Vous êtes sur la page 1sur 40

EXIN Information Security

Foundation basé sur la norme


ISO/IEC 27002
Exemple d’examen

Édition Juin 2016


Copyright © 2016 EXIN

All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system
or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.

Exemple d’examen EXIN Information Security


2
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Table des matières

Introduction 4
Exemple d’examen 5
Solution à l’examen 17
Évaluation 38

Exemple d’examen EXIN Information Security


3
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Introduction

Voici l’exemple d’examen EXIN Information Security Foundation basé sur la norme
ISO/IEC 27002. Les règles et réglementations d’examens EXIN s’appliquent à cet
examen.

Cet exemple d’examen consiste en 40 questions à choix multiples. Chaque question à


choix multiple comporte un certain nombre de réponses possibles dont seulement une
est correcte.

Le maximum de points qui peut être obtenu lors de l'examen est de 40. Chaque
réponse correcte rapporte un point. Si vous obtenez 26 points ou plus vous réussissez
votre examen.

Le temps alloué lors de l'examen est de 60 minutes.

Bonne chance !

Exemple d’examen EXIN Information Security


4
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Exemple d’examen

1 de 40

Quel est le lien entre les données et l'information ?

A. Les données sont des informations structurées.


B. L'information est la signification et la valeur affectées à un ensemble de données.

2 de 40

En vue d'obtenir une assurance contre l'incendie, un bureau d'administration doit


déterminer la valeur des données qu'il gère.

Quel facteur n'est pas important pour déterminer la valeur de données pour une
organisation ?

A. Le contenu des données.


B. La mesure dans laquelle des données manquantes, incomplètes ou incorrectes
peuvent être récupérées.
C. Le caractère indispensable des données pour les processus d’affaires.
D. L'importance des processus d'affaires qui font usage des données.

3 de 40

Un pirate informatique se procure l'accès à un serveur web et peut consulter, sur le


serveur, un fichier contenant des numéros de carte de crédit.

Lequel des principes de Confidentialité, Intégrité, Disponibilité (CIA) appliqués au


fichier des cartes de crédit a-t-il été enfreint ?

A. Disponibilité
B. Confidentialité
C. Intégrité

Exemple d’examen EXIN Information Security


5
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
4 de 40

Dans l'entreprise où vous travaillez, il y a une imprimante réseau dans le couloir. De


nombreux employés ne collectent pas immédiatement leurs documents imprimés et les
laissent sur l'imprimante.

Quelles en sont les conséquences pour la fiabilité de l’information ?

A. L'intégrité de l'information n'est plus garantie.


B. La disponibilité de l'information n'est plus garantie.
C. La confidentialité de l'information n'est plus garantie.

5 de 40

Une analyse des risques correctement menée fournit une grande quantité
d'informations utiles. Une analyse des risques a quatre objectifs.

Lequel des objectifs suivants ne fait pas partie des quatre objectifs principaux d'une
analyse des risques ?

A. Identification des actifs et de leur valeur


B. Mise en œuvre de contre-mesures
C. Établissement d'un équilibre entre les coûts d'un incident et les coûts d'une mesure
de sécurité.
D. Identification des vulnérabilités et des menaces en la matière

6 de 40

Un bureau d'administration s'apprête à déterminer les dangers auxquels il est exposé.

Comment appelle-t-on un évènement susceptible de se produire et de porter atteinte à


la fiabilité de l’information ?

A. dépendance
B. menace
C. vulnérabilité
D. risque

7 de 40

Quel est l’objectif de la gestion des risques ?

A. Déterminer la probabilité selon laquelle un risque peut se produire.


B. Déterminer le préjudice causé par d'éventuels incidents de sécurité.
C. Identifier, dans les grandes lignes, des menaces auxquelles les ressources
informatiques sont exposées.
D. Mettre en œuvre des mesures visant à réduire les risques à un niveau acceptable.

Exemple d’examen EXIN Information Security


6
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
8 de 40

L'entreprise que vous aviez créée il y a de cela quelques années, s'est développée,
passant de 1 à 20 employés. Les informations de votre entreprise prennent de plus en
plus de valeur et l'époque où vous pouviez conserver le contrôle est révolue. Vous
êtes conscient que vous devez prendre des mesures, mais lesquelles ? Vous engagez
un consultant qui vous conseille de débuter par une analyse des risques qualitative.

Qu'est-ce qu'une analyse qualitative des risques ?

A. Cette analyse applique un calcul de probabilité statistique précis afin de calculer


exactement les pertes entraînées par le préjudice.
B. Cette analyse se base sur des scénarios et situations et brosse un aperçu subjectif
des menaces possibles.

9 de 40

L'une des succursales de l'entreprise Midwest Insurance a été touchée par un


incendie. Les pompiers sont rapidement arrivés sur place et sont parvenus à éteindre
l'incendie avant qu'il ne s'étende et détruise l'ensemble des bâtiments. Toutefois, le
serveur a été détruit par l'incendie. Les bandes magnétiques de sauvegarde
conservées dans un autre local ont fondu et de nombreux autres documents ont été
perdus pour de bon.

Qu'est-ce qui constitue un exemple de préjudice indirect causé par cet incendie ?

A. Bandes magnétiques fondues


B. Systèmes informatiques détruits par le feu
C. Documents brûlés
D. Dégâts des eaux dus aux lances d'incendie

10 de 40

Vous êtes le propriétaire de l'entreprise de livraison SpeeDelivery. Vous avez effectué


une analyse des risques et désirez maintenant déterminer votre stratégie de gestion
des risques. Vous décidez de prendre des mesures à l'encontre des risques
importants, mais pas des risques mineurs.

Comment s’appelle cette stratégie de gestion des risques ?

A. Risque encouru
B. Risque évité
C. Risque neutre

Exemple d’examen EXIN Information Security


7
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
11 de 40

Parmi les exemples suivants, lequel constitue une menace humaine ?

A. Une clé USB transmet un virus au réseau.


B. Une quantité excessive de poussière accumulée dans le local du serveur.
C. Une fuite entraîne une panne de l'alimentation électrique.

12 de 40

Parmi les exemples suivants, lequel constitue une menace humaine ?

A. un impact de foudre
B. un incendie
C. l'hameçonnage (phishing)

13 de 40

Vous travaillez dans les bureaux d'une grande entreprise. Vous recevez un appel
d'une personne prétendant être du Centre d´assistance. Cette personne vous
demande votre mot de passe.

De quel type de menace s'agit-il ?

A. Menace naturelle
B. Menace organisationnelle
C. Ingénierie sociale

14 de 40

Un incendie éclate dans la succursale d'une entreprise d'assurance maladie. Le


personnel est transféré vers les succursales les plus proches pour y poursuivre son
travail.

À quel point du cycle de vie de l'incident trouve-t-on la prise de dispositions de


remplacement ?

A. entre la menace et l'incident


B. entre la reprise et la menace
C. entre le préjudice et la reprise
D. entre l'incident et le préjudice

Exemple d’examen EXIN Information Security


8
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
15 de 40

L'information présente un certain nombre d'aspects liés à la fiabilité. La fiabilité fait


l'objet d'une menace constante. Voici quelques exemples de menaces : un câble se
détache, une personne modifie des informations par accident, les données sont
utilisées à des fins privées ou falsifiées.

Lequel de ces exemples constitue une menace pour l'intégrité ?

A. un câble détaché
B. modification accidentelle de données
C. usage privé de données

16 de 40

Un membre du personnel nie avoir envoyé un certain message.

Quel aspect de la fiabilité de l’information se trouve en danger dans cette situation ?

A. disponibilité
B. exactitude
C. intégrité
D. confidentialité

17 de 40

Quelle est la meilleure manière de décrire l'objectif de la politique de sécurité de


l'information ?

A. Une politique de sécurité de l'information documente l'analyse des risques et la


recherche de contre-mesures.
B. Une politique de sécurité de l'information fournit à la direction un cadre en matière
de sécurité de l'information.
C. Une politique de sécurité de l'information concrétise le plan de sécurité en y
apportant les détails requis.
D. Une politique de sécurité de l'information fournit une meilleure compréhension des
menaces et des conséquences éventuelles.

Exemple d’examen EXIN Information Security


9
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
18 de 40

Un incident de sécurité concernant un serveur Web est signalé à un employé du


Centre d´assistance. Comme sa collègue a plus d'expérience avec les serveurs Web,
il lui transmet le dossier.

Quel terme décrit ce transfert ?

A. Escalade fonctionnelle
B. Escalade hiérarchique

19 de 40

Une employée d'une société d'assurance découvre que la date d'expiration d'une
police a été modifiée à son insu. Or, elle est la seul autorisée à apporter une telle
modification. Elle signale cet incident de sécurité au Centre d´assistance. L'employé
du Centre d´assistance enregistre les informations suivantes au sujet de cet incident :

• date et heure
• description de l'incident
• conséquences possibles de l'incident

Quelle information le plus importante relative à cet incident a été omise dans ce cas ?

A. le nom de la personne signalant l'incident


B. le nom du progiciel
C. le numéro du PC
D. une liste des personnes informées de l'incident

20 de 40

Le cycle de vie d'un incident se compose de quatre étapes successives.

Quelle étape suit l'étape Incident ?

A. Menace
B. Préjudice
C. Reprise

21 de 40

Laquelle des mesures ci-dessous constitue une mesure préventive ?

A. L'installation d'un système de journalisation qui permet de reconnaître les


changements apportés à un système.
B. La coupure de tout le trafic Internet après qu'un pirate informatique ait accédé aux
systèmes de l'entreprise.
C. Le stockage des informations sensibles dans un coffre.

Exemple d’examen EXIN Information Security


10
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
22 de 40

Des exemples ci-dessous lequel représente une mesure répressive en cas


d'incendie ?

A. Le fait de contracter une assurance contre l'incendie.


B. La lutte contre l'incendie lorsque ce dernier a été signalé par un détecteur.
C. La réparation des dégâts causés par l'incendie.

23 de 40

Quel est le but de la classification de l'information ?

A. La création d'un manuel sur la manière de traiter les appareils mobiles


B. L'attribution d'étiquettes pour faciliter l'identification de l'information
C. La structure de l'information selon sa sensibilité

24 de 40

Qui est autorisé à modifier la classification d'un document ?

A. L'auteur du document
B. L'administrateur du document
C. Le propriétaire du document
D. Le manager du propriétaire du document

25 de 40

L´accès à la salle des ordinateurs est protégé par un lecteur de carte. Seul le service
de Gestion des Systèmes dispose d'une carte d'accès.

De quel type de mesure de sécurité s'agit-il ?

A. une mesure de sécurité corrective


B. une mesure de sécurité physique
C. une mesure de sécurité logique
D. une mesure de sécurité répressive

Exemple d’examen EXIN Information Security


11
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
26 de 40

Une authentification poussée est requise pour accéder à des zones sous haute
protection. En cas d'authentification poussée, l'identité de la personne est vérifiée à
l'aide de trois facteurs.

Quel facteur est soumis à vérification lorsque l'on doit montrer sa carte d'accès ?

A. ce que vous êtes


B. ce que vous avez
C. ce que vous savez

27 de 40

Dans le cadre de la sécurité physique, plusieurs zones concentriques (anneaux de


protection) peuvent être appliquées et différentes mesures peuvent être prises pour
chacune d'entre-elle.

Qu'est-ce qui n'est pas considéré comme un anneau de protection ?

A. Bâtiment
B. Anneau médian
C. Objet
D. Anneau externe

28 de 40

Quelle menace peut se produire à cause de l'absence d'une mesure physique ?

A. Un utilisateur peut consulter les fichiers appartenant à un autre utilisateur.


B. Un serveur tombe en panne à cause d'une surchauffe.
C. Un document confidentiel est laissé sur l'imprimante.
D. Les pirates peuvent librement pénétrer dans le réseau informatique.

29 de 40

Des mesures de sécurité ci-dessous, laquelle constitue une mesure technique ?

A. L'attribution d'informations à un propriétaire


B. Le cryptage des fichiers
C. L'élaboration d'une politique définissant ce que les courriels peuvent contenir ou
non.
D. L'entreposage des mots de passe de gestion des systèmes dans un coffre

Exemple d’examen EXIN Information Security


12
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
30 de 40

Les sauvegardes du serveur central sont conservées dans le même local fermé à clé
que le serveur.

À quel risque l'organisation est-elle confrontée ?

A. Si le serveur se plante, cela prendra beaucoup de temps avant qu'il ne soit à


nouveau opérationnel.
B. En cas d'incendie, il sera impossible de rétablir le système dans son état premier.
C. Personne n'est responsable des sauvegardes.
D. Des personnes non autorisées ont facilement accès aux sauvegardes.

31 de 40

Quel type de logiciel malveillant établit un réseau d'ordinateurs contaminés ?

A. Une bombe logique (Logic Bomb)


B. Storm Worm ou Réseau zombie (Botnet)
C. Un programme troyen (Trojan)
D. Un logiciel espion (Spyware)

32 de 40

Dans une organisation, le responsable de la sécurité détecte que le poste de travail


d'un employé est infecté par un logiciel malveillant. Le logiciel malveillant a été installé
à l'occasion d'une attaque d'hameçonnage ciblée.

Quelle action est la plus efficace pour éviter qu´un tel incident se reproduise ?

A. La mise en œuvre de la technologie MAC


B. Le lancement d´un programme de conscience à la sécurité
C. La mise à jour des règles du pare-feu
D. La mise à jour des signatures du filtre anti pourriel

Exemple d’examen EXIN Information Security


13
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
33 de 40

Vous travaillez dans le service informatique d'une entreprise de taille moyenne. À


plusieurs reprises, des informations confidentielles sont tombées entre de mauvaises
mains. Cela a terni l´image de l'entreprise. Il vous a été demandé de proposer des
mesures de sécurité organisationnelle pour les ordinateurs portables de votre
entreprise.

Quelle est la première mesure que vous devriez prendre ?

A. Élaborer une politique concernant les supports mobiles (Assistants électroniques


de poche, ordinateurs portables, smartphones, clés USB)
B. Embaucher du personnel de sécurité
C. Crypter les disques durs des portables et les clés USB
D. Mettre en place une politique de contrôle d'accès

34 de 40

Quel est le nom du système qui garantit la cohérence de la sécurité de l'information


dans l'organisation ?

A. Système de Gestion de la Sécurité Informatique (ISMS)


B. Programme malveillant furtif
C. Règlementations de sécurité pour les informations spéciales du gouvernement

35 de 40

Comment s'appelle le processus selon lequel "l'exactitude de l'identité d'une personne


est déterminée" ?

A. Authentification
B. Autorisation
C. Identification

36 de 40

Pourquoi est-il nécessaire d'actualiser un plan de reprise après sinistre et de le tester


régulièrement ?

A. Afin de toujours avoir accès à des sauvegardes récentes qui sont situées à
l'extérieur du bureau.
B. Afin de pouvoir faire face aux anomalies rencontrées quotidiennement.
C. Parce que dans le cas contraire, et en cas de perturbation à répercutions
profondes, les mesures prises et les procédures de gestion des incidents prévues
peuvent s'avérer inadéquates ou obsolètes.
D. Parce que la loi sur la protection des données personnelles l'impose.

Exemple d’examen EXIN Information Security


14
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
37 de 40

Sur la base de quelle législation une personne peut-elle demander la consultation des
données enregistrées la concernant ?

A. Loi sur les documents publics


B. Loi sur la protection des données personnelles
C. Loi sur la criminalité informatique
D. Loi sur (l'accès public) aux informations gouvernementales

38 de 40

Des quatre exemples ci-dessous lequel constitue un exemple d'acte règlementaire ou


législatif portant sur la sécurité de l'information et pouvant être imposé à toutes les
organisations ?

A. Les droits de propriété intellectuelle


B. ISO/IEC 27001:2013
C. ISO/IEC 27002:2013
D. La loi sur la protection des données personnelles

39 de 40

Vous êtes le propriétaire de l'entreprise de livraison SpeeDelivery. Vous employez


quelques personnes, qui, dans l'attente d'une livraison à effectuer, peuvent se charger
d'autres tâches. Vous remarquez toutefois qu'elles utilisent ce temps pour lire et
envoyer des courriels personnels et pour surfer sur Internet.

Comment réguler l'utilisation d'Internet en respectant au mieux la législation ?

A. L'installation d'une application qui bloque l'accès à certains site Web et filtre les
pièces jointes aux courriels.
B. La rédaction d'un code de conduite relatif à l'usage d'internet et du courrier
électronique dans lequel les droits et obligations tant de l'employé que de
l'employeur sont stipulés.
C. La mise en œuvre d'un règlement portant sur la vie privée
D. L'installation d'un scanner anti-virus

Exemple d’examen EXIN Information Security


15
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
40 de 40

Dans quelles conditions un employeur a-t-il le droit de vérifier si Internet et le courrier


électronique sont utilisés à des fins privées ?

A. L'employeur a le droit de vérifier s'il en informe l'employé chaque fois qu'il a


procédé à une telle vérification.
B. L'employeur a le droit de vérifier si le personnel est conscient de la possibilité
d'une telle vérification.
C. L'employeur peut procéder à cette vérification si un pare-feu est également
installé.

Exemple d’examen EXIN Information Security


16
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Solution à l’examen

1 de 40

Quel est le lien entre les données et l'information ?

A. Les données sont des informations structurées.


B. L'information est la signification et la valeur affectées à un ensemble de données.

A. Incorrect. Les informations sont des données structurées.


B. Correct. L'information est constituée de données qui ont une signification pour le
destinataire dans un contexte déterminé. (Chapitre 3)

2 de 40

En vue d'obtenir une assurance contre l'incendie, un bureau d'administration doit


déterminer la valeur des données qu'il gère.

Quel facteur n'est pas important pour déterminer la valeur de données pour une
organisation ?

A. Le contenu des données.


B. La mesure dans laquelle des données manquantes, incomplètes ou incorrectes
peuvent être récupérées.
C. Le caractère indispensable des données pour les processus d’affaires.
D. L'importance des processus d'affaires qui font usage des données.

A. Correct. Le contenu des données ne détermine pas leur valeur. (Chapitre 4)


B. Incorrect. Des données manquantes, incomplètes ou incorrectes qu'il est facile de
récupérer ont moins de valeur que des données difficiles ou impossibles à récupérer.
C. Incorrect. Le caractère indispensable des données pour les processus d’affaires
détermine en partie leur valeur.
D. Incorrect. Pour cette raison, les données d'une importance capitale pour les
processus d'affaires ont de la valeur.

Exemple d’examen EXIN Information Security


17
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
3 de 40

Un pirate informatique se procure l'accès à un serveur web et peut consulter, sur le


serveur, un fichier contenant des numéros de carte de crédit.

Lequel des principes de Confidentialité, Intégrité, Disponibilité (CIA) appliqués au


fichier des cartes de crédit a-t-il été enfreint ?

A. Disponibilité
B. Confidentialité
C. Intégrité

A. Incorrect. Le pirate n'a d'aucune manière effacé le fichier ni interdit aux entités
autorisées d'y accéder, et donc la disponibilité n'a pas été mise à mal.
B. Correct. Le pirate a été en mesure de lire le fichier (confidentialité). (Chapitre 3)
C. Incorrect. Aucune information n'a été modifiée dans le fichier des cartes de crédit ;
en conséquence l'intégrité du fichier n'a pas été enfreinte.

4 de 40

Dans l'entreprise où vous travaillez, il y a une imprimante réseau dans le couloir. De


nombreux employés ne collectent pas immédiatement leurs documents imprimés et les
laissent sur l'imprimante.

Quelles en sont les conséquences pour la fiabilité de l’information ?

A. L'intégrité de l'information n'est plus garantie.


B. La disponibilité de l'information n'est plus garantie.
C. La confidentialité de l'information n'est plus garantie.

A. Incorrect. L'intégrité de l'information reste garantie car elle est imprimée sur papier.
B. Incorrect. L'information demeure disponible dans le système qui a été utilisé pour la
créer et l'imprimer.
C. Correct. L'information peut se retrouver entre les mains de personnes qui ne sont
pas censées y avoir accès et être lue par ces dernières. (Chapitre 3)

Exemple d’examen EXIN Information Security


18
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
5 de 40

Une analyse des risques correctement menée fournit une grande quantité
d'informations utiles. Une analyse des risques a quatre objectifs.

Lequel des objectifs suivants ne fait pas partie des quatre objectifs principaux d'une
analyse des risques ?

A. Identification des actifs et de leur valeur


B. Mise en œuvre de contre-mesures
C. Établissement d'un équilibre entre les coûts d'un incident et les coûts d'une mesure
de sécurité.
D. Identification des vulnérabilités et des menaces en la matière

A. Incorrect. Il s'agit de l'un des principaux objectifs d'une analyse des risques.
B. Correct. Cela ne constitue pas l'objectif d'une analyse des risques. Il est possible de
prendre des mesures lorsque l'on a déterminé les risques requérant des mesures de
sécurité dans le cadre d'une analyse des risques. (Chapitre 3)
C. Incorrect. Il s'agit de l'un des principaux objectifs d'une analyse des risques.
D. Incorrect. Il s'agit de l'un des principaux objectifs d'une analyse des risques.

6 de 40

Un bureau d'administration s'apprête à déterminer les dangers auxquels il est exposé.

Comment appelle-t-on un évènement susceptible de se produire et de porter atteinte à


la fiabilité de l’information ?

A. dépendance
B. menace
C. vulnérabilité
D. risque

A. Incorrect. Une dépendance n'est pas un évènement.


B. Correct. Une menace est un évènement susceptible de se produire et de porter
atteinte à la fiabilité de l’information. (Chapitre 3)
C. Incorrect. La vulnérabilité est la mesure dans laquelle un objet peut être la cible
d'une menace.
D. Incorrect. Un risque constitue un préjudice moyen prévu sur une période donnée,
découlant d'une ou plusieurs menaces menant à une ou plusieurs perturbations.

Exemple d’examen EXIN Information Security


19
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
7 de 40

Quel est l’objectif de la gestion des risques ?

A. Déterminer la probabilité selon laquelle un risque peut se produire.


B. Déterminer le préjudice causé par d'éventuels incidents de sécurité.
C. Identifier, dans les grandes lignes, des menaces auxquelles les ressources
informatiques sont exposées.
D. Mettre en œuvre des mesures visant à réduire les risques à un niveau acceptable.

A. Incorrect. Cela fait partie de l'analyse des risques.


B. Incorrect. Cela fait partie de l'analyse des risques.
C. Incorrect. Cela fait partie de l'analyse des risques.
D. Correct. La gestion des risques a pour objectif de réduire les risques à un niveau
acceptable. (Chapitre 3)

8 de 40

L'entreprise que vous aviez créée il y a de cela quelques années, s'est développée,
passant de 1 à 20 employés. Les informations de votre entreprise prennent de plus en
plus de valeur et l'époque où vous pouviez conserver le contrôle est révolue. Vous
êtes conscient que vous devez prendre des mesures, mais lesquelles ? Vous engagez
un consultant qui vous conseille de débuter par une analyse des risques qualitative.

Qu'est-ce qu'une analyse qualitative des risques ?

A. Cette analyse applique un calcul de probabilité statistique précis afin de calculer


exactement les pertes entraînées par le préjudice.
B. Cette analyse se base sur des scénarios et situations et brosse un aperçu subjectif
des menaces possibles.

A. Incorrect. Dans une analyse des risques quantitative, l'on tente de déterminer
quantitativement les probabilités concernant divers évènements et l'étendue probable
des pertes lorsqu'un évènement particulier se produit.
B. Correct. Une analyse des risques qualitative implique la définition de diverses
menaces, la détermination du degré de vulnérabilité et l'élaboration de contre-mesures
dans l'éventualité d'une attaque. (Chapitre 3)

Exemple d’examen EXIN Information Security


20
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
9 de 40

L'une des succursales de l'entreprise Midwest Insurance a été touchée par un


incendie. Les pompiers sont rapidement arrivés sur place et sont parvenus à éteindre
l'incendie avant qu'il ne s'étende et détruise l'ensemble des bâtiments. Toutefois, le
serveur a été détruit par l'incendie. Les bandes magnétiques de sauvegarde
conservées dans un autre local ont fondu et de nombreux autres documents ont été
perdus pour de bon.

Qu'est-ce qui constitue un exemple de préjudice indirect causé par cet incendie ?

A. Bandes magnétiques fondues


B. Systèmes informatiques détruits par le feu
C. Documents brûlés
D. Dégâts des eaux dus aux lances d'incendie

A. Incorrect. La fonte des bandes magnétiques constitue un préjudice direct causé par
l'incendie.
B. Incorrect. La destruction par le feu des systèmes informatiques constitue un
préjudice direct causé par l'incendie.
C. Incorrect. La destruction par le feu des documents constitue un préjudice direct
causé par l'incendie.
D. Correct. Les dégâts causés par l'eau des lances d'incendie constituent un préjudice
indirect de l'incendie. Il s'agit d'un effet secondaire de la lutte contre l'incendie visant à
réduire au minimum les dégâts causés par l'incendie. (Chapitre 3)

10 de 40

Vous êtes le propriétaire de l'entreprise de livraison SpeeDelivery. Vous avez effectué


une analyse des risques et désirez maintenant déterminer votre stratégie de gestion
des risques. Vous décidez de prendre des mesures à l'encontre des risques
importants, mais pas des risques mineurs.

Comment s’appelle cette stratégie de gestion des risques ?

A. Risque encouru
B. Risque évité
C. Risque neutre

A. Correct. Cela implique que certains risques sont assumés. (Chapitre 3)


B. Incorrect. Cela implique que des mesures sont prises de manière à neutraliser la
menace au point où elle ne cause plus d'incident.
C. Incorrect. Cela signifie que les mesures de sécurité sont prises soit pour éviter que
les menaces ne se produisent, soit pour en réduire au minimum les préjudices si les
menaces se produisent.

Exemple d’examen EXIN Information Security


21
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
11 de 40

Parmi les exemples suivants, lequel constitue une menace humaine ?

A. Une clé USB transmet un virus au réseau.


B. Une quantité excessive de poussière accumulée dans le local du serveur.
C. Une fuite entraîne une panne de l'alimentation électrique.

A. Correct. Une clé USB est toujours insérée par une personne. Ainsi, si ce geste fait
pénétrer un virus sur le réseau, il s'agit d'une menace humaine. (Chapitre 3)
B. Incorrect. La poussière n'est pas une menace humaine, mais une menace non-
humaine.
C. Incorrect. Une fuite n'est pas une menace humaine, mais une menace non-
humaine.

12 de 40

Parmi les exemples suivants, lequel constitue une menace humaine ?

A. un impact de foudre
B. un incendie
C. l'hameçonnage (phishing)

A. Incorrect. Un impact de foudre est un exemple de menace non-humaine.


B. Incorrect. Un incendie est un exemple de menace non-humaine.
C. Correct. Le hameçonnage (le fait d'attirer des utilisateurs sur de faux sites Web) est
une forme de menace humaine. (Chapitre 3)

Exemple d’examen EXIN Information Security


22
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
13 de 40

Vous travaillez dans les bureaux d'une grande entreprise. Vous recevez un appel
d'une personne prétendant être du Centre d´assistance. Cette personne vous
demande votre mot de passe.

De quel type de menace s'agit-il ?

A. Menace naturelle
B. Menace organisationnelle
C. Ingénierie sociale

A. Incorrect. Un appel téléphonique est une action humaine et non une menace
naturelle.
B. Incorrect. Le terme "menace organisationnelle" n'est pas un terme répandu pour
désigner un type de menace.
C. Correct. Le fait d'utiliser les bonnes expressions ou les nom de personnes connues
ou de leur services crée un climat de confiance que l'on aurait avec un collègue, alors
que l'opération a pour objectif de soutirer des secrets d'entreprise ou commerciaux. Il
est préférable de vérifier si vous vous adressez effectivement au Centre d´assistance.
Un employé du Centre d´assistance ne vous demandera jamais votre mot de passe.
(Chapitre 3)

14 de 40

Un incendie éclate dans la succursale d'une entreprise d'assurance maladie. Le


personnel est transféré vers les succursales les plus proches pour y poursuivre son
travail.

À quel point du cycle de vie de l'incident trouve-t-on la prise de dispositions de


remplacement ?

A. entre la menace et l'incident


B. entre la reprise et la menace
C. entre le préjudice et la reprise
D. entre l'incident et le préjudice

A. Incorrect. Il est très onéreux de prendre des dispositions de remplacement sans


incident.
B. Incorrect. La reprise a lieu après l'application d'une disposition de remplacement.
C. Incorrect. Le préjudice et la reprise sont de fait limités par les dispositions de
remplacement.
D. Correct. Une disposition de remplacement est une mesure corrective mise en
œuvre afin de limiter les préjudices. (Chapitre 3)

Exemple d’examen EXIN Information Security


23
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
15 de 40

L'information présente un certain nombre d'aspects liés à la fiabilité. La fiabilité fait


l'objet d'une menace constante. Voici quelques exemples de menaces : un câble se
détache, une personne modifie des informations par accident, les données sont
utilisées à des fins privées ou falsifiées.

Lequel de ces exemples constitue une menace pour l'intégrité ?

A. un câble détaché
B. modification accidentelle de données
C. usage privé de données

A. Incorrect. Un câble déconnecté constitue une menace pour la disponibilité de


l'information.
B. Correct. La modification accidentelle de données constitue une menace pour leur
intégrité.
C. Incorrect. L'utilisation de données à des fins privées est un type d'abus et constitue
une menace pour la confidentialité. (Chapitre 3)

16 de 40

Un membre du personnel nie avoir envoyé un certain message.

Quel aspect de la fiabilité de l’information se trouve en danger dans cette situation ?

A. disponibilité
B. exactitude
C. intégrité
D. confidentialité

A. Incorrect. La surcharge de l'infrastructure constitue un exemple de menace de la


disponibilité.
B. Incorrect. L'exactitude ne constitue pas un aspect de la fiabilité. C'est une
caractéristique de l'intégrité.
C. Correct. La négation de l'envoi d'un message a trait à la non-répudiation, une
menace pour l'intégrité. (Chapitre 3)
D. Incorrect. L'abus et/ou la divulgation de données constitue une menace pour la
confidentialité.

Exemple d’examen EXIN Information Security


24
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
17 de 40

Quelle est la meilleure manière de décrire l'objectif de la politique de sécurité de


l'information ?

A. Une politique de sécurité de l'information documente l'analyse des risques et la


recherche de contre-mesures.
B. Une politique de sécurité de l'information fournit à la direction un cadre en matière
de sécurité de l'information.
C. Une politique de sécurité de l'information concrétise le plan de sécurité en y
apportant les détails requis.
D. Une politique de sécurité de l'information fournit une meilleure compréhension des
menaces et des conséquences éventuelles.

A. Incorrect. L'analyse des risques et la recherche de contre-mesures est le but de


l'analyse des risques et de la gestion des risques.
B. Correct. La politique de sécurité fournit à la direction un cadre en matière de
sécurité de l'information. (Chapitre 5)
C. Incorrect. Le plan de sécurité concrétise la politique de sécurité de l'information. Le
plan stipule les mesures choisies, qui est responsable de quoi, les directives de mise
en œuvre des mesures, etc.
D. Incorrect. L'objectif d'une analyse de menace est de fournir une meilleure
compréhension des menaces et des conséquences éventuelles.

18 de 40

Un incident de sécurité concernant un serveur Web est signalé à un employé du


Centre d´assistance. Comme sa collègue a plus d'expérience avec les serveurs Web,
il lui transmet le dossier.

Quel terme décrit ce transfert ?

A. Escalade fonctionnelle
B. Escalade hiérarchique

A. Correct. Si l'employé du Centre d´assistance n'est pas capable de traiter


personnellement l'incident, ce dernier peut être signalé à une personne plus experte
pouvant éventuellement résoudre le problème. Cela s'appelle une escalade
fonctionnelle (horizontale). (Chapitre 16)
B. Incorrect. Cela s'appelle une escalade fonctionnelle (horizontale). On parle
d'escalade hiérarchique lorsqu'une tâche est transférée à une personne possédant
plus d'autorité.

Exemple d’examen EXIN Information Security


25
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
19 de 40

Une employée d'une société d'assurance découvre que la date d'expiration d'une
police a été modifiée à son insu. Or, elle est la seul autorisée à apporter une telle
modification. Elle signale cet incident de sécurité au Centre d´assistance. L'employé
du Centre d´assistance enregistre les informations suivantes au sujet de cet incident :

• date et heure
• description de l'incident
• conséquences possibles de l'incident

Quelle information le plus importante relative à cet incident a été omise dans ce cas ?

A. le nom de la personne signalant l'incident


B. le nom du progiciel
C. le numéro du PC
D. une liste des personnes informées de l'incident

A. Correct. Lors du signalement d'un incident, il convient, au minimum, de noter le nom


de la personne à l'origine du signalement. (Chapitre 16)
B. Incorrect. Il s'agit d´une information complémentaire pouvant être ajoutée
ultérieurement.
C. Incorrect. Il s'agit d´une information complémentaire pouvant être ajoutée
ultérieurement.
D. Incorrect. Il s'agit d´une information complémentaire pouvant être ajoutée
ultérieurement.

20 de 40

Le cycle de vie d'un incident se compose de quatre étapes successives.

Quelle étape suit l'étape Incident ?

A. Menace
B. Préjudice
C. Reprise

A. Incorrect. Le préjudice fait suite à l'incident. Le bon ordre des étapes est Menace,
Incident, Préjudice, Reprise.
B. Correct. L'ordre des étapes du cycle de vie d'un incident est : Menace, Incident,
Préjudice, Reprise. (Chapitre 16)
C. Incorrect. Le préjudice fait suite à l'incident. Le bon ordre des étapes est Menace,
Incident, Préjudice, Reprise.

Exemple d’examen EXIN Information Security


26
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
21 de 40

Laquelle des mesures ci-dessous constitue une mesure préventive ?

A. L'installation d'un système de journalisation qui permet de reconnaître les


changements apportés à un système.
B. La coupure de tout le trafic Internet après qu'un pirate informatique ait accédé aux
systèmes de l'entreprise.
C. Le stockage des informations sensibles dans un coffre.

A. Incorrect. Un système de journalisation permet uniquement d'étudier ce qui s'est


passé une fois que l'incident s'est produit. Il s'agit d'une mesure de détection visant à
détecter les incidents.
B. Incorrect. La coupure du trafic sur Internet est une mesure répressive visant à
limiter l'incident.
C. Correct. Un coffre est une mesure préventive, évitant que des dégâts puissent être
causés aux informations sensibles qui y sont entreposées. (Chapitre 3)

22 de 40

Des exemples ci-dessous lequel représente une mesure répressive en cas


d'incendie ?

A. Le fait de contracter une assurance contre l'incendie.


B. La lutte contre l'incendie lorsque ce dernier a été signalé par un détecteur.
C. La réparation des dégâts causés par l'incendie.

A. Incorrect. Contracter une assurance protège des conséquences financières d'un


incendie.
B. Correct. Cette mesure répressive minimise le préjudice entraîné par l'incendie.
(Chapitre 3)
C. Incorrect. Il ne s'agit pas d'une mesure répressive et cela ne réduit pas le préjudice
causé par l'incendie.

Exemple d’examen EXIN Information Security


27
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
23 de 40

Quel est le but de la classification de l'information ?

A. La création d'un manuel sur la manière de traiter les appareils mobiles


B. L'attribution d'étiquettes pour faciliter l'identification de l'information
C. La structure de l'information selon sa sensibilité

A. Incorrect. La création d'un manuel a trait aux guides de bonnes pratiques pour
l'utilisateur et ne constitue pas une classification de l'information.
B. Incorrect. L'attribution d'étiquettes à l'information constitue la désignation, une forme
de catégorisation de l'information qui fait suite à la classification.
C. Correct. La classification de l'information est utilisée pour définir les différents
niveaux de sensibilité selon lesquels l'information peut être structurée. (Chapitre 3 et 8)

24 de 40

Qui est autorisé à modifier la classification d'un document ?

A. L'auteur du document
B. L'administrateur du document
C. Le propriétaire du document
D. Le manager du propriétaire du document

A. Incorrect. L'auteur a le droit de modifier le contenu mais pas la classification d'un


document.
B. Incorrect. L'administrateur n'a pas le droit de modifier la classification d'un
document.
C. Correct. Le propriétaire doit s'assurer que l´actif est classifié ou que sa classification
est modifiée si nécessaire, et il est donc autorisé à modifier la classification d´un
document. (Chapitre 3 et 8)
D. Incorrect. Le manager du propriétaire du document n'a aucune autorité en la
matière.

Exemple d’examen EXIN Information Security


28
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
25 de 40

L´accès à la salle des ordinateurs est protégé par un lecteur de carte. Seul le service
de Gestion des Systèmes dispose d'une carte d'accès.

De quel type de mesure de sécurité s'agit-il ?

A. une mesure de sécurité corrective


B. une mesure de sécurité physique
C. une mesure de sécurité logique
D. une mesure de sécurité répressive

A. Incorrect. Une mesure de sécurité corrective est une mesure de récupération.


B. Correct. Il s'agit d'une mesure de sécurité physique. (Chapitre 3 et 11)
C. Incorrect. Une mesure de sécurité logique contrôle l'accès au logiciel et à
l'information et non l'accès physique aux locaux.
D. Incorrect. Une mesure répressive vise à minimiser les conséquences d'une
perturbation.

26 de 40

Une authentification poussée est requise pour accéder à des zones sous haute
protection. En cas d'authentification poussée, l'identité de la personne est vérifiée à
l'aide de trois facteurs.

Quel facteur est soumis à vérification lorsque l'on doit montrer sa carte d'accès ?

A. ce que vous êtes


B. ce que vous avez
C. ce que vous savez

A. Incorrect. Une carte d'accès ne constitue pas un exemple de ce que vous êtes.
B. Correct. Une carte d'accès constitue un exemple de ce que vous avez.
(Chapitre 11)
C. Incorrect. Une carte d'accès ne constitue pas un exemple de ce que vous savez.

Exemple d’examen EXIN Information Security


29
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
27 de 40

Dans le cadre de la sécurité physique, plusieurs zones concentriques (anneaux de


protection) peuvent être appliquées et différentes mesures peuvent être prises pour
chacune d'entre-elle.

Qu'est-ce qui n'est pas considéré comme un anneau de protection ?

A. Bâtiment
B. Anneau médian
C. Objet
D. Anneau externe

A. Incorrect. Un bâtiment constitue une zone valable et a trait à l'accès aux locaux.
B. Correct. Anneaux de protection : Anneau externe (zone autour des locaux),
Bâtiment (accès aux locaux), Espace de travail (Les salles dans les locaux, également
connus sous le nom "anneau intérieur"), Objet (l´actif à protéger).Un anneau médian,
cela n'existe pas. (Chapitre 11)
C. Incorrect. Un objet constitue une zone valable et a trait à l'actif devant être protégé.
D. Incorrect. Un anneau externe constitue une zone valable et a trait à la zone autour
des locaux.

28 de 40

Quelle menace peut se produire à cause de l'absence d'une mesure physique ?

A. Un utilisateur peut consulter les fichiers appartenant à un autre utilisateur.


B. Un serveur tombe en panne à cause d'une surchauffe.
C. Un document confidentiel est laissé sur l'imprimante.
D. Les pirates peuvent librement pénétrer dans le réseau informatique.

A. Incorrect. Le contrôle d'accès logique est une mesure technique évitant tout accès
non-autorisé aux documents d'autres utilisateurs.
B. Correct. La sécurité physique englobe la protection du matériel par le biais de la
régulation du climat (climatisation, hygrométrie). (Chapitre 11)
C. Incorrect. Une politique de sécurité devrait couvrir les règles stipulant la manière de
traiter les documents confidentiels. Tous les employés devraient être informés de cette
politique et mettre les règles en pratique. Il s'agit d'une mesure organisationnelle.
D. Incorrect. Le fait d'éviter que des pirates accèdent au réseau ou à un ordinateur
constitue une mesure technique.

Exemple d’examen EXIN Information Security


30
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
29 de 40

Des mesures de sécurité ci-dessous, laquelle constitue une mesure technique ?

A. L'attribution d'informations à un propriétaire


B. Le cryptage des fichiers
C. L'élaboration d'une politique définissant ce que les courriels peuvent contenir ou
non.
D. L'entreposage des mots de passe de gestion des systèmes dans un coffre

A. Incorrect. L'attribution d'une information à un propriétaire relève de la classification,


cette dernière étant une mesure organisationnelle.
B. Correct. ll s'agit d'une mesure technique qui évite que des personnes lisent des
informations pour lesquelles elles n'ont aucune autorisation. (Chapitre 6)
C. Incorrect. Il s'agit d'une mesure organisationnelle, un code de conduite intégré au
contrat d'embauche.
D. Incorrect. Il s'agit d'une mesure organisationnelle.

30 de 40

Les sauvegardes du serveur central sont conservées dans le même local fermé à clé
que le serveur.

À quel risque l'organisation est-elle confrontée ?

A. Si le serveur se plante, cela prendra beaucoup de temps avant qu'il ne soit à


nouveau opérationnel.
B. En cas d'incendie, il sera impossible de rétablir le système dans son état premier.
C. Personne n'est responsable des sauvegardes.
D. Des personnes non autorisées ont facilement accès aux sauvegardes.

A. Incorrect. Au contraire, cela contribuerait à accélérer la remise en fonctionnement


du système.
B. Correct. Le risque que les sauvegardes soient également détruites dans un
incendie est très élevé. (Chapitre 11)
C. Incorrect. La responsabilité n'a aucun rapport avec le lieu de stockage.
D. Incorrect. Le local dans lequel se trouve l'ordinateur est fermé à clé.

Exemple d’examen EXIN Information Security


31
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
31 de 40

Quel type de logiciel malveillant établit un réseau d'ordinateurs contaminés ?

A. Une bombe logique (Logic Bomb)


B. Storm Worm ou Réseau zombie (Botnet)
C. Un programme troyen
D. Un logiciel espion

A. Incorrect. Une bombe logique n'est pas toujours un logiciel malveillant. C'est un
ensemble de codes intégré à un système logiciel.
B. Correct. Un Storm Worm (ver) est un petit programme informatique qui à pour
objectif de se reproduire, et de diffuser ses copies en mettant à profit l'infrastructure de
réseau de son hôte. (Chapitre 12)
C. Incorrect. Outre la tâche qu'il semble exécuter, un programme troyen a pour objectif
d'exécuter des tâches secondaires à l'insu de l'utilisateur.
D. Incorrect. Un logiciel espion est un programme informatique qui collecte des
informations sur l'utilisateur de l'ordinateur et les communique à un tiers.

32 de 40

Dans une organisation, le responsable de la sécurité détecte que le poste de travail


d'un employé est infecté par un logiciel malveillant. Le logiciel malveillant a été installé
à l'occasion d'une attaque d'hameçonnage ciblée.

Quelle action est la plus efficace pour éviter qu´un tel incident se reproduise ?

A. La mise en œuvre de la technologie MAC


B. Le lancement d´un programme de conscience à la sécurité
C. La mise à jour des règles du pare-feu
D. La mise à jour des signatures du filtre anti pourriel

A. Incorrect. MAC a trait au contrôle d'accès ; cela n'évite en rien qu'un utilisateur soit
incité à entreprendre une action donnée suite à une attaque ciblée.
B. Correct. L'efficacité de cette menace réside dans l'inconscience de l'utilisateur.
Dans le cas de ce genre d'attaques, les utilisateurs sont incités à exécuter un code qui
enfreint la politique (par exemple, l'installation d'un logiciel douteux). Le fait d'aborder
ce genre d'attaques dans le cadre d'un programme de sensibilisation à la sécurité en
réduit le risque de répétition. (Chapitre 12)
C. Incorrect. Malgré tout, le pare-feu pourrait bloquer le trafic résultant de l'installation
du logiciel malveillant. Cependant, un pare-feu ne contribue pas à éviter que la
menace se reproduise.
D. Incorrect. L'attaque ciblée n'utilise pas nécessairement la messagerie électronique.
L'attaquant peut, par exemple, également utiliser les médias sociaux, voire le
téléphone, pour entrer en contact avec la victime

Exemple d’examen EXIN Information Security


32
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
33 de 40

Vous travaillez dans le service informatique d'une entreprise de taille moyenne. À


plusieurs reprises, des informations confidentielles sont tombées entre de mauvaises
mains. Cela a terni l´image de l'entreprise. Il vous a été demandé de proposer des
mesures de sécurité organisationnelle pour les ordinateurs portables de votre
entreprise.

Quelle est la première mesure que vous devriez prendre ?

A. Élaborer une politique concernant les supports mobiles (Assistants électroniques


de poche, ordinateurs portables, smartphones, clés USB)
B. Embaucher du personnel de sécurité
C. Crypter les disques durs des portables et les clés USB
D. Mettre en place une politique de contrôle d'accès

A. Correct. Une politique indiquant les modalités d'utilisation des média mobiles
constitue une mesure organisationnelle et des mesures de sécurité pour les
ordinateurs portables peuvent s'avérer obligatoires. (Chapitre 6)
B. Incorrect. L'embauche de personnel de sécurité constitue une mesure technique. Le
risque de fuite d'information demeure lorsqu'une personne fait sortir un ordinateur
portable du bureau.
C. Incorrect. Le cryptage des disques durs des portables et des clés USB constitue
une mesure technique. Cette opération peut être menée suite à une mesure
organisationnelle.
D. Incorrect. Une politique de contrôle d'accès constitue une mesure organisationnelle
qui couvre uniquement l'accès aux bâtiments ou aux systèmes informatiques.

34 de 40

Quel est le nom du système qui garantit la cohérence de la sécurité de l'information


dans l'organisation ?

A. Système de Gestion de la Sécurité Informatique (ISMS)


B. Programme malveillant furtif
C. Règlementations de sécurité pour les informations spéciales du gouvernement

A. Correct. L'ISMS est décrit dans ISO/IEC 27001. (Chapitre 3)


B. Incorrect. Un programme malveillant furtif est un ensemble d'outils logiciels souvent
utilisé par un tiers (généralement un pirate).
C. Incorrect. Il s'agit d'un ensemble de règles gouvernementales sur la manière de
traiter les informations spéciales.

Exemple d’examen EXIN Information Security


33
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
35 de 40

Comment s'appelle le processus selon lequel "l'exactitude de l'identité d'une personne


est déterminée" ?

A. Authentification
B. Autorisation
C. Identification

A. Correct. Le fait de déterminer si l'identité d'une personne est correcte s'appelle


l'authentification. (Chapitre 9)
B. Incorrect. L'attribution de droits d'accès à un ordinateur ou à un réseau s'appelle
autorisation.
C. Incorrect. L'identification est le fait de communiquer une identité.

36 de 40

Pourquoi est-il nécessaire d'actualiser un plan de reprise après sinistre et de le tester


régulièrement ?

A. Afin de toujours avoir accès à des sauvegardes récentes qui sont situées à
l'extérieur du bureau.
B. Afin de pouvoir faire face aux anomalies rencontrées quotidiennement.
C. Parce que dans le cas contraire, et en cas de perturbation à répercutions
profondes, les mesures prises et les procédures de gestion des incidents prévues
peuvent s'avérer inadéquates ou obsolètes.
D. Parce que la loi sur la protection des données personnelles l'impose.

A. Incorrect. Il s'agit de l'une des mesures techniques prises pour assurer la reprise
d'un système.
B. Incorrect. En cas de perturbation normale, les mesures généralement prises et les
procédures en cas d'incident sont suffisantes.
C. Correct. Une perturbation à répercussions profondes nécessite un plan éprouvé et
à jour. (Chapitre 17)
D. Incorrect. La loi sur la protection des données personnelles traite du caractère privé
des données personnelles.

Exemple d’examen EXIN Information Security


34
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
37 de 40

Sur la base de quelle législation une personne peut-elle demander la consultation des
données enregistrées la concernant ?

A. Loi sur les documents publics


B. Loi sur la protection des données personnelles
C. Loi sur la criminalité informatique
D. Loi sur (l'accès public) aux informations gouvernementales

A. Incorrect. La loi sur les documents publics réglemente le stockage et la destruction


des archives.
B. Correct. Le droit de consultation est réglementé par la loi sur la protection des
données personnelles. (Chapitre 18)
C. Incorrect. La loi sur la criminalité informatique facilitent le traitement d'infractions
perpétrées par le biais de technologies de l'information avancées. Le piratage
informatique constitue un exemple de nouvelle infraction.
D. Incorrect. La loi sur l'accès public aux informations gouvernementales réglemente la
consultation des écrits gouvernementaux. Les données personnelles ne constituent
pas un document gouvernemental.

38 de 40

Des quatre exemples ci-dessous lequel constitue un exemple d'acte règlementaire ou


législatif portant sur la sécurité de l'information et pouvant être imposé à toutes les
organisations ?

A. Les droits de propriété intellectuelle


B. ISO/IEC 27001:2013
C. ISO/IEC 27002:2013
D. La loi sur la protection des données personnelles

A. Incorrect. Cette règlementation n'est pas liée à la sécurité des informations pour les
organisations.
B. Incorrect. Il s'agit d'une norme comportant des directives s'adressant aux
organisations mettant en place un processus de sécurité de l'information.
C. Incorrect. Cette norme également connue sous le nom de "Code de bonne pratique
pour la sécurité de l'information" contient des directives en matière de politique et de
mesures de sécurité de l’information.
D. Correct. Toutes les organisations sont censées disposer d'une politique et de
procédures de protection des données personnelles, que chaque personne traitant des
données personnelles est censée connaître. (Chapitre 18)

Exemple d’examen EXIN Information Security


35
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
39 de 40

Vous êtes le propriétaire de l'entreprise de livraison SpeeDelivery. Vous employez


quelques personnes, qui, dans l'attente d'une livraison à effectuer, peuvent se charger
d'autres tâches. Vous remarquez toutefois qu'elles utilisent ce temps pour lire et
envoyer des courriels personnels et pour surfer sur Internet.

Comment réguler l'utilisation d'Internet en respectant au mieux la législation ?

A. L'installation d'une application qui bloque l'accès à certains site Web et filtre les
pièces jointes aux courriels.
B. La rédaction d'un code de conduite relatif à l'usage d'internet et du courrier
électronique dans lequel les droits et obligations tant de l'employé que de
l'employeur sont stipulés.
C. La mise en œuvre d'un règlement portant sur la vie privée
D. L'installation d'un scanner anti-virus

A. Incorrect. L'installation de ce type de logiciel régule partiellement l'utilisation


d'Internet et du courrier électronique. Il ne peut réguler le temps passé à un usage
privé. Il s'agit d'une mesure technique.
B. Correct. Dans un code de conduite, il est possible de déterminer l'utilisation
d'Internet et du courrier électronique, ainsi que la consultation des sites Web et la
mesure dans laquelle un usage privé est toléré. Il s'agit d'un règlement interne.
(Chapitre 18)
C. Incorrect. La règlementation sur le respect de la vie privée règlemente uniquement
l'usage des données personnelles du personnel et des clients, et non l'utilisation
d'Internet et du courrier électronique.
D. Incorrect. Un scanner anti-virus vérifie l'absence de logiciels malveillants dans les
courriels entrants et les connexions à Internet. Il ne régule pas l'utilisation d'Internet et
du courrier électronique. Il s'agit d'une mesure technique.

Exemple d’examen EXIN Information Security


36
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
40 de 40

Dans quelles conditions un employeur a-t-il le droit de vérifier si Internet et le courrier


électronique sont utilisés à des fins privées ?

A. L'employeur a le droit de vérifier s'il en informe l'employé chaque fois qu'il a


procédé à une telle vérification.
B. L'employeur a le droit de vérifier si le personnel est conscient de la possibilité
d'une telle vérification.
C. L'employeur peut procéder à cette vérification si un pare-feu est également
installé.

A. Incorrect. Il n’est pas nécessaire d'informer l'employé après chaque vérification.


B. Correct. Les employés doivent savoir que l'employeur a le droit de surveiller l'usage
des services informatiques. (Chapitre 3 et 18)
C. Incorrect. Un pare-feu protège des intrusions. Il n'influence en rien le droit de
l'employeur à surveiller l'usage des services informatiques.

Exemple d’examen EXIN Information Security


37
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Évaluation

Le tableau ci-dessous indique les bonnes réponses aux questions de cet exemple
d'examen.

numéro réponse points numéro réponse points


1 B 1 21 C 1
2 A 1 22 B 1
3 B 1 23 C 1
4 C 1 24 C 1
5 B 1 25 B 1
6 B 1 26 B 1
7 D 1 27 B 1
8 B 1 28 B 1
9 D 1 29 B 1
10 A 1 30 B 1
11 A 1 31 B 1
12 C 1 32 B 1
13 C 1 33 A 1
14 D 1 34 A 1
15 B 1 35 A 1
16 C 1 36 C 1
17 B 1 37 B 1
18 A 1 38 D 1
19 A 1 39 B 1
20 B 1 40 B 1

Exemple d’examen EXIN Information Security


38
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Exemple d’examen EXIN Information Security
39
Foundation basé sur la norme ISO/IEC 27002 (ISFS.FR)
Contacte EXIN

www.exin.com