DIIAGE: réorganisation des questions
This commit is contained in:
parent
a9dba3b3b6
commit
c3e75343db
@ -1,6 +1,6 @@
|
|||||||
<style>
|
<style>
|
||||||
* {
|
* {
|
||||||
font-size: 0.7em !important;
|
font-size: 0.8em !important;
|
||||||
}
|
}
|
||||||
</style>
|
</style>
|
||||||
|
|
||||||
@ -17,25 +17,29 @@ Pour chaque question, entourer **la ou les bonnes réponses**.
|
|||||||
|
|
||||||
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
||||||
|
|
||||||
|
## Grille de notation
|
||||||
|
|
||||||
|
Chaque question rapporte 1 point. Si **toutes les bonnes réponses sont entourées, vous gagnez le point**. Si parmi vos réponses vous en avez sélectionné **un mauvais choix, vous ne gagnez pas de point**.
|
||||||
|
|
||||||
## Questions
|
## Questions
|
||||||
|
|
||||||
### A. Quels sont les objectifs de la modélisation de menace ?
|
### A. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ?
|
||||||
|
|
||||||
1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information.
|
1. Identifier les échanges entre les différents composants
|
||||||
2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels.
|
2. Identifier les seuils de changement de niveau de confiance
|
||||||
3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application.
|
3. Identifier les goulots d'étranglement potentiels pour les performances
|
||||||
|
|
||||||
### B. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_
|
### B. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ?
|
||||||
|
|
||||||
1. Audit du code
|
1. Les requêtes POST sont chiffrées par défaut par les navigateurs
|
||||||
2. Identification des menaces
|
2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML
|
||||||
3. Décomposition l'environnement applicatif
|
3. Il n'y a aucune différence
|
||||||
|
|
||||||
### C. La catégorisation des menaces est nécessaire car:
|
### C. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
|
||||||
|
|
||||||
1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables
|
1. L'indexation des références
|
||||||
2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée
|
2. La mise en forme
|
||||||
3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace
|
3. La synthétisation
|
||||||
|
|
||||||
### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ?
|
### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ?
|
||||||
|
|
||||||
@ -43,17 +47,17 @@ Pour chaque question, entourer **la ou les bonnes réponses**.
|
|||||||
2. Déni de service
|
2. Déni de service
|
||||||
3. Élévation de privilèges
|
3. Élévation de privilèges
|
||||||
|
|
||||||
### E. Dans la modélisation de menace, qu'identifient les "dépendances externes" ?
|
### E. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ?
|
||||||
|
|
||||||
1. Les composants externes au code dont l'application dépend
|
1. La mauvaise gestion du cycle de vie des dépendances de l'application
|
||||||
2. Les acteurs externes non identifiés par le modèle de menace
|
2. Une mauvaise politique de journalisation des opérations de l'application
|
||||||
3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application
|
3. L'utilisation de plateformes SaaS
|
||||||
|
|
||||||
### F. Dans la modélisation de menace, qu'identifient les "points d'entrée" ?
|
### F. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée:
|
||||||
|
|
||||||
1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données
|
1. Dès les premières itérations de développement
|
||||||
2. Les seuils d'authentification de l'application
|
2. En conjugant le travail des équipes de développement et les équipes opérationnelles
|
||||||
3. Le nombre de requêtes moyen effectués sur une page d'une application
|
3. Analysée par une entité externe à la fin de chaque cycle de développement
|
||||||
|
|
||||||
### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ?
|
### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ?
|
||||||
|
|
||||||
@ -61,17 +65,17 @@ Pour chaque question, entourer **la ou les bonnes réponses**.
|
|||||||
2. Le niveau de chiffrement dans un secteur de l'application
|
2. Le niveau de chiffrement dans un secteur de l'application
|
||||||
3. Le niveau de fiabilité des données de l'application dans un contexte donné
|
3. Le niveau de fiabilité des données de l'application dans un contexte donné
|
||||||
|
|
||||||
### H. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ?
|
### H. Quels sont les objectifs de la modélisation de menace ?
|
||||||
|
|
||||||
1. Identifier les échanges entre les différents composants
|
1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information.
|
||||||
2. Identifier les seuils de changement de niveau de confiance
|
2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels.
|
||||||
3. Identifier les goulots d'étranglement potentiels pour les performances
|
3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application.
|
||||||
|
|
||||||
### I. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ?
|
### I. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_
|
||||||
|
|
||||||
1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation
|
1. Audit du code
|
||||||
2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système
|
2. Identification des menaces
|
||||||
3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données
|
3. Décomposition l'environnement applicatif
|
||||||
|
|
||||||
### J. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ?
|
### J. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ?
|
||||||
|
|
||||||
@ -109,29 +113,29 @@ Pour chaque question, entourer **la ou les bonnes réponses**.
|
|||||||
2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité
|
2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité
|
||||||
3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier
|
3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier
|
||||||
|
|
||||||
### P. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ?
|
### P. Dans la modélisation de menace, qu'identifient les "dépendances externes" ?
|
||||||
|
|
||||||
1. La mauvaise gestion du cycle de vie des dépendances de l'application
|
1. Les composants externes au code dont l'application dépend
|
||||||
2. Une mauvaise politique de journalisation des opérations de l'application
|
2. Les acteurs externes non identifiés par le modèle de menace
|
||||||
3. L'utilisation de plateformes SaaS
|
3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application
|
||||||
|
|
||||||
### Q. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée:
|
### Q. Dans la modélisation de menace, qu'identifient les "points d'entrée" ?
|
||||||
|
|
||||||
1. Dès les premières itérations de développement
|
1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données
|
||||||
2. En conjugant le travail des équipes de développement et les équipes opérationnelles
|
2. Les seuils d'authentification de l'application
|
||||||
3. Analysée par une entité externe à la fin de chaque cycle de développement
|
3. Le nombre de requêtes moyen effectués sur une page d'une application
|
||||||
|
|
||||||
### R. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ?
|
### R. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ?
|
||||||
|
|
||||||
1. Les requêtes POST sont chiffrées par défaut par les navigateurs
|
1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation
|
||||||
2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML
|
2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système
|
||||||
3. Il n'y a aucune différence
|
3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données
|
||||||
|
|
||||||
### S. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ?
|
### S. La catégorisation des menaces est nécessaire car:
|
||||||
|
|
||||||
1. L'indexation des références
|
1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables
|
||||||
2. La mise en forme
|
2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée
|
||||||
3. La synthétisation
|
3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace
|
||||||
|
|
||||||
### T. Recouper les sources permet de...
|
### T. Recouper les sources permet de...
|
||||||
|
|
||||||
|
@ -17,19 +17,23 @@ Pour chaque question, entourer **la ou les bonnes réponses**.
|
|||||||
|
|
||||||
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
||||||
|
|
||||||
|
## Grille de notation
|
||||||
|
|
||||||
|
Chaque question rapporte 1 point. Si **toutes les bonnes réponses sont entourées, vous gagnez le point**. Si parmi vos réponses vous en avez sélectionné **un mauvais choix, vous ne gagnez pas de point**.
|
||||||
|
|
||||||
## Questions
|
## Questions
|
||||||
|
|
||||||
### A. Qu'est ce qu'un conteneur au sens informatique ?
|
### A. La gestion du réseau par défaut dans Docker s'effectue avec:
|
||||||
|
|
||||||
1. Un mécanisme d'isolation avancé d'un ou plusieurs processus au niveau du système d'exploitation
|
1. Des règles `iptables`
|
||||||
2. Un mécanisme d'empaquetage pour la distribution de logiciels
|
2. Des interfaces virtuelles
|
||||||
3. Un mécanisme permettant de déployer des machines virtuelles à moindre coût
|
3. `nftables`
|
||||||
|
|
||||||
### B. Parmi ces réponses, qu'elles sont les fonctionnalités apportées par la conteneurisation ?
|
### B. Que signifie API ?
|
||||||
|
|
||||||
1. Restriction des ressources systèmes (CPU, RAM) utilisés par un ou plusieurs processus
|
1. Acceptance Program Initialization
|
||||||
2. Simplification du cycle de développement des logiciels
|
2. Applicative Product Injection
|
||||||
3. Possibilité d'exécuter du code arbitraire en toute sécurité
|
3. Application Programming Interface
|
||||||
|
|
||||||
### C. Quelles sont les principales différences entre la conteneurisation et la virtualisation de machines ?
|
### C. Quelles sont les principales différences entre la conteneurisation et la virtualisation de machines ?
|
||||||
|
|
||||||
@ -61,17 +65,17 @@ Pour chaque question, entourer **la ou les bonnes réponses**.
|
|||||||
2. Il permet de partager simplement la "recette" de création d'une image
|
2. Il permet de partager simplement la "recette" de création d'une image
|
||||||
3. Il permet d'automatiser la configuration du réseau de fonctionnement du conteneur
|
3. Il permet d'automatiser la configuration du réseau de fonctionnement du conteneur
|
||||||
|
|
||||||
### H. La gestion du réseau par défaut dans Docker s'effectue avec:
|
### H. Qu'est ce qu'un conteneur au sens informatique ?
|
||||||
|
|
||||||
1. Des règles `iptables`
|
1. Un mécanisme d'isolation avancé d'un ou plusieurs processus au niveau du système d'exploitation
|
||||||
2. Des interfaces virtuelles
|
2. Un mécanisme d'empaquetage pour la distribution de logiciels
|
||||||
3. `nftables`
|
3. Un mécanisme permettant de déployer des machines virtuelles à moindre coût
|
||||||
|
|
||||||
### I. Que signifie API ?
|
### I. Parmi ces réponses, qu'elles sont les fonctionnalités apportées par la conteneurisation ?
|
||||||
|
|
||||||
1. Acceptance Program Initialization
|
1. Restriction des ressources systèmes (CPU, RAM) utilisés par un ou plusieurs processus
|
||||||
2. Applicative Product Injection
|
2. Simplification du cycle de développement des logiciels
|
||||||
3. Application Programming Interface
|
3. Possibilité d'exécuter du code arbitraire en toute sécurité
|
||||||
|
|
||||||
### J. Parmi ces acronymes, lesquels représentent des patrons de conception/protocoles d'API utilisés communément sur le Web aujourd'hui ?
|
### J. Parmi ces acronymes, lesquels représentent des patrons de conception/protocoles d'API utilisés communément sur le Web aujourd'hui ?
|
||||||
|
|
||||||
|
Loading…
Reference in New Issue
Block a user