EXERCICES

SUPPLEMENTAIRES

CHAPITRE 1
Exercice 1.12
Définir la notion d'intégrité des données ainsi que les objectifs du contrôle d'intégrité.

Réponse
L’intégrité est l’état d’une chose qui est demeurée intacte. Pour ce qui concerne des données,
l’objectif du contrôle d’intégrité est de vérifier qu’elles n’ont pas été altérées tant de façon
intentionnelle qu’accidentelle.

Exercice 1.13
Quelles relations existent entre les critères d’intégrité et de confidentialité ?

Réponse
La confidentialité des données est le maintien du secret des informations. L’information n’a pas été
modifiée de manière non autorisée (intégrité), l’information n’est pas compréhensible par des
personnes non autorisées (confidentialité).
Les critères d’intégrité et de confidentialité sont complémentaires, lorsqu’ils sont réalisés par des
fonctions ad hoc de sécurité, ils permettent de développer la confiance dans la véracité de
l’information.

Exercice 1.14
Dans quelle mesure la notion de qualité des données est-elle liée à celle de sécurité ?

Réponse
La qualité est généralement une caractéristique d’excellence, reflétant une valeur, une compétence.
Dans la mesure où des données possèdent un certain degré de sécurité et satisfont des exigences de
disponibilité, d’intégrité ou de confidentialité, elles possèdent un degré intrinsèque de qualité et elles
permettent d’offrir des services de qualité.
En respectant les critères de sécurité, la satisfaction d’exigences de la qualité comme la justesse et la
fiabilité, peuvent être réalisées.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 1 sur 23

Exercice 1.15
Parmi les critères de sécurité suivants, lequel n’est pas adapté à un système d’information ?
A) Confidentialité B) Intégrité C) Insolvabilité D) Non-répudiation

Réponse : C

Exercice 1.16
Dans quelle mesure peut-on considérer des principes d’éthique comme faisant partie d’une démarche
de sécurité informatique ?

Réponse
Le dictionnaire nous rappelle que « l’éthique est la science de la morale, l’art de diriger la conduite ».
Les qualités morales des acteurs qui conçoivent, gèrent, mettent en place, utilisent les systèmes
informatiques sont nécessaires pour assurer les critères techniques de sécurité. On ne peut assurer
l’intégrité ou la confidentialité des données par exemple, si les personnes qui sont habilitées à les
manipuler ne sont pas intègres ou sont malveillantes. L’humain est toujours le maillon faible de la
chaîne sécuritaire mais il peut être également producteur de sécurité à condition qu’il respecte une
certaine éthique compatible avec les valeurs de sécurité de l’environnement dans lequel il opère.

Exercice 1.17
Comment est-ce que la cybercriminalité peut affecter l’intégrité morale et physique d’un individu ?

Réponse
Par des actions portant atteintes aux personnes de manière directe ou indirecte ayant des impacts
psychologiques (diffamation, harcèlement, manipulation, chantage, escroquerie économique,
escroquerie sentimentale, diffusion de contenus choquants, atteintes pouvant conduire la personne au
suicide…) ou par le biais de cyberactions sur des environnements physiques qui mettent en danger
les personnes (accidents, explosion, déraillement d’un train, prise de contrôle à distance d’un moyen
de transport, crash d’un avion…).

CHAPITRE 2
Exercice 2.16
Sur quels principes se fonde la réalisation d’attaques informatiques ?

Réponse
La réalisation d’attaques informatiques se fonde sur le leurre, le détournement, l’usage abusif des
technologies, la manipulation d’information, l’exploitation des failles et vulnérabilités, l’usurpation
d’identité et de paramètres de connexion d’ayants droit.

Exercice 2.17
Quelle est la place de la maîtrise de la cybercriminalité dans une démarche de cybersécurité ?

Réponse
Il est nécessaire de renforcer la cybersécurité pour diminuer les vulnérabilités des environnements à
protéger contre des cyberattaques, pour diminuer les opportunités de réaliser des malveillances, pour
dissuader les attaquants potentiels.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 2 sur 23

Bien sécuriser un environnement suppose que l’on connaisse les menaces contre lesquelles on
souhaite se prémunir, l’origine des menaces, les auteurs de malveillance, leurs boîtes à outils, leurs
savoir-faire opérationnels afin de mettre en place des mesures de sécurité adaptées. La maîtrise de la
cybercriminalité, contribue par une approche interdisciplinaire, à contribuer à la réalisation de la
cybersécurité.

Exercice 2.18
Pourquoi qualifie-t-on un virus de « polymorphe » ?

Réponse
Un virus polymorphe est un virus qui change de signature (d’apparence) à chaque infection, ce qui
rend sa détection difficile.

Exercice 2.19
Quels sont les points communs entre un virus, un cheval de Troie, une bombe logique et un logiciel
espion ?

Réponse
Il s’agit de logiciels malveillants dont la charge et le mode de réalisation varient en fonction de la
finalité.
Un cheval de Troie ne se duplique pas, tandis que la réplication caractérise un virus. Une bombe
logique est un virus dont la charge malveillante se déclenche à une date ou selon un événement
particulier.

Exercice 2.20
Parmi les infrastructures qui composent un système d’information laquelle ne peut être concernée par
une cyberattaque ?
A) Matérielle B) Réseau C) Logicielle
D) Humaine E) Organisationnelle

Réponse : E

Exercice 2.21
Parmi les trois propositions suivantes, laquelle correspond le mieux à la définition d’une infraction
informatique telle qu’établie par l’OCDE ?
A) « Tout comportement illégal, immoral ou non autorisé qui implique la transmission et/ou le
traitement automatique de données. »
B) « Tout comportement illégal qui implique l’usage de l’informatique et des télécommunications. »
C) « Tout comportement illégal, immoral ou non autorisé qui n’implique pas la transmission et/ou le
traitement automatique de données. »

Réponse : A

Exercice 2.22
Parmi les attaques informatiques suivantes quelle est celle qui peut être qualifiée d’attaque passive ?
A) Modification B) Interception C) Fabrication
D) Interruption E) Destruction
Réponse : B

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 3 sur 23

Exercice 2.23
Quelles sont les caractéristiques principales d’un cybercrime ?

Réponse
Il s’agit d’un crime commis à distance, ou les technologies de l’information et de la communication
peuvent être le moyen du crime et/ou la cible du crime.
C’est un crime qui s’effectue au travers du cyberespace. Le plus souvent le criminel est caché derrière
un écran et agit via de multiples intermédiaires techniques.
Le cybercrime est facilité notamment par le fait :
• que tous les pays ne disposent pas forcément de la même volonté politique de lutter contre la
cybercriminalité, ni des structures organisationnelles ou des ressources permettant de le faire ;
• que les procédures liées à l’entraide internationale des forces de justice et de police sont souvent
complexes et longues ;
• que les traces numériques peuvent être brouillées, effacées ou fausses. De plus, les traces
numériques sont difficiles à collecter, interpréter. Elles ne permettent pas toujours de remonter jusqu’à
l’identité des criminels ;
• que les cybercrimes, se réalisent le plus souvent en impliquant de multiples acteurs aux
compétences particulières et savoir-faire spécialisés dans des tâches spécifiques, séparées et
restreintes (qui prises isolément peuvent paraître relativement mineures). Ces acteurs se regroupent
en fonction de projets criminels à durée déterminée. Ils se constituent en équipes virtuelles réparties
dans le monde entier et travaillent ensemble en fonction de missions ciblées, sur la base du
recrutement des compétences ou de l’usage d’outils nécessaires pour mener à bien une activité
criminelle, en prenant le moins de risques possibles.

Exercice 2.24
D’un point de vue légal, quelles sont les principales différences entre une cyberattaque d’origine
criminelle et une cyberattaque constituant un acte de guerre ?

Réponse
D’un point de vue légal, une cyberattaque d’origine criminelle relève du droit pénal des pays tandis
qu’une cyberattaque constituant un acte de guerre relève du droit de la guerre, du droit des conflits,
du droit international.

Exercice 2.25
Est-il possible d’attribuer avec certitude la source d’une cyberattaque ? Expliquez pourquoi, comment
et quels problèmes cela cause ?

Réponse
Non parce qu’une cyberattaque peut être commanditée par un acteur et être réalisée à distance à
partir d’une infrastructure tiers, passer par de multiples intermédiaires techniques, des pays différents.
Les attaquants peuvent usurper des identités, se cacher sous de fausses identités, utiliser des
logiciels d’anonymisation, louer les services de professionnels (mercenaires), acheter les
compétences et les outils d’attaques sur le darkweb, masquer, modifier, effacer les traces permettant
de les identifier et de les localiser.
Si on ne peut attribuer la source d’une cyberattaque il est alors impossible d’effectuer des actions de
représailles et d’obtenir justice et réparation, le travail d’investigation permettant à la justice d’agir ne
peut se faire. Les auteurs sont alors impunis et forts de ce sentiment d’agir en toute impunité ils
peuvent étendre leur activité pour plus de profitabilité et peu de risques d’être arrêtés et poursuivis en
justice. Cela contribue au développement de la cybercriminalité.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 4 sur 23

Exercice 2.26
Comment les crypto-monnaies contribuent à la cybercriminalité ?

Réponse
Les crypto-monnaies contribuent à la cybercriminalité car elles permettent d’effectuer des transactions
financières tout en préservant l’anonymat de leur propriétaire. Cela offre une obscurité propice à la
criminalité économique qui constitue une couche de protection et d’isolation car les détenteurs de
crypto-monnaies ne pourront être identifiés ou localisés. Ainsi ils ne peuvent être inquiétés par des
forces de justice et police, ils échappent aussi aux systèmes de régulation et de contrôles des
systèmes financiers.
Les crypto-monnaies bénéficient de cours de change qui se monnaient en dollars ou euros, de ce fait
elles peuvent intervenir dans des circuits de blanchiment de l’argent sale issu de la criminalité. Cela
contribue à la performance criminelle et au renforcement des acteurs criminels.

Exercice 2.27
Pourquoi et comment un pays peut être considéré comme un paradis digital ?

Réponse
Comment : quand dans un pays, il n’existe pas de cadre légal applicable condamnant les actions
cybercriminelles, un système de justice et de police efficace pour lutter contre la cybercriminalité, ce
pays est qualifié de paradis digital (à l’instar des paradis fiscaux). Ainsi des serveurs hébergés dans
de tels pays peuvent piloter des réseaux de botnet, héberger des logiciels malveillants, propager des
virus et des spams… sans que leurs auteurs soient inquiétés par la justice.
De tels serveurs sont qualifiés de « bullet free » car aucun policier ne viendra déloger les programmes
ou les données sauvegardés dans ces serveurs.
Pourquoi : par inconscience, par incompétence, par rentabilité économique, par corruption, par
manque de moyens et de volonté politique.

Exercice 2.28
Qu’est-ce qu’un « ransomware » ?

Réponse
Un ransomware est un logiciel qui prend en otage les ressources informatiques qui pourront être
éventuellement libérées après le payement d’une rançon, cela permet d’effectuer du chantage et
d’escroquer des victimes.

CHAPITRE 3
Exercice 3.19
Quels sont les facteurs et les acteurs qui contribuent à déterminer le niveau de protection des
ressources informatiques d’une organisation ?

Réponse
Les principaux facteurs sont :
– L’importance, la valeur de la ressource à protéger par rapport au métier et besoin de l’organisation.
– Le niveau de dépendance de l’organisation à la ressource considérée (il peut s’agir de processus,
de fonctions, de personnes…).
– Le fait qu’une ressource puisse être soumise à une réglementation particulière (contraintes légales).

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 5 sur 23

– Les contraintes financières.
– L’existence de personnes compétentes au sein de l’organisation pour prendre en charge cette
tâche.
Les principaux acteurs sont les dirigeants de l’entreprise au niveau stratégique (top manager, comité
de direction, conseil d’administration), la responsable sécurité au niveau opérationnel ainsi que les
responsables métier et les propriétaires des ressources.

Exercice 3.19
Expliquer comment le concept de « séparation des tâches » contribue à la sécurité informatique d’une
organisation.

Réponse
En matière de sécurité informatique, la séparation des tâches contribue à prévenir des fraudes
d’origine interne dues à des pouvoirs excessifs accordés à une même personne qui s’avère être
malhonnête (notion de moindre privilège).

Exercice 3.20
Pourquoi pour une organisation, la stratégie de sécurité de l’information est fonction de la stratégie
générale de celle-ci ?

Réponse
Au sein d’une organisation, la sécurité de l’information a pour finalité de lui permettre de réaliser sa
mission dans de bonnes conditions (les informations à partir desquelles les décisions sont prises sont
disponibles, intègres et parfois confidentielles lorsqu’il s’agit d’informations stratégiques). La sécurité
de l’information lui permet d’être compétitive, elle répond donc directement aux besoins de sa
stratégie générale.
La sécurité ne doit pas être perçue comme un frein à la bonne marche de l’organisation mais doit
constituer un levier de réalisation de ses objectifs tels que spécifiés dans la stratégie générale. Une
sécurité de l’information cohérente constitue un avantage compétitif.

Exercice 3.21
Parmi les propositions suivantes quelle est celle qui correspond le mieux au besoin de gérer la
sécurité ?
A) Traiter la sécurité comme une exigence du business.
B) Appréhender et traiter la sécurité comme un processus continu.
C) Appréhender et traiter la sécurité comme un processus discontinu.
D) Appréhender et traiter la sécurité comme un processus connu.

Réponse : B

Exercice 3.22
Parmi les assertions suivantes quelle est celle qui ne caractérise pas la sécurité informatique d’une
organisation ?
A) Une vision à long terme B) Un mal nécessaire
C) Un compromis D) Du bon sens

Réponse : B

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 6 sur 23

Exercice 3.23
Quels sont les principes de base à prendre en compte dans la démarche sécuritaire d’une
organisation ?

Réponse
Les principes de base d’une démarche sécuritaire sont les principes de vocabulaire, de volonté
directoriale, financier, de cohérence, de simplicité et d’universalité, de dynamicité, de continuum,
d’évaluation, de contrôle et d’adaptation.

Exercice 3.24
Pourquoi est-il nécessaire de maîtriser les cybervulnérabilités ?

Réponse
Dans le cyberespace, les vulnérabilités qui peuvent être d’ordre technologique, managérial, juridique
ou humain sont exploitées pour réaliser des malveillances informatiques et des cyberattaques.
Comme il est difficile de prévoir l’ingéniosité des attaquants et de gérer l’incertain, d’anticiper toutes
les menaces possibles, il est plus facile de connaître ses vulnérabilités. Il est important, pour réduire
et maîtriser les cyberrisques, de diminuer le nombre de vulnérabilités, de pallier les vulnérabilités qui
menacent la sécurité d’un environnement informatique, par des mesures de protection et de
prévention. En principe, les vulnérabilités d’un environnement à protéger doivent être identifiées,
analysées et réparées.
Ainsi maîtriser les cybervulnérabilités permet de diminuer la probabilité d’occurrence des risques,
d’empêcher leur exploitation à des fins malveillantes et donc d’augmenter le niveau de robustesse et
de sécurité d’un système d’information.

Exercice 3.25
Réaliser un schéma des principales étapes de l’analyse des risques.

Réponse

Valorisation Évaluation Contre-

des actifs des menaces mesures

Évaluation Évaluation Évaluation

des vulnérabilités des risques des contrôles

Plan Risque
d’action résiduel

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 7 sur 23

Exercice 3.26
Proposer une définition du risque.

Réponse
Un risque est un danger éventuel plus ou moins prévisible. Il se mesure à la probabilité qu’il se
produise et aux impacts et dommages consécutifs à sa réalisation.

Exercice 3.27
Proposer un exemple de matrice d’évaluation des risques.

Réponse

CHAPITRE 4
Exercice 4.16
Quels sont les éléments constitutifs d’une politique de sécurité ?

Réponse
Les principaux éléments constitutifs sont : le champ d’application de la politique, les responsabilités,
les procédures d’implémentation et de contrôle.

Exercice 4.17
Qu’apporte la notion de « gouvernance de la sécurité » par rapport à celle de « management de la
sécurité » ?

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 8 sur 23

Réponse
La principale différence entre la gouvernance et le management de la sécurité réside dans la finalité
de ces deux tâches. Le « management de la sécurité » répond à la question du « Comment réaliser la
sécurité aux niveaux opérationnel et stratégique ». En revanche, la « gouvernance » répond au besoin
de pouvoir diriger et contrôler la manière dont la sécurité est réalisée.

Exercice 4.18
Comment se définit un risque résiduel ? Que signifie-t-il dans un contexte de maîtrise des risques
informatiques ?

Réponse
Un risque résiduel est le risque qui persiste malgré les mesures de sécurité prises par une
organisation pour les mettre sous contrôle (ex. : tremblement de terre). Un risque résiduel peut faire
l’objet selon sa nature, sa probabilité d’occurrence et ses impacts d’une assurance ou de mesures de
continuité des affaires par exemple.

Exercice 4.19
Laquelle des propositions suivantes ne concerne pas une politique de sécurité ?
A) Simple et compréhensible B) Aisément réalisable
C) Facilement maintenable D) Vérifiable et contrôlable
E) Approuvée par l’ensemble du personnel

Réponse : E

Exercice 4.20
Parmi les propositions suivantes, laquelle ne devrait pas faire partie d’une politique de sécurité de
l’information ?
A) Politique de gestion de crise B) Politique de gestion des ressources humaines
C) Politique de contrôle d’accès D) Politique de sensibilisation
E) Politique de gestion des incidents

Réponse : B

Exercice 4.21
Parmi les normes ISO suivantes, laquelle propose un code de bonnes pratiques d’un système de
management de la sécurité de l’information ?
A) ISO 27011 B) ISO 27002 C) ISO 27007
D) ISO 27004 E) ISO 27001

Réponse : B

Exercice 4.22
Parmi les normes ISO suivantes, laquelle définit les exigences de sécurité d’un système de
management de la sécurité de l’information ?
A) ISO 29999 B) ISO 29977 C) ISO 27277
D) ISO 27999 E) ISO 27001

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 9 sur 23

Réponse : E

Exercice 4.23
Parmi les propositions suivantes, laquelle correspond à l’acronyme « PDCA » ?
A) PREPARE – DO – CHECK – ACT
B) PLANIFIER – DURCIR – CONTINUER – ARRÊTER
C) PLAN – DO – CHECK – ACT
D) PLAN – DO – CHECK – ARREST

Réponse : C

Exercice 4.24
Résumer les principaux objectifs des mesures de sécurité.

Réponse
L’objet des mesures de sécurité est de :
 limiter l’intensité et l’ampleur des dégâts induits par des risques ;
 se prémunir des menaces potentielles par des mesures de protection et de prévention
appropriées ;
 pouvoir réagir aux incidents par des mesures de réaction, notamment par des mesures de
gestion de crise, de gestion de la continuité des activités, de reprise des activités ou encore
des mesures de poursuite pénale si nécessaire.

Exercice 4.25
Quels types de mesures dissuasives devraient être développés pour combattre la cybercriminalité ?

Réponse
Les principaux types de mesures sont :
 des mesures liées à l’investigation des cybercrimes, à la coopération et à l’entraide judiciaire
internationale, à l’efficacité des actions de justice et de police aux niveau national et
international ;
 des mesures liées à l’éradication des marchés noirs de la cybercriminalité, au démantèlement
de plateformes électroniques utilisées par les criminels ;
 des mesures liées au cadre légal, droit pénal, droit procédural, pénalisation de la
cybercriminalité : éradication des paradis digitaux ; condamnation des cybercriminels et de
leurs complices ;
 des mesures d’ordre technologique qui augmentent le risque pris par le criminel d’être
identifié et qui augmentent le niveau de difficultés pour s’introduire de manière illégitime dans
des systèmes informatiques, d’effort et de compétence nécessaires à briser les mesures de
sécurité ;
 des mesures liées à l’éducation, à la sensibilisation, à l’éthique des utilisateurs, au respect
des mesures de sécurité afin qu’ils ne deviennent pas consciemment ou non des vecteurs de
la criminalité et des facteurs de l’insécurité numérique.

Exercice 4.26
Quel est le principal rôle d’un modèle de maturité en sécurité informatique ?

Réponse

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 10 sur 23

Un modèle de maturité est une sorte d’échelle de mesure, de thermomètre de l’état de sécurité d’un
système ou d’un environnement, servant pour l’essentiel à indiquer ou à mesurer à quel niveau de
sécurité il se situe en fonction de certains critères ou métriques préalablement établis afin de pouvoir
évaluer sa qualité, son niveau de conformité réglementaire, l’améliorer, suivre son évolution ou encore
par exemple, le comparer à d’autres.

Exercice 4.27
Quels sont les principaux risques associés à une mission d’audit ?

Réponse
Le principal risque d’audit est lié au fait que l'auditeur exprime une opinion incorrecte du fait de
l'existence d'anomalies significatives dans les documents consultés non détectées en raison de
l'incidence de fraudes ou d'erreurs.

Exercice 4.28
Que peut-on attendre d’un résultat d’audit ?

Réponse
Le principal objectif d’un audit est d’obtenir une « assurance raisonnable » appuyée sur des éléments
probants – preuves formelles. Toutefois, cette notion d’assurance raisonnable ne peut jamais être
absolue du fait de biais possibles induits par :
• jugement,
• techniques de sondages,
• limites inhérentes aux mesures de contrôle,
• éléments probants = déduction et pas une certitude.

Exercice 4.29
Expliquer la notion de modèle de maturité selon la méthode CobiT.

Réponse
CobiT peut être considéré comme un outil de pilotage et de mesure qui s’appuie sur un ensemble de
repères pour, d’une part, mieux piloter le cycle de vie et assurer l’amélioration d’un système et, d’autre
part, décider du niveau de contrôle et de gestion pour obtenir une vue objective des performances.
Dans le cadre du modèle de maturité CobiT, il existe trois dimensions :
• Niveau de contrôle (quoi)
• Couverture du périmètre (combien)
• Capacité à réaliser les objectifs (comment)
Utilité :
• Permettre et faciliter le benchmarking (étalonnage) et l’identification des capacités.
• Identifier, développer des objectifs de performances et par conséquence des activités.

Exercice 4.30
Rappelez l’objet et énumérer les principales qualités d’un système de contrôle ?

Réponse
Objectif d’un système de contrôle : offrir une garantie raisonnable que les objectifs « business » seront
atteints et que les risques les mettant en péril sont prévenus, détectés et corrigés.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 11 sur 23

Les principales qualités d’un système de contrôle sont liées à sa capacité à atteindre son objectif et
sont liées à sa capacité à collecter des preuves (évidences) contribuant à démontrer que :

• Les actifs informationnels sont protégés.

• L’intégrité des ressources est effective.
• La fiabilité est prouvée.
• Les objectifs organisationnels sont atteints.
• L’utilisation des ressources est efficiente.
• La qualité des contrôles internes fournit une assurance (garantie de sécurité).
• Les risques sont pris en compte (connus et traités).
Les principaux critères de qualité en termes de conception sont :
• Processus organisés dans un ordre logique.
• Responsabilités définies.
• Cohérence de la structure des contrôles (préventif, défectif et réactif).
• Conformité aux exigences et directives internes et externes.
• Informations nécessaires et suffisantes pour le bon déroulement du contrôle.
• Délai et fréquence adéquats.
• Niveau de qualification des personnes en charge.
Les principaux critères de qualité en termes de fonctionnement sont :
• Fréquence
• Importance
• Validité du justificatif
• Importance des constats d’erreur
• Management override
• Fréquence de changement

CHAPITRE 5
Exercice 5.14
Quels services de sécurité, une fonction dite « one-way function » permet-elle de réaliser ? Citer un
nom de « one-way function ».

Réponse
Une fonction dite « one-way function » ou fonction de « hashage » ou encore fonction « digest »
comme MD5 ou SHA, permet de réaliser un service de contrôle d’intégrité.

Exercice 5.15
Quels services de sécurité la stéganographie permet-elle de réaliser ? Qui de manière générale utilise
la stéganographie ?

Réponse
La stéganographie est une application particulière du chiffrement qui permet de dissimuler une
information dans une autre. Cela contribue à réaliser la confidentialité de l’information masquée. Toute
personne souhaitant communiquer des informations de manière discrète, voir confidentielle utilise ce
type de service, notamment pour des communications relatives à des actions criminelles ou
terroristes. Par ailleurs, les techniques de tatouage électronique de document reposent sur des
principes stéganographiques.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 12 sur 23

Exercice 5.16
Quels critères de sécurité la cryptographie ne permet pas de réaliser ?

Réponse
La cryptographie ne permet pas d’obtenir la disponibilité des ressources, tandis que les critères
d’intégrité, de confidentialité et d’authentification peuvent être réalisés par la mise en œuvre du
chiffrement.

Exercice 5.17
Lequel de ces algorithmes de chiffrement est qualifié d’asymétrique ?
A) DES B) AES C) RSA D) BB 84

Réponse : C

Exercice 5.18
Dans un système de chiffrement à clef publique, quelle clef emploie l'expéditeur pour chiffrer des
données confidentielles à destination d’un récepteur ?
A) La clef publique de l'expéditeur B) La clef privée de l'expéditeur
C) La clef publique du destinataire D) La clef privée du destinataire

Réponse : C

CHAPITRE 6
Exercice 6.16
Pourquoi le protocole IPSec fonctionne en mode connecté ?

Réponse
Parce que pour pouvoir authentifier deux entités communicantes il faut qu’elles soient en relation et
que ces dernières s’accordent sur les mécanismes de sécurité à utiliser lors de leurs échanges de
données. Le service d’authentification d’un émetteur et d’un récepteur qu’offre la mise en œuvre du
protocole IPSec ne peut se réaliser qu’en mode connecté. De plus, l’établissement d’une association
de sécurité IPSec permet de négocier le contexte de sécurité à utiliser lors de l’échange.

Exercice 6.17
Pourquoi la gestion des identités (Identitiy Management) est devenue une fonction cruciale pour la
sécurité du système d’information des organisations ?

Réponse
La gestion des identités permet de réaliser le contrôle d’accès aux ressources d’un système
d’information, qui est une fonction cruciale de la sécurité.

Exercice 6.18
Parmi les solutions existantes de mécanisme de contrôle d’accès basé sur de la biométrie, qu’elle est
généralement la plus mal acceptée par les utilisateurs ? Pourquoi ?

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 13 sur 23

Réponse
Des mécanismes biométriques de contrôle d’accès basé sur l’empreinte de la rétine ou de l’iris sont
jugés très intrusifs par les utilisateurs et sont souvent encore le plus souvent mal acceptés de ces
derniers.

Exercice 6.19
Quel protocole permet de créer un réseau privé virtuel (VPN, Virtual Private Network) ?

Réponse
Le protocole IPSec.

Exercice 6.20
Quels sont pour une organisation, les principaux risques introduits par l’usage de solutions de cloud
computing ?

Réponse
Les principaux risques sont notamment liés à la perte de contrôle des données par leurs propriétaires,
une plus grande dépendance de ces derniers à la disponibilité du réseau de télécommunications pour
y accéder, à la localisation des données dans des pays tiers qui ne permet pas forcément une
sécurité juridique (telle que celle qui pourrait exister dans le pays ou l’entreprise propriétaire des
données est implantée), une certaine difficulté à faire réaliser des audits de sécurité, etc.

Exercice 6.21
Quel terme n’est pas lié au concept de VPN ?
A) Tunneling B) Chiffrement C) Disponibilité D) Authentification

Réponse : C

Exercice 6.22
Le concept de VPN ne procure pas :
A) L'accès à distance sécurisé basé sur Internet via Peer-to-Peer VPN.
B) Les connexions réseaux privés dédiés et sécurisés.
C) L'accès Extranet sécurisé.
D) Le flux de données de bout en bout sécurisé via une passerelle VPN.

Réponse : A

Exercice 6.23
Les certificats digitaux sont basés sur quelle norme internationale ?
A) X.25 B) X.400 C) 802.3 D) X.509

Réponse : D

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 14 sur 23

Exercice 6.24
Laquelle/lesquelles des propositions suivantes ne caractérisent pas les systèmes de contrôle d’accès
biométrique ?

A) Exactitude, vitesse
B) Unicité de l'organe contrôlé
C) Obligation de contact de sujet et de système de contrôle
D) Taux d’erreurs potentiellement important

Réponses : A, C.

Exercice 6.25
Parmi les propositions suivantes, quelle est pour un internaute, la plus mauvaise concernant le choix
de ses mots de passe ?
A) Changer de mots de passe tous les mois.
B) Utiliser un mot de passe généré aléatoirement et à usage unique.
C) Choisir les mots de passe de six caractères avec des caractères spéciaux.
D) Employer un même mot de passe d’au moins huit caractères et des caractères spéciaux sur tous
les systèmes d’authentification qu’il utilise.

Réponse : D

CHAPITRE 7
Exercice 7.11
Est-ce qu’une cellule peut faire l’objet d’une protection périmétrique ?

Réponse
Non. La notion de protection périmétrique fait référence à des mesures de sécurité architecturales de
cloisonnement d’environnement. Il est impossible de protéger, séparer physiquement une cellule de
transmission.

Exercice 7.12
Quels sont les services de sécurité offerts par un réseau UMTS ?

Réponse
Les services de sécurité offerts sont la confidentialité de l’identité de l’abonné, l’authentification
mutuelle, la confidentialité et l’intégrité des données de l’utilisateur et de signalisation.

Exercice 7.13
Définir la notion d’authentification mutuelle dans un réseau cellulaire.

Réponse
L’authentification est qualifiée de mutuelle dans la mesure où le service de sécurité mis en œuvre
permet à la fois d’authentifier l’abonné au réseau mobile et le point d’accès au réseau.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 15 sur 23

CHAPITRE 8
Exercice 8.12
Pourquoi, dans un réseau d’entreprise, il est recommandé de créer des zones démilitarisées (DMZ), à
quels besoins cela répond-il ?

Réponse
Des zones démilitarisées permettent de réaliser une sécurité périmétrique en isolant certains
environnements informatiques afin de mieux les protéger, d’en contrôler l’accès et la sortie. Cela
permet également d’éviter la propagation d’actions non autorisées ou de logiciels malveillants.

Exercice 8.13
Est-ce qu’un système pare-feu protège contre des attaques par déni de service ?

Réponse
Non pas directement, il peut être l’objet d’attaque en déni de service mais il peut contribuer à offrir des
fonctions de répartition de charge des systèmes dont il contrôle l’accès.

CHAPITRE 9
Exercice 9.16
Quels protocoles peuvent invoquer les services du protocole SSL (Secure Sockets Layer) ? Pour se
réaliser de quel protocole SSL utilise-t-il les services ?

Réponse
Des protocoles applicatifs comme les protocoles HTTP ou FTP par exemple, peuvent invoquer les
services de sécurité offerts par SSL qui s’appuie pour sa réalisation sur le protocole TCP.

Exercice 9.17
À quel protocole le protocole TLS (Transport Layer Security) est-il équivalent ?

Réponse
Le protocole TLS est équivalent à la version 3 du protocole SSL.

Exercice 9.18
Quels types d’algorithmes de chiffrement utilisent PGP (Pretty Good Privacy) ?

Réponse
Les algorithmes de chiffrement mis en œuvre par PGP peuvent êtres divers et différents en fonction
du type de service de sécurité à réaliser (authentification, intégrité ou confidentialité). Il peut s’agir de
IDEA, MD5, RSA, Triple DES, Diffie-Hellman…

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 16 sur 23

Exercice 9.19
À quoi correspond la solution 3-D Secure ?

Réponse
Il s’agit d’une solution de sécurité qui a remplacé, la solution SET (Secure Electronic Transaction) afin
de sécuriser les paiements en ligne. Elle a été développée par le Groupement des cartes bancaires
« CB », Atos Origin, XIRING, Trusted Logic et Altasys.

Exercice 9.20
Pourquoi la gestion des droits numériques (DRM) est importante pour une organisation ?

Réponse
Comme il est difficile de sécuriser des données qui sont hors des frontières traditionnelles du système
d’information de l’entreprise du fait notamment de la mobilité, ou de l’usage du cloud computing, il est
intéressant de pouvoir associer aux données des paramètres de sécurité qui régissent leur protection
et le contrôle de leur usage indépendamment de leur localisation ou du support technique sur lequel
elles se trouvent (notion de protection persistante).
La gestion des droits numériques contribue à assurer la protection d’un patrimoine numérique et
répond en particulier au besoin de protection du droit d’auteur et de la propriété intellectuelle.

Exercice 9.21
Dans quelle mesure l’usage des réseaux sociaux classiques à des fins privées par des employés
d’une entreprise peut générer des problèmes de sécurité pour celle-ci.

Réponse
C’est souvent sur des réseaux sociaux que des informations sont récoltées par des criminels (notion
de social engineering) ; ce qui leur permet de leurrer certains employés (notion de spear phishing)
pour les amener à réaliser des actions qui conduisent le plus souvent à l’introduction de programmes
malveillants ou à la prise de contrôle de systèmes constitutifs du système d’information de leur
entreprise.

CHAPITRE 10
Exercice 10.15
Pourquoi la fonction de dimensionnement d’un réseau est-elle primordiale pour sa sécurité ?

Réponse
Parce qu’elle contribue à la réalisation du critère de sécurité « disponibilité ».

Exercice 10.16
Pourquoi l’ajout dans un système d’information, d’entités matérielles ou logicielles peut poser des
problèmes de sécurité ?

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 17 sur 23

Réponse
Parce que cela peut éventuellement : d’une part, introduire de nouvelles vulnérabilités et des menaces
supplémentaires et, d’autre part, mettre à défaut les mesures de sécurité existantes.

Exercice 10.17
Quels sont les critères de sécurité qui correspondent le mieux à la notion de sûreté de
fonctionnement ?

Réponse
Ce sont les critères de disponibilité et intégrité.

Exercice 10.18
Comment la gestion opérationnelle d’un réseau peut contribuer à la sécurité d’un système
d’information ?

Réponse
La réalisation d’une politique de sécurité passe la mise en œuvre opérationnelle de mesures
concrètes de sécurité. Ces dernières doivent faire l’objet d’une exploitation et d’une gestion efficaces,
tâches qui relèvent de la gestion opérationnelle d’un réseau informatique.
La gestion opérationnelle d’un environnement informatique distribué comprend notamment toutes les
fonctions qui permettent au réseau de fonctionner et d’offrir les services pour lequel il a été conçu,
avec un bon niveau de performance et de qualité cela intègre notamment la disponibilité des
ressources qui est un des critères de la sécurité informatique.

Exercice 10.19
Pourquoi la cybersécurité doit s’appréhender de manière interdisciplinaire ?
Identifier les différentes disciplines impliquées dans une démarche de maîtrise des risques
informatiques et de gestion de la sécurité.

Réponse
La sécurité doit s’appréhender d’une manière générale. Elle doit passer par la définition d’une
politique de sécurité, la motivation et la formation du personnel, la mise en place des mesures,
l’optimisation des solutions. Seule, l’utilisation des technologies et outils ne peut pas résoudre les
problèmes de la sécurité. En effet, elle permet d’apporter une réponse particulière à un problème de
sécurité spécifique à un instant donné. De plus par leur incohérence, elles peuvent introduire un
nouveau risque ou encore le déplacer. La sécurité est avant tout une question de management. La
sécurité d’une organisation est égale à la sécurité du maillon le plus faible.
• Dimension technique et opérationnelle
Sécurité matérielle, environnementale, d’exploitation, logique et applicative.
• Dimension organisationnelle et économique
Responsabilité et organisation, méthodologie, gestion, évaluation contrôle, budget,
assurance.
• Dimension humaine
Éthique, formation, compétence, sensibilisation, dissuasion, surveillance.
• Dimension juridique et réglementaire
Normes, procédures, Conformité, législation, licence des logiciels etc.

Exercice 10.20
Questions à choix multiples, une seule réponse par question.

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 18 sur 23

 Question 1

Quelle est typiquement la première étape d'une attaque informatique ?

A. Identification de matériel en place
B. Identification de failles techniques
C. Scanning de trafic
D. Social engineering

Réponse : D

Question 2

Dans une organisation, qui détient la plus grande responsabilité pour la gestion de risques ?
A. Senior management
B. Chief Information Officer
C. Chief Information Security Officer
D. Responsable de l'Audit Interne

Réponse : A

Question 3

Quel type de contrôle interne doit être mis en place pour empêcher la survenue d'un incident ?
A. Préventif
B. Détectif
C. Compensatoire
D. Correctif

Réponse : A

Question 4

Pourquoi n'est-il pas correct de voir l'enregistrement de tentatives d'intrusion comme une mesure de contrôle
interne ?
A. Parce que l'enregistrement ne concerne que des activités extérieures à l'organisation.
B. Parce qu'il est impossible de tout logger, donc les enregistrements sont par nature incomplets.
C. Parce qu'il s'agit plutôt d'une mesure de gestion de risque.
D. Parce les logs sont inutiles sans processus de révision et remédiation.

Réponse : D

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 19 sur 23

 Question 5

Laquelle de ces réponses n'est pas une option pour le traitement final des risques ?
A. Acception des risques
B. Évitement des risques
C. Transfert des risques
D. Évaluation des risques

Réponse : D

Question 6

Les éléments à entreprendre pour bien gérer la sécurité incluent :

(1) Quels sont les risques ? (2) Comment protéger l'entreprise ?
(3) Que protéger et pourquoi ? (4) De quoi protéger les biens ?
Dans quel ordre doit-on traiter ces questions ?
A. 1, 2, 3, 4 B. 2, 3, 4, 1
C. 4, 2, 3, 1 D. 3, 4, 1, 2

Réponse : D

Question 7

Les mots de passe devraient être :

A. Assignés par l'administrateur de la sécurité.
B. Changés de façon régulière.
C. Réutilisés afin d'assurer que les utilisateurs ne les oublient pas.
D. Montrés sur l'écran pour que l'utilisateur puisse s'assurer que le saisi a été correct.

Réponse : B

Question 8

Laquelle des réponses suivantes est une caractéristique d'un système de détection d'intrusions (IDS) ?
A. La récolte d'évidences de tentatives d'attaque.
B. L'identification de faiblesses dans la définition de la politique de sécurité.
C. Le blocage d'accès à certains sites Internet.
D. Le fait d'empêcher l'accès de certains utilisateurs à certains serveurs.

Réponse : A

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 20 sur 23

 Question 9

Les procédures d'accès incluent la création d'un identifiant unique et d'un mot de passe pour chaque
utilisateur. Un audit découvre que dans plusieurs cas l'identifiant et le mot de passe sont les mêmes. Le
meilleur contrôle pour diminuer ce risque consiste à :
A. Changer la politique de sécurité de l'entreprise.
B. Former les utilisateurs sur les risques liés aux mots de passe faibles.
C. Mettre en place des validations pendant les processus de création d'utilisateur et de changement de mot de
passe.
D. Instaurer une révision périodique d'identifiants et mots de passe pour détecter et corriger les cas fautifs.

Réponse : C

Question 10

Avec l'aide du responsable de la sécurité, l'octroi des droits d'accès aux données est de la responsabilité des :
A. Propriétaires des données et systèmes
B. Programmateurs
C. Analystes de système
D. Responsables de l'informatique

Réponse : A

Question 11

Quelle étape ne fait pas partie du cycle du renseignement ?

A. Collecte
B. Traitement et analyse
C. Évaluation et cotation
D. Diffusion

Réponse : C

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 21 sur 23

 Question 12

Selon l’article de l’AGEFI « La manipulation pire que le vol des données » qu’est-ce qu’une « hygiène
informatique appropriée » ?
A. Le socle minimum à respecter pour protéger ses informations.
B. Un ensemble de mesures destinées à prévenir les infections informatiques.
C. Le moyen de nettoyer et désinfecter sa machine.
D. Des actions et activités permettant d’éviter l’apparition de troubles.

Réponse : B

Question 13

Comment peut-on calculer la « valeur de l’actif » du risque ?

A. Probabilité  Impact
B. Vulnérabilité + Menace
C. (Menace  Impact) - Sécurité
D. Menace  Vulnérabilité  Impact

Réponse : D

Question 14

Qu’est-ce qui n’est pas une activité d’audit ?

A. Fournir une assurance sur le déroulement d’un projet informatique.
B. Attester de l’efficience de contrôles en place.
C. Conseiller un client pour l’implémentation de recommandations.
D. Assurer le respect de différentes réglementations en vigueur.

Réponse : C

Question 15

Qu’est-ce qui n’est pas une valeur immatérielle d’une entreprise ?

A. Un brevet
B. Des réglages de machines
C. Une liste de numéro de série
D. Un règlement du personnel

Réponse : D

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 22 sur 23

 Question 16

Quelle est la première étape à effectuer lors du développement d'un plan de continuité et d'un plan de secours
pour une organisation ?
A. Analyse de l’impact d’une catastrophe sur les affaires
B. Sélection de site alternatif
C. Classification des informations
D. Test des procédures implémentées

Réponse : A

Question 17

Qu’est-ce qui n’est pas un concept de détection d’attaques ?

A. Corrélation
B. Gestion d’incidents
C. Détection d’anomalie
D. Renseignement sur les menaces

Réponse : B

Question 18

Quelle dimension ne fait pas partie de l’architecture de sécurité ?

A. Dimension technique
B. Dimension organisationnelle
C. Dimension humaine
D. Dimension monétaire

Réponse : D

Question 19

Pourquoi faut-il utiliser un environnement informatique de test avant de passer un logiciel développé en
production ?
A. Afin de sécuriser l’accès aux environnements de production.
B. Afin de faciliter la séparation des développeurs et des utilisateurs.
C. Afin de garantir l’intégrité et la disponibilité de l’environnement de production.
D. Afin de garantir la stabilité de l’environnement de test.

Réponse : C

Cybersécurité, Solange Ghernaouthi © Dunod, Malakoff, 2016. Page 23 sur 23