69 lines
2.9 KiB
Markdown
69 lines
2.9 KiB
Markdown
|
<style>
|
||
|
* {
|
||
|
font-size: 0.9em !important;
|
||
|
}
|
||
|
</style>
|
||
|
|
||
|
# Modélisation de menace: QCM
|
||
|
|
||
|
- **Nom**
|
||
|
- **Prénom**
|
||
|
- **Classe**
|
||
|
- **Date**
|
||
|
|
||
|
## Consigne
|
||
|
|
||
|
Pour chaque question, entourer **la ou les bonnes réponses**.
|
||
|
|
||
|
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
||
|
|
||
|
## Questions
|
||
|
|
||
|
### A. Quels sont les objectifs de la modélisation de menace ?
|
||
|
|
||
|
1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information.
|
||
|
2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels.
|
||
|
3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application.
|
||
|
|
||
|
### B. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_
|
||
|
|
||
|
1. Audit du code
|
||
|
2. Identification des menaces
|
||
|
3. Décomposition l'environnement applicatif
|
||
|
|
||
|
### C. La catégorisation des menaces est nécessaire car:
|
||
|
|
||
|
1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables
|
||
|
2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée
|
||
|
3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace
|
||
|
|
||
|
### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ?
|
||
|
|
||
|
1. Falsification des données
|
||
|
2. Déni de service
|
||
|
3. Élévation de privilèges
|
||
|
|
||
|
### E. Dans la modélisation de menace, qu'identifient les "dépendances externes" ?
|
||
|
|
||
|
1. Les composants externes au code dont l'application dépend
|
||
|
2. Les acteurs externes non identifiés par le modèle de menace
|
||
|
3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application
|
||
|
|
||
|
### F. Dans la modélisation de menace, qu'identifient les "points d'entrée" ?
|
||
|
|
||
|
1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données
|
||
|
2. Les seuils d'authentification de l'application
|
||
|
3. Le nombre de requêtes moyen effectués sur une page d'une application
|
||
|
|
||
|
### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ?
|
||
|
|
||
|
1. Les différents acteurs pouvant interagir avec l'application et leurs accréditations
|
||
|
2. Le niveau de chiffrement dans un secteur de l'application
|
||
|
3. Le niveau de fiabilité des données de l'application dans un contexte donné
|
||
|
|
||
|
### H. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ?
|
||
|
|
||
|
1. Identifier les échanges entre les différents composants
|
||
|
2. Identifier les seuils de changement de niveau de confiance
|
||
|
3. Identifier les goulots d'étranglement potentiels pour les performances
|