Diiage: préparation QCM évaluation 22/12/2017

This commit is contained in:
wpetit 2017-12-20 12:00:44 +01:00 committed by Benjamin Bohard
parent 312c465084
commit 884905c1db
2 changed files with 304 additions and 0 deletions

View File

@ -0,0 +1,158 @@
<style>
* {
font-size: 0.7em !important;
}
</style>
# Évaluation des acquis: QCM
- **Nom**
- **Prénom**
- **Classe**
- **Date**
## Consigne
Pour chaque question, entourer **la ou les bonnes réponses**.
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
## Questions
### A. Quels sont les objectifs de la modélisation de menace ?
1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information.
2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels.
3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application.
### B. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_
1. Audit du code
2. Identification des menaces
3. Décomposition l'environnement applicatif
### C. La catégorisation des menaces est nécessaire car:
1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables
2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée
3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace
### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ?
1. Falsification des données
2. Déni de service
3. Élévation de privilèges
### E. Dans la modélisation de menace, qu'identifient les "dépendances externes" ?
1. Les composants externes au code dont l'application dépend
2. Les acteurs externes non identifiés par le modèle de menace
3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application
### F. Dans la modélisation de menace, qu'identifient les "points d'entrée" ?
1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données
2. Les seuils d'authentification de l'application
3. Le nombre de requêtes moyen effectués sur une page d'une application
### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ?
1. Les différents acteurs pouvant interagir avec l'application et leurs accréditations
2. Le niveau de chiffrement dans un secteur de l'application
3. Le niveau de fiabilité des données de l'application dans un contexte donné
### H. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ?
1. Identifier les échanges entre les différents composants
2. Identifier les seuils de changement de niveau de confiance
3. Identifier les goulots d'étranglement potentiels pour les performances
### I. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ?
1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation
2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système
3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données
### J. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ?
1. Maintenir l'intégrité des données
2. S'assurer du niveaux d'authentification et d'autorisation
3. Maintenir la disponibilité des services
### K. Qu'est ce que la modélisation de menace ?
1. Un processus permettant d'identifier les menaces mettant en péril un système et d'évaluer les risques et les impacts potentiels de celles ci.
2. Un document faisant un état des lieux des vulnérabilités d'une application
3. Un processus de simulation d'attaque organisé pendant un audit de sécurité
### L. Quel est aujourd'hui le principal vecteur d'attaque sur les systèmes d'informations ?
1. La méconnaissance humaine
2. Les failles "0-day"
3. La mauvaise sécurisation des environnements "intranet"
### M. Quels sont les risques associés à une mauvaise définition du périmètre d'application de la politique de sécurité en entreprise ?
1. L'application de règles non adaptées aux spécificités des différents contextes fonctionnels/techniques
2. Une mauvaise formation des collaborateurs face aux risques liés à la sécurité en entreprise
3. Une mauvaise évaluation des risques liés à chaque contexte de l'entreprise
### N. Parmi ces acronymes, lesquels sont des catégories de failles impactant les applications Web ?
1. SQLI
2. CSRF
3. AJAX
### O. Une faille XSS...
1. ...permet d'injecter du code HTML/Javascript dans une page d'une application Web tierce
2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité
3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier
### P. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ?
1. La mauvaise gestion du cycle de vie des dépendances de l'application
2. Une mauvaise politique de journalisation des opérations de l'application
3. L'utilisation de plateformes SaaS
### Q. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée:
1. Dès les premières itérations de développement
2. En conjugant le travail des équipes de développement et les équipes opérationnelles
3. Analysée par une entité externe à la fin de chaque cycle de développement
### R. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ?
1. Les requêtes POST sont chiffrées par défaut par les navigateurs
2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML
3. Il n'y a aucune différence
### S. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
1. L'indexation des références
2. La mise en forme
3. La synthétisation
### T. Recouper les sources permet de...
1. Vérifier la véridicité d'une information
2. S'assurer de l'importance d'une information
3. Multiplier les références
### U. Identifier le public cible de la base de connaissance permet de...
1. D'éviter de créer de la surcharge cognitive
2. Économiser du temps lors de la phase d'agrégation
3. Préparer son argumentaire
### V. Quel(s) outil(s) créé(s) grâce à l'avènement d'Internet à/ont modifié profondément la rédaction de base de connaissances ?
1. Les wiki
2. Les "pads" collaboratifs
3. Les éditeurs de texte
### W. L'identification des passerelles permet de...
1. Faciliter la navigation dans le corpus
2. Guider le lecteur dans sa lecture
3. Suggérer des sujets connexes potentiellement intéressants pour le lecteur

View File

@ -0,0 +1,146 @@
<style>
* {
font-size: 0.8em !important;
}
</style>
# Évaluation des acquis: QCM
- **Nom**
- **Prénom**
- **Classe**
- **Date**
## Consigne
Pour chaque question, entourer **la ou les bonnes réponses**.
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
## Questions
### A. Qu'est ce qu'un conteneur au sens informatique ?
1. Un mécanisme d'isolation avancé d'un ou plusieurs processus au niveau du système d'exploitation
2. Un mécanisme d'empaquetage pour la distribution de logiciels
3. Un mécanisme permettant de déployer des machines virtuelles à moindre coût
### B. Parmi ces réponses, qu'elles sont les fonctionnalités apportées par la conteneurisation ?
1. Restriction des ressources systèmes (CPU, RAM) utilisés par un ou plusieurs processus
2. Simplification du cycle de développement des logiciels
3. Possibilité d'exécuter du code arbitraire en toute sécurité
### C. Quelles sont les principales différences entre la conteneurisation et la virtualisation de machines ?
1. La conteneurisation permet de profiter de quasi toute la puissance de calcul des CPU de la machine hôte contrairement à la virtualisation.
2. Contrairement à la virtualisation, la conteneurisation ne permet pas d'exécuter différentes distributions GNU/Linux sur une même machine hôte.
3. Contrairement à la conteneurisation, la virtualisation permet d'exécuter des programmes compilés pour une architecture différente que celui de la machine hôte.
### D. Avant la démocratisation de la conteneurisation, quels mécanismes étaient principalement utilisés pour isoler l'exécution d'un programme ?
1. chroot
2. process-jail
3. fork
### E. Quelles sont les différences principales entre les mécanismes identifiés dans la question précédente et la conteneurisation ?
1. Ils ne permettent que de modifier la racine apparente du système de fichier d'un processus
2. Ils ne permettent pas de limiter les ressources utilisées par le processus isolé
3. Ils sont plus sécurisés qu'un conteneur car plus simples à mettre en place
### F. Parmi les affirmations suivantes, lesquelles sont vraies ?
1. Docker utilise un processus "daemon" pour orchestrer ses conteneurs
2. Docker ne doit être utilisé qu'en environnement de développement
3. Une application conteneurisée est de-facto mieux sécurisée qu'une application installée directement sur le système hôte
### G. Quelle est la plus-value apportée par le fichier `Dockerfile` à l'écosystème Docker ?
1. Il permet de construire de manière normalisée et reproductible une image d'un conteneur
2. Il permet de partager simplement la "recette" de création d'une image
3. Il permet d'automatiser la configuration du réseau de fonctionnement du conteneur
### H. La gestion du réseau par défaut dans Docker s'effectue avec:
1. Des règles `iptables`
2. Des interfaces virtuelles
3. `nftables`
### I. Que signifie API ?
1. Acceptance Program Initialization
2. Applicative Product Injection
3. Application Programming Interface
### J. Parmi ces acronymes, lesquels représentent des patrons de conception/protocoles d'API utilisés communément sur le Web aujourd'hui ?
1. REST
2. SOAP
3. JS-RPC
### K. Quels sont les risques majeurs induits par la bascule sur le modèle "administration par API" pour les services "système" ?
1. Une surface d'attaque plus grande pour les services critiques
2. Une perte de stabilité du système
3. Une perte de traçabilité des acteurs modifiants l'état du système
### L. Parmi ces mécanismes d'authentification, quels sont ceux communément utilisés pour authentifier les accès aux API sur le Web ?
1. JSON Web Token
2. Certificats client/serveur
3. NTLM
### M. Quels dynamiques récentes dans le monde de l'infrastructure ont poussé les développeurs de services systèmes et réseaux à se tourner vers le modèle "administration par API" ?
1. La généralisation de la virtualisation et la conteneurisation
2. L'augmentation exponentielle de la taille des centres de données
3. La complexification des processus métiers dans le monde de l'entreprise
### N. Dans une infrastructure pilotée par les API, quelles bonnes pratiques sont à appliquer quant à la gestion/génération de jetons d'identification ?
1. Une rotation régulière et automatisée des jetons d'authentification
2. L'usage de générateurs de nombres aléatoires reposant sur des primitives cryptographiques normalisées et validées
3. Utiliser des algorithmes internes personnalisés et secrets pour la génération des jetons
### O. Le stockage d'un "secret partagé", pour être sécurisé, doit:
1. Être haché
2. Êtré salé
3. Être chiffré
### P. Votre application communique avec une API JSON tierce à travers Internet. L'API est interrogée en utilisant HTTPS, utilisant un certificat auto-signé. La communication entre votre application et l'API est elle sécurisée ?
1. Oui
2. Oui, si le certificat a pu être importé de manière sécurisée dans l'application.
3. Non, c'est impossible avec les certificats auto-signés.
### Q. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
1. L'indexation des références
2. La mise en forme
3. La synthétisation
### R. Recouper les sources permet de...
1. Vérifier la véridicité d'une information
2. S'assurer de l'importance d'une information
3. Multiplier les références
### S. Identifier le public cible de la base de connaissance permet de...
1. D'éviter de créer de la surcharge cognitive
2. Économiser du temps lors de la phase d'agrégation
3. Préparer son argumentaire
### T. Quel(s) outil(s) créé(s) grâce à l'avènement d'Internet à/ont modifié profondément la rédaction de base de connaissances ?
1. Les wiki
2. Les "pads" collaboratifs
3. Les éditeurs de texte
### U. L'identification des passerelles permet de...
1. Faciliter la navigation dans le corpus
2. Guider le lecteur dans sa lecture
3. Suggérer des sujets connexes potentiellement intéressants pour le lecteur