Académique Documents
Professionnel Documents
Culture Documents
All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system
or circulated in any form by print, photo print, microfilm or any other means without written permission by EXIN.
Introduction 4
Exemple d’examen 5
Solution à l’examen 17
Évaluation 38
Voici l’exemple d’examen EXIN Information Security Foundation basé sur la norme
ISO/IEC 27002. Les règles et réglementations d’examens EXIN s’appliquent à cet
examen.
Le maximum de points qui peut être obtenu lors de l'examen est de 40. Chaque
réponse correcte rapporte un point. Si vous obtenez 26 points ou plus vous réussissez
votre examen.
Bonne chance !
1 de 40
2 de 40
Quel facteur n'est pas important pour déterminer la valeur de données pour une
organisation ?
3 de 40
A. Disponibilité
B. Confidentialité
C. Intégrité
5 de 40
Une analyse des risques correctement menée fournit une grande quantité
d'informations utiles. Une analyse des risques a quatre objectifs.
Lequel des objectifs suivants ne fait pas partie des quatre objectifs principaux d'une
analyse des risques ?
6 de 40
A. dépendance
B. menace
C. vulnérabilité
D. risque
7 de 40
L'entreprise que vous aviez créée il y a de cela quelques années, s'est développée,
passant de 1 à 20 employés. Les informations de votre entreprise prennent de plus en
plus de valeur et l'époque où vous pouviez conserver le contrôle est révolue. Vous
êtes conscient que vous devez prendre des mesures, mais lesquelles ? Vous engagez
un consultant qui vous conseille de débuter par une analyse des risques qualitative.
9 de 40
Qu'est-ce qui constitue un exemple de préjudice indirect causé par cet incendie ?
10 de 40
A. Risque encouru
B. Risque évité
C. Risque neutre
12 de 40
A. un impact de foudre
B. un incendie
C. l'hameçonnage (phishing)
13 de 40
Vous travaillez dans les bureaux d'une grande entreprise. Vous recevez un appel
d'une personne prétendant être du Centre d´assistance. Cette personne vous
demande votre mot de passe.
A. Menace naturelle
B. Menace organisationnelle
C. Ingénierie sociale
14 de 40
A. un câble détaché
B. modification accidentelle de données
C. usage privé de données
16 de 40
A. disponibilité
B. exactitude
C. intégrité
D. confidentialité
17 de 40
A. Escalade fonctionnelle
B. Escalade hiérarchique
19 de 40
Une employée d'une société d'assurance découvre que la date d'expiration d'une
police a été modifiée à son insu. Or, elle est la seul autorisée à apporter une telle
modification. Elle signale cet incident de sécurité au Centre d´assistance. L'employé
du Centre d´assistance enregistre les informations suivantes au sujet de cet incident :
• date et heure
• description de l'incident
• conséquences possibles de l'incident
Quelle information le plus importante relative à cet incident a été omise dans ce cas ?
20 de 40
A. Menace
B. Préjudice
C. Reprise
21 de 40
23 de 40
24 de 40
A. L'auteur du document
B. L'administrateur du document
C. Le propriétaire du document
D. Le manager du propriétaire du document
25 de 40
L´accès à la salle des ordinateurs est protégé par un lecteur de carte. Seul le service
de Gestion des Systèmes dispose d'une carte d'accès.
Une authentification poussée est requise pour accéder à des zones sous haute
protection. En cas d'authentification poussée, l'identité de la personne est vérifiée à
l'aide de trois facteurs.
Quel facteur est soumis à vérification lorsque l'on doit montrer sa carte d'accès ?
27 de 40
A. Bâtiment
B. Anneau médian
C. Objet
D. Anneau externe
28 de 40
29 de 40
Les sauvegardes du serveur central sont conservées dans le même local fermé à clé
que le serveur.
31 de 40
32 de 40
Quelle action est la plus efficace pour éviter qu´un tel incident se reproduise ?
34 de 40
35 de 40
A. Authentification
B. Autorisation
C. Identification
36 de 40
A. Afin de toujours avoir accès à des sauvegardes récentes qui sont situées à
l'extérieur du bureau.
B. Afin de pouvoir faire face aux anomalies rencontrées quotidiennement.
C. Parce que dans le cas contraire, et en cas de perturbation à répercutions
profondes, les mesures prises et les procédures de gestion des incidents prévues
peuvent s'avérer inadéquates ou obsolètes.
D. Parce que la loi sur la protection des données personnelles l'impose.
Sur la base de quelle législation une personne peut-elle demander la consultation des
données enregistrées la concernant ?
38 de 40
39 de 40
A. L'installation d'une application qui bloque l'accès à certains site Web et filtre les
pièces jointes aux courriels.
B. La rédaction d'un code de conduite relatif à l'usage d'internet et du courrier
électronique dans lequel les droits et obligations tant de l'employé que de
l'employeur sont stipulés.
C. La mise en œuvre d'un règlement portant sur la vie privée
D. L'installation d'un scanner anti-virus
1 de 40
2 de 40
Quel facteur n'est pas important pour déterminer la valeur de données pour une
organisation ?
A. Disponibilité
B. Confidentialité
C. Intégrité
A. Incorrect. Le pirate n'a d'aucune manière effacé le fichier ni interdit aux entités
autorisées d'y accéder, et donc la disponibilité n'a pas été mise à mal.
B. Correct. Le pirate a été en mesure de lire le fichier (confidentialité). (Chapitre 3)
C. Incorrect. Aucune information n'a été modifiée dans le fichier des cartes de crédit ;
en conséquence l'intégrité du fichier n'a pas été enfreinte.
4 de 40
A. Incorrect. L'intégrité de l'information reste garantie car elle est imprimée sur papier.
B. Incorrect. L'information demeure disponible dans le système qui a été utilisé pour la
créer et l'imprimer.
C. Correct. L'information peut se retrouver entre les mains de personnes qui ne sont
pas censées y avoir accès et être lue par ces dernières. (Chapitre 3)
Une analyse des risques correctement menée fournit une grande quantité
d'informations utiles. Une analyse des risques a quatre objectifs.
Lequel des objectifs suivants ne fait pas partie des quatre objectifs principaux d'une
analyse des risques ?
A. Incorrect. Il s'agit de l'un des principaux objectifs d'une analyse des risques.
B. Correct. Cela ne constitue pas l'objectif d'une analyse des risques. Il est possible de
prendre des mesures lorsque l'on a déterminé les risques requérant des mesures de
sécurité dans le cadre d'une analyse des risques. (Chapitre 3)
C. Incorrect. Il s'agit de l'un des principaux objectifs d'une analyse des risques.
D. Incorrect. Il s'agit de l'un des principaux objectifs d'une analyse des risques.
6 de 40
A. dépendance
B. menace
C. vulnérabilité
D. risque
8 de 40
L'entreprise que vous aviez créée il y a de cela quelques années, s'est développée,
passant de 1 à 20 employés. Les informations de votre entreprise prennent de plus en
plus de valeur et l'époque où vous pouviez conserver le contrôle est révolue. Vous
êtes conscient que vous devez prendre des mesures, mais lesquelles ? Vous engagez
un consultant qui vous conseille de débuter par une analyse des risques qualitative.
A. Incorrect. Dans une analyse des risques quantitative, l'on tente de déterminer
quantitativement les probabilités concernant divers évènements et l'étendue probable
des pertes lorsqu'un évènement particulier se produit.
B. Correct. Une analyse des risques qualitative implique la définition de diverses
menaces, la détermination du degré de vulnérabilité et l'élaboration de contre-mesures
dans l'éventualité d'une attaque. (Chapitre 3)
Qu'est-ce qui constitue un exemple de préjudice indirect causé par cet incendie ?
A. Incorrect. La fonte des bandes magnétiques constitue un préjudice direct causé par
l'incendie.
B. Incorrect. La destruction par le feu des systèmes informatiques constitue un
préjudice direct causé par l'incendie.
C. Incorrect. La destruction par le feu des documents constitue un préjudice direct
causé par l'incendie.
D. Correct. Les dégâts causés par l'eau des lances d'incendie constituent un préjudice
indirect de l'incendie. Il s'agit d'un effet secondaire de la lutte contre l'incendie visant à
réduire au minimum les dégâts causés par l'incendie. (Chapitre 3)
10 de 40
A. Risque encouru
B. Risque évité
C. Risque neutre
A. Correct. Une clé USB est toujours insérée par une personne. Ainsi, si ce geste fait
pénétrer un virus sur le réseau, il s'agit d'une menace humaine. (Chapitre 3)
B. Incorrect. La poussière n'est pas une menace humaine, mais une menace non-
humaine.
C. Incorrect. Une fuite n'est pas une menace humaine, mais une menace non-
humaine.
12 de 40
A. un impact de foudre
B. un incendie
C. l'hameçonnage (phishing)
Vous travaillez dans les bureaux d'une grande entreprise. Vous recevez un appel
d'une personne prétendant être du Centre d´assistance. Cette personne vous
demande votre mot de passe.
A. Menace naturelle
B. Menace organisationnelle
C. Ingénierie sociale
A. Incorrect. Un appel téléphonique est une action humaine et non une menace
naturelle.
B. Incorrect. Le terme "menace organisationnelle" n'est pas un terme répandu pour
désigner un type de menace.
C. Correct. Le fait d'utiliser les bonnes expressions ou les nom de personnes connues
ou de leur services crée un climat de confiance que l'on aurait avec un collègue, alors
que l'opération a pour objectif de soutirer des secrets d'entreprise ou commerciaux. Il
est préférable de vérifier si vous vous adressez effectivement au Centre d´assistance.
Un employé du Centre d´assistance ne vous demandera jamais votre mot de passe.
(Chapitre 3)
14 de 40
A. un câble détaché
B. modification accidentelle de données
C. usage privé de données
16 de 40
A. disponibilité
B. exactitude
C. intégrité
D. confidentialité
18 de 40
A. Escalade fonctionnelle
B. Escalade hiérarchique
Une employée d'une société d'assurance découvre que la date d'expiration d'une
police a été modifiée à son insu. Or, elle est la seul autorisée à apporter une telle
modification. Elle signale cet incident de sécurité au Centre d´assistance. L'employé
du Centre d´assistance enregistre les informations suivantes au sujet de cet incident :
• date et heure
• description de l'incident
• conséquences possibles de l'incident
Quelle information le plus importante relative à cet incident a été omise dans ce cas ?
20 de 40
A. Menace
B. Préjudice
C. Reprise
A. Incorrect. Le préjudice fait suite à l'incident. Le bon ordre des étapes est Menace,
Incident, Préjudice, Reprise.
B. Correct. L'ordre des étapes du cycle de vie d'un incident est : Menace, Incident,
Préjudice, Reprise. (Chapitre 16)
C. Incorrect. Le préjudice fait suite à l'incident. Le bon ordre des étapes est Menace,
Incident, Préjudice, Reprise.
22 de 40
A. Incorrect. La création d'un manuel a trait aux guides de bonnes pratiques pour
l'utilisateur et ne constitue pas une classification de l'information.
B. Incorrect. L'attribution d'étiquettes à l'information constitue la désignation, une forme
de catégorisation de l'information qui fait suite à la classification.
C. Correct. La classification de l'information est utilisée pour définir les différents
niveaux de sensibilité selon lesquels l'information peut être structurée. (Chapitre 3 et 8)
24 de 40
A. L'auteur du document
B. L'administrateur du document
C. Le propriétaire du document
D. Le manager du propriétaire du document
L´accès à la salle des ordinateurs est protégé par un lecteur de carte. Seul le service
de Gestion des Systèmes dispose d'une carte d'accès.
26 de 40
Une authentification poussée est requise pour accéder à des zones sous haute
protection. En cas d'authentification poussée, l'identité de la personne est vérifiée à
l'aide de trois facteurs.
Quel facteur est soumis à vérification lorsque l'on doit montrer sa carte d'accès ?
A. Incorrect. Une carte d'accès ne constitue pas un exemple de ce que vous êtes.
B. Correct. Une carte d'accès constitue un exemple de ce que vous avez.
(Chapitre 11)
C. Incorrect. Une carte d'accès ne constitue pas un exemple de ce que vous savez.
A. Bâtiment
B. Anneau médian
C. Objet
D. Anneau externe
A. Incorrect. Un bâtiment constitue une zone valable et a trait à l'accès aux locaux.
B. Correct. Anneaux de protection : Anneau externe (zone autour des locaux),
Bâtiment (accès aux locaux), Espace de travail (Les salles dans les locaux, également
connus sous le nom "anneau intérieur"), Objet (l´actif à protéger).Un anneau médian,
cela n'existe pas. (Chapitre 11)
C. Incorrect. Un objet constitue une zone valable et a trait à l'actif devant être protégé.
D. Incorrect. Un anneau externe constitue une zone valable et a trait à la zone autour
des locaux.
28 de 40
A. Incorrect. Le contrôle d'accès logique est une mesure technique évitant tout accès
non-autorisé aux documents d'autres utilisateurs.
B. Correct. La sécurité physique englobe la protection du matériel par le biais de la
régulation du climat (climatisation, hygrométrie). (Chapitre 11)
C. Incorrect. Une politique de sécurité devrait couvrir les règles stipulant la manière de
traiter les documents confidentiels. Tous les employés devraient être informés de cette
politique et mettre les règles en pratique. Il s'agit d'une mesure organisationnelle.
D. Incorrect. Le fait d'éviter que des pirates accèdent au réseau ou à un ordinateur
constitue une mesure technique.
30 de 40
Les sauvegardes du serveur central sont conservées dans le même local fermé à clé
que le serveur.
A. Incorrect. Une bombe logique n'est pas toujours un logiciel malveillant. C'est un
ensemble de codes intégré à un système logiciel.
B. Correct. Un Storm Worm (ver) est un petit programme informatique qui à pour
objectif de se reproduire, et de diffuser ses copies en mettant à profit l'infrastructure de
réseau de son hôte. (Chapitre 12)
C. Incorrect. Outre la tâche qu'il semble exécuter, un programme troyen a pour objectif
d'exécuter des tâches secondaires à l'insu de l'utilisateur.
D. Incorrect. Un logiciel espion est un programme informatique qui collecte des
informations sur l'utilisateur de l'ordinateur et les communique à un tiers.
32 de 40
Quelle action est la plus efficace pour éviter qu´un tel incident se reproduise ?
A. Incorrect. MAC a trait au contrôle d'accès ; cela n'évite en rien qu'un utilisateur soit
incité à entreprendre une action donnée suite à une attaque ciblée.
B. Correct. L'efficacité de cette menace réside dans l'inconscience de l'utilisateur.
Dans le cas de ce genre d'attaques, les utilisateurs sont incités à exécuter un code qui
enfreint la politique (par exemple, l'installation d'un logiciel douteux). Le fait d'aborder
ce genre d'attaques dans le cadre d'un programme de sensibilisation à la sécurité en
réduit le risque de répétition. (Chapitre 12)
C. Incorrect. Malgré tout, le pare-feu pourrait bloquer le trafic résultant de l'installation
du logiciel malveillant. Cependant, un pare-feu ne contribue pas à éviter que la
menace se reproduise.
D. Incorrect. L'attaque ciblée n'utilise pas nécessairement la messagerie électronique.
L'attaquant peut, par exemple, également utiliser les médias sociaux, voire le
téléphone, pour entrer en contact avec la victime
A. Correct. Une politique indiquant les modalités d'utilisation des média mobiles
constitue une mesure organisationnelle et des mesures de sécurité pour les
ordinateurs portables peuvent s'avérer obligatoires. (Chapitre 6)
B. Incorrect. L'embauche de personnel de sécurité constitue une mesure technique. Le
risque de fuite d'information demeure lorsqu'une personne fait sortir un ordinateur
portable du bureau.
C. Incorrect. Le cryptage des disques durs des portables et des clés USB constitue
une mesure technique. Cette opération peut être menée suite à une mesure
organisationnelle.
D. Incorrect. Une politique de contrôle d'accès constitue une mesure organisationnelle
qui couvre uniquement l'accès aux bâtiments ou aux systèmes informatiques.
34 de 40
A. Authentification
B. Autorisation
C. Identification
36 de 40
A. Afin de toujours avoir accès à des sauvegardes récentes qui sont situées à
l'extérieur du bureau.
B. Afin de pouvoir faire face aux anomalies rencontrées quotidiennement.
C. Parce que dans le cas contraire, et en cas de perturbation à répercutions
profondes, les mesures prises et les procédures de gestion des incidents prévues
peuvent s'avérer inadéquates ou obsolètes.
D. Parce que la loi sur la protection des données personnelles l'impose.
A. Incorrect. Il s'agit de l'une des mesures techniques prises pour assurer la reprise
d'un système.
B. Incorrect. En cas de perturbation normale, les mesures généralement prises et les
procédures en cas d'incident sont suffisantes.
C. Correct. Une perturbation à répercussions profondes nécessite un plan éprouvé et
à jour. (Chapitre 17)
D. Incorrect. La loi sur la protection des données personnelles traite du caractère privé
des données personnelles.
Sur la base de quelle législation une personne peut-elle demander la consultation des
données enregistrées la concernant ?
38 de 40
A. Incorrect. Cette règlementation n'est pas liée à la sécurité des informations pour les
organisations.
B. Incorrect. Il s'agit d'une norme comportant des directives s'adressant aux
organisations mettant en place un processus de sécurité de l'information.
C. Incorrect. Cette norme également connue sous le nom de "Code de bonne pratique
pour la sécurité de l'information" contient des directives en matière de politique et de
mesures de sécurité de l’information.
D. Correct. Toutes les organisations sont censées disposer d'une politique et de
procédures de protection des données personnelles, que chaque personne traitant des
données personnelles est censée connaître. (Chapitre 18)
A. L'installation d'une application qui bloque l'accès à certains site Web et filtre les
pièces jointes aux courriels.
B. La rédaction d'un code de conduite relatif à l'usage d'internet et du courrier
électronique dans lequel les droits et obligations tant de l'employé que de
l'employeur sont stipulés.
C. La mise en œuvre d'un règlement portant sur la vie privée
D. L'installation d'un scanner anti-virus
Le tableau ci-dessous indique les bonnes réponses aux questions de cet exemple
d'examen.
www.exin.com