1.4.2 Quiz sur la Gouvernance et la conformité réponses

Explication : La Alliance de la sécurité en nuage (CSA) fournit des conseils en matière de sécurité à toute entreprise qui utilise le cloud computing ou qui souhaite évaluer les risques pour la sécurité globale d’un fournisseur de cloud.

Explication : Les entreprises disposant de ressources et d’une expertise considérables en matière de cybersécurité exécutent des tests de pénétration et des exercices de simulation d’attaque en équipe rouge pour évaluer les capacités de sécurité d’une entreprise.

Explication : Les collaborateurs d’une entreprise ont généralement accès aux données et aux informations dont ils ont besoin pour faire leur travail. Le gouvernement américain utilise le principe du « besoin de savoir » dans ses modèles de contrôle d’accès.

Explication : Une entreprise doit mettre en œuvre des mesures pour gérer les menaces liées aux utilisateurs, notamment:

• Organisez des formations de sensibilisation à la sécurité pour empêcher vos collaborateurs d’être victimes d’attaques par phishing.
• Permettre le filtrage du contenu pour autoriser ou refuser des domaines spécifiques conformément aux politiques d’utilisation acceptable.
• Désactiver les lecteurs de CD internes et les ports USB.
• Activation des analyses antimalware automatiques pour les lecteurs multimédias, les fichiers et les pièces jointes des courriels insérés.
• Attribution des droits d’écriture et de suppression au seul propriétaire des données.

Explication : La gouvernance de la sécurité informatique détermine qui est autorisé à prendre des décisions concernant les risques de cybersécurité au sein d’une organisation. Il existe plusieurs rôles clés dans les programmes de bonne gouvernance des données:

• Propriétaire des données – une personne qui assure le respect des politiques et des procédures, attribue la classification appropriée aux actifs informationnels et détermine les critères d’accès aux actifs informationnels.
• Contrôleur des données – Personne qui détermine les finalités et la manière dont les données personnelles sont traitées.
• Dépositaire des données – Personne qui met en œuvre les contrôles de classification et de sécurité des données dans conformément aux règles établies par le propriétaire des données.
• Gestionnaire des données – Une personne qui s’assure que les données répondent aux besoins commerciaux d’une organisation et répondent aux exigences réglementaires.
• Délégué à la protection des données – Une personne qui supervise la stratégie de protection des données d’une organisation.

Explication : La gouvernance de la sécurité IT démontre la responsabilité et assure la surveillance pour s’assurer que les risques sont suffisamment atténués et que les stratégies de sécurité sont alignées sur les objectifs de l’entreprise et conformes aux réglementations.

Explication : La FERPA (Loi sur les dossiers scolaires familiaux et la protection des renseignements personnels) est une loi fédérale américaine qui régit l’accès aux dossiers scolaires. En vertu de la loi, les parents doivent approuver la divulgation des informations relatives à l’enseignement d’un élève à des entités publiques avant la divulgation réelle. Lorsqu’un étudiant atteint l’âge de 18 ans, ou entre dans un établissement d’enseignement postsecondaire à n’importe quel âge, ses droits en vertu de la FERPA passent des parents à l’étudiant.

Explication : La loi GLBA (Gramm-Leach-Bliley Act) prévoit des dispositions de renonciation pour les individus, leur permettant de contrôler l’utilisation des informations qu’ils partagent avec une entreprise lors d’une transaction commerciale. Le GLBA restreint le partage d’informations avec des organisations tierces.

Explication : L’éthique professionnelle sont des principes qui régissent le comportement d’une personne ou d’un groupe dans un environnement professionnel. Un spécialiste de la cybersécurité doit comprendre à la fois la loi et les intérêts de l’entreprise pour être en mesure de prendre les bonnes décisions.

Explication : Le Loi sur la fraude et les abus informatiques (CFAA) est une loi américaine promulguée en 1986. La certification CAFA interdit tout accès non autorisé aux systèmes informatiques. Le fait d’accéder sciemment à un ordinateur public sans autorisation ou d’accéder à un ordinateur utilisé dans le cadre du commerce entre États ou à l’étranger ou ayant une incidence sur celui-ci est une infraction pénale.

Explication : Le Institut national des normes et des technologies (NIST) a créé le National Cybersecurity Workforce Framework pour aider les entreprises à la recherche de professionnels de la cybersécurité. Le cadre organise le travail de cybersécurité en sept catégories:

• Exploitation et maintenance – Fournir le soutien, l’administration et la maintenance nécessaires pour assurer la performance et la sécurité efficaces et efficientes des systèmes informatiques.
• Protéger et défendre – Identifier, analyser et atténuer les menaces pesant sur les systèmes et réseaux internes.
• Enquêter – Enquêter sur les événements de cybersécurité et/ou les cyber-attaques impliquant des ressources informatiques.
• Collecter et opérer – Fournir des opérations spécialisées de déni et de déception et collecter des informations sur la cybersécurité.
• Analyser – Effectuer un examen et une évaluation hautement spécialisés des informations entrantes en matière de cybersécurité afin de déterminer leur utilité pour le renseignement.
• Superviser et gouverner – Assurer la direction, la gestion, l’orientation ou le développement et la défense des intérêts d’une organisation afin qu’elle puisse mener efficacement ses activités de cybersécurité.
• Provisionnement sécurisé: conceptualise, conçoit, fournit ou construit des systèmes IT sécurisés.

Explication : Le Centre de sécurité Internet (CIS) a développé un ensemble de contrôles de sécurité essentiels pour aider les entreprises disposant de différents niveaux de ressources et d’expertise à améliorer leurs cyberdéfenses.