From fc85a3a7f1cda9e7259f11660725d0804653bece Mon Sep 17 00:00:00 2001 From: William Petit Date: Tue, 26 Dec 2017 10:46:06 +0100 Subject: [PATCH] =?UTF-8?q?DIIAGE:=20r=C3=A9organisation=20des=20questions?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- .../20171222_Métrologie/qcm.md | 94 ++++++++++--------- .../20171222_Conteneurisation_Docker/qcm.md | 36 +++---- 2 files changed, 69 insertions(+), 61 deletions(-) diff --git a/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md b/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md index 875fff6..c5fd565 100644 --- a/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md +++ b/diiage/C3-2_Sécurité_SI/20171222_Métrologie/qcm.md @@ -1,6 +1,6 @@ @@ -17,25 +17,29 @@ Pour chaque question, entourer **la ou les bonnes réponses**. **Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses. +## Grille de notation + +Chaque question rapporte 1 point. Si **toutes les bonnes réponses sont entourées, vous gagnez le point**. Si parmi vos réponses vous en avez sélectionné **un mauvais choix, vous ne gagnez pas de point**. + ## Questions -### A. Quels sont les objectifs de la modélisation de menace ? +### A. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ? -1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information. -2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels. -3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application. +1. Identifier les échanges entre les différents composants +2. Identifier les seuils de changement de niveau de confiance +3. Identifier les goulots d'étranglement potentiels pour les performances -### B. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_ +### B. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ? -1. Audit du code -2. Identification des menaces -3. Décomposition l'environnement applicatif +1. Les requêtes POST sont chiffrées par défaut par les navigateurs +2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML +3. Il n'y a aucune différence -### C. La catégorisation des menaces est nécessaire car: +### C. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ? -1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables -2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée -3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace +1. L'indexation des références +2. La mise en forme +3. La synthétisation ### D. Parmi ces propositions, lesquelles sont des catégories proposées par la méthodologie de classification STRIDE ? @@ -43,17 +47,17 @@ Pour chaque question, entourer **la ou les bonnes réponses**. 2. Déni de service 3. Élévation de privilèges -### E. Dans la modélisation de menace, qu'identifient les "dépendances externes" ? +### E. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ? -1. Les composants externes au code dont l'application dépend -2. Les acteurs externes non identifiés par le modèle de menace -3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application +1. La mauvaise gestion du cycle de vie des dépendances de l'application +2. Une mauvaise politique de journalisation des opérations de l'application +3. L'utilisation de plateformes SaaS -### F. Dans la modélisation de menace, qu'identifient les "points d'entrée" ? +### F. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée: -1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données -2. Les seuils d'authentification de l'application -3. Le nombre de requêtes moyen effectués sur une page d'une application +1. Dès les premières itérations de développement +2. En conjugant le travail des équipes de développement et les équipes opérationnelles +3. Analysée par une entité externe à la fin de chaque cycle de développement ### G. Dans la modélisation de menace, qu'identifient les "niveaux de confiance" ? @@ -61,17 +65,17 @@ Pour chaque question, entourer **la ou les bonnes réponses**. 2. Le niveau de chiffrement dans un secteur de l'application 3. Le niveau de fiabilité des données de l'application dans un contexte donné -### H. Dans la modélisation de menace, à quoi sert la modélisation des flux de données ? +### H. Quels sont les objectifs de la modélisation de menace ? -1. Identifier les échanges entre les différents composants -2. Identifier les seuils de changement de niveau de confiance -3. Identifier les goulots d'étranglement potentiels pour les performances +1. Apporter une approche systématique de la sécurité dans le processus de conception de systèmes d'information. +2. Identifier les composants nécessitant le plus d'attention de la part des développeurs/responsables opérationnels. +3. Permettre d'aborder la sécurité en amont de la conception afin d'évacuer toutes les questions de sécurité lors du cycle de vie de l'application. -### I. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ? +### I. Quelle est la première étape du processus de modélisation de menace ? _(une seule bonne réponse)_ -1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation -2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système -3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données +1. Audit du code +2. Identification des menaces +3. Décomposition l'environnement applicatif ### J. Parmi ces réponses, lesquelles sont des objectifs de la sécurité informatique en entreprise ? @@ -109,29 +113,29 @@ Pour chaque question, entourer **la ou les bonnes réponses**. 2. ...permet d'exploiter les sessions HTTP de l'utilisateur en cours de validité 3. ...permet d'accéder à des fichiers du serveur en parcourant l'arborescence du système de fichier -### P. Parmi ces pratiques, quelles sont celles qui sont des catalyseurs de risques ? +### P. Dans la modélisation de menace, qu'identifient les "dépendances externes" ? -1. La mauvaise gestion du cycle de vie des dépendances de l'application -2. Une mauvaise politique de journalisation des opérations de l'application -3. L'utilisation de plateformes SaaS +1. Les composants externes au code dont l'application dépend +2. Les acteurs externes non identifiés par le modèle de menace +3. Les contraintes techniques externes nécessaires au bon fonctionnement de l'application -### Q. Dans le cadre du développement d'une application web, la sécurité de l'infrastructure devraient être abordée: +### Q. Dans la modélisation de menace, qu'identifient les "points d'entrée" ? -1. Dès les premières itérations de développement -2. En conjugant le travail des équipes de développement et les équipes opérationnelles -3. Analysée par une entité externe à la fin de chaque cycle de développement +1. Les interfaces permettant à l'utilisateur d'interagir avec l'application et/ou d'y insérer des données +2. Les seuils d'authentification de l'application +3. Le nombre de requêtes moyen effectués sur une page d'une application -### R. Quelles sont les différences fondamentales entre une requête HTTP "POST" et "GET" dans le cadre général des failles de type "Cross Site Request Forgery" (CSRF) ? +### R. Dans le contexte de la sécurité informatique, que représente le concept général de "menace" ? -1. Les requêtes POST sont chiffrées par défaut par les navigateurs -2. Une requête POST ne peut pas être automatiquement initiée par la simple inclusion d'une balise HTML -3. Il n'y a aucune différence +1. Une cause potentielle d'incident, qui peut résulter en un dommage au système ou à l'organisation +2. Une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système +3. Une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données -### S. Dans la phase d'agrégation, quelle est l'opération qui permet de préparer la bibliographie ? +### S. La catégorisation des menaces est nécessaire car: -1. L'indexation des références -2. La mise en forme -3. La synthétisation +1. Elle permet aux développeurs d'associer à celle ci rapidement des mesures de mitigations identifiées et fiables +2. Elle permet aux développeurs d'utiliser des outils de protection automatique en fonction de la catégorie de la menace identifiée +3. Elle permet aux développeurs d'employer un vocabulaire commun pour discuter des problèmes de sécurité lié à la menace ### T. Recouper les sources permet de... diff --git a/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md b/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md index f44a757..9354bb4 100644 --- a/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md +++ b/diiage/C3-4_Base_de_données_Big_Data_BI/20171222_Conteneurisation_Docker/qcm.md @@ -17,19 +17,23 @@ Pour chaque question, entourer **la ou les bonnes réponses**. **Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses. +## Grille de notation + +Chaque question rapporte 1 point. Si **toutes les bonnes réponses sont entourées, vous gagnez le point**. Si parmi vos réponses vous en avez sélectionné **un mauvais choix, vous ne gagnez pas de point**. + ## Questions -### A. Qu'est ce qu'un conteneur au sens informatique ? +### A. La gestion du réseau par défaut dans Docker s'effectue avec: -1. Un mécanisme d'isolation avancé d'un ou plusieurs processus au niveau du système d'exploitation -2. Un mécanisme d'empaquetage pour la distribution de logiciels -3. Un mécanisme permettant de déployer des machines virtuelles à moindre coût +1. Des règles `iptables` +2. Des interfaces virtuelles +3. `nftables` -### B. Parmi ces réponses, qu'elles sont les fonctionnalités apportées par la conteneurisation ? +### B. Que signifie API ? -1. Restriction des ressources systèmes (CPU, RAM) utilisés par un ou plusieurs processus -2. Simplification du cycle de développement des logiciels -3. Possibilité d'exécuter du code arbitraire en toute sécurité +1. Acceptance Program Initialization +2. Applicative Product Injection +3. Application Programming Interface ### C. Quelles sont les principales différences entre la conteneurisation et la virtualisation de machines ? @@ -61,17 +65,17 @@ Pour chaque question, entourer **la ou les bonnes réponses**. 2. Il permet de partager simplement la "recette" de création d'une image 3. Il permet d'automatiser la configuration du réseau de fonctionnement du conteneur -### H. La gestion du réseau par défaut dans Docker s'effectue avec: +### H. Qu'est ce qu'un conteneur au sens informatique ? -1. Des règles `iptables` -2. Des interfaces virtuelles -3. `nftables` +1. Un mécanisme d'isolation avancé d'un ou plusieurs processus au niveau du système d'exploitation +2. Un mécanisme d'empaquetage pour la distribution de logiciels +3. Un mécanisme permettant de déployer des machines virtuelles à moindre coût -### I. Que signifie API ? +### I. Parmi ces réponses, qu'elles sont les fonctionnalités apportées par la conteneurisation ? -1. Acceptance Program Initialization -2. Applicative Product Injection -3. Application Programming Interface +1. Restriction des ressources systèmes (CPU, RAM) utilisés par un ou plusieurs processus +2. Simplification du cycle de développement des logiciels +3. Possibilité d'exécuter du code arbitraire en toute sécurité ### J. Parmi ces acronymes, lesquels représentent des patrons de conception/protocoles d'API utilisés communément sur le Web aujourd'hui ?