diff --git a/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md b/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md
new file mode 100644
index 0000000..875fff6
--- /dev/null
+++ b/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md
@@ -0,0 +1,158 @@
+
+
+# Évaluation des acquis: QCM
+
+- **Nom**
+- **Prénom**
+- **Classe**
+- **Date**
+
+## Consigne
+
+Pour chaque question, entourer **la ou les bonnes réponses**.
+
+**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
+
+## Questions
+
+### A. Quels sont les objectifs de la modélisation de menace ?
+
+1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information.
+2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels.
+3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application.
+
+### B. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_
+
+1. Audit du code
+2. Identification des menaces
+3. Décomposition l'environnement applicatif
+
+### C. La catégorisation des menaces est nécessaire car:
+
+1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables
+2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée
+3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace
+
+### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ?
+
+1. Falsification des données
+2. Déni de service
+3. Élévation de privilèges
+
+### E. Dans la modélisation de menace, qu'identifient les "dépendances externes" ?
+
+1. Les composants externes au code dont l'application dépend
+2. Les acteurs externes non identifiés par le modèle de menace
+3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application
+
+### F. Dans la modélisation de menace, qu'identifient les "points d'entrée" ?
+
+1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données
+2. Les seuils d'authentification de l'application
+3. Le nombre de requêtes moyen effectués sur une page d'une application
+
+### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ?
+
+1. Les différents acteurs pouvant interagir avec l'application et leurs accréditations
+2. Le niveau de chiffrement dans un secteur de l'application
+3. Le niveau de fiabilité des données de l'application dans un contexte donné
+
+### H. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ?
+
+1. Identifier les échanges entre les différents composants
+2. Identifier les seuils de changement de niveau de confiance
+3. Identifier les goulots d'étranglement potentiels pour les performances
+
+### I. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ?
+
+1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation
+2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système
+3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données
+
+### J. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ?
+
+1. Maintenir l'intégrité des données
+2. S'assurer du niveaux d'authentification et d'autorisation
+3. Maintenir la disponibilité des services
+
+### K. Qu'est ce que la modélisation de menace ?
+
+1. Un processus permettant d'identifier les menaces mettant en péril un système et d'évaluer les risques et les impacts potentiels de celles ci.
+2. Un document faisant un état des lieux des vulnérabilités d'une application
+3. Un processus de simulation d'attaque organisé pendant un audit de sécurité
+
+### L. Quel est aujourd'hui le principal vecteur d'attaque sur les systèmes d'informations ?
+
+1. La méconnaissance humaine
+2. Les failles "0-day"
+3. La mauvaise sécurisation des environnements "intranet"
+
+### M. Quels sont les risques associés à une mauvaise définition du périmètre d'application de la politique de sécurité en entreprise ?
+
+1. L'application de règles non adaptées aux spécificités des différents contextes fonctionnels/techniques
+2. Une mauvaise formation des collaborateurs face aux risques liés à la sécurité en entreprise
+3. Une mauvaise évaluation des risques liés à chaque contexte de l'entreprise
+
+### N. Parmi ces acronymes, lesquels sont des catégories de failles impactant les applications Web ?
+
+1. SQLI
+2. CSRF
+3. AJAX
+
+### O. Une faille XSS...
+
+1. ...permet d'injecter du code HTML/Javascript dans une page d'une application Web tierce
+2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité
+3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier
+
+### P. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ?
+
+1. La mauvaise gestion du cycle de vie des dépendances de l'application
+2. Une mauvaise politique de journalisation des opérations de l'application
+3. L'utilisation de plateformes SaaS
+
+### Q. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée:
+
+1. Dès les premières itérations de développement
+2. En conjugant le travail des équipes de développement et les équipes opérationnelles
+3. Analysée par une entité externe à la fin de chaque cycle de développement
+
+### R. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ?
+
+1. Les requêtes POST sont chiffrées par défaut par les navigateurs
+2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML
+3. Il n'y a aucune différence
+
+### S. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
+
+1. L'indexation des références
+2. La mise en forme
+3. La synthétisation
+
+### T. Recouper les sources permet de...
+
+1. Vérifier la véridicité d'une information
+2. S'assurer de l'importance d'une information
+3. Multiplier les références
+
+### U. Identifier le public cible de la base de connaissance permet de...
+
+1. D'éviter de créer de la surcharge cognitive
+2. Économiser du temps lors de la phase d'agrégation
+3. Préparer son argumentaire
+
+### V. Quel(s) outil(s) créé(s) grâce à l'avènement d'Internet à/ont modifié profondément la rédaction de base de connaissances ?
+
+1. Les wiki
+2. Les "pads" collaboratifs
+3. Les éditeurs de texte
+
+### W. L'identification des passerelles permet de...
+
+1. Faciliter la navigation dans le corpus
+2. Guider le lecteur dans sa lecture
+3. Suggérer des sujets connexes potentiellement intéressants pour le lecteur
diff --git a/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md b/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md
new file mode 100644
index 0000000..f44a757
--- /dev/null
+++ b/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md
@@ -0,0 +1,146 @@
+
+
+# Évaluation des acquis: QCM
+
+- **Nom**
+- **Prénom**
+- **Classe**
+- **Date**
+
+## Consigne
+
+Pour chaque question, entourer **la ou les bonnes réponses**.
+
+**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
+
+## Questions
+
+### A. Qu'est ce qu'un conteneur au sens informatique ?
+
+1. Un mécanisme d'isolation avancé d'un ou plusieurs processus au niveau du système d'exploitation
+2. Un mécanisme d'empaquetage pour la distribution de logiciels
+3. Un mécanisme permettant de déployer des machines virtuelles à moindre coût
+
+### B. Parmi ces réponses, qu'elles sont les fonctionnalités apportées par la conteneurisation ?
+
+1. Restriction des ressources systèmes (CPU, RAM) utilisés par un ou plusieurs processus
+2. Simplification du cycle de développement des logiciels
+3. Possibilité d'exécuter du code arbitraire en toute sécurité
+
+### C. Quelles sont les principales différences entre la conteneurisation et la virtualisation de machines ?
+
+1. La conteneurisation permet de profiter de quasi toute la puissance de calcul des CPU de la machine hôte contrairement à la virtualisation.
+2. Contrairement à la virtualisation, la conteneurisation ne permet pas d'exécuter différentes distributions GNU/Linux sur une même machine hôte.
+3. Contrairement à la conteneurisation, la virtualisation permet d'exécuter des programmes compilés pour une architecture différente que celui de la machine hôte.
+
+### D. Avant la démocratisation de la conteneurisation, quels mécanismes étaient principalement utilisés pour isoler l'exécution d'un programme ?
+
+1. chroot
+2. process-jail
+3. fork
+
+### E. Quelles sont les différences principales entre les mécanismes identifiés dans la question précédente et la conteneurisation ?
+
+1. Ils ne permettent que de modifier la racine apparente du système de fichier d'un processus
+2. Ils ne permettent pas de limiter les ressources utilisées par le processus isolé
+3. Ils sont plus sécurisés qu'un conteneur car plus simples à mettre en place
+
+### F. Parmi les affirmations suivantes, lesquelles sont vraies ?
+
+1. Docker utilise un processus "daemon" pour orchestrer ses conteneurs
+2. Docker ne doit être utilisé qu'en environnement de développement
+3. Une application conteneurisée est de-facto mieux sécurisée qu'une application installée directement sur le système hôte
+
+### G. Quelle est la plus-value apportée par le fichier `Dockerfile` à l'écosystème Docker ?
+
+1. Il permet de construire de manière normalisée et reproductible une image d'un conteneur
+2. Il permet de partager simplement la "recette" de création d'une image
+3. Il permet d'automatiser la configuration du réseau de fonctionnement du conteneur
+
+### H. La gestion du réseau par défaut dans Docker s'effectue avec:
+
+1. Des règles `iptables`
+2. Des interfaces virtuelles
+3. `nftables`
+
+### I. Que signifie API ?
+
+1. Acceptance Program Initialization
+2. Applicative Product Injection
+3. Application Programming Interface
+
+### J. Parmi ces acronymes, lesquels représentent des patrons de conception/protocoles d'API utilisés communément sur le Web aujourd'hui ?
+
+1. REST
+2. SOAP
+3. JS-RPC
+
+### K. Quels sont les risques majeurs induits par la bascule sur le modèle "administration par API" pour les services "système" ?
+
+1. Une surface d'attaque plus grande pour les services critiques
+2. Une perte de stabilité du système
+3. Une perte de traçabilité des acteurs modifiants l'état du système
+
+### L. Parmi ces mécanismes d'authentification, quels sont ceux communément utilisés pour authentifier les accès aux API sur le Web ?
+
+1. JSON Web Token
+2. Certificats client/serveur
+3. NTLM
+
+### M. Quels dynamiques récentes dans le monde de l'infrastructure ont poussé les développeurs de services systèmes et réseaux à se tourner vers le modèle "administration par API" ?
+
+1. La généralisation de la virtualisation et la conteneurisation
+2. L'augmentation exponentielle de la taille des centres de données
+3. La complexification des processus métiers dans le monde de l'entreprise
+
+### N. Dans une infrastructure pilotée par les API, quelles bonnes pratiques sont à appliquer quant à la gestion/génération de jetons d'identification ?
+
+1. Une rotation régulière et automatisée des jetons d'authentification
+2. L'usage de générateurs de nombres aléatoires reposant sur des primitives cryptographiques normalisées et validées
+3. Utiliser des algorithmes internes personnalisés et secrets pour la génération des jetons
+
+### O. Le stockage d'un "secret partagé", pour être sécurisé, doit:
+
+1. Être haché
+2. Êtré salé
+3. Être chiffré
+
+### P. Votre application communique avec une API JSON tierce à travers Internet. L'API est interrogée en utilisant HTTPS, utilisant un certificat auto-signé. La communication entre votre application et l'API est elle sécurisée ?
+
+1. Oui
+2. Oui, si le certificat a pu être importé de manière sécurisée dans l'application.
+3. Non, c'est impossible avec les certificats auto-signés.
+
+### Q. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
+
+1. L'indexation des références
+2. La mise en forme
+3. La synthétisation
+
+### R. Recouper les sources permet de...
+
+1. Vérifier la véridicité d'une information
+2. S'assurer de l'importance d'une information
+3. Multiplier les références
+
+### S. Identifier le public cible de la base de connaissance permet de...
+
+1. D'éviter de créer de la surcharge cognitive
+2. Économiser du temps lors de la phase d'agrégation
+3. Préparer son argumentaire
+
+### T. Quel(s) outil(s) créé(s) grâce à l'avènement d'Internet à/ont modifié profondément la rédaction de base de connaissances ?
+
+1. Les wiki
+2. Les "pads" collaboratifs
+3. Les éditeurs de texte
+
+### U. L'identification des passerelles permet de...
+
+1. Faciliter la navigation dans le corpus
+2. Guider le lecteur dans sa lecture
+3. Suggérer des sujets connexes potentiellement intéressants pour le lecteur