0 of 250 Questions completed
Questions:
You have already completed the quiz before. Hence you can not start it again.
Quiz is loading…
You must sign in or sign up to start the quiz.
You must first complete the following:
0 of 250 Questions answered correctly
Temps pour faire ce QCM :
Temps écoulé
You have reached 0 of 0 point(s), (0)
Earned Point(s): 0 of 0, (0)
0 Essay(s) Pending (Possible Point(s): 0)
Comment appelle-t-on le fait d’agir en utilisant toute précaution raisonnable pour protéger les actifs et intérêts d’un organisme ?
A la demande de sa direction, le RSSI d’un laboratoire pharmaceutique doit mettre en place des mesures de sécurité pour protéger la propriété intellectuelle de l’entreprise et les données des patients. Pour cela, il a prévu de renforcer l’authentification des comptes à privilèges avec un 2ème facteur d’authentification, de chiffrer toutes les données, de renforcer les habilitations via un modèle RBAC et d’améliorer la surveillance des actifs sensibles avec un IDS. En appliquant une telle démarche, quel principe de cybersécurité ce RSSI a-t-il adopté ?
Un employé qui travaillait au service comptabilité d’une grande entreprise vient d’être licencié. En effet, il a utilisé ses privilèges pour ajouter dans la base des fournisseurs une société dont sa femme était la gérante et a ordonné un paiement frauduleux de 100 000 euros vers cette société. Quel principe ou méthodologie permet de mitiger grandement ce type d’acte malveillant ?
Comment appelle-t-on le processus qui consiste à analyser les conséquences que peut avoir une grave perturbation sur un organisme afin de déterminer des stratégies de continuité et de reprise d’activité pertinentes ?
Le PDG (CEO) d’une grande entreprise a décidé que le RSSI (CISO) ne reporterait plus au DSI (CIO) mais directement à lui au même titre que le DSI ou le délégué à la protection des données (DPO). Quelle est la principale raison de ce choix organisationnel ?
En matière de gestion de risque, quelle formule vous parait la plus appropriée pour calculer un risque résiduel ?
Vous êtes le RSSI d’une grande entreprise qui souhaite acquérir la société FORSALE dans le cadre de sa stratégie de croissance externe. Quelle est la meilleure proposition de service à faire à votre PDG dans le cadre des due diligences liées à cette acquisition ?
En raison d’un risque d’indisponibilité de leurs services, certains fournisseurs de services Cloud renoncent à construire des centres de données dans des régions où il existe des risques climatiques importants ou des problèmes de fiabilité des alimentations électriques. Autour de quelle option de traitement du risque s’appuie cette stratégie de déploiement ?
La base de données d’un hôpital utilise le numéro de sécurité sociale (NIR) des patients comme index et clé primaire. Afin d’empêcher toute réidentification, le DBA décide de hacher le NIR via une fonction de hachage SHA-256. Que peut-on dire à propos de cette opération ?
Parmi les propositions suivantes, laquelle n’est pas une condition requise pour pouvoir breveter une invention ?
Les attaques par rançongiciel (ransomware) sont de plus en plus courantes et concernent aussi bien les particuliers que les entreprises. Sur quels critères de la triade CID peut porter ce type d’attaque ?
Qu’est-ce qui ne fait pas partie du processus d’appréciation du risque (risk assessment) ?
En tant que RSSI vous êtes chargé d’élaborer un programme de classification des actifs pour votre entreprise. Par quoi devez-vous commencer ?
Afin d’assurer la disponibilité des sauvegardes, une entreprise a utilisé pendant plusieurs années une société de transport spécialisée pour transporter chaque jour des bandes du site principal vers un site distant. Afin de prévenir toute perte de médias ou tout acte de malveillance de la part d’un employé de la société de transport, l’entreprise a décidé d’opérer directement les sauvegardes sur un site distant via une liaison réseau à haut débit. De quel type de mesure de sécurité s’agit-il ?
Parmi les énoncés suivants, lequel décrit le mieux un processus d’appréciation du risque (risk assessment) ?
L’(ISC)2 et l’organisation internationale de normalisation (ISO) utilisent une approche et une terminologie différente en matière de gestion des risques. Parmi les propositions suivantes, quelle est la seule option de traitement du risque commune entre la terminologie de l’(ISC)2 et celle de la norme ISO 27005 de 2018 ?
Lorsqu’une entreprise met en œuvre le principe de séparation des tâches, on peut dire qu’elle déploie une mesure :
Une caméra de vidéosurveillance est typiquement une mesure :
De quels éléments a-t-on besoin pour calculer le coût associé à un seul incident survenu sur un actif donné (SLE) ?
Quelle affirmation à propos des estimations qualitatives est inexacte ?
Quelle affirmation à propos des estimations quantitatives est inexacte ?
Dans quelle catégorie de mesures de sécurité peut-on placer un plan de continuité d’activité (BCP) ?
Quelle affirmation à propos du terme d’imputabilité (accountability) est inexacte ?
Dans quelle catégorie de normes peut-on classer la norme ISO/IEC 27000 ?
Que peut-on dire à propos de la norme ISO/IEC 27002 :2013 ?
Quel type de modélisation des menaces est utilisé dans la méthodologie SDL de Microsoft ?
Dans quel domaine utilise-t-on des outils comme CORAS, PASTA, VAST ou TRIKE ?
Quelle est selon vous la meilleure définition d’une menace (threat) ?
Parmi les propositions suivantes, laquelle décrit le mieux la norme ISO/IEC 27001 ?
Une grande entreprise vient de formaliser sa politique de sécurité de l’information (PSSI) qui s’appliquera à l’ensemble de l’entreprise et à ses différentes filiales. Elle comprend notamment en annexe un ensemble de mesures techniques à respecter par tous les employés. Dans quelle catégorie peut-on classer cette PSSI ?
L’entreprise française Klaxoo a décidé de gérer la paye de ses employés chez CloudPRO, fournisseur de service SaaS. Les données des employés étant des données à caractère personnel, elles sont encadrées juridiquement par le RGPD. Quelle est la seule affirmation exacte parmi les propositions suivantes ?
Quelle affirmation à propos d’un propriétaire des données (Data owner) est inexacte ?
Quelle affirmation concernant le champ d’application du règlement européen sur la protection des données (RGPD) est inexacte ?
Le règlement européen sur la protection des données (RGPD) définit le terme de « catégorie particulière de données » pour désigner certaines données sensibles comme par exemple la santé, la biométrie, les convictions religieuses ou encore l’appartenance syndicale. Au titre de l’article §9.1 du RGPD, les traitements de catégories particulières de données sont interdits sauf
Quelle est la meilleure approche pour lutter efficacement contre le risque de collusion au sein d’un organisme ?
Aux États-Unis, quel texte sert de fondement pour le droit à la vie privée (privacy rights) ?
En France la première loi pour lutter contre la cybercriminalité a été la Loi no 88-19 du 5 janvier 1988 relative à la fraude informatique (dite Loi Godfrain). Aux États-Unis, la toute première loi contre le cybercrime avait pour principal objectif de protéger les systèmes et informations du gouvernement fédéral. Comment s’appelle cette loi ?
Parmi les lois américaines suivantes, laquelle ne concerne pas le droit à la vie privée Privacy ?
Pour un organisme, quel est le principal avantage de classifier les informations ?
Votre entreprise a terminé d’effectuer un inventaire des actifs. En tant que DRH, vous êtes désigné comme délégué à la protection des données (DPO) et propriétaire des données concernant les employés pour toutes les applications du service des ressources humaines. En tant que DPO et propriétaire des données, qu’est-ce qui ne relève pas de votre responsabilité ?
Une entreprise souhaite revendre une centaine d’ordinateurs portables après plusieurs années de bons et loyaux services. Les employés ont le droit d’acheter ces ordinateurs pour leur usage personnel et les appareils restants seront vendus au public. Un chiffrement intégral des disques (FDE) est activé sur tous les ordinateurs. Pour mitiger au maximum les risques liés à des données résiduelles, quelle est la meilleure solution ?
Votre entreprise souhaite externaliser plusieurs applications chez un fournisseur de service Cloud en mode IaaS. En tant que RSSI vous êtes chargé de vérifier l’éligibilité du Cloud pour ces applications et choisir le fournisseur présentant les meilleures garanties en matière de sécurité. Pour cela vous avez décidé d’initier tout d’abord un processus de classification des données. Quelle est l’entité la moins pertinente pour participer à ce processus de classification ?
Quelle est la méthode la plus sûre pour s’assurer que des données stockées dans un disque dur magnétique ne pourront pas être récupérées ?
Pour protéger des données personnelles, on peut utiliser le chiffrement qui est une technique :
Le possesseur d’un iPhone décide de vendre son smartphone sur Leboncoin. Avant de procéder à la vente il doit impérativement procéder à une réinitialisation complète de l’appareil pour éviter tout problème de ________________ des données.
Aux USA, dans le domaine gouvernemental ou militaire, quel est le plus faible niveau de criticité pour des informations classifiées ?
Selon l’article § 5 du règlement européen sur la protection des données (RGPD), quelle est la durée maximale de conservation des données personnelles ?
Votre entreprise a décidé d’externaliser une partie de son système d’information chez un fournisseur de service Cloud en mode IaaS. Dans ce contexte, quelle est la mesure la plus adaptée pour protéger des données en transit (in motion) entre votre propre centre de données (on-premise) et celui du fournisseur IaaS (off-premise) ?
La propriété des actifs est un enjeu majeur en matière de sécurité de l’information. Après avoir fait l’inventaire des actifs informationnels, votre entreprise doit désormais affecter à chaque actif un propriétaire. Parmi les actifs suivants, quel est celui qui pose le moins de problème pour déterminer son propriétaire ?
Dans une agence gouvernementale, lorsqu’un média contient des données avec différents niveaux de classification, comment est-il étiqueté (ou labélisé) ?
Le directeur du service commercial d’une entreprise, agissant en sa qualité de propriétaire des données, décide de déléguer à son service informatique le soin de gérer au quotidien les données commerciales et de les protéger. Dans ce contexte, quel rôle joue le service informatique de l’entreprise ?
Quel est le niveau de classification approprié pour des données gouvernementales ou militaires US pour lesquelles une divulgation non autorisée pourrait causer des dommages à la sécurité nationale ?
Les disques durs magnétiques souffrent d’un problème lié aux secteurs défectueux pouvant entrainer des problèmes de sécurité. Quelle est la nature de ce problème ?
Un organisme de formation souhaite diffuser ses contenus pédagogiques (vidéos et documents PDF) via une plateforme d’enseignement à distance. Quelle mesure technique l’entreprise peut-elle utiliser pour marquer son contenu pédagogique et l’identifier formellement au cas où il serait divulgué ou copié sans autorisation ?
Quelle solution n’offre pas une protection globale par un chiffrement des données à la fois au repos (at rest) et en transit (in motion) ?
Pourquoi est-il utile de labéliser les informations lorsque l’on déploie un système DLP ?
En 2020, un important laboratoire de recherche pharmaceutique a dépensé plusieurs milliards en R&D pour trouver un vaccin efficace contre le Coronavirus Sars-Cov-2 à l’origine de la maladie infectieuse Covid-19. Pendant toute la phase de R&D et avant de déposer les brevets, la société a classifié tous les documents liés à ces travaux. Dans ce contexte, quel est le niveau de classification le plus pertinent ?
Lorsqu’un employé quitte une entreprise, il y a toujours un risque qu’il ait encore accès à des informations confidentielles. Quelle mesure de sécurité vous semble la moins adaptée pour mitiger ce risque ?
Quel terme est généralement utilisé pour décrire un ensemble de configurations de sécurité souvent fourni par un tiers (NIST, CIS, éditeur logiciel, …) ?
Dans les systèmes gouvernementaux, pourquoi la déclassification est-elle rarement choisie comme une option pour la réutilisation des médias ?
Lorsqu’un RSSI sélectionne dans la norme ISO 27002 les mesures pertinentes et adaptées au système qu’il souhaite protéger, on dit qu’il fait du _____________
Quel niveau de classification n’est généralement pas utilisé dans le domaine commercial / civil ?
Nous sommes en 2048 et les chinois utilisent de puissants ordinateurs quantiques pour intercepter et déchiffrer tous les clés AES échangées via la cryptographie asymétrique traditionnelle. Quelle solution doit être envisagée ?
Quel est l’environnement le plus approprié pour un Datacenter ?
Vous êtes en charge d’organiser la sécurité physique du centre de données de votre entreprise. Dans quel ordre allez-vous organiser l’action de vos mesures de sécurité ?
Vous envisagez l’acquisition d’un module de sécurité matériel (HSM) pour votre serveur Web. Quelle certification serait la plus pertinente pour évaluer la qualité et la sécurité de ce produit ?
Quelle combinaison permet d’assurer le meilleur niveau de confiance pour le démarrage sécurisé (Trusted boot) d’un ordinateur fonctionnant sous Windows ?
En matière d’isolation des processus, quel environnement est généralement considéré comme le plus sécurisé ?
Comment appelle-t-on la fonction cryptographique utilisée dans la blockchain bitcoin permettant de réaliser le consensus de type preuve de travail (PoW) ?
Vous êtes en train de concevoir un algorithme de chiffrement symétrique pour une agence gouvernementale. Parmi les éléments suivants, lequel ne sera pris en compte pour évaluer la robustesse de votre cryptosystème ?
Votre entreprise a entamé un processus de certification ISO 27001. Après avoir défini le périmètre, vous avez cartographié les actifs et procédé à une appréciation des risques. Pour répondre aux exigences de la norme, vous devez maintenant identifier les mesures de sécurité pertinentes pour traiter les risques et rédiger une déclaration d’applicabilité (DdA) à partir de l’ensemble des mesures recommandées disponibles dans l’annexe A de la norme. Dans cette DdA, vous avez sélectionné les mesures pertinentes et justifié leur insertion. Vous avez également écarté certaines mesures et justifié leur exclusion. Lequel des énoncés suivants décrit le mieux le processus de rédaction d’une DdA ?
De nombreuses attaques exploitent la vulnérabilité CWE-119 concernant le débordement de mémoire tampon (buffer overflow). A quel type de mémoire appartient cette mémoire tampon ?
Vous travaillez dans une société de conseil et d’audit en sécurité informatique. Dans le département conseil, les employés aident les entreprises à mettre en œuvre un SMSI dans le cadre d’une démarche de certification ISO 27001. Dans le département audit, les employés réalisent des audit internes ou des audits de certification du SMSI. Parmi les modèles de sécurité suivants, lequel préconiseriez-vous pour mitiger au maximum le risque de collusion et de conflits d’intérêts ?
En cryptographie, on utilise un vecteur d’initialisation (IV) pour assurer la sécurité sémantique d’un cryptosystème. La sécurité sémantique est une propriété selon laquelle le chiffrement d’une même donnée avec une même clé ne génère pas de motifs répétés afin qu’un attaquant ne puisse pas déduire de relations entre le texte en clair et le texte chiffré. Parmi les affirmations suivantes concernant l’IV, laquelle est inexacte ?
La confusion et la diffusion sont 2 concepts introduits par Claude Shannon en 1949 dont l’objectif est d’augmenter la robustesse du chiffrement symétrique contre les tentatives de cryptanalyse. Parmi les affirmations suivantes concernant ces concepts, laquelle est inexacte ?
Un réseau est constitué de 9 clients et d’un serveur serveurs connectés sur un LAN. Les clients dialoguent avec leurs homologues et avec le serveur de façon sécurisée via un chiffrement symétrique. Toutes les communications sont indépendantes de sorte qu’un client ne puisse pas écouter les communications des autres clients. Combien de clés secrètes seront nécessaires pour pouvoir établir l’ensemble des communications sécurisées ?
Deux équipements administrables via https doivent communiquer de façon sécurisée via un chiffrement symétrique. Pour cela, vous avez choisi de paramétrer une clé pré-partagée (pre-shared key) sur les 2 systèmes. Quel est le mécanisme le moins adapté pour réaliser cette opération ?
Dans une PKI, comment se passe la génération d’un certificat X509 ?
Afin de recouvrir des clés de chiffrement, une entreprise a mis en œuvre un séquestre de clés associé à un contrôle d’accès de type M parmi N (M of N access control) avec M=3 et N=5. En cas de perte d’une clé de chiffrement, combien de personnes habilitées seront nécessaires pour pouvoir récupérer une clé ?
Quel terme permet de définir le niveau de confiance que donne un organisme sur le fait que ses mesures de sécurité satisfont bien à ses exigences de sécurité ?
Comment appelle-t-on la valeur aléatoire associée à chaque mot de passe pour mitiger le risque lié aux attaques par tables arc-en-ciel (Rainbow tables) ?
Quel type de système d’extinction d’incendie fonctionne de la façon suivante : Les tuyaux se remplissent d’eau dès qu’une suspicion d’incendie est détectée et les gicleurs distribuent l’eau sur détection de chaleur ?
En application de la norme ISO 15408 (critères commun), un système certifié EAL5 est un système :
Dans le modèle Cloud sans serveur (serverless), quelle entité est responsable de la configuration de la plate-forme et des mises à jour des systèmes d’exploitation ?
Vous avez installé des capteurs de mouvement afin de détecter toute présence dans votre datacenter. Quel capteur de ce type est basé sur une modification des champs magnétiques ?
Lorsqu’un internaute saisie son numéro de carte bancaire sur un site de e-commerce via le protocole https, comment est protégée l’information en transit ?
Quelle affirmation à propos des rançongiciels (Ransomware) est inexacte ?
Que contient une liste de certificats révoqués (CRL) ?
Vous souhaitez produire une empreinte cryptographique (message digest) d’un message d’une longueur de 1024 bits. En utilisant une fonction de hachage de la série SHA3 du NIST, quelle peut être la taille de l’empreinte générée ?
Une agence gouvernementale a mis en œuvre un contrôle d’accès obligatoire basé sur le modèle Bell-LaPadula. Un agent du gouvernement habilité au niveau secret auquel sont attribuées les propriétés de sécurité simple et de sécurité étoile (*) souhaite accéder à une base de données classifiée au niveau Top Secret. Quelles sont les opérations autorisées sur la base de données pour cet agent ?
Une agence gouvernementale a mis en œuvre un contrôle d’accès obligatoire basé sur le modèle Biba. Un agent du gouvernement habilité au niveau secret auquel sont attribués les axiomes d’intégrité simple et d’intégrité étoile (*) souhaite accéder à une base de données classifiée au niveau Confidentiel. Quelles sont les opérations autorisées sur la base de données pour cet agent ?
Certaines attaques exploitent le décalage temporel entre le moment où une application vérifie la valeur d’une variable et le moment où elle l’exploite. On parle alors d’une «race condition». Parmi les vulnérabilités suivantes, laquelle est une race condition de ce type ?
Comment Alice peut-elle envoyer un message signé électroniquement à destination de Bob ?
Comment un utilisateur peut-il vérifier l’authenticité et l’émetteur d’un email signé électroniquement ?
Un administrateur réseau a défini le sous réseau 194.100.100.0/28. Sur ce réseau, un équipement reçoit sur une de ses interfaces un paquet IP destiné à l’adresse 194.100.100.15. Parmi les équipements suivants, lequel est le plus susceptible d’ignorer ce paquet ?
Parmi les attaques suivantes, laquelle ne concerne pas spécifiquement les réseaux sans-fil ?
Un formateur souhaite connecter son ordinateur portable à un vidéoprojecteur en Wi-Fi Direct, c’est-à-dire sans passer par un point d’accès (AP). Quel mode de fonctionnement proposé par la norme IEEE 802.11 doit-il utiliser ?
Parmi les attaques réseaux suivantes, laquelle ne concerne pas le niveau 3 du modèle OSI ?
Quel protocole à état de liens permet de déterminer le meilleur chemin entre un source et une destination au sein d’un système autonome (AS) ?
Parmi les propositions suivantes, laquelle représente la configuration la plus sécurisée pour un réseau Wi-Fi d’entreprise ?
Parmi les configurations suivantes, laquelle représente la meilleure protection contre les attaques en force brute hors-ligne (offline brute force attacks) ?
Une université dispose d’un système d’information réparties sur 5 bâtiments reliés entre eux par une fibre optique. Chaque bâtiment dispose de plusieurs routeurs, switchs et points d’accès sans-fil. Le responsable du réseau du campus universitaire souhaite que l’ensemble des équipements fonctionnent comme s’ils étaient sur un même et unique segment réseau. Quelle technologie peut lui permettre d’atteindre cet objectif ?
Certaines vulnérabilités sont étroitement liées à la technologie Bluetooth et à ce titre concernent tous les appareils équipés de cette technologie. Parmi les vulnérabilités suivantes laquelle ne concerne pas tous les appareils Bluetooth ?
En 1999, l’IEEE a publié la norme IEEE 802.1Q permettant de créer des réseaux locaux virtuels via une balise insérée dans la trame Ethernet (VLAN tag). Combien de réseaux locaux virtuels (VLANs) peut-on ainsi créer ?
Quelle technologie de pare-feu agit principalement au niveau 5 du modèle OSI ?
Parmi les protocoles suivants, lequel protège les mots de passe contre les écoutes sur le réseau par du chiffrement ?
Quelle couche du modèle OSI a pour principale rôle de coder et décoder les données applicatives afin de faciliter les communications entre systèmes hétérogènes ?
Selon le RFC 1918, quelle adresse IPv4 n’est pas routable sur le réseau Internet ?
Quelle affirmation à propos du protocole IGMP (Internet Group Management Protocol) est inexacte ?
Quel est le rôle du protocole RARP ?
Quel est le protocole le plus difficile à utiliser pour réaliser une attaque avec usurpation d’adresse IP (IP Spoofing) ?
Il existe de nombreuses techniques permettant d’exploiter les vulnérabilités du service DNS afin de rediriger les utilisateurs vers des sites frauduleux (Phishing via DNS). Parmi les propositions suivantes, laquelle n’est pas un protocole standardisé par l’IETF (RFC) destiné à pallier ce problème ?
Comment appelle-t-on une attaque qui consiste à envoyer des requêtes via le protocole UDP avec comme @IP source l’adresse de la cible et comme @IP destination une adresse de broadcast réseau ?
Parmi les opérations DNS suivantes laquelle utilise généralement des connexions TCP sur le port 53 ?
WEP (Wired Equivalent Privacy) est un protocole de chiffrement introduit en 1999 dans la norme IEEE 802.11. Il est basé sur l’algorithme de chiffrement RC4 avec une clé secrète de 40 ou 104 bits combinée à un vecteur d’initialisation (IV) de 24 bits. En août 2001, 3 chercheurs (Fluhrer, Mantin, Shamir) ont publié une étude démontrant les vulnérabilités du WEP en raison d’une mauvaise implémentation de l’algorithme RC4. Comment appelle-t-on les 2 techniques de cryptanalyse utilisées pour casser le protocole WEP ?
Quel type de contrôle d’accès associé à la technologie SDN (Software-defined networking) est généralement utilisé dans les environnements de Cloud computing ?
Pour se prémunir contre des attaques de type SYN flooding, l’administrateur d’un pare-feu réseau a activé la protection SYN cookie sur toutes les interfaces réseaux exposées à Internet. De quel type de mesure de sécurité s’agit-il ?
Quel était le principal objectif lors de la conception des extensions de sécurité du services DNS (DNSSEC) ?
Quelle affirmation à propos des adresses IPv6 est inexacte ?
Parmi les protocoles de gestion et de supervision réseau suivants, lequel protège efficacement les informations en transit via un chiffrement symétrique ?
Un fournisseur de services Cloud souhaite interconnecter à haut débit ses 2 centres de données distants de 5KM. Quel est le type de médias le plus adapté pour cet usage ?
Parmi les attaques réseaux suivantes, laquelle concerne le niveau 4 du modèle OSI ?
Lorsqu’on effectue un transfert de fichiers en utilisant SSH, quel protocole est utilisé ?
Parmi les propositions suivantes, laquelle définit le mieux ce qu’est la technologie SDN (software-defined networking) ?
Parmi les propositions suivantes, laquelle définit le mieux ce qu’est un contrôle d’accès réseau (NAC) ?
Quel est le principal protocole utilisé pour assurer la communication entre les systèmes d’acquisition de données et les équipements de contrôle dans les réseaux industriels dans les secteurs de l’électricité et de l’eau ?
Comment appelle-t-on le modèle de sécurité qui indique pour un objet donné, les permissions accordées aux différents sujets ?
Une entreprise souhaite déployer une passerelle de sécurité Web (SWG) pour contrôler la navigation des utilisateurs. A ce titre la passerelle autorise certains sites aux utilisateurs selon leur appartenance à un groupe défini dans un serveur Active Directory. De quel type de contrôle d’accès s’agit-il ?
Votre entreprise a décidé de renforcer la sécurité physique de ses locaux par un contrôle d’accès biométrique. En tant que RSSI vous êtes chargé de choisir la solution la plus adaptée pour l’entreprise. Après avoir consulter en interne les parties intéressées et la direction générale, vous avez définit les exigences pour ce nouveau système biométrique. Le système doit être facile à utiliser et être bien accepté par les utilisateurs. Compte tenu des enjeux, le coût n’est pas un critère important. Par contre, le taux d’erreur est un critère important et on ne doit pas dénombrer plus de 5 échecs d’authentification par jour. Il y a 600 employés dans les locaux et chacun d’entre eux entrera et sortira en moyenne 5 fois par jour. Parmi les 4 solutions que l’on vous propose, laquelle allez-vous retenir pour votre entreprise ?
Dans le cadre d’un audit de sécurité, un auditeur constate que l’entreprise utilise une politique de mot de passe faible et stocke les mots de passe des utilisateurs de plusieurs applications sous la forme d’un hachage SHA-1 dans une base de données. L’auditeur constate également que des très nombreuses empreintes cryptographiques sont identiques et correspondent à des mots de passe triviaux présents dans de nombreux dictionnaires de mots de passe. Dans son rapport, l’auditeur précise que la table des mots de passe est vulnérable aux attaques par tables arc-en-ciel (rainbow tables). Parmi les préconisations suivantes, laquelle vous parait la plus pertinente pour mitiger ce risque ?
Votre entreprise a décidé de mettre en place une solution d’authentification unique (SSO) afin de faciliter l’accès à ses différentes applications. Parmi les protocoles ou standards suivants, lequel ne concerne pas directement les problématiques de SSO ?
HTTP étant un protocole sans état (staleless), la gestion des sessions est toujours un sujet important en matière de sécurité des applications Web. Parmi les propositions suivantes, laquelle ne permet pas de gérer l’identifiant de session d’une application Web ?
Lors du départ d’un employé, la suppression de tous ses droits d’accès est un élément important pour assurer la sécurité du système d’information. Parmi les protocoles ou standards suivants, lequel est le plus susceptible de vous aider dans cette tâche ?
Parmi les affirmations suivantes, laquelle est inexacte à propos de la fédération d’identités et de l’authentification unique (SSO) ?
Parmi les affirmations suivantes, laquelle est inexacte à propos des assertions SAML ?
Votre entreprise souhaite mettre en production une application Web de e-commerce avec des autorisations d’accès basées sur des attributs et sur l’utilisation du langage XACML (Extensible Access Control Markup Language). Pour cela, deux serveurs seront mis en production. Le premier sera un serveur Web qui hébergera l’application et le second sera un serveur d’autorisation auquel le serveur Web délèguera les décisions d’accès selon une politique de contrôle d’accès définie par le propriétaire de l’application de e-commerce. Dans ce contexte, quel rôle jouera le serveur Web ?
Votre entreprise souhaite mettre en production une application Web de e-commerce avec une approche marketing innovante. En effet, le service marketing souhaite que la plupart des offres promotionnelles soient réservés à certains visiteurs ou clients selon de nombreux critères comme par exemple le type de terminal utilisé (iPhone, PC,…), les habitudes de connexion, l’activation de l’option 2FA, etc… Dans ce contexte, quel type de contrôle d’accès vous parait le plus adapté ?
Comment appelle-t-on le modèle de sécurité qui indique pour un sujet donné, les permissions qui lui sont accordées sur différents objets ?
Dans un hôpital, les médecins doivent pouvoir accéder aux informations de santé pour soigner les patients mais ne doivent en aucun cas accéder à leurs informations financières (montant des factures, encours de facturation, etc…). A quel principe de sécurité correspond cette exigence ?
Dans Kerberos comment sont véhiculés et protégés les identifiants et mots de passe lors de la phase d’authentification ?
Votre entreprise a décidé de renforcer la sécurité des VPN utilisés pour le télétravail par un contrôle d’accès réseau (NAC). La politique de contrôle d’accès intègre désormais un ensemble de règles de sécurité portant sur les appareils utilisés par les employés. A quel type de contrôle d’accès s’apparente le NAC (Network Access Control) ?
La politique de sécurité de votre entreprise exige que le principe du refus par défaut (Implicit Deny) soit obligatoirement appliqué lors du paramétrage d’un pare-feu (firewall). Ce principe stipule qu’aucune autorisation ne doit être accordée par défaut. En d’autres termes, tout ce qui n’est pas explicitement autorisé est interdit. A quel type de contrôle d’accès s’apparente le paramétrage de votre pare-feu ?
Parmi les propositions suivantes, laquelle décrit correctement l’usage des étiquettes (labels) dans un contrôle d’accès de type MAC (Mandatory Access Control) ?
Selon la publication spéciale SP-863B révisée en 2017, quelles sont les recommandations du NIST en matière de fréquence de changement des mots de passe pour des utilisateurs sans privilège administratif ?
Quel standard ou technologie permet de fournir un service d’authentification unique pour le WEB (Web SSO) en utilisant des jetons JWT (JSON Web Token) au format JSON ?
Quel langage permet de centraliser des politiques de contrôles d’accès et de les partager à plusieurs applications afin de garantir une homogénéité du contrôle d’accès sur l’ensemble des applications ?
Parmi les propositions suivantes, laquelle décrit correctement l’usage du langage SAML et du protocole SOAP pour accéder à un Web service ?
L’hameçonnage (phishing) et le pharming sont des attaques assez similaires et très souvent confondues. Parmi les énoncés suivants, lequel décrit correctement la différence entre le phishing et le pharming ?
Quel est le critère le plus important à prendre en compte dans le choix d’un système d’authentification biométrique ?
Parmi les propositions suivantes, laquelle décrit correctement le fonctionnement de Kerberos ?
Quelle est la solution la plus efficace pour lutter contre les attaques en force brute en ligne (online password cracking) ?
Quel est le mécanisme le plus robuste pour réaliser une authentification basée sur un challenge/response ?
Parmi les propositions suivantes, laquelle ne correspond pas à un protocole d’authentification mais à un cadre technique (framework) pour réaliser des authentifications ?
Quel mécanisme d’authentification est basé sur un compteur asynchrone ?
La politique de mots de passe d’une entreprise impose d’utiliser exclusivement et obligatoirement des caractères numériques et alphabétiques (minuscules et majuscules). Quelle est la différence en termes de combinaisons possibles, si on ajoute un seul caractère à un mot de passe ?
Comment appelle-t-on une interface utilisateur qui s’adapte dynamiquement selon les privilèges de l’utilisateur connecté ?
Parmi les propositions suivantes, laquelle ne constitue pas une solution efficace pour lutter contre les attaques par rejeu (replay attacks) ?
Parmi les protocoles d’authentification suivants, lequel est le plus vulnérable aux attaques en force brute hors ligne (offline brute force) ?
Votre entreprise a entamé un processus de certification ISO 27001 depuis bientôt un an et s’apprête désormais à faire auditer son SMSI par un organisme de certification accrédité. Parmi les activités suivantes, laquelle n’est pas une activité à réaliser par les auditeurs lors d’un audit de certification ISO 27001 ?
Un fournisseur de services cloud a dépensé plusieurs millions d’euros pour mettre en œuvre plusieurs mesures de sécurité afin d’offrir à ses clients la garantie d’un service cloud sécurisé. Le fournisseur recherche désormais à obtenir une attestation de la part d’un grand cabinet d’audit pour accroître la confiance des clients. Parmi les attestations suivantes, laquelle constitue le meilleur gage de confiance que peut donner ce fournisseur à ses clients ?
Quelle certification n’est pas pertinente pour attester de la sécurité d’un service SaaS ?
Quelles métriques utilisées dans la notation CVSS permettent de prendre en compte le contexte spécifique de l’organisme utilisateur du logiciel concerné ?
Votre entreprise est certifiée ISO 27001. Le personnel et la direction procèdent à des examens périodiques pour s’assurer que le SMSI respecte bien les exigences de la norme. Comment appelle-t-on ce type de contrôle ?
Quel type de contrôle doit réaliser périodiquement un fournisseur cloud pour délivrer à ses clients ou prospects des informations concernant la sécurité de ses services et accroître ainsi leur confiance ?
Un chercheur en sécurité vient découvrir une faille sur un site de e-commerce. Il prend contact avec le Webmaster du site et l’informe que si rien n’est fait sous 10 jours il publiera la vulnérabilité avec une preuve de concept (PoC). Cette pratique est une violation de quel principe ou code déontologique ?
Dans quelle catégorie peut-on classer des outils tels que ZAP, AppScan, Nikto ou encore Burp Suite ?
Parmi les propositions suivantes, laquelle décrit le principal avantage de l’outil Metasploit par rapport aux scanners de vulnérabilités traditionnels ?
Votre entreprise souhaite mettre en production une application de e-commerce dans laquelle les utilisateurs peuvent enregistrer leurs informations bancaires afin de faciliter de futurs achats. En tant que RSSI, quelle certification devez-vous recommander au propriétaire de l’application afin de se conformer aux exigences règlementaires et accroitre la confiance des clients ?
Parmi les affirmations suivantes, laquelle est vraie concernant les audits de sécurité ?
Votre entreprise a mis en production une application de e-commerce qui s’appuie sur un serveur Web Apache. Une nouvelle faille de sécurité vient tout juste d’être découverte dans le logiciel Apache et un identifiant CVE lui a été affecté. Il n’y a pas de correctif actuellement disponible mais le bulletin de sécurité de la communauté Apache vous fournit son niveau de criticité (CVSS). Quels facteurs devez-vous prendre en compte pour calculer le niveau de risque pour votre entreprise ?
Parmi les affirmations suivantes, laquelle est inexacte concernant les vulnérabilités des logiciels et leur exploitation ?
Quelle affirmation à propos de la NVD (National Vulnerability Database) est inexacte ?
Dans le système CVSS v3.x, la notation d’une faille au niveau 8.8 la place dans la catégorie :
Quelles métriques utilisées dans la notation CVSS permettent de prendre en compte le fait qu’une vulnérabilité est activement exploitée ou qu’un correctif de sécurité est disponible ?
Quel type de test d’intrusion permet d’identifier le maximum de vulnérabilités ?
Quelle affirmation à propos de SCAP est inexacte ?
En auditant le code source d’une application, un expert en sécurité applicative vient de découvrir un grave défaut de conception permettant de rendre l’application vulnérable. Quel système d’évaluation peut-il utiliser pour mesurer la criticité de ce défaut de conception ?
Comment s’appelle la méthodologie développée par MITRE qui permet aux organismes de personnaliser les faiblesses des applications suivant leurs besoins et de créer leur propre liste de faiblesses prioritaires ?
Comment appelle-t-on la technique utilisée dans les tests de fuzzing par mutation qui consiste à injecter des données avec une légère modification de format ?
Dans quelle catégorie rentre un outil d’analyse de code source tel que SonarQube, Veracode ou encore GitLab ?
En octobre 2014, 3 chercheurs de Google ont découvert une importante vulnérabilité dans le protocole SSL v3 permettant de réaliser des attaques de type MITM. Comme il s’agit d’une faille du protocole et non pas d’une faille logicielle liée à son implémentation, aucun correctif de sécurité n’a pu être développé obligeant ainsi les organismes à migrer rapidement vers TLS. Comment s’appelle cette vulnérabilité ?
Quelle affirmation à propos des CVE (Common Vulnerabilities and Exposures) est inexacte ?
Beaucoup de personnes confondent appréciation du risque (AR) et bilan d’impact sur l’activité (BIA) alors que ce sont 2 choses bien différentes. Parmi les propositions suivantes, laquelle décrit le mieux la différence entre une AR et un BIA ?
Votre entreprise souhaite mettre en œuvre un plan de réponse à incident. En tant que RSSI, la direction générale vous demande d’étudier ce projet. Quels sont les 2 documents de référence qui peuvent vous aider dans cette tâche ?
Comment s’appelle la base de connaissances disponible sous forme de matrice qui recense les tactiques, techniques et procédures (TTP) utilisées par les attaquants pour réaliser leurs attaques ?
En cas de sinistre, comment appelle-t-on le niveau minimal de services à atteindre pendant le mode dégradé jusqu’à ce que la situation normale soit rétablie ?
Comment appelle-t-on le processus qui consiste à analyser les impacts que peut avoir une grave perturbation sur un organisme afin de déterminer les stratégies BC/DR pertinentes ?
Le BIA d’une société d’opérations boursières a déterminé un MTD nul (ou quasi nul) pour son service de trading. Quel type de sites de secours peut lui permettre d’atteindre cet objectif ?
Comment appelle t-on le test d’un PCA/PRA qui consiste à basculer tout ou partie de la production sur un site de secours sans pour autant interrompre les services sur le site principal ?
Lorsque deux disques durs sont configurés en RAID-0, quel est le pourcentage de données perdues en cas de défaillance d’une des deux unités ?
Quel type de support permet de diminuer au maximum la durée des opérations de sauvegarde ?
Votre entreprise souhaite mettre en place un système de management de la continuité d’activité (BCMS) en conformité avec les exigences de la norme ISO 22301. En tant que RSSI, vous êtes en charge de définir le périmètre (scope) du BCMS. Parmi les éléments suivants, lequel ne sera pas pris en compte pour réaliser cette tâche ?
Votre entreprise a mis en production une application de e-commerce qui s’appuie un serveur avec un stockage sur 3 disques durs de 10 To configurés en RAID-5. Suite à un problème de surtension électrique, 2 disques durs viennent de tomber en panne simultanément ce qui entraine une interruption du service de e-commerce. Le BIA réalisé sur cette activité critique a défini une durée maximale d’interruption tolérable (MTD) de 72 heures et un objectif de délai de reprise pour ce serveur (RTO) de 24 heures. Parmi les différents plans de continuité proposés par le NIST (SP-800-34 R1), lequel est le plus pertinent pour restaurer le fonctionnement du serveur ?
Votre entreprise a mis en place un Plan d’Urgence du Système d’Information (Information System Contingency Plan – ISCP) afin de pallier toute défaillance majeure d’une ressource de votre système d’information. Pour cela, votre stratégie de sauvegarde doit permettre de respecter les objectifs de délai de reprise (RTO) et de perte de données maximale admissible (RPO) déterminés par le BIA. Une sauvegarde complète des systèmes est planifiée à minuit tous les dimanches. La durée pour restaurer la sauvegarde complète est de 8 heures. Durée à laquelle il faudra rajouter le temps de restauration des sauvegardes différentielles ou incrémentales selon la stratégie définie. Sachant que le BIA a défini la durée maximale d’interruption tolérable (MTD) à 24 heures, l’objectif de délai de reprise (RTO) à 8 heures et l’objectif de perte de données maximale admissible (RPO) à 2 heures, quel est la meilleure stratégie de sauvegarde à adopter pour respecter ces exigences ?
Vous êtes le responsable du SOC d’une entreprise dont l’activité principale est la vente en ligne. Votre site e-commerce est protégé par un pare-feu de nouvelle génération ainsi que par des sondes NIDS. Un membre de l’équipe SOC vous informe que plusieurs clients se plaignent de ne plus pouvoir accéder à votre site Web et qu’ils reçoivent en retour une erreur HTTP 404. L’analyse SOC suspecte une attaque en DDoS malgré le fait que ni les sondes IDS, ni le firewall NG n’ont remonté d’alertes au niveau du SIEM. Quelle action l’équipe de réponse à incident doit-elle entreprendre en tout premier lieu ?
Vous êtes le responsable du SOC d’une entreprise et un membre de votre équipe vous informe que vous faites actuellement l’objet d’une attaque par rançongiciel et que plusieurs serveurs sont désormais infectés. Quelle action l’équipe de réponse à incident doit-elle entreprendre en tout premier lieu ?
Dans le cadre d’une perquisition au domicile d’un cybercriminel, la police a saisi 3 ordinateurs, 2 téléphones et un disque dur externe. Les enquêteurs ont identifié que parmi tous ces objets, c’est dans le disque dur externe que l’on retrouve les principaux éléments accablants. Comment appelle-t-on ce disque externe lorsqu’il est présenté comme preuve à un tribunal ?
Dans le cadre d’une perquisition au domicile d’un cybercriminel, la police a saisi un disque dur et souhaite maintenant procéder à son analyse. Pour cela, le DEFR (Digital Evidence First Responder) mandaté connecte le disque dur à son système d’analyse via un contrôleur spécial appelé « forensic disk controller ». Quelle est le principal intérêt d’utiliser un tel contrôleur ?
Une entreprise souhaite vérifier le fonctionnement de son plan de continuité d’activité (BCP). La direction générale souhaite que cette vérification ne perturbe pas les activités normales de l’entreprise et qu’elle soit le moins coûteuse possible en matière de ressources engagées et de temps consommé. En tant que consultant spécialiste de la continuité d’activité, quel type de test préconiseriez-vous à cette entreprise ?
En matière de sauvegarde, il existe de nombreuses façons de gérer et d’optimiser les bandes. Parmi les propositions suivantes, laquelle n’est pas une stratégie de rotation des bandes ?
Parmi les différentes méthodes utilisables pour effectuer la sauvegarde d’une base de données, comment appelle-t-on celle qui consiste à copier très régulièrement (comme par exemple chaque heure) les journaux de transaction d’une base de données sur un site distant sachant que chaque copie ne concerne que les dernières transactions effectuées depuis la dernière copie sur le site distant ?
Votre entreprise est victime d’une intrusion dans son système d’information et souhaite mener sa propre enquête sur cette infraction pénale. En tant que RSSI, la direction de l’entreprise vous charge de cette enquête. Quelle est votre possibilité d’investigation ?
La direction de votre entreprise s’inquiète d’une éventuelle augmentation de la malveillance interne. A ce titre, elle vous charge de renforcer les moyens de surveillance des activités des salariés au niveau des postes de travail. Parmi les technologies suivantes, laquelle vous parait la plus pertinente pour atteindre cet objectif ?
La technologie EDR permet d’accroitre la protection des postes clients face aux cybermenaces. Quelle affirmation à propos de cette technologie est inexacte ?
Lors de la conception d’un plan de gestion des urgences de son organisation, quelle doit être la priorité la plus élevée fixée par la direction générale ?
Quelle est la différence entre la gestion hiérarchique du stockage (HSM) et la technologie de réseau de stockage (SAN) ?
En matière de stockage de données, les technologies SAN (Storage Area Network) et NAS (Network Attached Storage) sont très souvent confondues. Quelle affirmation à propos de ces deux technologies est inexacte ?
Dans la technologie RAID 5 on utilise des bits de parité répartis de manière circulaire sur les disques. A quoi servent ces bits de parité ?
Selon la publication spéciale SP-800-34 R1 du NIST, quel plan de continuité fournit les procédures et les moyens nécessaires pour transférer et maintenir les fonctions stratégiques et essentielles d’un organisme vers un autre site après un important sinistre ?
En matière de continuité d’activité, le délai de rétablissement fixé (RTO) et la durée maximale d’interruption acceptable (MTD) sont souvent confondus mais ont pourtant un rôle bien différent. Lequel des énoncés suivants décrit le mieux la différence entre RTO et MTD ?
Dans le cadre de la mise en œuvre d’un plan de continuité d’activité, une entreprise spécialisée dans la vente en ligne sur Internet a réalisé un bilan d’impact sur l’activité (BIA). Ce BIA indique que si le service de e-commerce venait à être indisponible plus de 48 heures, les conséquences (pertes financières, confiance des clients, image de marque) seraient telles que l’entreprise ne pourrait sans doute plus continuer à fonctionner et devrait déposer le bilan. Le BIA indique également que toutes les ressources IT nécessaires au fonctionnement du service de e-commerce doivent être rétablies dans un délai maximum de 30 heures. Pour finir, le BIA exige qu’en cas de sinistre, aucune donnée datant de plus de 2 heures ne soit perdue. Dans ce scénario, quelle durée ne doit pas dépasser le temps de récupération du travail (WRT) ?
Dans le cadre de la mise en œuvre d’un plan de continuité d’activité, une entreprise spécialisée dans la vente en ligne sur Internet a réalisé un bilan d’impact sur l’activité (BIA). Ce BIA indique que si le service de e-commerce venait à être indisponible plus de 48 heures, les conséquences (pertes financières, confiance des clients, image de marque) seraient telles que l’entreprise ne pourrait sans doute plus continuer à fonctionner et devrait déposer le bilan. Le BIA indique également que toutes les ressources IT nécessaires au fonctionnement du service de e-commerce doivent être rétablies dans un délai maximum de 30 heures. Pour finir, le BIA exige qu’en cas de sinistre, aucune donnée datant de plus de 2 heures ne soit perdue. Dans ce scénario, quelle durée correspond au délai de rétablissement fixé (RTO) ?
Dans le cadre d’un procès pour intrusion dans un système d’information, l’avocat de l’entreprise victime apporte au tribunal un journal de logs de connexion à une passerelle VPN comme preuve. Comment appelle-t-on ce type de preuve dans le système juridique américain ?
Comment appelle-t-on la documentation chronologique qui fournit une séquence ininterrompue d’événements depuis le moment où une preuve a été collectée jusqu’à sa présentation devant un tribunal ?
Votre entreprise vient de mettre en production une application de e-commerce dans laquelle les utilisateurs peuvent enregistrer leurs informations bancaires afin de faciliter de futurs achats. Très rapidement vous constatez que certains utilisateurs exploitent une vulnérabilité de l’application pour extraire des numéros de CB d’autres clients. Quel type de test logiciel aurait du être effectué avant la mise en production pour éviter ce problème ?
Dans un SDLC en 8 étapes, à quel moment est-il recommandé d’effectuer une modélisation des menaces (threat modeling) ?
Qu’est-ce qui n’est pas une pratique ou une méthode agile ?
Comment appelle-t-on l’approche qui consiste à développer un produit avec le strict minimum de fonctionnalités pour satisfaire les premiers clients et à développer les prochaines versions sur la base des retours clients ou d’arrêter le produit en cas d’échec commercial ?
Votre entreprise a développé une application de e-commerce. La direction générale s’interroge sur la sécurité de ce service en ligne et aimerait savoir si toutes les activités pertinentes en matière de Secure SDLC ont été réalisées. Quelle étude ou modèle de sécurité peut répondre aux interrogations de la direction en permettant à l’entreprise de s’auto-évaluer selon plus de 120 activités S-SDLC et de comparer ses résultats avec d’autres sociétés ?
Dans un Système de Gestion de Base de Données Relationnelles (SGBDR), comment appelle-t-on le nombre d’uplets (tuples) d’une table ?
Quelle affirmation à propos des bases de données NoSQL est inexacte ?
Quelle technologie peut être utilisée comme interface pour accéder à des bases de données ?
A quelle catégorie du langage SQL appartient la commande BEGIN TRANSACTION ?
Dans quel contexte utilise-t-on le mécanisme de validation en deux phases (Two-phase commit) ?
Votre entreprise a développé une application de e-commerce. Vous êtes le Security Champion de l’entreprise et votre principal objectif est d’améliorer la sécurité et la qualité des logiciels développés en interne. Dans ce contexte, à qui allez-vous confier l’écriture des tests unitaires dans une approche TDD (Test-Driven Development) ?
En octobre 2018 et mars 2019, deux Boeing 737 MAX se sont écrasés entrainant des centaines de morts. Après de nombreuses investigations, le logiciel anti-décrochage développé spécialement pour la série 737 MAX de Boeing semble être la principale cause de ces 2 catastrophes. Quelle méthode de vérification doit-on effectuer sur un logiciel aussi critique afin d’éviter de telles tragédies ?
Il existe de nombreuses méthodes pour tester un logiciel afin d’améliorer sa sécurité et sa qualité. Parmi les affirmations suivantes, laquelle est vraie à propos des tests logiciels ?
Une entreprise de Cybersécurité développe un nouveau modèle de pare-feu destiné à des environnements hautement critiques (militaire, nucléaire). Elle vise pour son produit une certification critères commun EAL7 attestant ainsi que le produit a été conçu, vérifié et testé de façon formelle. Pour cela, des méthodes dites formelles seront utilisées pour la conception, les spécifications, les vérifications et les tests à divers stades du développement du produit. Parmi les méthodes suivantes, laquelle n’est pas une méthode formelle ?
Votre entreprise a développé une application de e-commerce et des utilisateurs du service ont signalé au Webmaster un bug mineur dans l’application lié à un problème d’affichage. L’équipe de développement a corrigé le bug et a mis en production la nouvelle version de l’application. Malheureusement ce correctif a entrainé un nouveau problème bien plus important dans l’application. Désormais les clients ne peuvent plus commander de produits sur le site entrainant ainsi un manque à gagner et une perte de confiance des utilisateurs. Quel type de test est censé éviter ce genre de situation ?
Votre entreprise a mis en production une application de e-commerce qui s’appuie sur une base de données relationnelle (SGBDR). Un des articles est annoncé disponible mais une seule unité est disponible en stock. Deux clients passent simultanément commande de cet article et reçoive chacun un accusé de réception valide avec une mention précisant que l’expédition de l’article se fera sous 24h. Pour cet article, Le SGDR contient maintenant un nombre d’unités en stock négatif rendant ainsi la base de données incohérente. Parmi les mécanismes de sécurité suivants, lequel est le plus pertinent pour éviter ce problème ?
La définition du terme menace n’est pas toujours très claire chez les professionnels de la sécurité. Beaucoup d’entre eux confondent en effet menace (threat), agent de menace (threat agent), vulnérabilité (vulnerability), faiblesse (weakness) et risque (risk). Parmi les propositions suivantes, laquelle constitue une menace ?
Votre entreprise a développé une application de e-commerce qui s’appuie sur une base de données relationnelle (SGBDR). Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis d’identifier un scénario selon lequel un attaquant pourrait compromettre l’application en envoyant des messages XML particuliers via la méthode HTTP POST. Parmi les risques identifiés par l’OWASP dans son TOP TEN 2017, lequel correspond le mieux à ce scénario ?
Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis d’identifier plusieurs scénarii selon lesquels un attaquant pourrait réaliser des attaques par débordement de mémoire tampon (buffer overflow). Parmi les mesures de sécurité proposées, laquelle est la plus efficace pour répondre à ce type d’attaques ?
Un pare-feu d’applications Web (WAF) a pour objectif d’analyser les requêtes à destination des applications et de stopper en temps réel toute requête identifiée comme une attaque. Que fait généralement un WAF lorsqu’il identifie dans une requête, une chaine du style ” ../../../../../etc/passwd ” ?
Dans quelle catégorie peut-on ranger des produits comme RStudio, Xcode ou encore Visual studio ?
Philippe, développeur Java, vient d’être licencié par son entreprise en raison de la mauvaise qualité de son travail et de son comportement inapproprié avec les membres de l’équipe. Philippe conteste les reproches qu’on lui fait et décide de se venger car il juge cette décision totalement injuste. Pour cela il installe au sein du code qu’il développe une routine malveillante qui se déclenchera 42 jours après son départ et qui entrainera de nombreuses incohérences dans les données de l’application. Comment appelle-t-on ce type de code malveillant ?
Dans quelle catégorie de base de données appartiennent MongoDB, DynamoDB ou encore CouchBase ?
Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis d’identifier un scénario selon lequel un attaquant pourrait réaliser des attaques de type CSRF (Cross-site request forgery). Parmi les solutions proposées, laquelle vous parait la plus efficace pour mitiger ce type d’attaques ?
Il existe de nombreuses méthodes ou technologies pour tester un logiciel afin d’améliorer sa sécurité et sa qualité. Parmi les méthodes ou technologies suivantes, quelle est celle qui ne nécessite aucun accès au code source des applications ?
Parmi les énoncés suivants, lequel est le moins efficace pour lutter contre les attaques par agrégation ou par inférence dans une base de données à plusieurs niveaux de sécurité (Multilevel security database) ?
Dans un système de base de données, lorsque deux accès concurrents s’opèrent sur les mêmes données, il y a un risque que l’un des deux accès entraine une incohérence de données. Parmi les problèmes suivants, lequel n’est pas lié à des accès concurrents ?
Votre entreprise a mis en production une application de e-commerce qui s’appuie sur une base de données relationnelle (SGBDR). Dans cette base, un table appelée CLIENTS contient les informations sur les personnes ayant déjà commandé sur le site et contient 1842 enregistrements. D’autre part la table CLIENTS dispose de 5 colonnes qui contiennent respectivement le numéro client, le nom, le prénom, le numéro de téléphone et l’adresse e-mail des personnes. Parmi les énoncés suivants, lequel décrit correctement les caractéristiques de cette table ?
Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis d’identifier un scénario selon lequel un attaquant pourrait réaliser des attaques de type SQL injection. Parmi les solutions proposées, laquelle vous parait la plus efficace pour mitiger ce type d’attaques ?
Quel terme est utilisé pour décrire le niveau de confiance que l’on peut avoir sur un logiciel et qui traduit le fait qu’il est exempt de vulnérabilités (intentionnelles ou pas) et que ses fonctionnalités répondent à toutes les attentes ?
Votre entreprise a mis en production une application de e-commerce qui s’appuie sur un Web service accessible via une API REST. Parmi les solutions techniques suivantes, laquelle est la plus pertinente pour limiter l’accès au Web service aux seules personnes ou applications autorisées ?
Votre entreprise développe des logiciels mais n’a pas encore mis en en œuvre des processus de développement standardisés pouvant être améliorés au fil du temps. Parmi les propositions suivantes, laquelle devrait permettre à votre entreprise d’améliorer ses processus de développement de logiciels ?
Dans un SGBDR, quel mécanisme garantit que chaque uplet (tuple) contient une clé primaire unique non nulle et qu’il est identifié de manière unique par la valeur de cette clé primaire ?
Pour quelle raison un SGBDR doit-il toujours vérifier qu’une valeur de clé étrangère existe bien en tant que valeur de clé primaire dans une autre table ?
Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis d’identifier un scénario selon lequel un attaquant pourrait voler le cookie de session d’un utilisateur. Pour cela l’attaquant devra inciter un utilisateur authentifié à cliquer sur un lien hypertexte ce qui entrainera la création et l’exécution d’un code javascript malicieux au sein du navigateur (côté client). Dans quelle catégorie se classe la vulnérabilité de votre application ?
Dans votre entreprise, les processus de développement de logiciels sont standardisés et documentés. Un référentiel qualité est utilisé et il existe des lignes directrices, un plan stratégique et un processus d’amélioration continu. A quel niveau de maturité se situe votre entreprise selon le modèle CMMI ?