,

Modle PDCA : Plan-Do-Check-Act

Partie

01) DveTopper l'acronyme DICP

02) Slectionner le(s)critre(s) de qualification d'un risque

a. Drogation
b. lmpact
c. Montan
d. Probabilit
, Recommandation
f. Vulnrabilit
03) Dvelopper I'acronyme IAM

04) Slectionner les termes relatifs I'IAM

a. Authentification forte
b. CNI
c. KPI
d. Fdration d'identit
e. OTP
f. SSO
05) Dfinition de provisioning

a.
b.
c.

Ajouter des droits valids une application

Valider des droits thoriques pour un utilisateur
Mettre de l'argent en rserve pour s'assurer contre les risques scurit

06) Quel modle de gestion des habilitations apporte le plus de gains en entreprise ?

a.
b.
c.

Le modle MAC
Le modle DAC
Le modle RBAC

07) Laquelle de ces propositions n'est pas en lien avec l'lAM

a.

L'utilisation d'un identifiant pour l'ensemble des applications d'une entreprise (SSO)
permet d'accrotre la productivit de ces employs

b.
c.

Afin de protger ses donnes confidentielles, il faut utiliser un chiffrement fort

Pour s'assurer de l'identit d'un individu, il faut utiliser des moyens d'authentification

08) Lequel de ces points est un facteur cl d'chec

a.

Le sponsor projet n'est pas dans la DSI

b. /es intervenants RH, achats, mtiers, DSI sont tous impliqus dans le projet

c.

L'organisation mtier sera revue pour s'intgrer la solution technique retenue

09) Laquelle de ces affirmations est vraie

a. Avec un IAM efficient, ma secrtaire envoie plus vite ses mails

b. Avec un IAM efficient, mes applications fonctionnent mieux
c. Avec un IAM efficient, les validations de droits vont plus vite
10) Quels sont les principaux enjeux d'un projet IAM ?

:5i Vl-

* 4A SII *

ilxmn":en de

m*th*rj*i*i* d'*ti*l5rse de* Sl - page

a.
b.

La performance mtier

Les besoins en scurit et en contrles

c...- Les deux

11) Queis sont les 4 pans de l'lAM ?
12) Slectionner la dfinition d'une vulnrabilit

a.
b.
c.

Faiblesse d'un systme

Perte business due la ralisation avec succs de l'attaque
lment agissant sur la faiblesse

13) Laquelle de ces affirmations n'est pas une brique de l'lAM

a.
b.
c.

SSL

Authentificationforte
Profilage

14) Afin de s'assurer de la cohrence des droits accords, on ralise

a.
b.
c.

Des revues d'habilitations

Des tableaux dq bord

Un processus mtier

15) Quel est le processus d'habilitations

a.
b.
c.
d.

Demande
Demande

Ralisation
Ralisation

- Ralisation
Validation mtier - Validation hirarchique - Ralisation
- Validation hirarchique - Validation mtier - Demande
- Validation mtier - Validation hirarchique - Demande
Validation hirarchique

Validation mtier

iliSA il1.;!" "- 4A :jl-i .- :r:r-;a,r lJ* nirr.icCclgrig

prrplyse r;el, .jl

:r,3e 3

Parti e 2
01) Slectionner le processus mis en avant par ISO 27001

a. Check Plan Act Do

b. Check Plan Act Do
c. Do Check Act Plan
d. Do Check Plan Act
e. Plan Act Check Do
f. Plan Do Check Act
02) Quelle norme ISO dfinit le SMSI

a. 9001
b. 9002
c. 14001
d. 14002
e. 27001
f. 27002
03) Dvelopper I'acronyme SMSI

systme de management de la scurit de l'information

04) Slectionner le(s) grand(s) principe(s) du SMSI

a. Amliorationcontinue
b. Applicationdesrecommandations
c. Approche processus
d. Engagement du management
e. Pilotage par les risques
f. Ralisationd'audits
05) Sletionner ce qui s'applique ISO 27002:

a. Annexe de I'ISO 27001

b. Code de bonnes pratiques en matire de scurit de I'information
c. Exigences pour les organismes procdant l'audit et la certification des SMSI 27006
d. Guide d'implmentation du SMSI 27003
e. Lignes dlrectrices pour l'audit des SMSI 27007
f. Programme de mesure de la scurit de l'information 27004
06) Les normes ISO sont dfinies par

a.
b.
c.

Le gouvernement

Les entreprises
Un organisme international

07) quelle(s) fin(s) peut-on utiliser ISO 27001

a.
b.
c.

Pour s'aligner sur les grands principes de scurit

Pour obtenir une certification dans le domaine de la scurit de l'information
Pour augmenter les bnfices de l'entreprise

08) Qu'apportent les rfrentiels

ii$ {l\,ll

* 4li

STI

ilxnn"r*i'r rie :'ri*th*d*l*ie ii'.rnaiy**

#** } * Page 4

a.
b.
c.

Un langage commun
Une mthodologie reconnue
Une rponse unique toutes les problmatiques de scurit

09) quel(s)type(s) d'organisme peut-on appliquer ISO 27001

a.
b.
c.
d.

Une agence gouvernementale

Une association
Une entreprise
Une universit

10) Dans le cadre de l'lSO 27001,la roue de Deming reprsente

a.
b.
c.

Le principe d'amlioration continue

Un pilotage par les risques

Les lignes directrices d'un audit

tfis VL -"4/{ Tl * *xum*r: *e n:riihad*i*i* d'nnai,vs* *es Si - Fiig*

r:

Partie 3
01) Que signifie I'acronyme PCA ?

a.
b.
c.

Plan de Continuit d'Activit

Poste de Commandement Avanc

Prvention des Catastrophes et Accidents

02) Quel pourcentage d'entreprises ne disposant pas de PCA et ayant vcu un sinistre dpose le
bilan les deux ans qui suivent ?

a.
b.
c.

30%
50o/o

70%

03) Le PCA, une rponse ncessaire pour:

a.

Assurer la prennit de I'entreprise et rpondre aux exigences commerciales et

contractuelles des clients

b.
c.

Assurer des dividendes aux actionnaires

tre en conformit avec les rglementations nationales

04) Donner les 4 familles de scnarios de sinistres prvenir par un PCA

'

r'^^r,;:rrclrq-

05) Une indisponibilit durable ou pariielle du systme d-information dclenche ?

a.
b.
c.

Un PCA
Un PRA
Un PRU

06) Une indisponibilit durable ou partielle d'un site hbergeant du personnel

a.
b.
c.

Une PCA
Un PRA
Un PRU

07) Quelles sont les 4 tapes de mise en place d'un PCA

08) Quels sont les responsables du PCA ?

a.
b.
c.

Direction
Ensemble des collaborateurs

quipe PCA

09) Le PCA est une dmarche qui couvre

a.
b.
c.

L'informatique
Les deux
Les mtiers

10) Le Bilan d'lmpact sur Activit (BlA) a pour

a.
b.
c.

but:

D'identifier les activits critiques

D'identifier les prestataires essentiels
De raliser une analyse des scnarios de sinistre

li'JS CVL

* 4

STi

xnm*n de n:*iri***l*gi* * .**alyse iles l -- Page ti

WW ij
NNNffi NN
NN ffiffi

NNffiNW

il{irt rr-: , l;,'.-r;C,'.1L

.,;sr;.:,Ii'rcr:;

, ;Ik;i;nL'RE
Partiel

4'"

anne, Dpartement STI.

Module : Mthodologies d'analyse des systmes d'information.

Les rponses seront sur une copie spare du reste du partiel avec en haut droite de la
premire page Szpieg

CONSIGNES

Calculette non autodse

Documents non autoriss
Tlphones mobiles teints
Dure maximum conseille: 20 mn

Le vendredi L5 janer 2016

I)

Les normes ISO et EBIOS

Les familles de normes internationales ISO 9000 (Qualit), ISO 14000(Management

environnemental), ISO 27000 (Scurit de I'information) offrent un Dispositif de
reconnaissance > :

1.
2.

Que signifie cette expression Dispositif de reconnaissance > ?

Quets sont les lments fondamentaux qui composent ce dispositif ?

Soit l'cran suivant obtenu sur le site sagaweb

:
EI 1B

lS/lEC27t05:2{)1a
:fechrc*ories {e f'inirDrati+ft
l. saurse de I'rnformAthn

__

Techftic{ts

<*e

sQrrt

_-

{3esti*<ld ri<$r+

Is

.5.j1,;.1..,i;::i:::ii:l::i:'r:r.r:rjirrrjiii:r'::.
:

crmat

Lng
Fl1s

: t,

eOr ICZZ le1

jHtsi a{ p.*ier
cHF a6a, E

:6mbr<n:f:: ::
E-<ril;cnr

: :: ::::

,:.::

r.,,, - fi

3.
4.

II)
1.

::

vtsl.r!

,.:et!l:_::,rt:_._!-t!

Que signifie ISO/IEC.

Que reprsente l'criture JTC/SC 27

CERT

2.

&

: ,: :.:

, r.:5.q49
tde; n o !21::-,ilE-1]

1lM:lcl:eguell

P$hliee
, Elr E
: Tcji Jf:Ll5l.22
I)trrr!tlcfi

r::

>>

(Computer Emergency Response Team)

Dfinir ce qu'est un CERT et quels sont ses diffrents rles ?

L'INSA-CVL bnficie des services de deux CERT. Quels sont-ils

uL

Mthodologie d'analyse des systmes d'information

tnitiatin iTlLvS
Examen

* Janvier 2016

Veuillez rpondre aux 20 questions suivantes.l point par bonne rponse. 1 seule bonne rponse
par question, Mercid'utiliser la grille de rsultats en annexe pour vos rponses,
Documents de cours interdits.

:, L*qriill i*s

*nr:lri:s r*iusnls:ur i*s tlr*i:g'**:cl"ttl rlan$*rdr tist iN{*ft[T

a) lls sont prautoriss par la gestion des changements
b) lls suivent une procdure ou une instruction de travail
c) Leur risque est faible
d) lls doivent tre mis en uvre le plus tt possible

!.

(*,- ::: ;t:-"sL

.'1rr

r',

:.*'d* vi* j:i 1a:\'iLrs d.rler:'rr'li: quClS .r':,"rC.: d'.':a.c'.t l.::t, oile:ti, i:l .i

Qt"r

a) L'amlioration continue des services

b) L'exploitation des services
c) La conception des services
d) La stratgie des services

:i.

i:eis r1*i s*nt riinil rio*r le rn*r.ile

ft.*.Cl

a) Ralisateur (Responsible), lmputable (Accountable), Consult, lnform

b) Ralisateur (Responsible), Atteignable, Consult, lnform
c) Raliste, lmputable (Accountable), Consult, lnform
ci) Ralisateur (Responsible), lmputable (Accountable), Corrig, lnform

-1.. Pli'il':l lr:s

ti:*xiir":lis*s sl":ivar:t*s clls qt"l;rre

a) Planifier, Mesurer, Surveiller, Rapporter
b) Planifier, Vrifier, Ragir, lmplmenter
c) Planifier, Faire, Agir, Auditer
d) Planifier, Faire, Vrifier, Agir

"

*t*p*s sl* del* *i* i)*;:"rlng, i;qu*il* *st Cfri1fCi[

Lefl**i {i:s,*i*ryt*i}tl:^..liir**is r:'*si uiii} pl"si} *u *Vei* **

r",i*

d*s s*ruir*s l'

a) Exploitation des services

b) Conception des services
c) Ralisation des services
d) Stratgie des services

ti,

ilalrni l*s ear;tiriiriqu{-i rL{i'ri}nTt,s,

str'iiirililt s* rLrssiT* ?

i*r"1t.iclie

'l . ll est neutre vis--vis des fournisseurs

2. ll n'est pas prescriptif
3. il s'agit des meilleures pratiques
4 C'est une norme
a) 3 seulement
b) 1, 2 et 3 seulement
c) Toutes les caractristiques
d) 2, 3 et 4 seulement

r*

itsqu*l1e;:cr-,i;1c

r:r:tli;ilti*u*

d'iii",

'i. {i*',lrt"c*
a)
b)
c)
d)
fi.

Le
Le
Le
Le

Comit
Comit
Comit
Comit

l^a

a)
b)
c)
d)

).

dens

iiL }

1* 1::-l:e

ers*;

Ce 6r:sti*rr C*s

Push / Pull
Big Bang / par tapes
Automatique / Manuel
Temporaire / Permanent

L'Utilit et la
L'Utilit et la
L'Utilit et la
L'Utilil et la

tril" u*is s*i"vices

i}'r*r*i

d'lmplmentation des Changements

Consultatif des Changements
Stratgique des Changements
Oprationnel des Changements

v* je iir *r.*siri*ls d'un

a)
b)
c)
d)

I i.

iir;rnge *orisr-.ry

i-e**i:il*,;ie c*s fr'ir lrris:;l!r\js Lif ier;l*i,:':**t lf f lilJ Pi1,5.i:.:rr

c*pi*i*rti*ntp rT dc; lni;r: rn prrducr:en ?

a)
b)
c)
d)
t].

*1t.;e 1*: {l.

tfl

r*rvire est eiilni* p;i

Capacit
Disponibilit
Garantie
Continuit

S*tiT

)r\S

indlqss d;:rs

lr

prr""cfr'trill,.

,.ric*s

Les services retirs

Les services du catalogue de services
Les services du pipeline
Aucun. Tous les services sont dans le podefeuille de services.

Ii,rrrs q,",iiri l:iii lr: nr*di,* Il{i *ii-ri xlili** ?

a) Documenter les rles et responsabilits des parties prenantes dans un
processus ou une activit
b) Dfinir les besoins pour un nouveau service ou un processus
c) Analyser I'impact business d'un incident
d) Crer un tableau de bord quilibr montrant le statut global de la gestion des
services

Lx,-:,,*i il';i il:clrt*i:rl lr.l;t.*r-;t.s s*r ia i:r**ti*ri r-** l,;,li**r l,*i *g 1:t't",ii*t t:r: {it1[:{I
a) La perception du client par rapport au service est un facteur important de la
cration de la valeur.
b) La valeur d'un service ne peut tre mesure qu'en termes financiers
c) L'obtention de rsultats par le fournisseur de services est importante pour la
valeur d'un service
d) Les prfrences du fournisseur de service faonnent la perception de la valeur
d'un service

13. i-*qx*i ,.j*s **rnr.s rr:ivants cst Ctil;T[:':i p*ur i*U"i';:t'.*resuus

l}

a) La dfinition des fonctions fait partie de sa conception

b) ll dlivre des rsultats un client ou une partie prenante
c) ll est effectu par un fournisseur de services externe pour soutenir un client
d) ll est une unit organisationnelle responsable de rsultats spcifiques

i.. rrrrcl

ilr*i*sr-Js siri.r;\$n l*q**i r:r: l.tit pi

a) La gestion financire
b) La gestion de Ia demande
c) La gestion de la capacit
d) La gestion du portefeuille de services
l,rr:<

f)*:iir d* i* ph*;r: dt ii iitl;li*gii: i"i*i l*r';ice:

L*

*alal,*os1r..i*

a)
b)
c)
d)

La
La
La
La

d*;*rr,;i*rs c*1p*it
vue
vue
vue
vue

? r,,-**: L:,. -"-::,1.';

,'

client et la vue fournisseur

client et la vue utilisateur
client et la vue technique
technique et la vue fournisseur

i i:" *,ir* *,1,1r"ri{it l* sigie lli- ?

a) lnformation Technology lnfrastructure Label
b) lnfrastructures Technology lnformation Library
c) lnformation Technology Infrastructure Library
d) lnformation Technlcal lnfrastructure Library

ii" *i**li*r Ect-rt i'rs ri {*r:tti*ns de l* phas* ['(nlq,lari-1n ;;:u;::trs

a) La gestion des applications, la gestion technique, le centre de services, la gestion des oprations lT
b) La gestion des vnements, la gestion des incidents, la gestion des problmes, la gestion des accs
c) La gestion des applications, la gestion technique, la gestion des accs, la gestion des oprations lT
d) La gestion des applications, la gestion technique, le centre de services, la gestion des accs
ef

1ii, ;r;rj ies leractt'ri-itiq{"i,*s

1.
2.
3.
4.

5*ili.r"re,

laqueii* *u l*squr:il,i:s l+nt

i*l

lxrart*ristiqu *n*n

rssu

C'est un ensemble structur d'activits

Dclench par un vnement spcifique
Pouvant tre mesur
Cr au moment la Conception des services

a) let3seulement
b) , 2, el3 seulement
c) l et2seulement
d) Toutes
1

I ii,

rLii-l'l! is

a)
b)
c)
d)
ii).

tri,ir*lsi*g ;ivlr:1:;, l**u*l r'r';r6srr-1;iti",i l i-l pll;rrtl *i'txtioi;al*r"r del -r.*.r"uit*l

:!

La gestlon des lncidents

La gestion des Problmes
La gestion des Changements
La gestion des Evnements

l-*-;ii,,rl rj*s rr*,nr*: ':i :jtssr:l.q ijst r:;1 t\'*!*

jltLr:
a) SLA orient
b) SLA orient
c) SLA orient
d) SLA orient

priorit

technologie
localisation
client

d'*,r*rJ,Ji t:*;l*n ri* lerlct'ilt".), l*i qu* ':i*triT duns