Domaine 1 du CISSP : Security and Risk Management
Q : Quel est le principal objectif de la gouvernance d’entreprise en matière de sécurité de l’information ?
A) Assurer l’efficacité opérationnelle
B) Protéger les intérêts des actionnaires
C) Se conformer aux exigences réglementaires
D) Sécuriser les communications d’entreprise
Réponse Correcte : B) Protéger les intérêts des actionnaires
Question 2
Q : La “due diligence” en sécurité de l’information implique :
A) Des actions pour démontrer l’intention de se conformer aux exigences légales
B) Des mesures pour protéger la propriété intellectuelle
C) L’examen régulier et la mise à jour des politiques de sécurité
D) L’adoption de pratiques responsables et sensées
Réponse Correcte : D) L’adoption de pratiques responsables et sensées
Question 3
Q : Quelle est la principale fonction d’une politique de sécurité de l’information ?
A) Fournir des instructions détaillées étape par étape
B) Décrire les standards de classification des données de l’organisation
C) Exprimer les directives et intentions de la direction
D) Servir de manuel d’utilisation pour les outils de sécurité
Réponse Correcte : C) Exprimer les directives et intentions de la direction
Question 4
Q : Qu’est-ce que l’ALE (Annual Loss Expectancy) en gestion des risques ?
A) La perte attendue pour un actif en raison d’un risque sur un an
B) Le coût total des mises en œuvre de sécurité par an
C) La fréquence d’occurrence d’une menace chaque année
D) La perte potentielle maximale dans un seul événement
Réponse Correcte : A) La perte attendue pour un actif en raison d’un risque sur un an
Question 5
Q : En termes de classification des données, quelle est la différence principale entre l’information privée et l’information sensible ?
A) Leur niveau de confidentialité
B) Les méthodes utilisées pour chiffrer les données
C) L’impact sur l’organisation en cas de divulgation
D) La manière dont elles sont traitées par les processeurs de données
Réponse Correcte : C) L’impact sur l’organisation en cas de divulgation
Question 6
Q : Quel est le principal objectif d’un Plan de Continuité d’Activité (PCA) ?
A) Assurer la protection des données critiques
B) Maintenir les opérations commerciales dans des conditions adverses
C) Décrire les étapes de la restructuration organisationnelle
D) Documenter les procédures de reprise après sinistre informatique
Réponse Correcte : B) Maintenir les opérations commerciales dans des conditions adverses
Question 7
Q : Le cadre ‘Sherwood Applied Business Security Architecture’ (SABSA) se concentre principalement sur :
A) Les contrôles techniques dans l’architecture réseau
B) Les moteurs commerciaux et les exigences de sécurité
C) La mise en œuvre des algorithmes cryptographiques
D) La conformité aux normes légales et réglementaires
Réponse Correcte : B) Les moteurs commerciaux et les exigences de sécurité
Question 8
Q : Quelle méthode est la mieux adaptée pour décrire une analyse de risque ‘quantitative’ ?
A) Évaluer l’impact sur la base de données subjectives
B) Estimer le risque en fonction de la probabilité et de l’impact en termes monétaires
C) Utiliser une échelle qualitative (par exemple, faible, moyen, élevé) pour décrire les risques
D) Analyser le risque sur la base de données historiques sans métriques financières
Réponse Correcte : B) Estimer le risque en fonction de la probabilité et de l’impact en termes monétaires
Question 9
Q : La ‘Séparation des Tâches’ en sécurité de l’information est importante pour prévenir :
A) La perte de données due à des défaillances système
B) Les conflits d’intérêts et la fraude
C) La congestion du réseau et les goulots d’étranglement
D) L’utilisation inefficace des ressources
Réponse Correcte : B) Les conflits d’intérêts et la fraude
Question 10
Q : Sous le Règlement Général sur la Protection des Données (RGPD), le ‘droit à l’oubli’ assure principalement :
A) La suppression des données utilisateur sur demande
B) L’anonymisation des données personnelles dans les bases de données
C) L’accès des utilisateurs aux données personnelles détenues par les organisations
D) Le chiffrement des informations personnelles sensibles
Réponse Correcte : A) La suppression des données utilisateur sur demande
Question 11
Q : Quel principe décrit la pratique de diviser un processus de sécurité en parties distinctes pour garantir qu’aucun individu n’ait un contrôle total ?
A) Le moindre privilège
B) Le Contrôle d’Accès Obligatoire
C) La Séparation des Tâches
D) Le contrôle dual
Réponse Correcte : C) La Séparation des Tâches
Question 12
Q : Quel acte traite principalement de la confidentialité et de la sécurité des informations de santé aux États-Unis ?
A) Loi Sarbanes-Oxley (SOX)
B) Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie (HIPAA)
C) Loi sur la Gestion de la Sécurité de l’Information Fédérale (FISMA)
D) Loi Gramm-Leach-Bliley (GLBA)
Réponse Correcte : B) Loi sur la Portabilité et la Responsabilité de l’Assurance Maladie (HIPAA)
Question 13
Q : Quel est l’objectif principal de la ‘planification stratégique’ dans la gouvernance de la sécurité de l’information ?
A) Aborder les problèmes opérationnels immédiats
B) Aligner les initiatives de sécurité avec les objectifs commerciaux à long terme
C) Mettre en œuvre des contrôles techniques et des contre-mesures
D) Répondre aux incidents de sécurité
Réponse Correcte : B) Aligner les initiatives de sécurité avec les objectifs commerciaux à long terme
Question 14
Q : Les ‘Critères Communs’ pour l’Évaluation de la Sécurité des Technologies de l’Information (CC) sont principalement utilisés pour :
A) Évaluer la conformité d’une organisation aux politiques de sécurité
B) Évaluer et certifier les propriétés de sécurité des produits informatiques
C) Guider les organisations dans l’élaboration de politiques de sécurité
D) Établir des normes minimales pour les pratiques de sécurité
Réponse Correcte : B) Évaluer et certifier les propriétés de sécurité des produits informatiques
Question 15
Q : Quel concept en gestion de la sécurité de l’information implique d’évaluer l’impact des menaces potentielles par rapport au coût des contre-mesures ?
A) L’appétit pour le risque
B) L’analyse coût-bénéfice
C) La diligence raisonnable
D) La modélisation des menaces
Réponse Correcte : B) L’analyse coût-bénéfice
Domaine 2 gestion des actifs (Asset Management)
Question 1
Q : Quel est le premier pas dans le processus de gestion des actifs ?
A) Classification des actifs
B) Identification des actifs
C) Évaluation des risques des actifs
D) Allocation des responsabilités de gestion des actifs
Réponse Correcte : B) Identification des actifs
Question 2
Q : Quelle méthode est utilisée pour déterminer la valeur d’un actif en sécurité de l’information ?
A) Analyse coût-bénéfice
B) Modélisation des menaces
C) Évaluation de l’impact des affaires
D) Classification des données
Réponse Correcte : C) Évaluation de l’impact des affaires
Question 3
Q : En matière de classification des données, que signifie le terme “public” ?
A) Les données peuvent être diffusées librement
B) Les données nécessitent une protection minimale
C) Les données sont sensibles mais pas critiques
D) Les données sont ouvertes à tous les employés de l’organisation
Réponses Correctes : A) Les données peuvent être diffusées librement, B) Les données nécessitent une protection minimale
Question 4
Q : Quel est l’objectif principal de la gestion des droits numériques (DRM) ?
A) Prévenir l’accès non autorisé aux données numériques
B) Surveiller l’utilisation des ressources informatiques
C) Assurer la conformité avec les politiques de sécurité
D) Protéger la propriété intellectuelle
Réponse Correcte : D) Protéger la propriété intellectuelle
Question 5
Q : Quelle est la principale différence entre la classification des données et le marquage des données ?
A) La classification concerne le niveau de sensibilité, tandis que le marquage indique comment les données doivent être traitées
B) La classification est un processus manuel, tandis que le marquage est automatique
C) La classification est pour les données internes, tandis que le marquage est pour les données partagées
D) La classification est définie par le propriétaire des données, tandis que le marquage est défini par l’utilisateur
Réponse Correcte : A) La classification concerne le niveau de sensibilité, tandis que le marquage indique comment les données doivent être traitées
Question 6
Q : Le “Data Leakage Prevention” (DLP) vise principalement à :
A) Bloquer les transferts de données non autorisés
B) Chiffrer les données en transit
C) Surveiller et contrôler les points de sortie des données
D) Fournir une sauvegarde automatique des données
Réponses Correctes : A) Bloquer les transferts de données non autorisés, C) Surveiller et contrôler les points de sortie des données
Question 7
Q : En termes de sécurité de l’information, la destruction de données doit être réalisée :
A) En conformité avec les politiques de rétention des données
B) Immédiatement après la fin de leur utilité
C) Uniquement par des professionnels certifiés
D) En utilisant des méthodes standardisées d’effacement des données
Réponse Correcte : A) En conformité avec les politiques de rétention des données
Question 8
Q : Quel rôle joue le propriétaire de l’information dans la gestion des actifs ?
A) Implémentation des contrôles techniques
B) Classification de l’information
C) Surveillance de l’accès à l’information
D) Développement de politiques de sécurité
Réponse Correcte : B) Classification de l’information
Question 9
Q : Le ‘Principe de moindre privilège’ s’applique principalement à :
A) La limitation de l’accès aux données en fonction du rôle
B) La réduction des permissions au minimum nécessaire pour accompl
ir une tâche
C) L’assignation des droits d’accès basés sur l’ancienneté
D) La limitation du nombre d’utilisateurs ayant accès aux données sensibles
Réponse Correcte : B) La réduction des permissions au minimum nécessaire pour accomplir une tâche
Question 10
Q : Le “Clean Desk Policy” aide principalement à prévenir :
A) Les fuites d’informations sensibles
B) L’encombrement des espaces de travail
C) Les interférences électromagnétiques
D) Les risques ergonomiques
Réponse Correcte : A) Les fuites d’informations sensibles
Question 11
Q : Quelle est la fonction principale d’un système de gestion des informations de sécurité (SIEM) ?
A) La gestion des pare-feux
B) L’agrégation et l’analyse des journaux
C) L’authentification des utilisateurs
D) La sécurité physique
Réponse Correcte : B) L’agrégation et l’analyse des journaux
Question 12
Q : La méthode de ‘cryptage à clé publique’ est principalement utilisée pour :
A) Chiffrer les e-mails
B) Authentifier les utilisateurs
C) Protéger les données en transit
D) Assurer l’intégrité des données
Réponses Correctes : A) Chiffrer les e-mails, C) Protéger les données en transit, D) Assurer l’intégrité des données
Question 13
Q : La ‘Gestion du Cycle de Vie des Actifs’ couvre :
A) Seulement l’acquisition et le déploiement des actifs
B) L’acquisition, l’utilisation et la mise au rebut des actifs
C) Principalement la maintenance des actifs
D) Uniquement la mise au rebut sécurisée des actifs
Réponse Correcte : B) L’acquisition, l’utilisation et la mise au rebut des actifs
Question 14
Q : En matière de sécurité, la ‘Redondance des Données’ est importante pour :
A) Assurer l’intégrité des données
B) Prévenir la perte de données
C) Augmenter la vitesse d’accès aux données
D) Protéger contre les intrusions
Réponse Correcte : B) Prévenir la perte de données
Question 15
Q : Quelle est la différence principale entre ‘cryptage symétrique’ et ‘cryptage asymétrique’ ?
A) Le cryptage symétrique est plus rapide que l’asymétrique
B) Le cryptage asymétrique utilise une clé publique et une clé privée
C) Le cryptage symétrique est principalement utilisé pour l’authentification
D) Le cryptage asymétrique est moins sécurisé que le symétrique
Réponses Correctes : A) Le cryptage symétrique est plus rapide que l’asymétrique, B) Le cryptage asymétrique utilise une clé publique et une clé privée
Domaine 3 l’architecture et l’ingénierie de la sécurité
Question 1
Q : Quel est le principal objectif de l’architecture de sécurité en couches ?
A) Réduire la complexité du système
B) Augmenter la performance du réseau
C) Fournir une défense en profondeur
D) Simplifier la gestion des politiques de sécurité
Réponse Correcte : C) Fournir une défense en profondeur
Question 2
Q : Dans la sécurité des systèmes d’information, que signifie le principe de “moindre privilège” ?
A) Limiter l’accès utilisateur au minimum nécessaire
B) Utiliser des mots de passe forts
C) Séparer les environnements de développement et de production
D) Chiffrer toutes les données sensibles
Réponse Correcte : A) Limiter l’accès utilisateur au minimum nécessaire
Question 3
Q : Quelle est la principale fonction d’un pare-feu au niveau de l’application ?
A) Filtrer le trafic en fonction des adresses IP
B) Protéger contre les attaques au niveau du réseau
C) Inspecter et filtrer le trafic en fonction du contenu des messages
D) Établir une connexion VPN
Réponse Correcte : C) Inspecter et filtrer le trafic en fonction du contenu des messages
Question 4
Q : Quel est l’objectif principal de l’authentification à deux facteurs ?
A) Augmenter la complexité pour les utilisateurs
B) Améliorer la sécurité en utilisant deux types de preuves d’identité
C) Réduire le besoin de mots de passe
D) S’assurer de la conformité réglementaire
Réponse Correcte : B) Améliorer la sécurité en utilisant deux types de preuves d’identité
Question 5
Q : Dans un contexte de sécurité, que signifie l’acronyme “AAA” ?
A) Authentication, Authorization, and Accounting
B) Advanced Algorithm Analysis
C) Automated Application Assessment
D) Access, Audit, and Assurance
Réponse Correcte : A) Authentication, Authorization, and Accounting
Question 6
Q : Quel est le rôle principal d’un système de détection d’intrusion (IDS) ?
A) Bloquer le trafic malveillant
B) Détecter les activités suspectes ou anormales
C) Fournir un cryptage de bout en bout
D) Effectuer des sauvegardes automatiques
Réponse Correcte : B) Détecter les activités suspectes ou anormales
Question 7
Q : Qu’est-ce qu’un “honeypot” en termes de sécurité informatique ?
A) Un outil de cryptage
B) Un système conçu pour attirer et piéger les attaquants
C) Un type de malware
D) Un pare-feu avancé
Réponse Correcte : B) Un système conçu pour attirer et piéger les attaquants
Question 8
Q : Qu’est-ce que le chiffrement asymétrique ?
A) Utilisation de la même clé pour chiffrer et déchiffrer
B) Utilisation d’une clé publique pour chiffrer et d’une clé privée pour déchiffrer
C) Chiffrement en blocs de données fixes
D) Chiffrement qui ne peut être déchiffré que par une seule clé
Réponse Correcte : B) Utilisation d’une clé publique pour chiffrer et d’une clé privée pour déchiffrer
Question 9
Q : Les attaques par déni de service distribué (DDoS) visent principalement à :
A) Voler des informations confidentielles
B) Interrompre la disponibilité d’un service ou d’un site
C) Infecter un réseau avec un malware
D) Obtenir un accès non autorisé à des systèmes
Réponse Correcte : B
) Interrompre la disponibilité d’un service ou d’un site
Question 10
Q : Quelle est la principale différence entre WPA2 et WPA3 en termes de sécurité Wi-Fi ?
A) WPA3 utilise un cryptage plus fort
B) WPA2 est incompatible avec les anciens appareils
C) WPA3 ne prend pas en charge le mode entreprise
D) WPA2 utilise l’authentification par certificat
Réponses Correctes : A) WPA3 utilise un cryptage plus fort
Question 11
Q : Quel est l’objectif d’un plan de reprise après sinistre (DRP) ?
A) Prévenir les incidents de sécurité
B) Rétablir les opérations après un sinistre
C) Assurer la conformité avec les réglementations
D) Protéger les données sensibles
Réponse Correcte : B) Rétablir les opérations après un sinistre
Question 12
Q : Qu’est-ce qu’un certificat numérique ?
A) Un mot de passe fort
B) Un document légal
C) Une preuve d’identité dans les communications électroniques
D) Une clé de cryptage
Réponse Correcte : C) Une preuve d’identité dans les communications électroniques
Question 13
Q : Dans un contexte de sécurité, le terme “sandboxing” fait référence à :
A) L’isolation d’un système du réseau
B) L’exécution de programmes dans un environnement restreint
C) Le filtrage des entrées d’un programme
D) Le chiffrement des données utilisées par un programme
Réponse Correcte : B) L’exécution de programmes dans un environnement restreint
Question 14
Q : Quel est le principal avantage de l’utilisation de la virtualisation en matière de sécurité ?
A) Réduction des coûts matériels
B) Isolation des différents systèmes d’exploitation
C) Amélioration de la performance du réseau
D) Simplification de la gestion des utilisateurs
Réponse Correcte : B) Isolation des différents systèmes d’exploitation
Question 15
Q : En matière de sécurité, la gestion des vulnérabilités implique principalement :
A) La détection des failles de sécurité
B) La formation des utilisateurs
C) La mise en œuvre de politiques de sécurité
D) L’audit régulier des systèmes
Réponses Correctes : A) La détection des failles de sécurité, D) L’audit régulier des systèmes
Domaine 4 Communication et la Sécurité Réseau
Question 1
Q : Quelle est la principale fonction d’un pare-feu de réseau ?
A) Détecter les logiciels malveillants
B) Contrôler l’accès au réseau en fonction de règles prédéfinies
C) Chiffrer les données transmises
D) Authentifier les utilisateurs
Réponse Correcte : B) Contrôler l’accès au réseau en fonction de règles prédéfinies
Question 2
Q : Qu’est-ce qu’un VPN (Virtual Private Network) offre principalement ?
A) Connectivité Internet à haute vitesse
B) Sécurité renforcée pour les communications de données
C) Surveillance du trafic réseau
D) Protection contre les virus
Réponse Correcte : B) Sécurité renforcée pour les communications de données
Question 3
Q : Quel protocole est utilisé pour sécuriser la communication entre un client web et un serveur web ?
A) HTTP
B) SSH
C) SSL/TLS
D) FTP
Réponse Correcte : C) SSL/TLS
Question 4
Q : Dans le contexte de la sécurité réseau, que signifie l’acronyme IDS ?
A) Intrusion Detection System
B) Internal Defense System
C) Internet Data Security
D) Integrated Device Services
Réponse Correcte : A) Intrusion Detection System
Question 5
Q : Qu’est-ce que le chiffrement de bout en bout garantit dans la communication numérique ?
A) Rapidité de transmission
B) Intégrité des données
C) Authentification des utilisateurs
D) Confidentialité du message
Réponses Correctes : B) Intégrité des données, D) Confidentialité du message
Question 6
Q : Les réseaux sans fil WPA2 utilisent quel type de chiffrement ?
A) WEP
B) AES
C) DES
D) RSA
Réponse Correcte : B) AES
Question 7
Q : Quelle est la principale différence entre un pare-feu de première génération et un pare-feu de nouvelle génération ?
A) La capacité de filtrer le trafic par adresse IP
B) La surveillance des applications et des utilisateurs
C) Le blocage des attaques DDoS
D) La prévention des intrusions
Réponse Correcte : B) La surveillance des applications et des utilisateurs
Question 8
Q : Quel est l’objectif principal du protocole OSPF dans la gestion du réseau ?
A) Cryptage des données
B) Routage dynamique
C) Contrôle de bande passante
D) Authentification des utilisateurs
Réponse Correcte : B) Routage dynamique
Question 9
Q : Dans un contexte de sécurité réseau, que signifie l’acronyme NAT ?
A) Network Access Technology
B) Network Address Translation
C) Non-Authorized Traffic
D) Network Authentication Token
Réponse Correcte : B) Network Address Translation
Question 10
Q : Quel est le rôle principal d’un système de prévention des intrusions (IPS) ?
A) Détecter les activités suspectes
B) Bloquer les activités malveillantes détectées
C) Crypter les données de réseau
D) Gérer les accès utilisateurs
Réponse Correcte : B) Bloquer les activités malveillantes détectées
Question 11
Q : Quelle technologie est principalement utilisée pour isoler différents domaines de diffusion dans un réseau ?
A) Routeur
B) Commutateur
C) VLAN
D) Proxy
Réponse Correcte : C) VLAN
Question 12
Q : Qu’est-ce que le “peering” en termes de réseaux ?
A) Partage de données entre organisations
B) Échange de trafic entre réseaux indépendants
C) Connexion sécur
isée entre deux réseaux privés
D) Mise en cache des données pour améliorer les performances
Réponse Correcte : B) Échange de trafic entre réseaux indépendants
Question 13
Q : Les protocoles de routage dynamique comme BGP sont utilisés pour :
A) Chiffrer les données de routage
B) Établir des routes statiques dans le réseau
C) Adapter les itinéraires de réseau en fonction des conditions changeantes
D) Authentifier les paquets de données
Réponse Correcte : C) Adapter les itinéraires de réseau en fonction des conditions changeantes
Question 14
Q : Quel est l’avantage principal de l’utilisation de la technologie SDN (Software Defined Networking) ?
A) Amélioration de la sécurité physique
B) Gestion centralisée du réseau
C) Réduction des coûts d’exploitation
D) Augmentation de la bande passante
Réponse Correcte : B) Gestion centralisée du réseau
Question 15
Q : Dans le contexte des communications sécurisées, à quoi sert un certificat numérique ?
A) Valider l’identité d’un serveur ou d’un client
B) Crypter les données transmises
C) Fournir une signature numérique
D) Stocker des clés de cryptage
Réponses Correctes : A) Valider l’identité d’un serveur ou d’un client, C) Fournir une signature numérique
Domaine 5 l’Identification et l’Authentification des Accès
Question 1
Q : Quel est l’objectif principal de la gestion des identités et des accès (IAM) ?
A) Assurer la conformité réglementaire
B) Fournir un accès rapide aux ressources
C) Contrôler l’accès aux ressources en fonction de l’identité des utilisateurs
D) Protéger les réseaux contre les intrusions
Réponse Correcte : C) Contrôler l’accès aux ressources en fonction de l’identité des utilisateurs
Question 2
Q : Quelle méthode d’authentification utilise quelque chose que l’utilisateur connaît ?
A) Biométrie
B) Carte à puce
C) Mot de passe
D) Token physique
Réponse Correcte : C) Mot de passe
Question 3
Q : En termes de contrôle d’accès, que signifie RBAC ?
A) Rule-Based Access Control
B) Risk-Based Access Control
C) Role-Based Access Control
D) Resource-Based Access Control
Réponse Correcte : C) Role-Based Access Control
Question 4
Q : Quel est un exemple d’authentification à deux facteurs ?
A) Un mot de passe et un PIN
B) Une empreinte digitale et une reconnaissance faciale
C) Un mot de passe et un token de sécurité
D) Deux mots de passe différents
Réponses Correctes : B) Une empreinte digitale et une reconnaissance faciale, C) Un mot de passe et un token de sécurité
Question 5
Q : Qu’est-ce que le SSO (Single Sign-On) permet principalement ?
A) Authentification multi-facteurs
B) Accès à plusieurs systèmes après une seule authentification
C) Chiffrement des mots de passe
D) Surveillance des tentatives de connexion
Réponse Correcte : B) Accès à plusieurs systèmes après une seule authentification
Question 6
Q : Dans un système de contrôle d’accès, que signifie DAC ?
A) Discretionary Access Control
B) Directed Access Control
C) Dynamic Access Control
D) Dual Access Control
Réponse Correcte : A) Discretionary Access Control
Question 7
Q : Quel est le rôle principal d’un annuaire LDAP ?
A) Chiffrer les communications réseau
B) Stocker des informations d’identité pour faciliter l’accès et la recherche
C) Fournir un pare-feu d’application
D) Gérer les règles de routage réseau
Réponse Correcte : B) Stocker des informations d’identité pour faciliter l’accès et la recherche
Question 8
Q : Qu’est-ce qu’un “token” en matière de sécurité de l’information ?
A) Un logiciel malveillant
B) Un dispositif physique ou logiciel utilisé pour l’authentification
C) Un certificat numérique
D) Une règle de pare-feu
Réponse Correcte : B) Un dispositif physique ou logiciel utilisé pour l’authentification
Question 9
Q : Qu’est-ce que la méthode d’authentification biométrique utilise ?
A) Quelque chose que l’utilisateur connaît
B) Quelque chose que l’utilisateur possède
C) Quelque chose que l’utilisateur est ou fait
D) L’emplacement de l’utilisateur
Réponse Correcte : C) Quelque chose que l’utilisateur est ou fait
Question 10
Q : Quel est le but principal d’une politique de mots de passe robuste ?
A) Réduire la charge sur l’assistance technique
B) Augmenter la vitesse d’authentification
C) Prévenir les accès non autorisés
D) Assurer la conformité avec les normes de l’industrie
Réponse Correcte : C) Prévenir les accès non autorisés
Question 11
Q : Quelle est
la principale différence entre l’authentification et l’autorisation ?
A) L’authentification vérifie l’identité, tandis que l’autorisation vérifie les droits d’accès
B) L’authentification est un processus manuel, tandis que l’autorisation est automatique
C) L’authentification utilise des mots de passe, tandis que l’autorisation utilise des tokens
D) L’authentification est pour les utilisateurs internes, tandis que l’autorisation est pour les utilisateurs externes
Réponse Correcte : A) L’authentification vérifie l’identité, tandis que l’autorisation vérifie les droits d’accès
Question 12
Q : Dans un contexte de contrôle d’accès, que signifie MAC ?
A) Mandatory Access Control
B) Managed Access Control
C) Multi-factor Access Control
D) Mobile Access Control
Réponse Correcte : A) Mandatory Access Control
Question 13
Q : Quelle technologie est souvent utilisée pour implémenter le contrôle d’accès basé sur les rôles (RBAC) ?
A) Firewalls
B) Antivirus
C) Systèmes de gestion de base de données
D) Systèmes de gestion des identités
Réponse Correcte : D) Systèmes de gestion des identités
Question 14
Q : Quel est un exemple d’authentification basée sur quelque chose que l’utilisateur possède ?
A) Mot de passe
B) Scan de l’iris
C) Carte à puce
D) Signature manuscrite
Réponse Correcte : C) Carte à puce
Question 15
Q : Quel est l’objectif d’une politique de “least privilege” ?
A) Donner à chaque utilisateur les droits minimums nécessaires pour effectuer ses tâches
B) Assurer que tous les utilisateurs ont des privilèges égaux
C) Réserver les privilèges administratifs aux utilisateurs de confiance
D) Limiter l’accès des utilisateurs aux heures de travail
Réponse Correcte : A) Donner à chaque utilisateur les droits minimums nécessaires pour effectuer ses tâches
Domaine 6 l’Évaluation et le Test de Sécurité
Question 1
Q : Quel est l’objectif principal d’une évaluation des vulnérabilités ?
A) Identifier les faiblesses potentielles dans les systèmes
B) Tester la performance du réseau
C) Vérifier la conformité réglementaire
D) Former le personnel en sécurité informatique
Réponse Correcte : A) Identifier les faiblesses potentielles dans les systèmes
Question 2
Q : Qu’est-ce qu’un test de pénétration (pentest) cherche à accomplir ?
A) Simuler une attaque pour identifier les faiblesses de sécurité
B) Évaluer l’efficacité des politiques de sécurité
C) Mesurer la réactivité de l’équipe de réponse aux incidents
D) Assurer la conformité aux normes de sécurité de l’information
Réponse Correcte : A) Simuler une attaque pour identifier les faiblesses de sécurité
Question 3
Q : Dans le contexte de la sécurité informatique, que signifie l’acronyme “DAST” ?
A) Dynamic Application Security Testing
B) Data Access Security Tool
C) Digital Asset Security Test
D) Distributed Analysis Security Test
Réponse Correcte : A) Dynamic Application Security Testing
Question 4
Q : Quelle méthode est souvent utilisée pour tester la sécurité d’une application web ?
A) Static code analysis
B) User acceptance testing
C) Penetration testing
D) Performance testing
Réponse Correcte : C) Penetration testing
Question 5
Q : Quel est l’objectif d’un audit de sécurité ?
A) Identifier les faiblesses de sécurité
B) Installer des solutions de sécurité
C) Former les employés en sécurité informatique
D) Suivre les changements dans les configurations du système
Réponse Correcte : A) Identifier les faiblesses de sécurité
Question 6
Q : Qu’est-ce que le fuzzing en matière de test de sécurité ?
A) Analyser le code source pour les vulnérabilités
B) Envoyer des données aléatoires à une application pour provoquer des erreurs
C) Tester la résistance du réseau à la congestion
D) Simuler des attaques DDoS
Réponse Correcte : B) Envoyer des données aléatoires à une application pour provoquer des erreurs
Question 7
Q : Qu’est-ce qu’une analyse de code statique ?
A) Examiner le code source d’une application pour détecter les vulnérabilités
B) Tester la performance d’une application en production
C) Analyser le trafic réseau pour détecter les anomalies
D) Effectuer un audit de conformité
Réponse Correcte : A) Examiner le code source d’une application pour détecter les vulnérabilités
Question 8
Q : Quel outil est utilisé pour évaluer la sécurité d’un réseau informatique ?
A) Scanner de vulnérabilités
B) Logiciel de gestion de base de données
C) Outil de gestion de configuration
D) Plateforme de développement d’applications
Réponse Correcte : A) Scanner de vulnérabilités
Question 9
Q : Qu’est-ce que l’ingénierie sociale en matière de sécurité ?
A) Modifier les paramètres de sécurité d’un système
B) Utiliser des techniques de manipulation pour obtenir des informations confidentielles
C) Programmer des logiciels pour améliorer la sécurité
D) Créer des politiques de sécurité pour une organisation
Réponse Correcte : B) Utiliser des techniques de manipulation pour obtenir des informations confidentielles
Question 10
Q : Quel type de test est effectué sans aucune connaissance préalable de l’infrastructure à tester ?
A) Test en boîte noire
B) Test en boîte blanche
C) Test en boîte grise
D) Test fonctionnel
Réponse Correcte : A) Test en boîte noire
Question 11
Q : Quel est l’objectif d’une évaluation des risques ?
A) Identifier les actifs de l’organisation
B) Mesurer l’efficacité des contrôles de sécurité
C) Déterminer la probabilité et l’impact des menaces
D) Installer des systèmes de détection d’intrusion
Réponse Correcte : C) Déterminer la probabilité et l’impact des menaces
Question 12
Q : Qu’est-ce qu’un rapport de conformité PCI DSS ?
A) Une évaluation des pratiques de sécurité des données des cartes de paiement
B) Un audit des politiques de confidentialité des données
C) Un test de la résistance du réseau aux attaques
D) Une analyse de la sécurité physique des installations
Réponse Correcte : A) Une évaluation des pratiques de sécurité des données des cartes de paiement
Question 13
Q : Quel est le rôle principal d’un WAF (Web Application Firewall) ?
A) Protéger les serveurs web contre les attaques en ligne
B) Filtrer le contenu internet
C) Gérer le trafic réseau
D) Crypter les données transmises
Réponse Correcte : A) Protéger les serveurs web contre les attaques en ligne
Question 14
Q : Qu’est-ce que le “Blue Teaming” en matière de tests de sécurité ?
A) Attaquer un système pour tester sa sécurité
B) Défendre activement contre les attaques simulées
C) Analyser le code source d’applications
D) Évaluer les risques d’une organisation
Réponse Correcte : B) Défendre activement contre les attaques simulées
Question 15
Q : Qu’est-ce que la “tabletop exercise” en matière de sécurité ?
A) Un exercice physique pour tester la sécurité des locaux
B) Un test de pénétration sur un réseau informatique
C) Une simulation de scénario pour évaluer les réponses aux incidents
D) Un exercice de formation pour le personnel de sécurité
Réponse Correcte : C) Une simulation de scénario pour évaluer les réponses aux incidents
Domaine 7 Opérations de Sécurité
Question 1
Q : Quel est l’objectif principal des procédures de réponse aux incidents ?
A) Prévenir les incidents de sécurité
B) Gérer et limiter l’impact des incidents de sécurité
C) Former le personnel en sécurité informatique
D) Assurer la conformité avec les normes de sécurité
Réponse Correcte : B) Gérer et limiter l’impact des incidents de sécurité
Question 2
Q : Quelle est la fonction principale d’un SIEM (Security Information and Event Management) ?
A) Crypter les données sensibles
B) Contrôler l’accès physique aux installations
C) Agréger et analyser les données de sécurité
D) Gérer les configurations des dispositifs de sécurité
Réponse Correcte : C) Agréger et analyser les données de sécurité
Question 3
Q : Qu’est-ce que le “whitelisting” en matière de sécurité des applications ?
A) Bloquer toutes les applications sauf celles explicitement autorisées
B) Autoriser toutes les applications sauf celles explicitement bloquées
C) Analyser les applications pour les vulnérabilités
D) Crypter les données utilisées par les applications
Réponse Correcte : A) Bloquer toutes les applications sauf celles explicitement autorisées
Question 4
Q : Qu’est-ce qu’un plan de reprise après sinistre (DRP) vise principalement à accomplir ?
A) Restaurer les opérations normales après un incident majeur
B) Prévenir les attaques de cybersécurité
C) Former les employés aux meilleures pratiques de sécurité
D) Évaluer les risques de sécurité de l’entreprise
Réponse Correcte : A) Restaurer les opérations normales après un incident majeur
Question 5
Q : Quel est le rôle principal de la sauvegarde des données en matière de sécurité ?
A) Protéger contre les intrusions
B) Assurer la disponibilité des données en cas de perte ou de corruption
C) Crypter les données sensibles
D) Surveiller les accès aux données
Réponse Correcte : B) Assurer la disponibilité des données en cas de perte ou de corruption
Question 6
Q : Qu’est-ce que le “sandboxing” en termes de sécurité opérationnelle ?
A) Isoler les opérations de sécurité des autres départements
B) Exécuter des applications dans un environnement isolé pour tester leur comportement
C) Créer une fausse base de données pour attirer les attaquants
D) Analyser le trafic réseau pour identifier les menaces potentielles
Réponse Correcte : B) Exécuter des applications dans un environnement isolé pour tester leur comportement
Question 7
Q : Quel est l’objectif d’un test de continuité des affaires ?
A) Vérifier l’efficacité des contrôles de sécurité
B) S’assurer que les opérations de l’entreprise peuvent continuer après une perturbation majeure
C) Évaluer la performance du personnel de sécurité
D) Tester la résilience du réseau informatique
Réponse Correcte : B) S’assurer que les opérations de l’entreprise peuvent continuer après une perturbation majeure
Question 8
Q : Qu’est-ce que la gestion des correctifs en sécurité informatique ?
A) Le processus de mise à jour et de correction des logiciels pour corriger les vulnérabilités
B) La surveillance des modifications apportées aux applications
C) L’installation de logiciels antivirus
D) La configuration des pare-feux
Réponse Correcte : A) Le processus de mise à jour et de correction des logiciels pour corriger les vulnérabilités
Question 9
Q : Quel est le but de l’analyse des risques dans les opérations de sécurité ?
A) Identifier les atouts les plus précieux de l
‘entreprise
B) Déterminer la probabilité et l’impact des menaces
C) Installer des systèmes de sécurité physique
D) Former les employés en matière de sensibilisation à la sécurité
Réponse Correcte : B) Déterminer la probabilité et l’impact des menaces
Question 10
Q : Qu’est-ce qu’un “honeypot” en termes d’opérations de sécurité ?
A) Un dispositif utilisé pour attirer et détecter les attaques
B) Un outil pour crypter les données
C) Un programme pour gérer les correctifs de sécurité
D) Une méthode de formation en sensibilisation à la sécurité
Réponse Correcte : A) Un dispositif utilisé pour attirer et détecter les attaques
Question 11
Q : Quelle est la fonction d’une politique de “Clean Desk” ?
A) Réduire les risques de fuites d’informations sensibles
B) Assurer la conformité réglementaire
C) Améliorer l’efficacité des employés
D) Protéger contre les logiciels malveillants
Réponse Correcte : A) Réduire les risques de fuites d’informations sensibles
Question 12
Q : Qu’est-ce que la cryptographie à clé publique est principalement utilisée dans les opérations de sécurité ?
A) Authentifier les utilisateurs
B) Chiffrer les communications
C) Gérer les accès aux fichiers
D) Surveiller les activités réseau
Réponse Correcte : B) Chiffrer les communications
Question 13
Q : Quel est le but d’un plan de réponse aux incidents de sécurité ?
A) Prévenir toutes les violations de sécurité
B) Répondre de manière efficace et organisée aux incidents de sécurité
C) Former le personnel en procédures de sécurité
D) Crypter toutes les données de l’entreprise
Réponse Correcte : B) Répondre de manière efficace et organisée aux incidents de sécurité
Question 14
Q : Quel est le rôle de la surveillance continue dans les opérations de sécurité ?
A) Maintenir la conformité réglementaire
B) Détecter et répondre aux menaces en temps réel
C) Former les employés en sécurité informatique
D) Gérer les mises à jour des logiciels
Réponse Correcte : B) Détecter et répondre aux menaces en temps réel
Question 15
Q : Quel est l’objectif d’une évaluation de la conformité en sécurité ?
A) Assurer que les systèmes sont à jour
B) Vérifier que l’organisation respecte les normes et réglementations de sécurité
C) Tester l’efficacité des contrôles techniques
D) Former les employés aux meilleures pratiques de sécurité
Réponse Correcte : B) Vérifier que l’organisation respecte les normes et réglementations de sécurité
Domaine 8 Développement de Logiciels Sécurisés
Question 1
Q : Quel est l’objectif principal de l’intégration de la sécurité dans le cycle de vie du développement de logiciels ?
A) Accélérer le processus de développement
B) Réduire les coûts de développement
C) Prévenir les vulnérabilités de sécurité dès les premières phases de développement
D) Assurer la conformité avec les normes de l’industrie
Réponse Correcte : C) Prévenir les vulnérabilités de sécurité dès les premières phases de développement
Question 2
Q : Qu’est-ce que le modèle de sécurité “secure by design” implique ?
A) Utiliser des outils de sécurité automatisés
B) Concevoir des logiciels avec la sécurité comme priorité principale
C) Suivre des normes de sécurité après le développement
D) Mener des tests de sécurité uniquement en phase de production
Réponse Correcte : B) Concevoir des logiciels avec la sécurité comme priorité principale
Question 3
Q : Dans le contexte du développement sécurisé, que signifie l’acronyme “OWASP” ?
A) Official Web Application Security Project
B) Open Web Application Security Project
C) Organized Web Analysis Security Protocol
D) Operational Web Application Security Procedure
Réponse Correcte : B) Open Web Application Security Project
Question 4
Q : Quelle pratique est essentielle pour la sécurité dans le développement Agile ?
A) Planification détaillée à long terme
B) Tests de sécurité à la fin du cycle de développement
C) Intégration continue et déploiement continu (CI/CD)
D) Utilisation exclusive de logiciels open-source
Réponse Correcte : C) Intégration continue et déploiement continu (CI/CD)
Question 5
Q : Qu’est-ce que le “DevSecOps” ?
A) Une méthode de développement logiciel axée sur la rapidité
B) L’intégration de la sécurité à toutes les phases du développement DevOps
C) Une norme de sécurité spécifique pour les applications mobiles
D) Un outil de gestion de projet pour les équipes de développement
Réponse Correcte : B) L’intégration de la sécurité à toutes les phases du développement DevOps
Question 6
Q : Qu’est-ce que l’analyse statique de code (SAST) ?
A) Un processus de test de l’interface utilisateur
B) L’examen du code source pour détecter les vulnérabilités
C) Une analyse en temps réel de l’application en exécution
D) Un audit de conformité des applications
Réponse Correcte : B) L’examen du code source pour détecter les vulnérabilités
Question 7
Q : Quel est le but principal de l’encapsulation en programmation orientée objet ?
A) Améliorer la performance du code
B) Simplifier le code source
C) Protéger les données en limitant leur accès
D) Augmenter la réutilisabilité du code
Réponse Correcte : C) Protéger les données en limitant leur accès
Question 8
Q : Qu’est-ce que le “Cross-Site Scripting” (XSS) ?
A) Un type de test de sécurité
B) Une vulnérabilité permettant d’injecter du script malveillant dans des sites web
C) Une méthode de cryptage des données
D) Une technique de programmation
Réponse Correcte : B) Une vulnérabilité permettant d’injecter du script malveillant dans des sites web
Question 9
Q : Quelle est la principale différence entre l’authentification et l’autorisation dans le contexte du développement de logiciels ?
A) L’authentification vérifie l’identité, tandis que l’autorisation vérifie les droits d’accès
B) L’authentification est gérée côté client, tandis que l’autorisation est gérée
côté serveur
C) L’authentification utilise des mots de passe, tandis que l’autorisation utilise des tokens
D) L’authentification est pour les utilisateurs internes, tandis que l’autorisation est pour les utilisateurs externes
Réponse Correcte : A) L’authentification vérifie l’identité, tandis que l’autorisation vérifie les droits d’accès
Question 10
Q : Qu’est-ce que l’injection SQL ?
A) Un processus de sauvegarde de base de données
B) Une méthode de cryptage des données de base de données
C) Une vulnérabilité qui permet d’exécuter des commandes malveillantes dans une base de données
D) Un outil de gestion de base de données
Réponse Correcte : C) Une vulnérabilité qui permet d’exécuter des commandes malveillantes dans une base de données
Question 11
Q : Pourquoi est-il important de valider les entrées dans le développement d’applications ?
A) Pour améliorer l’expérience utilisateur
B) Pour assurer que les données entrées sont conformes aux attentes
C) Pour augmenter la vitesse de l’application
D) Pour simplifier le code source
Réponse Correcte : B) Pour assurer que les données entrées sont conformes aux attentes
Question 12
Q : Quel est le but de la gestion des dépendances dans le développement de logiciels sécurisés ?
A) Assurer que toutes les bibliothèques et paquets tiers sont à jour et sécurisés
B) Optimiser la performance du logiciel
C) Réduire la taille du code source
D) Augmenter la vitesse de compilation
Réponse Correcte : A) Assurer que toutes les bibliothèques et paquets tiers sont à jour et sécurisés
Question 13
Q : Qu’est-ce que le “principe du moindre privilège” en matière de programmation ?
A) Accorder aux utilisateurs uniquement les droits nécessaires pour exécuter une tâche
B) Utiliser le moins de code possible pour réaliser une fonction
C) Limiter l’accès aux serveurs
D) Programmer avec le moins de dépendances possible
Réponse Correcte : A) Accorder aux utilisateurs uniquement les droits nécessaires pour exécuter une tâche
Question 14
Q : Quel est l’objectif d’une revue de code en matière de sécurité ?
A) Vérifier la conformité avec les normes de codage
B) Détecter les vulnérabilités potentielles dans le code
C) Mesurer l’efficacité des développeurs
D) Assurer la compatibilité avec différentes plateformes
Réponse Correcte : B) Détecter les vulnérabilités potentielles dans le code
Question 15
Q : Qu’est-ce que le “Continuous Integration/Continuous Deployment” (CI/CD) apporte au développement sécurisé ?
A) Automatisation des tests de sécurité et déploiement rapide des correctifs
B) Réduction des coûts de développement
C) Amélioration de l’interface utilisateur
D) Augmentation de la capacité de stockage des serveurs
Réponse Correcte : A) Automatisation des tests de sécurité et déploiement rapide des correctifs
Be the first to comment