulation est un vœu pieux. Quatre pratiques la rendent opérante, chacune graduée par niveau :

Objectif 2.3Provisionner et inventorier

Premier principe d'Asset Security : on ne protège pas ce qu'on ne connaît pas. L'inventaire est donc le préalable de tout programme — et la réponse attendue quand une question demande « par où commencer ».

Objectif 2.4Le cycle de vie de la donnée

Les rôles — le tableau à réciter

RôleResponsabilitéLe point testé
Data ownerClassifie, fixe exigences de protection et de rétention ; accountableUn manager métier senior — il délègue l'exécution, jamais la responsabilité
Data controllerDétermine finalités et moyens du traitement (vocabulaire GDPR)L'organisation, vis-à-vis du régulateur
Data processorTraite pour le compte du controllerLe prestataire (SaaS, infogéreur) — lié par contrat
Data custodianProtection technique quotidienne : sauvegardes, ACL, intégritéL'IT — il exécute les décisions de l'owner
Data stewardQualité, cohérence et gouvernance métier de la donnéeGarant que la donnée est juste et exploitable
Data subjectLa personne physique que la donnée décritTitulaire des droits GDPR (chapitre 1)
Data usersConsomment la donnée dans le cadre du need-to-knowRespectent les politiques, signalent les anomalies
Business / mission ownerPossède le processus métier servi par les systèmesArbitre valeur métier vs coût des contrôles
AdministratorsAccordent les accèsSur approbation de l'owner — jamais de leur propre chef
🧠 Mnémonique — les rôles

« Le propriétaire décide, le gardien exécute, l'intendant soigne, l'utilisateur consomme. » Owner → décisions et responsabilité ; custodian → technique quotidienne ; steward → qualité métier ; user → usage encadré. Ajoutez la paire GDPR : controller décide, processor traite.

Les phases

Remanence et destruction

La data remanence est la persistance résiduelle des données après un effacement : supprimer un fichier ou formater un disque ne retire que les pointeurs de la table d'allocation — le contenu reste, récupérable avec des outils triviaux. D'où une gradation de méthodes, à choisir selon le média et la sensibilité :

MéthodePrincipeFonctionne surProtège contre
ErasingSuppression logique (delete, format)Rien : données récupérables
Clearing / overwritingRéécriture par motifs (ex. zéros puis aléatoire)HDD magnétiques ; peu fiable sur SSD (wear leveling, cellules de réserve)Récupération logicielle ; pas les attaques de laboratoire
PurgingAssainissement renforcé : clearing répété, degauss, crypto erase, commandes sanitizeSelon la techniqueAttaques de laboratoire — média réutilisable hors environnements les plus sensibles
DegaussingChamp magnétique puissantMédias magnétiques uniquement (HDD, bandes) — rend souvent le disque inutilisableRécupération, y compris laboratoire — zéro effet sur SSD et optique
Cryptographic erasure / crypto-shreddingDestruction des clés d'un média chiffréTout média chiffré dès l'origine ; la seule option réaliste dans le cloud ; idéal SSDToute récupération (la donnée devient du bruit)
Physical destructionBroyage, incinération, pulvérisation, fusionToutTout — la méthode la plus sûre, exigée au plus haut niveau de sensibilité

Cas particulier SSD : le wear leveling disperse les écritures et conserve des cellules de réserve inaccessibles au système — la réécriture ne garantit rien, le degaussing ne fait rien (mémoire flash, pas magnétique). Les options valides : crypto erase, commandes sanitize du constructeur, ou destruction physique (avec granulométrie fine — les puces sont petites).

🧠 Mnémonique — l'escalade de destruction

« Every Cat Purrs Deeply »Erase < Clear < Purge < Destroy, du plus faible au plus sûr. Et trois réflexes : SSD → jamais de degauss ; cloud → crypto-shredding ; sensibilité maximale → destruction physique.

⚠️ Pièges d'examen
  • « Le degaussing convient-il aux SSD ? » — non, jamais : la flash n'est pas magnétique. Distracteur systématique.
  • Formater un disque avant don ou revente : insuffisant — remanence. La bonne réponse est purge ou destruction selon la sensibilité.
  • Clearing protège de la récupération logicielle ; purging protège aussi des attaques de laboratoire. La nuance départage deux options plausibles.
  • Legal hold > calendrier de rétention : la destruction programmée est suspendue, sans exception.
  • Qui classifie ? L'owner. Qui sauvegarde et pose les ACL ? Le custodian. L'examen permute ces deux rôles dans un scénario sur deux.
  • Média trouvé sans étiquette : traiter au niveau le plus élevé jusqu'à vérification — jamais « public par défaut ».
  • Crypto-shredding : ne vaut que si la donnée était chiffrée dès l'origine — détruire les clés d'un disque en clair ne détruit rien.
Scénario fil rouge — Awa

L'intégration de la startup berlinoise expose un chantier de données. Awa déploie l'échelle à quatre niveaux (Confidential, Private, Sensitive, Public), fait nommer un owner par domaine de données et des stewards côté métier — la qualité des données KYC était le point faible de l'audit. Dans le déménagement du vieux datacenter, on découvre un carton de bandes non étiquetées : traitées comme Confidential, inventoriées, vérifiées — deux contenaient des exports clients. Les disques durs réformés partent au degaussing puis au broyeur ; les SSD, eux, passent en crypto erase puis destruction — Awa a retoqué la procédure du prestataire qui proposait de les « démagnétiser ». Au contrat du fournisseur cloud KYC, elle fait ajouter une clause de cryptographic erasure attestée en fin de contrat : à distance, détruire les clés est la seule garantie réelle. Et quand le régulateur ouvre une enquête sur un ancien produit, le juriste déclenche le legal hold : le batch de purge trimestriel est suspendu pour tout le périmètre concerné, calendrier de rétention ou pas.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

In the government classification scheme, which label applies to information whose disclosure could cause exceptionally grave damage to national security?

  1. Secret
  2. Top Secret
  3. Confidential
  4. Controlled Unclassified Information
Voir la réponse Réponse : B

« Exceptionally grave damage » est la formule exacte de Top Secret. Secret = serious damage (A), Confidential = damage (C) ; CUI est en dessous du classifié (D). G.S.D. : la gravité descend avec l'étiquette.

Question 2

Which private-sector classification level typically protects trade secrets and proprietary research?

  1. Public
  2. Sensitive
  3. Private
  4. Confidential/Proprietary
Voir la réponse Réponse : D

Le sommet de l'échelle privée — Confidential/Proprietary — protège ce dont la divulgation menace l'entreprise elle-même : secrets d'affaires, R&D. Private vise les données personnelles (C), Sensitive l'interne (B).

Question 3

What is the PRIMARY factor in determining the classification of a dataset?

  1. The size of the dataset
  2. The value of the data and the damage its disclosure or alteration would cause
  3. The age of the storage hardware
  4. The department that created it
Voir la réponse Réponse : B

On classifie selon la valeur et le dommage potentiel (divulgation, altération) — avec l'âge, les obligations légales et le coût de remplacement en critères secondaires. Taille (A), matériel (C) et provenance (D) ne mesurent pas la sensibilité.

Question 4

What is the MAIN economic benefit of data classification?

  1. It eliminates the need for encryption
  2. It focuses costly protections on the assets that warrant them
  3. It reduces the number of employees needed
  4. It guarantees regulatory compliance by itself
Voir la réponse Réponse : B

La classification permet de proportionner : protections coûteuses sur les données critiques, protections légères ailleurs. Elle n'élimine aucun contrôle (A), ne réduit pas les effectifs (C) et ne vaut pas conformité à elle seule (D).

Question 5

A server processes data classified at two different levels. How should the server be protected?

  1. At the level of the majority of its data
  2. At the higher of the two classification levels
  3. At the lower level, for cost efficiency
  4. At a level chosen by the system administrator
Voir la réponse Réponse : B

Un asset hérite de la classification la plus élevée des données qu'il traite — le niveau bas serait sous-protégé par toute autre règle. Ce n'est jamais une décision d'administrateur (D) : elle appartient à l'owner.

Question 6

A technician finds an unlabeled backup tape in a storage room that also holds Confidential media. What should be done with the tape?

  1. Treat it as Public since it carries no label
  2. Treat it at the highest classification level handled in that environment until its content is verified
  3. Destroy it immediately
  4. Reformat it for reuse
Voir la réponse Réponse : B

Non étiqueté = présumé au niveau le plus élevé de l'environnement jusqu'à vérification : l'erreur « public par défaut » (A) est irréversible. Détruire sans vérifier (C) peut violer une rétention ou un legal hold ; reformater (D) aggrave tout.

Question 7

What is the PRIMARY purpose of marking and labeling media?

  1. To communicate the handling requirements to anyone who touches the asset
  2. To improve storage room aesthetics
  3. To replace access control lists
  4. To satisfy the backup software
Voir la réponse Réponse : A

L'étiquette transmet les exigences de manipulation à quiconque touche l'objet — humain ou outil (le DLP lit les labels électroniques). Elle complète les ACL, elle ne les remplace pas (C).

Question 8

An organization launching an asset security program asks what to do FIRST. What is the BEST answer?

  1. Encrypt all databases
  2. Build a complete inventory of tangible and intangible assets
  3. Purchase a DLP solution
  4. Destroy all obsolete media
Voir la réponse Réponse : B

On ne protège pas ce qu'on ne connaît pas : l'inventaire précède le choix de tout contrôle. Chiffrer (A) ou acheter un DLP (C) sans connaître le périmètre, c'est dépenser à l'aveugle ; détruire (D) vient en fin de cycle.

Question 9

Which repository tracks configuration items AND the relationships between them?

  1. The data dictionary
  2. The configuration management database (CMDB)
  3. The risk register
  4. The business impact analysis
Voir la réponse Réponse : B

La CMDB modélise les configuration items et leurs relations — l'analyse d'impact « si ce serveur tombe » vient de là. Le registre de risques (C) et la BIA (D) consomment cette information, ils ne la portent pas.

Question 10

Which of the following are intangible assets?

  1. Servers and network switches
  2. Office buildings
  3. Intellectual property, brand reputation, and data
  4. Backup tapes
Voir la réponse Réponse : C

Intangible = sans substance physique : propriété intellectuelle, marque, données. Serveurs (A), bâtiments (B) et bandes (D) sont tangibles — même si les bandes contiennent un intangible.

Question 11

Who is responsible for performing backups and maintaining access control lists on a dataset, following requirements set by another role?

  1. The data owner
  2. The data custodian
  3. The data subject
  4. The business owner
Voir la réponse Réponse : B

Sauvegardes et ACL au quotidien, sur exigences fixées par l'owner : c'est la définition du custodian. L'owner décide (A), le subject est la personne concernée (C), le business owner possède le processus (D).

Question 12

Which role is PRIMARILY responsible for the quality, consistency, and business governance of a dataset?

  1. The data steward
  2. The data processor
  3. The system administrator
  4. The auditor
Voir la réponse Réponse : A

Qualité, cohérence, gouvernance métier = data steward — « l'intendant soigne ». Le processor traite pour autrui (B), l'administrateur outille (C), l'auditeur vérifie (D).

Question 13

Under GDPR, what is the "data subject"?

  1. The organization that determines processing purposes
  2. The natural person whom the personal data describes
  3. The vendor that processes data under contract
  4. The supervisory authority
Voir la réponse Réponse : B

Le data subject est la personne physique décrite par la donnée — titulaire des droits d'accès, de rectification, d'effacement. A décrit le controller, C le processor, D l'autorité de contrôle.

Question 14

On what basis should an administrator grant a user access to a classified dataset?

  1. The administrator's own judgment of the user's needs
  2. Approval from the data owner consistent with the user's need to know
  3. The user's seniority in the organization
  4. A verbal request from the user's colleague
Voir la réponse Réponse : B

L'administrateur exécute une décision d'accès prise par l'owner, dans le cadre du need-to-know. Son propre jugement (A), l'ancienneté (C) ou une demande orale (D) court-circuitent la chaîne de responsabilité.

Question 15

What is the MOST effective way to protect personal data that is not required for any business purpose?

  1. Encrypt it with strong algorithms
  2. Do not collect it in the first place
  3. Store it in a separate database
  4. Anonymize it after five years
Voir la réponse Réponse : B

La minimisation est imbattable : une donnée absente n'a ni surface d'attaque, ni coût de protection, ni exposition juridique. Chiffrer (A), isoler (C) ou anonymiser (D) protègent une donnée qui n'aurait pas dû exister.

Question 16

A company replicates its customer database to a backup site in another country. What is the MOST important consideration?

  1. The replica becomes subject to the laws of the country where it is stored
  2. Replicas never need protection since they are copies
  3. The bandwidth cost of replication
  4. The color coding of the backup media
Voir la réponse Réponse : A

Souveraineté : chaque copie vit sous les lois de son territoire — accès gouvernementaux, obligations locales, restrictions de transfert (chapitre 1). Les répliques exigent les mêmes protections que l'original (B est un piège fréquent).

Question 17

Which statement BEST describes the risk of retaining data longer than needed?

  1. There is no risk if the data is backed up
  2. It increases breach exposure, eDiscovery costs, and potential legal violations
  3. It only wastes storage capacity
  4. It improves analytics accuracy
Voir la réponse Réponse : B

La sur-rétention est un passif triple : surface de breach, coûts d'eDiscovery (tout ce qui existe est discoverable), et violation des durées légales maximales. « Sauvegardé donc sans risque » (A) inverse le problème.

Question 18

A lawsuit against the organization is reasonably anticipated. Scheduled destruction of potentially relevant records is due next week. What must happen?

  1. Destruction proceeds as scheduled, since the policy predates the lawsuit
  2. A legal hold suspends the scheduled destruction for the relevant data
  3. Only paper records are preserved
  4. The retention schedule is permanently cancelled for all data
Voir la réponse Réponse : B

Litige raisonnablement anticipé = legal hold : la destruction programmée est suspendue pour le périmètre concerné. Détruire « selon la politique » (A) reste de la spoliation ; le hold est ciblé et temporaire, pas une annulation générale (D).

Question 19

What is data remanence?

  1. The legal duty to retain records
  2. Residual data that persists on media after deletion attempts
  3. The replication delay between two sites
  4. Data quality degradation over time
Voir la réponse Réponse : B

La remanence est le résidu récupérable après effacement — la raison pour laquelle delete et format ne suffisent jamais. Les autres options décrivent la rétention (A), la réplication (C) et la qualité (D).

Question 20

Before donating old computers to a charity, the IT team formats the hard drives. Is this sufficient?

  1. Yes, formatting removes all data
  2. No, formatting only removes file pointers; the data remains recoverable
  3. Yes, if a quick format is followed by a reboot
  4. No, drives must always be physically destroyed regardless of sensitivity
Voir la réponse Réponse : B

Le formatage réécrit les structures d'allocation, pas le contenu : récupération triviale. La bonne pratique avant don : purge (overwrite complet vérifié, crypto erase) — la destruction systématique (D) est excessive pour des données peu sensibles ; la réponse dépend de la sensibilité.

Question 21

Against what does clearing (overwriting) protect data on a magnetic drive?

  1. All recovery methods, including laboratory attacks
  2. Recovery using standard software tools, but not laboratory attacks
  3. Nothing; clearing is identical to deleting
  4. Only physical theft
Voir la réponse Réponse : B

Clearing bloque la récupération par outils logiciels ; les attaques de laboratoire exigent le purging. C nie l'apport réel de l'overwrite ; A le surestime — c'est la nuance clearing/purging que l'examen adore.

Question 22

Why is degaussing ineffective on solid-state drives?

  1. SSDs are too small to fit in a degausser
  2. Flash memory stores data electrically, not magnetically
  3. SSD manufacturers prohibit it in their EULAs
  4. Degaussing only works on optical media
Voir la réponse Réponse : B

Le degausser neutralise des domaines magnétiques ; la flash stocke des charges électriques dans des cellules — le champ magnétique ne les affecte pas. Pour un SSD : crypto erase, sanitize constructeur ou destruction.

Question 23

A company terminates its contract with a cloud provider and must ensure its data cannot be recovered. What is the MOST practical method?

  1. Requesting physical destruction of all the provider's disks
  2. Cryptographic erasure — destroying the keys that encrypted the data
  3. Degaussing the provider's storage arrays
  4. Trusting the provider's standard deletion process without verification
Voir la réponse Réponse : B

Dans le cloud, on ne possède ni les disques ni leur localisation : détruire les clés de chiffrement est la seule garantie opérante — d'où l'exigence contractuelle d'un chiffrement dès l'origine. A est irréaliste (mutualisation), C impossible, D n'est pas une assurance.

Question 24

Which sanitization method provides the HIGHEST assurance for top-sensitivity media at end of life?

  1. Physical destruction
  2. Single-pass overwrite
  3. Quick format
  4. Moving files to the recycle bin
Voir la réponse Réponse : A

Au plus haut niveau de sensibilité, la destruction physique (broyage, incinération) est la seule méthode sans hypothèse résiduelle. Les trois autres laissent soit des données (C, D), soit un doute de laboratoire (B).

Question 25

What is the prerequisite for crypto-shredding to be an effective destruction method?

  1. The media must be magnetic
  2. The data must have been encrypted from the start, so destroying the keys renders it unreadable
  3. The data must first be compressed
  4. The media must be older than five years
Voir la réponse Réponse : B

Le crypto-shredding détruit l'accès, pas le support : il n'opère que si tout le contenu était chiffré dès l'écriture — détruire les clés d'un disque partiellement en clair ne détruit que la partie chiffrée. Le média peut être de toute nature (A).

Auto-diagnostic

≥ 20/25 : passez au chapitre 5. Entre 15 et 19 : relisez le tableau des rôles et celui des méthodes de destruction, puis refaites le quiz demain. < 15 : relisez le chapitre — le couple owner/custodian et la destruction SSD reviennent dans tous les examens.

FicheFiche de révision

À savoir par cœur avant le chapitre 5
  1. Gouvernement : Top Secret (exceptionally grave) · Secret (serious) · Confidential (damage) · Unclassified — G.S.D.
  2. Privé : Confidential/Proprietary · Private · Sensitive · Public.
  3. Critères : valeur, dommage de divulgation/altération, âge, obligations légales ; la déclassification suit la perte de valeur.
  4. Un asset hérite de la classification la plus élevée des données qu'il traite.
  5. Média non étiqueté = niveau le plus élevé jusqu'à vérification.
  6. Inventaire d'abord (tangible + intangible) — on ne protège pas ce qu'on ignore ; CMDB = items + relations.
  7. Tout asset naît durci, étiqueté, inventorié, avec un owner nommé.
  8. Owner décide et répond · custodian exécute · steward soigne la qualité · user consomme · admin accorde sur approbation de l'owner.
  9. GDPR : controller décide · processor traite · subject = la personne.
  10. Minimisation : la donnée non collectée est la mieux protégée.
  11. Chaque copie (réplique, sauvegarde) vit sous les lois de son territoire.
  12. Sur-rétention = breach + eDiscovery + violations ; legal hold suspend toute destruction programmée.
  13. Remanence : delete/format ne retirent que les pointeurs.
  14. Escalade : Erase < Clear < Purge < Destroy (« Every Cat Purrs Deeply »).
  15. Clearing = anti-récupération logicielle ; purging = anti-laboratoire ; destruction physique = assurance maximale.
  16. SSD : pas de degauss, overwrite peu fiable → crypto erase, sanitize, destruction. Cloud → crypto-shredding (chiffré dès l'origine).