81 lines
3.5 KiB
Markdown
81 lines
3.5 KiB
Markdown
|
<style>
|
|||
|
* {
|
|||
|
font-size: 0.9em !important;
|
|||
|
}
|
|||
|
</style>
|
|||
|
|
|||
|
# Sécurité des SI et applications Web: questionnaire
|
|||
|
|
|||
|
- **Nom**
|
|||
|
- **Prénom**
|
|||
|
- **Classe**
|
|||
|
- **Date**
|
|||
|
|
|||
|
## Consigne
|
|||
|
|
|||
|
Pour chaque question, entourer **la ou les bonnes réponses, si il y en a**.
|
|||
|
|
|||
|
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
|||
|
|
|||
|
## Questions
|
|||
|
|
|||
|
### A. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ?
|
|||
|
|
|||
|
1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation
|
|||
|
2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système
|
|||
|
3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données
|
|||
|
|
|||
|
### B. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ?
|
|||
|
|
|||
|
1. Maintenir l'intégrité des données
|
|||
|
2. S'assurer du niveaux d'authentification et d'autorisation
|
|||
|
3. Maintenir la disponibilité des services
|
|||
|
|
|||
|
### C. Qu'est ce que la modélisation de menace ?
|
|||
|
|
|||
|
1. Un processus permettant d'identifier les menaces mettant en péril un système et d'évaluer les risques et les impacts potentiels de celles ci.
|
|||
|
2. Un document faisant un état des lieux des vulnérabilités d'une application
|
|||
|
3. Un processus de simulation d'attaque organisé pendant un audit de sécurité
|
|||
|
|
|||
|
### D. Quel est aujourd'hui le principal vecteur d'attaque sur les systèmes d'informations ?
|
|||
|
|
|||
|
1. La méconnaissance humaine
|
|||
|
2. Les failles "0-day"
|
|||
|
3. La mauvaise sécurisation des environnements "intranet"
|
|||
|
|
|||
|
### E. Quels sont les risques associés à une mauvaise définition du périmètre d'application de la politique de sécurité en entreprise ?
|
|||
|
|
|||
|
1. L'application de règles non adaptées aux spécificités des différents contextes fonctionnels/techniques
|
|||
|
2. Une mauvaise formation des collaborateurs face aux risques liés à la sécurité en entreprise
|
|||
|
3. Une mauvaise évaluation des risques liés à chaque contexte de l'entreprise
|
|||
|
|
|||
|
### F. Parmi ces acronymes, lesquels sont des catégories de failles impactant les applications Web ?
|
|||
|
|
|||
|
1. SQLI
|
|||
|
2. CSRF
|
|||
|
3. AJAX
|
|||
|
|
|||
|
### G. Une faille XSS...
|
|||
|
|
|||
|
1. ...permet d'injecter du code HTML/Javascript dans une page d'une application Web tierce
|
|||
|
2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité
|
|||
|
3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier
|
|||
|
|
|||
|
### H. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ?
|
|||
|
|
|||
|
1. La mauvaise gestion du cycle de vie des dépendances de l'application
|
|||
|
2. Une mauvaise politique de journalisation des opérations de l'application
|
|||
|
3. L'utilisation de plateformes SaaS
|
|||
|
|
|||
|
### I. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée:
|
|||
|
|
|||
|
1. Dès les premières itérations de développement
|
|||
|
2. En conjugant le travail des équipes de développement et les équipes opérationnelles
|
|||
|
3. Analysée par une entité externe à la fin de chaque cycle de développement
|
|||
|
|
|||
|
### J. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ?
|
|||
|
|
|||
|
1. Les requêtes POST sont chiffrées par défaut par les navigateurs
|
|||
|
2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML
|
|||
|
3. Il n'y a aucune différence
|