Domain 2 : Asset Security

Question 1

Citez une norme pour chacun des domaines suivants :

1 - Gouvernance IT
2 - Gouvernance de la sécurité de l’information
3 - Gouvernance des données

Answer 1

1 - Gouvernance IT : COBIT, ISO 38500
2 - Gouvernance de la SSI : ISO 27018
3 - Gouvernance de la données : RGPD, HIPAA etc ..

Question 2

C’est quoi la gouvernance des données ?

Answer 2

La gouvernance des données s’accentue sur 2 points :

1 - Ensemble de politique, procédure et processus qui permette de gerer la donnée

2 - Définition de roles et responsabilités pour la gestion et protection de la donnée

Question 3

C’est quoi la Data Policy?

Answer 3

La Data Policy c’est la politique de gestion des données.

1 - Elle permet de collecter les données uniquement nécessaire
2 - Classifier les données collectées
3 - Assurer la sécurité de ces données tout au long du processus
4 - Suppression de la donnée quand c’est plus necessaire

Question 4

C’est quoi la Data Quality ?

Answer 4

C’est la qualité des données collectées afin de s’assurer de la pertinence des données, leur intégrité etc …

Question 5

Donnez la différence entre la Quality Assurance et la Quality Control ?

Answer 5

La Quality Assurance c’est le fait d’evaluer le processus de création, collecte, traitement des données sur des normes externes à l’organisme.

La Quality Control quand a elle se base sur les normes internes de l’organisme.

Question 6

C’est quoi la différence entre une erreur de commission et une erreur d’omission ?

Answer 6

les erreurs d’omission se produisent lorsque des actions nécessaires ne sont pas effectuées, tandis que les erreurs de commission surviennent lorsque des actions inappropriées sont prises. Dans les deux cas, ces erreurs peuvent compromettre la sécurité de l’information et doivent être évitées grâce à une gestion efficace des risques et à la mise en œuvre de mesures de sécurité appropriées.

Question 7

Donnez la différence entre une information et une donnée ?

Answer 7

Une information c’est une donnée qui a une signification

Information = Donnée + Signification

Question 8

Aux États Unis, quelle est la loi qui est utilisé pour la protection des données de santé ?

Answer 8

HIPAA : Health Insurance Portability and Accountability Act de 1996 est une loi fédérale qui établit les exigences de sécurité et de confidentialité des données pour les organisations chargées de sauvegarder les données de santé protégées des patients.

Question 9

Qu’est ce que la loi FERPA

Answer 9

C’est une loi qui est utilisé au niveau de l’éducation au USA

Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale américaine qui protège la confidentialité des dossiers scolaires des étudiants. Cette loi s’applique à toutes les écoles qui reçoivent des fonds dans le cadre d’un programme applicable du ministère américain de l’éducation.

Question 10

C’est quoi la loi GLBA ?

Answer 10

C’est une loi qui est utilisée pour les finances au USA

La loi Gramm-Leach-Bliley (GLBA), aussi appelée loi GLB ou parfois loi de modernisation des services financiers de 1999, est une loi promulguée par le Congrès américain pour réguler la manière dont les institutions financières traitent les informations personnelles sensibles de leurs clients.

Question 11

C’est quoi le RGPD ?

Answer 11

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR).

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

Question 12

C’est quoi la classification de l’information dans le domaine Militaire ou Gouvernemental ?

Answer 12

1 - Top Secret : Exceptionnally grave domage

2 - Secret : Serious Domage

3 - Confidentifiel : Domage

4 - Unclassified : No Domage

Question 13

C’est quoi la classification de l’information dans le domaine Civil ?

Answer 13

1 - Confidential / Proprietary : Exceptionnally grave domage

2 - Private : Serious Domage

3 - Sensitive : Domage

4 - Public: No Domage

Question 14

C’est quoi le cycle de vie d’une donnée ?

Answer 14

1 - Création
2 - Classification
3 - Stockage
4 - Usage
5 - Archivage
6 - Destruction

Question 15

C’est quoi la data Remenance ?

Answer 15

C’est le fait de supprimer les données de maniere conventielles sur un support sans possibilité de restauration des données

Question 16

Qu’elles sont les techniques de remenance des données ?

Answer 16

1 - Purging : supprimer les données via 2 techniques : si le disque est chiffré, il s’agira de supprimer les clés de chiffrements, ou simplement de demagnetiser le disque (degaussing) via une micro onde par exemple

2 - Nettayage (Clearing), Recritture ( ) et Effacement profont (OverWrinting)

3 - Destruction physique via l’acide, l’incineration etc ..

Question 17

C’est quoi le Zeroing ?

Answer 17

C’est le fait d’écrire des 0 sur un disque dans le cadre de la suppression des données (data remanence)

Question 18

C’est quoi de Degaussing d’un disque ?

Answer 18

Demagnetisation via un micro onde par exemple

Question 19

C’est quoi le Masking/ Labelling ?

Answer 19

C’est le fait de mettre une etiquette sur un disque

Question 20

C’est quoi la data retention ?

Answer 20

C’est la conversation des données pour un but reglementaire avant tout

Question 21

C’est quoi les 3 états d’une donnée ? et quelle sont les mesures de sécurité associées ?

Answer 21

1 - AT REST (au répos) : chiffrement,protection physique, controle d’accès
2 - AT TRANSIT (en deplacement) : cryptage, chiffrement via SSL/TLS, IPSEC, VPN etc …, segmentation du réseau
3 - AT USE (en utilisation) : cleandesk policy, traitement de la ram rom etc …

Question 22

C’est quoi un business/mission Owner ?

Answer 22

Tres souvent le CEO de l’entreprise ou un responsable de haut niveau, c’est l’utilimily responsable de la donnée. Il doit mettre en place des dispositifs de protection et de gouvernance de la donnée et doit s’assurer que les politique etc .. sont bien implementés

Question 23

C’est quoi le data owner ?

Answer 23

C’est lui qui connait le mieux la donnée, il est le propriétaire de la donnée. C’est lui qui definit comment on accède à la donner, donne son accord pour la création des droits sur la donnée, definit la frequence de sauvergarde de la donnée . Tres souvent le RH , ou les gens de la paie

Question 24

C’est quoi le data custodian

Answer 24

C’est lui qui est responsable de l’implémentation technique des politiques definis par la data owner. Son périmetre se limite aux champs techniques.

Si on voit l’option day-by-day dans une question à l’examen , c’est forcement le data custodian

Question 25

C’est quoi le security administrator ?

Answer 25

C’est celui qui est chargé des actions de maintenance sur les réseau, configuration des firewalls, des logiciels etc …

C’est celui qui assigne les accès aux utilisateurs sur instruction du data owner.

Data Owner :Granted
Security Administrator : Assigned

Question 26

C’est quoi le system Owner ?

Answer 26

C’est le responsable des équipements matériels ou sont stockés les informations des data owners

Question 27

Dans le domaine RGPD, c’est quoi un data controller ?

Answer 27

Un data Controller est celui qui crée et traite la donnée. (souvent le rh, la paie etc …). Ils definissent les politiques de gestion de la donnée

Question 28

Dans le domaine RGPD, c’est quoi un data processor?

Answer 28

Il s’agit d’un sous traitant de la donnée.Il intervient quand l’activité est delegué (rh externalisé, paie externalisé etc ..)

Question 29

C’est quoi un supervisor ?

Answer 29

Il est directement responsable de la formation et de la sensibilisation des utilisateurs. S’il n’informe pas et qu’il y a un risque de securité ou mauvaise pratique, il est responsable .

Par contre s’il informe et que l’utilisateur n’applique pas, c’est le user le responsable

Question 30

C’est quoi un auditeur ?

Answer 30

Il est reponsable de la mise en place de la conformité par rapport aux politiques et procédures au sein de l’instituion

Question 31

C’est quoi le différence entre Scoping et Tailoring ?

Answer 31

Scoping c’est le fait de ne pas appliquer une mesure car elle est hors scope au niveau de notre infra. Ex : une norme demande d’activer DHCP Snooping sur les serveurs DHCP. On ne l’applique pas, parce que l’adresse au sein du réseau est statique.

Tailoring , c’est le fait d’appliquer une mesure mais tout en l’adaptant à l’infra. Cette fois ci,la mesure est dans le scope mais son implementation est adaptée à l’entreprise

Question 32

C’est quoi la différence entre l’anonymisation et la pseudonomisation ?

Answer 32

Les deux techniques permettent de chiffrer les données. Sauf qu’avec l’anonymisation c’est irreversible, on ne peut pas revenir aux propriétaire originel, avec la pseudonomysation si

Question 33

C’est quoi la différence entre la catégorisation et la labellisation d’une donnée ?

Answer 33

Labelliser une donnée c’est lui donner un niveau de sensibilité (high, medium, domage etc ..)

Par contre catégoriser une donnée c’est la mettre dans une famille ou un type de données (PHI, HIPAA, etc ..)

Question 34

C’est quoi la différence entre End Of Life et End of Support

Answer 34

End Of Life : Le produit n’est plus supporté , il n’y a plus de mise à jour associé mais il y a toujours un support de la part de l’éditeur

End Of Support : Le produit n’est plus supporté, il n’y a plus de mise à jour et de support de l’editeur