CISSP · Réussir du premier coup
Domaine 2, seconde partie : fin de vie des assets, les trois états de la donnée, DRM, DLP, CASB et dé-identification.
Tout asset a une fin de vie annoncée par son fournisseur — et deux dates que l'examen adore confondre :
| Jalon | Signification | Conséquence sécurité |
|---|---|---|
| EOL (End of Life) | Le fournisseur cesse de commercialiser le produit | Encore supporté — planifier le remplacement |
| EOS / EOSL (End of Support / Service Life) | Le fournisseur cesse support et correctifs | La date critique : toute vulnérabilité découverte ensuite restera béante |
Un système au-delà de l'EOS accumule des vulnérabilités non patchables : les seules réponses défendables sont le remplacement ou, à défaut (systèmes industriels, contraintes métier), des contrôles compensatoires — isolation réseau stricte, surveillance renforcée, virtual patching (chapitre 20). La bonne pratique de gouvernance : suivre les annonces de cycle de vie des fournisseurs et intégrer les remplacements au budget avant l'échéance, pas après l'incident.
La rétention ne concerne pas que les données (chapitre 4) — deux angles morts testables :
| État | Où | Protections | À retenir |
|---|---|---|---|
| At rest | Disques, bases, bandes, buckets | Chiffrement : FDE, chiffrement de base (TDE), fichier ; AES-256 | Protège contre le vol du support, pas contre le compte compromis |
| In transit / in motion | Réseaux internes et externes | TLS 1.2/1.3, HTTPS, IPsec, SSH | Chiffrer aussi les flux internes (zero trust, chapitre 6) |
| In use | Mémoire, CPU, traitement | Trusted Execution Environment / enclaves (confidential computing), chiffrement homomorphe | Le plus difficile : la donnée doit être lisible pour être traitée — sauf homomorphe, qui calcule sur le chiffré sans jamais déchiffrer |
« AES au repos, TLS en route, TEE à l'œuvre. » Un scénario qui parle de stockage appelle le chiffrement au repos ; un flux appelle TLS/IPsec ; un traitement en mémoire appelle enclaves ou homomorphe.
On ne réinvente pas ses contrôles : on part d'une baseline standard (NIST SP 800-53 au niveau low/moderate/high, ISO 27002, CIS — et PCI DSS s'impose de lui-même dès qu'on touche à la carte). Puis on l'ajuste, et c'est là que vivent deux termes-pièges :
« Scoper = Soustraire · Tailorer = Tailler sur mesure. » Le scoping est un sous-ensemble du tailoring : on enlève d'abord l'inapplicable, puis on ajuste le reste.
Le Digital Rights Management (et sa déclinaison entreprise, l'Information Rights Management) contrôle l'usage d'un contenu après sa distribution : licences et activation en ligne, expiration automatique, interdiction d'imprimer, de copier, de transférer, filigranes traçants. Le concept-clé est la persistance : la protection est incorporée au fichier et s'applique où qu'il aille — y compris chez un partenaire ou sur un poste personnel. C'est la réponse attendue au scénario « le document doit rester protégé une fois sorti de l'entreprise ».
| Type | Position | Ce qu'il attrape |
|---|---|---|
| Network-based | En coupure ou en écoute à la sortie du réseau (egress) | Emails, uploads, transferts sortants de données sensibles |
| Endpoint-based | Agent sur le poste | Copie USB, presse-papiers, impression, y compris hors ligne |
| Discovery (data at rest) | Balayage des stockages | La donnée sensible mal rangée — partages ouverts, buckets publics |
Détection : pattern matching (expressions régulières — numéros de cartes, SSN), mots-clés, labels de classification (le DLP lit le marquage du chapitre 4 : la boucle est bouclée), empreintes (fingerprinting / exact data matching sur des documents précis) et filigranes. Limite structurelle à connaître : le DLP ne lit pas ce qu'il ne peut pas déchiffrer — sans inspection TLS, un tunnel chiffré lui est opaque ; et il n'arrête pas la photo d'écran au smartphone. C'est un filet, pas une garantie.
Le Cloud Access Security Broker s'interpose — logiquement — entre les utilisateurs et les services cloud pour rendre quatre services : visibilité (découverte du shadow IT), conformité, protection des données (DLP cloud) et protection contre les menaces. Quatre modes de déploiement :
| Mode | Fonctionnement | Force / limite |
|---|---|---|
| Log collection / analysis | Analyse des journaux des firewalls et proxies | Découverte du shadow IT ; aucune action en temps réel |
| API-based | Hors bande : interroge les API des SaaS approuvés | Couvre la donnée déjà dans le cloud, sans latence ; pas de blocage en ligne |
| Forward proxy | En ligne, trafic sortant des postes (agent ou PAC) | Bloque en temps réel ; exige des postes gérés |
| Reverse proxy | En ligne, intégré à l'IdP : l'accès au SaaS transite par le broker | Sans agent — la seule option propre pour BYOD et postes non gérés |
| Technique | Principe | Réversible ? | Statut GDPR |
|---|---|---|---|
| Anonymization | Suppression irréversible de tout lien identifiant | Non (si bien faite) | Sort du champ du GDPR — mais gare à la ré-identification par recoupement |
| Pseudonymization | Identifiants remplacés par des alias ; table de correspondance conservée à part | Oui, via la correspondance | Reste une donnée personnelle — mesure de protection citée par le GDPR, pas une sortie |
| Tokenization | Valeur remplacée par un jeton aléatoire ; correspondance dans un coffre (token vault) | Oui, via le coffre uniquement | Réduit le périmètre (classique PCI DSS) ; aucune relation mathématique jeton↔valeur |
| Masking | Occultation partielle à l'affichage (**** 1234) ou substitution réaliste pour les environnements de test | Non sur la copie masquée | Limite l'exposition ; la source reste personnelle |
Et le chiffrement ? Il protège, mais ne dé-identifie pas : la donnée chiffrée se déchiffre avec la clé — elle reste une donnée personnelle au sens du GDPR. La distinction tokenisation/chiffrement est testée : le jeton est aléatoire, sans clé ni fonction reliant jeton et valeur ; casser des maths n'y peut rien, seul le coffre parle.
Anonyme = Adieu (irréversible, sort du GDPR) · Pseudo = Passerelle (réversible, reste GDPR) · Token = Tiroir (coffre de correspondance) · Masque = Montrer un morceau.
Awa boucle le programme de protection des données de la fintech. L'inventaire du chapitre 4 a révélé un serveur de reporting sous un OS en fin de support depuis deux ans : remplacement budgété, et en attendant, isolation dans un segment dédié avec surveillance renforcée — contrôles compensatoires documentés. La baseline NIST 800-53 moderate est scopée (pas de mainframe, les contrôles associés sortent) puis tailorée aux paramètres de la fintech. Les trois états sont couverts : TDE sur les bases, TLS 1.3 partout y compris en interne, et pour le scoring sur données sensibles, un pilote de confidential computing en enclave. Les numéros de cartes sont tokenisés — le périmètre PCI fond d'un coup ; les jeux de données analytiques partent pseudonymisés (la table de correspondance vit dans un coffre séparé, et le DPO rappelle qu'ils restent des données personnelles) ; les environnements de test reçoivent des données masquées. Le DLP endpoint bloque désormais les copies USB non chiffrées, le CASB en reverse proxy couvre les tablettes BYOD des commerciaux, et les contrats sensibles circulent sous IRM : expiration à 30 jours, impression interdite — même transférés, ils restent verrouillés.
Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.
From a security perspective, which vendor lifecycle milestone is MOST critical for an operating system?
La sécurité vit des correctifs : leur arrêt (EOS) est le vrai basculement — chaque vulnérabilité découverte ensuite reste ouverte. L'EOL (A) n'est qu'un jalon commercial.
A manufacturing system runs an operating system that reached end of support and cannot be replaced for two years. What is the BEST course of action?
Quand remplacer est impossible, on compense : isolation stricte + surveillance renforcée, documentées. A ignore le risque (négligence, chapitre 3) ; C garde une exposition inutile ; D l'aggrave.
An organization retains backup tapes for ten years. What related asset must also be retained?
Une archive n'existe que si on peut la relire : le matériel de lecture suit la durée de rétention des médias. C'est la « rétention de matériel » de l'objectif 2.5 — l'angle mort classique.
A senior engineer who alone understands a critical system announces his retirement. Which practice BEST addresses this risk?
La connaissance se retient comme un asset : documentation et cross-training avant le départ. B est irréaliste, C confond avec la sécurité du départ (chapitre 2), D déplace la dépendance sans la résoudre.
Customer records stored in a database on a SAN are in which data state?
Stockée sur un support, la donnée est au repos — état couvert par le chiffrement de stockage. Elle passera « in transit » quand elle circulera, « in use » quand elle sera traitée.
Which technology PRIMARILY protects data in transit?
TLS chiffre le canal : c'est la protection du transit. FDE (A) et le chiffrement de colonnes (C) couvrent le repos ; le TEE (D) couvre l'usage — « AES au repos, TLS en route, TEE à l'œuvre ».
Which data state is generally the MOST difficult to protect, and why?
Pour être traitée, la donnée doit normalement être déchiffrée en mémoire — fenêtre d'exposition irréductible, sauf technologies dédiées (enclaves, homomorphe). C'est la définition même de la difficulté de l'« in use ».
Which technology allows computations to be performed on encrypted data without ever decrypting it?
« Calculer sans déchiffrer » est la promesse exacte du chiffrement homomorphe. TLS protège un canal (B), la tokenisation substitue (C), le degaussing détruit (D, chapitre 4).
A cloud provider offers "confidential computing" so customer data remains protected during processing. Which mechanism underpins this?
Le confidential computing repose sur des enclaves matérielles (TEE) : le traitement s'exécute dans une zone chiffrée du processeur, inaccessible même à l'hyperviseur du fournisseur. Les autres options ne touchent pas l'état « in use ».
A security team removes all wireless-related controls from its NIST baseline because the facility has no wireless networks. What is this activity called?
Retirer les contrôles non applicables au périmètre = scoping (« scoper = soustraire »). Le tailoring est l'adaptation d'ensemble qui l'englobe — « tailoring only » (A) est moins précis que la réponse exacte.
Which activity BEST describes tailoring a control baseline?
Tailorer = adapter : retraits justifiés, paramètres ajustés, compensations équivalentes. A n'adapte rien, C abandonne la baseline, D délègue une décision qui appartient à l'organisation.
An online retailer begins accepting credit card payments. Which standard MUST shape its data security baseline?
Qui touche à la carte entre dans PCI DSS — obligation contractuelle (chapitre 1) qui structure la baseline (tokenisation, segmentation du périmètre). FedRAMP vise le cloud fédéral (A), FISMA les agences US (C), COPPA les enfants (D).
Which property BEST characterizes digital rights management protection?
La persistance est la signature du DRM : la politique est incorporée au fichier et s'impose partout. A décrit l'inverse ; C n'a pas de sens ; D est faux — le DRM s'appuie sur le chiffrement.
A company must share a confidential contract with a partner so that it expires after 30 days and cannot be printed, even on the partner's systems. Which solution fits BEST?
Expiration datée + interdiction d'imprimer chez le partenaire : seule une protection persistante (IRM) suit le document hors du périmètre. Le ZIP (A) se déprotège au premier déchiffrement, le DLP réseau (C) s'arrête à la frontière, le filigrane (D) trace sans empêcher.
Which DLP component can block an employee from copying sensitive files to a USB drive while working offline?
Seul un agent local voit l'USB et le presse-papiers — et continue d'agir hors ligne. Le DLP réseau (A) ne voit que le trafic, le discovery (C) scanne le stockage, le CASB (D) couvre le cloud.
What is the purpose of DLP discovery scanning?
Le discovery balaie les stockages pour trouver la donnée sensible là où elle ne devrait pas être — partages ouverts, exports oubliés. C'est du data-at-rest, pas du blocage temps réel (A).
A DLP system detects credit card numbers in outbound traffic using regular expressions. Which detection technique is this?
Les expressions régulières sur formats connus (cartes, SSN) = pattern matching. L'exact data matching (C) compare à des empreintes de documents précis ; les labels (D) lisent le marquage de classification.
Sensitive data was exfiltrated through an encrypted HTTPS tunnel without the network DLP raising any alert. What is the MOST likely explanation?
Le DLP n'inspecte pas ce qu'il ne peut pas lire : sans interception TLS (légitime et déclarée), le tunnel chiffré est opaque. C'est la limite structurelle de l'outil — les autres options sont fantaisistes.
Which capability is a PRIMARY reason to deploy a cloud access security broker?
Le CASB rend visible l'usage cloud (shadow IT) et y applique la politique — visibilité, conformité, données, menaces. Il ne remplace ni firewall (A), ni hébergement (C), ni antivirus (D).
Sales staff access a corporate SaaS application from personal, unmanaged tablets. Which CASB deployment mode enforces policy without installing agents?
Le reverse proxy s'intègre à l'IdP : l'accès au SaaS transite par le broker quel que soit l'appareil — aucun agent requis, donc BYOD couvert. Le forward proxy (A) exige un poste géré.
Which CASB mode inspects data already stored in sanctioned SaaS applications, out of band and without traffic redirection?
Le mode API interroge directement les SaaS approuvés, hors bande : il inspecte la donnée déjà stockée, sans rediriger le trafic — au prix de l'absence de blocage en ligne.
Under GDPR, which technique can take a dataset entirely OUT of the regulation's scope?
Seule l'anonymisation véritable et irréversible fait sortir la donnée du champ du GDPR. La pseudonymisation reste des données personnelles (A) ; le chiffrement aussi (C) ; le masking limite l'exposition sans changer le statut (D).
Which statement about pseudonymized data is correct?
La correspondance conservée à part permet la ré-identification : donnée personnelle elle reste, avec obligations GDPR — la pseudonymisation est une mesure de protection, pas une échappatoire. B décrit l'anonymisation.
How does tokenization differ from encryption?
Le jeton est un substitut aléatoire : aucune clé, aucune fonction ne relie jeton et valeur — seul le coffre résout. Le chiffrement, lui, est une transformation mathématique réversible par clé (A décrit le chiffrement).
A development team needs production-like customer data for testing. Which approach is MOST appropriate?
Le masking statique produit des jeux réalistes sans exposer les vraies valeurs — la pratique standard pour les environnements de test. A, C et D exposent la production, chacune à sa façon.
≥ 20/25 : le domaine 2 est acquis — place au domaine 3 (chapitre 6). Entre 15 et 19 : relisez le tableau de dé-identification et les modes CASB, refaites le quiz demain. < 15 : relisez le chapitre ; la paire scoping/tailoring et la frontière GDPR anonyme/pseudonyme tombent quasi systématiquement à l'examen.