Diiage: préparation QCM évaluation 22/12/2017
This commit is contained in:
158
diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md
Normal file
158
diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md
Normal file
@ -0,0 +1,158 @@
|
||||
<style>
|
||||
* {
|
||||
font-size: 0.7em !important;
|
||||
}
|
||||
</style>
|
||||
|
||||
# Évaluation des acquis: QCM
|
||||
|
||||
- **Nom**
|
||||
- **Prénom**
|
||||
- **Classe**
|
||||
- **Date**
|
||||
|
||||
## Consigne
|
||||
|
||||
Pour chaque question, entourer **la ou les bonnes réponses**.
|
||||
|
||||
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
||||
|
||||
## Questions
|
||||
|
||||
### A. Quels sont les objectifs de la modélisation de menace ?
|
||||
|
||||
1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information.
|
||||
2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels.
|
||||
3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application.
|
||||
|
||||
### B. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_
|
||||
|
||||
1. Audit du code
|
||||
2. Identification des menaces
|
||||
3. Décomposition l'environnement applicatif
|
||||
|
||||
### C. La catégorisation des menaces est nécessaire car:
|
||||
|
||||
1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables
|
||||
2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée
|
||||
3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace
|
||||
|
||||
### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ?
|
||||
|
||||
1. Falsification des données
|
||||
2. Déni de service
|
||||
3. Élévation de privilèges
|
||||
|
||||
### E. Dans la modélisation de menace, qu'identifient les "dépendances externes" ?
|
||||
|
||||
1. Les composants externes au code dont l'application dépend
|
||||
2. Les acteurs externes non identifiés par le modèle de menace
|
||||
3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application
|
||||
|
||||
### F. Dans la modélisation de menace, qu'identifient les "points d'entrée" ?
|
||||
|
||||
1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données
|
||||
2. Les seuils d'authentification de l'application
|
||||
3. Le nombre de requêtes moyen effectués sur une page d'une application
|
||||
|
||||
### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ?
|
||||
|
||||
1. Les différents acteurs pouvant interagir avec l'application et leurs accréditations
|
||||
2. Le niveau de chiffrement dans un secteur de l'application
|
||||
3. Le niveau de fiabilité des données de l'application dans un contexte donné
|
||||
|
||||
### H. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ?
|
||||
|
||||
1. Identifier les échanges entre les différents composants
|
||||
2. Identifier les seuils de changement de niveau de confiance
|
||||
3. Identifier les goulots d'étranglement potentiels pour les performances
|
||||
|
||||
### I. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ?
|
||||
|
||||
1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation
|
||||
2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système
|
||||
3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données
|
||||
|
||||
### J. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ?
|
||||
|
||||
1. Maintenir l'intégrité des données
|
||||
2. S'assurer du niveaux d'authentification et d'autorisation
|
||||
3. Maintenir la disponibilité des services
|
||||
|
||||
### K. Qu'est ce que la modélisation de menace ?
|
||||
|
||||
1. Un processus permettant d'identifier les menaces mettant en péril un système et d'évaluer les risques et les impacts potentiels de celles ci.
|
||||
2. Un document faisant un état des lieux des vulnérabilités d'une application
|
||||
3. Un processus de simulation d'attaque organisé pendant un audit de sécurité
|
||||
|
||||
### L. Quel est aujourd'hui le principal vecteur d'attaque sur les systèmes d'informations ?
|
||||
|
||||
1. La méconnaissance humaine
|
||||
2. Les failles "0-day"
|
||||
3. La mauvaise sécurisation des environnements "intranet"
|
||||
|
||||
### M. Quels sont les risques associés à une mauvaise définition du périmètre d'application de la politique de sécurité en entreprise ?
|
||||
|
||||
1. L'application de règles non adaptées aux spécificités des différents contextes fonctionnels/techniques
|
||||
2. Une mauvaise formation des collaborateurs face aux risques liés à la sécurité en entreprise
|
||||
3. Une mauvaise évaluation des risques liés à chaque contexte de l'entreprise
|
||||
|
||||
### N. Parmi ces acronymes, lesquels sont des catégories de failles impactant les applications Web ?
|
||||
|
||||
1. SQLI
|
||||
2. CSRF
|
||||
3. AJAX
|
||||
|
||||
### O. Une faille XSS...
|
||||
|
||||
1. ...permet d'injecter du code HTML/Javascript dans une page d'une application Web tierce
|
||||
2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité
|
||||
3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier
|
||||
|
||||
### P. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ?
|
||||
|
||||
1. La mauvaise gestion du cycle de vie des dépendances de l'application
|
||||
2. Une mauvaise politique de journalisation des opérations de l'application
|
||||
3. L'utilisation de plateformes SaaS
|
||||
|
||||
### Q. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée:
|
||||
|
||||
1. Dès les premières itérations de développement
|
||||
2. En conjugant le travail des équipes de développement et les équipes opérationnelles
|
||||
3. Analysée par une entité externe à la fin de chaque cycle de développement
|
||||
|
||||
### R. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ?
|
||||
|
||||
1. Les requêtes POST sont chiffrées par défaut par les navigateurs
|
||||
2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML
|
||||
3. Il n'y a aucune différence
|
||||
|
||||
### S. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
|
||||
|
||||
1. L'indexation des références
|
||||
2. La mise en forme
|
||||
3. La synthétisation
|
||||
|
||||
### T. Recouper les sources permet de...
|
||||
|
||||
1. Vérifier la véridicité d'une information
|
||||
2. S'assurer de l'importance d'une information
|
||||
3. Multiplier les références
|
||||
|
||||
### U. Identifier le public cible de la base de connaissance permet de...
|
||||
|
||||
1. D'éviter de créer de la surcharge cognitive
|
||||
2. Économiser du temps lors de la phase d'agrégation
|
||||
3. Préparer son argumentaire
|
||||
|
||||
### V. Quel(s) outil(s) créé(s) grâce à l'avènement d'Internet à/ont modifié profondément la rédaction de base de connaissances ?
|
||||
|
||||
1. Les wiki
|
||||
2. Les "pads" collaboratifs
|
||||
3. Les éditeurs de texte
|
||||
|
||||
### W. L'identification des passerelles permet de...
|
||||
|
||||
1. Faciliter la navigation dans le corpus
|
||||
2. Guider le lecteur dans sa lecture
|
||||
3. Suggérer des sujets connexes potentiellement intéressants pour le lecteur
|
||||
Reference in New Issue
Block a user