Vous êtes sur la page 1sur 7

Exercice 1

Vocabulaire & Pré-requis ISO 27000


Questions à choix simple

Q1: Quel est le lien entre les données et l’information?


A. Les données sont des informations structurées.
B. L’information est la signification et la valeur affectées à un ensemble de données.

Q2: Un pirate informatique se procure l’accès à un serveur web et peut consulter, sur
le serveur, un fichier contenant des numéros de carte de crédit. Lequel des principes
CID appliqués au fichier de crédit a-t-il été enfreint?
A. Disponibilité.
B. Confidentialité.
C. Intégrité

Q3: Dans l’entreprise où vous travaillez, il y a une imprimante réseau dans le couloir.
De nombreux employés ne collectent pas immédiatement leurs documents imprimés
et les laissent sur l’imprimante, Quelles en sont les conséquences pour la fiabilité de
l’information?
A. L’intégrité de l’information n’est pas garantie.
B. La disponibilité de l’information n’est pas garantie.
C. La confidentialité de l’information n’est pas garantie.
1
Q4: Un bureau d’administration s’apprête à déterminer les dangers auxquels il est
exposé. Comment appelle-t-on un événement susceptible de se produire et de porter
atteinte à la fiabilité de l’information?
A. dépendance.
B. menace.
C. vulnérabilité.
D. risque.

Q5: Quel est l’objectif de la gestion des risques?


A. Déterminer la probabilité selon laquelle un risque peut se produire.
B. Déterminer le préjudice causé par d’éventuels incidents de sécurité.
C. Identifier, dans les grandes lignes, des menaces auxquelles les ressources informatiques
sont exposées.
D. Mettre en œuvre des mesures visant à réduire les risques à un niveau acceptable.

Q6: Parmi les exemples suivants, lequel constitue une menace humaine?
A. Une clé USB transmet un virus au réseau.
B. Une quantité excessive de poussière accumulée dans le local du serveur.
C. Une fuite entraîne une panne de l’alimentation électrique.

2
Q7: Parmi les exemples suivants, laquelle constitue une menace humaine?
A. Un impact de foudre.
B. Un incendie.
C. L’hameçonnage (phishing).

Q8: Vous travaillez dans les bureaux d’une grande entreprise. Vous recevez un appel
d’une personne prétendant être du Centre d’assistance. Cette personne vous demande
votre mot de passe. De quel type de menace s’agit-il?
A. Menace naturelle.
B. Menace organisationnelle.
C. Ingénierie sociale.

Q9: Quelle est la meilleure manière de décrire l’objectif de la politique de sécurité de


l’information?
A. Une PSI documente l’analyse des risques et la recherche de contre-mesures.
B. Une PSI fournit à la direction un cadre en matière de sécurité de l’information.
C. Une PSI concrétise le plan de sécurité en y apportant les détails requis.
D. Une PSI fournit une meilleure compréhension des menaces et des conséquences
éventuelles.

3
Q10: Laquelle des mesures ci-dessous constitue une mesure préventive?
A. L ’installation d’un système de journalisation qui permet de reconnaître les changements
apportés à un système.
B. La coupure de tout le trafic internet après qu’un pirate informatique ait accédé aux
systèmes de l’entreprise.
C. Le stockage des informations sensibles dans un coffre.

Q11: Qui est autorisé à modifier la classification d’un document?


A. L’auteur du document.
B. L’administrateur du document.
C. Le propriétaire du document.
D. Le manager du propriétaire du document.

Q12: L ’accès à la salle des ordinateurs est protégé par un lecteur de carte. Seul le
Service de Gestion des Systèmes dispose d’une carte d’accès. De quel type de mesure
de sécurité s’agit-il?
A. Une mesure de sécurité corrective.
B. Une mesure de sécurité physique.
C. Une mesure de sécurité logique.
D. Une mesure de sécurité répressive.

4
Q13: Des mesures de sécurité ci-dessous, laquelle constitue une mesure technique?
A. L ’attribution d’informations à un propriétaire.
B. Le cryptage des fichiers.
C. L’élaboration d’une politique définissant ce que les courriels peuvent contenir ou non.
D. L'entreposage des mots de passe de gestion des systèmes dans un coffre.

Q14: Les sauvegardes du serveur central sont conservées dans le même local fermé à
clé que le serveur. A quel risque l’organisation est-t-elle confrontée?
A. Si le serveur se plante, cela prendra beaucoup de temps avant qu’il ne soit à nouveau
opérationnel.
B. En cas d’incendie, il sera impossible de rétablir le système dans son état premier.
C. Personne n’est responsable des sauvegardes.
D. Des personnes non autorisées ont facilement accès aux sauvegardes.

Q15: Pourquoi est-t-il nécessaire d’actualiser un plan de reprise après sinistre et de le


tester régulièrement?
A. Afin de toujours avoir accès à des sauvegardes récentes qui sont situées à l’extérieur du
bureau.
B. Afin de pouvoir faire face aux anomalies rencontrées quotidiennement.
C. Parce que dans le cas contraire, et en cas de perturbation à répercutions profondes, les
mesures prises et les procédures de gestion des incidents prévues peuvent s’avérer
inadéquates ou obsolètes.
D. Parce que la loi sur la protection des données personnelles l’impose. 5
Q16: Lesquels ne peuvent pas être considérés comme actifs?
A. Les informations.
B. Les logiciels.
C. Les équipements.
D. Les locaux.
E. Les services.
F. Les personnes et leurs qualifications.
G. La réputation et l’image.
H. Aucune réponse.

Q17: Quelle réponse est vraie? Les mesures de sécurité


A. Réduisent les risques.
B. Peuvent réduire les vulnérabilités.
C. Peuvent avoir des vulnérabilités.
D. Les réponses A et B.
E. Les réponses A,B et C.

6
Exercice 2
Sélection des mesures ISO 27002

Pour chacune des situations suivantes, identifier les vulnérabilités ainsi que les contrôles
de sécurité avec lesquels l’organisme devra être conforme (les numéros des mesures de
sécurité nécessaires de l’annexe A de la norme ISO 27001):

Situation Vulnérabilités Mesures de sécurité

Situation1:
Les utilisateurs de deux départements
distincts se trouvent sur le même VLAN.
Situation2:
Lors du contrôle des droits d’accès du
département d’étude et de
développement, les droits d’un ancien
développeur, passé à l’exploitation, sont
toujours actifs.
Situation3:
Un disque amovible contenant les
sauvegardes des codes sources des
applications est introuvable au siège de
l’organisme.
7