CISSP · Réussir du premier coup

Chapitre 5
Contrôles de sécurité
des données

Domaine 2, seconde partie : fin de vie des assets, les trois états de la donnée, DRM, DLP, CASB et dé-identification.

Domaine
2 — Asset Security · 10 %
Objectifs couverts
2.5 · 2.6
Entraînement
25 questions + corrigé raisonné
L'essentiel en 60 secondes
  • EOL = le vendeur cesse de vendre ; EOS/EOSL = il cesse d'assurer le support et les correctifs — la date qui compte pour la sécurité.
  • Un système au-delà de l'EOS : remplacer, ou isoler avec des contrôles compensatoires — jamais « continuer comme avant ».
  • La rétention couvre aussi le matériel (garder de quoi relire les vieilles archives) et la connaissance (documentation, cross-training).
  • Trois états de la donnée : at rest (AES), in transit (TLS/IPsec), in use (TEE/enclaves, homomorphic) — l'« in use » est le plus difficile à protéger.
  • Scoping = retirer d'une baseline les contrôles non applicables ; tailoring = adapter la baseline (paramètres, compensations) à l'organisation.
  • DRM/IRM : la protection est persistante — elle voyage avec le fichier.
  • DLP : network (sortie réseau), endpoint (USB, presse-papiers), discovery (trouver la donnée mal rangée) ; détection par patterns, labels, empreintes.
  • CASB : visibilité et politique entre les utilisateurs et le cloud — modes log analysis, API, forward proxy, reverse proxy (le reverse proxy couvre le BYOD sans agent).
  • Anonymisation = irréversible, sort du GDPR ; pseudonymisation = réversible, reste du GDPR ; tokenisation = coffre de correspondance sans relation mathématique ; masking = montrer partiellement.
  • Le chiffrement protège mais ne dé-identifie pas : un chiffré reste une donnée personnelle.

Objectif 2.5Rétention des assets : EOL, EOS et mémoire de l'organisation

Tout asset a une fin de vie annoncée par son fournisseur — et deux dates que l'examen adore confondre :

JalonSignificationConséquence sécurité
EOL (End of Life)Le fournisseur cesse de commercialiser le produitEncore supporté — planifier le remplacement
EOS / EOSL (End of Support / Service Life)Le fournisseur cesse support et correctifsLa date critique : toute vulnérabilité découverte ensuite restera béante

Un système au-delà de l'EOS accumule des vulnérabilités non patchables : les seules réponses défendables sont le remplacement ou, à défaut (systèmes industriels, contraintes métier), des contrôles compensatoires — isolation réseau stricte, surveillance renforcée, virtual patching (chapitre 20). La bonne pratique de gouvernance : suivre les annonces de cycle de vie des fournisseurs et intégrer les remplacements au budget avant l'échéance, pas après l'incident.

La rétention ne concerne pas que les données (chapitre 4) — deux angles morts testables :

Objectif 2.6Les trois états de la donnée · scoping & tailoring

Protéger la donnée dans ses trois états

ÉtatProtectionsÀ retenir
At restDisques, bases, bandes, bucketsChiffrement : FDE, chiffrement de base (TDE), fichier ; AES-256Protège contre le vol du support, pas contre le compte compromis
In transit / in motionRéseaux internes et externesTLS 1.2/1.3, HTTPS, IPsec, SSHChiffrer aussi les flux internes (zero trust, chapitre 6)
In useMémoire, CPU, traitementTrusted Execution Environment / enclaves (confidential computing), chiffrement homomorpheLe plus difficile : la donnée doit être lisible pour être traitée — sauf homomorphe, qui calcule sur le chiffré sans jamais déchiffrer
🧠 Mnémonique — les trois états

« AES au repos, TLS en route, TEE à l'œuvre. » Un scénario qui parle de stockage appelle le chiffrement au repos ; un flux appelle TLS/IPsec ; un traitement en mémoire appelle enclaves ou homomorphe.

Choisir sa baseline : standards selection, scoping, tailoring

On ne réinvente pas ses contrôles : on part d'une baseline standard (NIST SP 800-53 au niveau low/moderate/high, ISO 27002, CIS — et PCI DSS s'impose de lui-même dès qu'on touche à la carte). Puis on l'ajuste, et c'est là que vivent deux termes-pièges :

🧠 Mnémonique

« Scoper = Soustraire · Tailorer = Tailler sur mesure. » Le scoping est un sous-ensemble du tailoring : on enlève d'abord l'inapplicable, puis on ajuste le reste.

Objectif 2.6DRM, DLP, CASB et dé-identification

DRM / IRM — la protection qui voyage avec le fichier

Le Digital Rights Management (et sa déclinaison entreprise, l'Information Rights Management) contrôle l'usage d'un contenu après sa distribution : licences et activation en ligne, expiration automatique, interdiction d'imprimer, de copier, de transférer, filigranes traçants. Le concept-clé est la persistance : la protection est incorporée au fichier et s'applique où qu'il aille — y compris chez un partenaire ou sur un poste personnel. C'est la réponse attendue au scénario « le document doit rester protégé une fois sorti de l'entreprise ».

DLP — empêcher la fuite

TypePositionCe qu'il attrape
Network-basedEn coupure ou en écoute à la sortie du réseau (egress)Emails, uploads, transferts sortants de données sensibles
Endpoint-basedAgent sur le posteCopie USB, presse-papiers, impression, y compris hors ligne
Discovery (data at rest)Balayage des stockagesLa donnée sensible mal rangée — partages ouverts, buckets publics

Détection : pattern matching (expressions régulières — numéros de cartes, SSN), mots-clés, labels de classification (le DLP lit le marquage du chapitre 4 : la boucle est bouclée), empreintes (fingerprinting / exact data matching sur des documents précis) et filigranes. Limite structurelle à connaître : le DLP ne lit pas ce qu'il ne peut pas déchiffrer — sans inspection TLS, un tunnel chiffré lui est opaque ; et il n'arrête pas la photo d'écran au smartphone. C'est un filet, pas une garantie.

CASB — le point de contrôle du cloud

Le Cloud Access Security Broker s'interpose — logiquement — entre les utilisateurs et les services cloud pour rendre quatre services : visibilité (découverte du shadow IT), conformité, protection des données (DLP cloud) et protection contre les menaces. Quatre modes de déploiement :

ModeFonctionnementForce / limite
Log collection / analysisAnalyse des journaux des firewalls et proxiesDécouverte du shadow IT ; aucune action en temps réel
API-basedHors bande : interroge les API des SaaS approuvésCouvre la donnée déjà dans le cloud, sans latence ; pas de blocage en ligne
Forward proxyEn ligne, trafic sortant des postes (agent ou PAC)Bloque en temps réel ; exige des postes gérés
Reverse proxyEn ligne, intégré à l'IdP : l'accès au SaaS transite par le brokerSans agent — la seule option propre pour BYOD et postes non gérés

Dé-identifier : quatre techniques, quatre promesses

TechniquePrincipeRéversible ?Statut GDPR
AnonymizationSuppression irréversible de tout lien identifiantNon (si bien faite)Sort du champ du GDPR — mais gare à la ré-identification par recoupement
PseudonymizationIdentifiants remplacés par des alias ; table de correspondance conservée à partOui, via la correspondanceReste une donnée personnelle — mesure de protection citée par le GDPR, pas une sortie
TokenizationValeur remplacée par un jeton aléatoire ; correspondance dans un coffre (token vault)Oui, via le coffre uniquementRéduit le périmètre (classique PCI DSS) ; aucune relation mathématique jeton↔valeur
MaskingOccultation partielle à l'affichage (**** 1234) ou substitution réaliste pour les environnements de testNon sur la copie masquéeLimite l'exposition ; la source reste personnelle

Et le chiffrement ? Il protège, mais ne dé-identifie pas : la donnée chiffrée se déchiffre avec la clé — elle reste une donnée personnelle au sens du GDPR. La distinction tokenisation/chiffrement est testée : le jeton est aléatoire, sans clé ni fonction reliant jeton et valeur ; casser des maths n'y peut rien, seul le coffre parle.

🧠 Mnémonique — dé-identification

Anonyme = Adieu (irréversible, sort du GDPR) · Pseudo = Passerelle (réversible, reste GDPR) · Token = Tiroir (coffre de correspondance) · Masque = Montrer un morceau.

⚠️ Pièges d'examen
  • EOL ≠ EOS : on peut acheter jusqu'à l'EOL, on n'est plus patché après l'EOS. Le danger commence à l'EOS.
  • Scoping retire, tailoring adapte (et englobe le scoping). Les distracteurs les intervertissent.
  • « Les données pseudonymisées sortent du GDPR » — faux : seule l'anonymisation véritable en sort.
  • Tokenisation ≠ chiffrement : pas de clé, pas de relation mathématique — un coffre de correspondance.
  • DRM : cherchez le mot « persistance » — la protection suit le fichier hors de l'entreprise.
  • Donnée in use : l'état le plus dur à protéger ; « calculer sans déchiffrer » = chiffrement homomorphe ; « enclave matérielle » = TEE/confidential computing.
  • CASB pour BYOD sans agent = reverse proxy ; découverte de shadow IT sans inline = analyse de logs / API.
  • Le DLP n'inspecte pas un flux chiffré sans interception TLS — un scénario « la fuite est passée en HTTPS » teste cette limite.
Scénario fil rouge — Awa

Awa boucle le programme de protection des données de la fintech. L'inventaire du chapitre 4 a révélé un serveur de reporting sous un OS en fin de support depuis deux ans : remplacement budgété, et en attendant, isolation dans un segment dédié avec surveillance renforcée — contrôles compensatoires documentés. La baseline NIST 800-53 moderate est scopée (pas de mainframe, les contrôles associés sortent) puis tailorée aux paramètres de la fintech. Les trois états sont couverts : TDE sur les bases, TLS 1.3 partout y compris en interne, et pour le scoring sur données sensibles, un pilote de confidential computing en enclave. Les numéros de cartes sont tokenisés — le périmètre PCI fond d'un coup ; les jeux de données analytiques partent pseudonymisés (la table de correspondance vit dans un coffre séparé, et le DPO rappelle qu'ils restent des données personnelles) ; les environnements de test reçoivent des données masquées. Le DLP endpoint bloque désormais les copies USB non chiffrées, le CASB en reverse proxy couvre les tablettes BYOD des commerciaux, et les contrats sensibles circulent sous IRM : expiration à 30 jours, impression interdite — même transférés, ils restent verrouillés.


Quiz25 questions

Conditions réelles : 30 minutes, une seule passe, réponses notées avant de consulter le corrigé.

Question 1

From a security perspective, which vendor lifecycle milestone is MOST critical for an operating system?

  1. End of life, when the product stops being sold
  2. End of support, when security patches are no longer provided
  3. General availability
  4. The first major version update
Voir la réponse Réponse : B

La sécurité vit des correctifs : leur arrêt (EOS) est le vrai basculement — chaque vulnérabilité découverte ensuite reste ouverte. L'EOL (A) n'est qu'un jalon commercial.

Question 2

A manufacturing system runs an operating system that reached end of support and cannot be replaced for two years. What is the BEST course of action?

  1. Continue operating normally, since it has worked so far
  2. Isolate the system with strict network segmentation and enhanced monitoring as compensating controls
  3. Connect it to the Internet only during maintenance windows
  4. Disable its antivirus to improve performance
Voir la réponse Réponse : B

Quand remplacer est impossible, on compense : isolation stricte + surveillance renforcée, documentées. A ignore le risque (négligence, chapitre 3) ; C garde une exposition inutile ; D l'aggrave.

Question 3

An organization retains backup tapes for ten years. What related asset must also be retained?

  1. The original purchase orders for the tapes
  2. Hardware capable of reading the tapes throughout the retention period
  3. The shipping boxes of the tape drives
  4. A photograph of each tape
Voir la réponse Réponse : B

Une archive n'existe que si on peut la relire : le matériel de lecture suit la durée de rétention des médias. C'est la « rétention de matériel » de l'objectif 2.5 — l'angle mort classique.

Question 4

A senior engineer who alone understands a critical system announces his retirement. Which practice BEST addresses this risk?

  1. Documentation and cross-training before his departure
  2. Extending his notice period indefinitely
  3. Disabling his access immediately
  4. Outsourcing the system to a vendor
Voir la réponse Réponse : A

La connaissance se retient comme un asset : documentation et cross-training avant le départ. B est irréaliste, C confond avec la sécurité du départ (chapitre 2), D déplace la dépendance sans la résoudre.

Question 5

Customer records stored in a database on a SAN are in which data state?

  1. Data in transit
  2. Data in use
  3. Data at rest
  4. Data in escrow
Voir la réponse Réponse : C

Stockée sur un support, la donnée est au repos — état couvert par le chiffrement de stockage. Elle passera « in transit » quand elle circulera, « in use » quand elle sera traitée.

Question 6

Which technology PRIMARILY protects data in transit?

  1. Full disk encryption
  2. TLS
  3. Database column encryption
  4. A trusted execution environment
Voir la réponse Réponse : B

TLS chiffre le canal : c'est la protection du transit. FDE (A) et le chiffrement de colonnes (C) couvrent le repos ; le TEE (D) couvre l'usage — « AES au repos, TLS en route, TEE à l'œuvre ».

Question 7

Which data state is generally the MOST difficult to protect, and why?

  1. At rest, because storage is cheap
  2. In transit, because networks are fast
  3. In use, because data must normally be decrypted to be processed
  4. All states are equally difficult
Voir la réponse Réponse : C

Pour être traitée, la donnée doit normalement être déchiffrée en mémoire — fenêtre d'exposition irréductible, sauf technologies dédiées (enclaves, homomorphe). C'est la définition même de la difficulté de l'« in use ».

Question 8

Which technology allows computations to be performed on encrypted data without ever decrypting it?

  1. Homomorphic encryption
  2. Transport layer security
  3. Tokenization
  4. Degaussing
Voir la réponse Réponse : A

« Calculer sans déchiffrer » est la promesse exacte du chiffrement homomorphe. TLS protège un canal (B), la tokenisation substitue (C), le degaussing détruit (D, chapitre 4).

Question 9

A cloud provider offers "confidential computing" so customer data remains protected during processing. Which mechanism underpins this?

  1. Hardware-based trusted execution environments (enclaves)
  2. Longer TLS keys
  3. Nightly backups
  4. RAID storage
Voir la réponse Réponse : A

Le confidential computing repose sur des enclaves matérielles (TEE) : le traitement s'exécute dans une zone chiffrée du processeur, inaccessible même à l'hyperviseur du fournisseur. Les autres options ne touchent pas l'état « in use ».

Question 10

A security team removes all wireless-related controls from its NIST baseline because the facility has no wireless networks. What is this activity called?

  1. Tailoring only
  2. Scoping
  3. Benchmarking
  4. Accreditation
Voir la réponse Réponse : B

Retirer les contrôles non applicables au périmètre = scoping (« scoper = soustraire »). Le tailoring est l'adaptation d'ensemble qui l'englobe — « tailoring only » (A) est moins précis que la réponse exacte.

Question 11

Which activity BEST describes tailoring a control baseline?

  1. Adopting every control in the baseline without change
  2. Adapting the baseline to the organization: removing inapplicable controls, adjusting parameters, and substituting compensating controls
  3. Replacing the baseline with ad hoc controls
  4. Outsourcing control selection to an auditor
Voir la réponse Réponse : B

Tailorer = adapter : retraits justifiés, paramètres ajustés, compensations équivalentes. A n'adapte rien, C abandonne la baseline, D délègue une décision qui appartient à l'organisation.

Question 12

An online retailer begins accepting credit card payments. Which standard MUST shape its data security baseline?

  1. FedRAMP
  2. PCI DSS
  3. FISMA
  4. COPPA
Voir la réponse Réponse : B

Qui touche à la carte entre dans PCI DSS — obligation contractuelle (chapitre 1) qui structure la baseline (tokenisation, segmentation du périmètre). FedRAMP vise le cloud fédéral (A), FISMA les agences US (C), COPPA les enfants (D).

Question 13

Which property BEST characterizes digital rights management protection?

  1. It only works inside the corporate network
  2. The protection persists with the file wherever it travels
  3. It requires physical destruction of expired documents
  4. It replaces the need for encryption
Voir la réponse Réponse : B

La persistance est la signature du DRM : la politique est incorporée au fichier et s'impose partout. A décrit l'inverse ; C n'a pas de sens ; D est faux — le DRM s'appuie sur le chiffrement.

Question 14

A company must share a confidential contract with a partner so that it expires after 30 days and cannot be printed, even on the partner's systems. Which solution fits BEST?

  1. Password-protected ZIP file
  2. Information rights management
  3. Network DLP
  4. A watermark on each page
Voir la réponse Réponse : B

Expiration datée + interdiction d'imprimer chez le partenaire : seule une protection persistante (IRM) suit le document hors du périmètre. Le ZIP (A) se déprotège au premier déchiffrement, le DLP réseau (C) s'arrête à la frontière, le filigrane (D) trace sans empêcher.

Question 15

Which DLP component can block an employee from copying sensitive files to a USB drive while working offline?

  1. Network-based DLP
  2. Endpoint-based DLP
  3. Discovery DLP
  4. A reverse proxy CASB
Voir la réponse Réponse : B

Seul un agent local voit l'USB et le presse-papiers — et continue d'agir hors ligne. Le DLP réseau (A) ne voit que le trafic, le discovery (C) scanne le stockage, le CASB (D) couvre le cloud.

Question 16

What is the purpose of DLP discovery scanning?

  1. Blocking outbound emails in real time
  2. Finding sensitive data stored in unauthorized or unexpected locations
  3. Encrypting all file shares
  4. Monitoring user keystrokes
Voir la réponse Réponse : B

Le discovery balaie les stockages pour trouver la donnée sensible là où elle ne devrait pas être — partages ouverts, exports oubliés. C'est du data-at-rest, pas du blocage temps réel (A).

Question 17

A DLP system detects credit card numbers in outbound traffic using regular expressions. Which detection technique is this?

  1. Watermarking
  2. Pattern matching
  3. Exact data matching
  4. Label-based detection
Voir la réponse Réponse : B

Les expressions régulières sur formats connus (cartes, SSN) = pattern matching. L'exact data matching (C) compare à des empreintes de documents précis ; les labels (D) lisent le marquage de classification.

Question 18

Sensitive data was exfiltrated through an encrypted HTTPS tunnel without the network DLP raising any alert. What is the MOST likely explanation?

  1. The DLP could not inspect the encrypted traffic because TLS interception was not deployed
  2. DLP systems never monitor web traffic
  3. The data was too small to detect
  4. HTTPS automatically strips sensitive content
Voir la réponse Réponse : A

Le DLP n'inspecte pas ce qu'il ne peut pas lire : sans interception TLS (légitime et déclarée), le tunnel chiffré est opaque. C'est la limite structurelle de l'outil — les autres options sont fantaisistes.

Question 19

Which capability is a PRIMARY reason to deploy a cloud access security broker?

  1. Replacing the corporate firewall
  2. Gaining visibility into shadow IT and enforcing policy on cloud service usage
  3. Hosting virtual machines
  4. Providing endpoint antivirus
Voir la réponse Réponse : B

Le CASB rend visible l'usage cloud (shadow IT) et y applique la politique — visibilité, conformité, données, menaces. Il ne remplace ni firewall (A), ni hébergement (C), ni antivirus (D).

Question 20

Sales staff access a corporate SaaS application from personal, unmanaged tablets. Which CASB deployment mode enforces policy without installing agents?

  1. Forward proxy
  2. Reverse proxy
  3. Log collection
  4. Endpoint DLP
Voir la réponse Réponse : B

Le reverse proxy s'intègre à l'IdP : l'accès au SaaS transite par le broker quel que soit l'appareil — aucun agent requis, donc BYOD couvert. Le forward proxy (A) exige un poste géré.

Question 21

Which CASB mode inspects data already stored in sanctioned SaaS applications, out of band and without traffic redirection?

  1. API-based mode
  2. Forward proxy mode
  3. Reverse proxy mode
  4. Inline bridge mode
Voir la réponse Réponse : A

Le mode API interroge directement les SaaS approuvés, hors bande : il inspecte la donnée déjà stockée, sans rediriger le trafic — au prix de l'absence de blocage en ligne.

Question 22

Under GDPR, which technique can take a dataset entirely OUT of the regulation's scope?

  1. Pseudonymization with a protected mapping table
  2. True, irreversible anonymization
  3. Strong encryption with key escrow
  4. Static data masking of test copies
Voir la réponse Réponse : B

Seule l'anonymisation véritable et irréversible fait sortir la donnée du champ du GDPR. La pseudonymisation reste des données personnelles (A) ; le chiffrement aussi (C) ; le masking limite l'exposition sans changer le statut (D).

Question 23

Which statement about pseudonymized data is correct?

  1. It can be re-identified using the separately held mapping, so it remains personal data
  2. It is permanently impossible to re-identify
  3. It may be published freely without safeguards
  4. It is identical to tokenized payment data
Voir la réponse Réponse : A

La correspondance conservée à part permet la ré-identification : donnée personnelle elle reste, avec obligations GDPR — la pseudonymisation est une mesure de protection, pas une échappatoire. B décrit l'anonymisation.

Question 24

How does tokenization differ from encryption?

  1. Tokens are derived from the value with a secret key
  2. Tokens are random substitutes with no mathematical relationship to the original value, resolved only through a secure vault
  3. Tokenization is reversible by anyone; encryption is not
  4. They are identical techniques with different names
Voir la réponse Réponse : B

Le jeton est un substitut aléatoire : aucune clé, aucune fonction ne relie jeton et valeur — seul le coffre résout. Le chiffrement, lui, est une transformation mathématique réversible par clé (A décrit le chiffrement).

Question 25

A development team needs production-like customer data for testing. Which approach is MOST appropriate?

  1. Copying the production database as-is
  2. Providing a masked dataset in which sensitive values are replaced with realistic substitutes
  3. Granting developers read access to production
  4. Emailing extracts of production data to the team
Voir la réponse Réponse : B

Le masking statique produit des jeux réalistes sans exposer les vraies valeurs — la pratique standard pour les environnements de test. A, C et D exposent la production, chacune à sa façon.

Auto-diagnostic

≥ 20/25 : le domaine 2 est acquis — place au domaine 3 (chapitre 6). Entre 15 et 19 : relisez le tableau de dé-identification et les modes CASB, refaites le quiz demain. < 15 : relisez le chapitre ; la paire scoping/tailoring et la frontière GDPR anonyme/pseudonyme tombent quasi systématiquement à l'examen.

FicheFiche de révision

À savoir par cœur avant le chapitre 6
  1. EOL = fin de commercialisation ; EOS/EOSL = fin des correctifs — la date critique.
  2. Système post-EOS : remplacer, sinon isoler + surveiller (contrôles compensatoires documentés).
  3. Rétention du matériel : garder de quoi relire les archives ; rétention de la connaissance : documentation + cross-training.
  4. Trois états : at rest (AES/FDE/TDE) · in transit (TLS/IPsec) · in use (TEE/enclaves, homomorphe).
  5. « AES au repos, TLS en route, TEE à l'œuvre » ; l'in use est le plus difficile.
  6. Homomorphe = calculer sur le chiffré sans déchiffrer ; confidential computing = enclaves matérielles.
  7. Standards selection → baseline (800-53, ISO 27002, PCI si cartes) ; scoping = soustraire ; tailoring = adapter (paramètres, compensations).
  8. DRM/IRM = protection persistante qui voyage avec le fichier (expiration, anti-impression, filigrane).
  9. DLP : network (egress) · endpoint (USB, hors ligne) · discovery (donnée mal rangée) ; détection : patterns, labels, empreintes.
  10. Limite DLP : flux chiffrés sans interception TLS ; photo d'écran.
  11. CASB : visibilité (shadow IT), conformité, données, menaces ; modes log analysis · API (hors bande) · forward proxy (postes gérés) · reverse proxy (BYOD sans agent).
  12. Anonyme = Adieu (sort du GDPR) · Pseudo = Passerelle (reste GDPR) · Token = Tiroir (coffre, PCI) · Masque = Montrer un morceau.
  13. Tokenisation ≠ chiffrement : jeton aléatoire, aucune relation mathématique, seul le coffre résout.
  14. Le chiffré reste une donnée personnelle ; les tests utilisent des données masquées.