M14 : Audit de la Sécurité des Systèmes d’Information

Exercices d’application
Exercices 2

1. Un administrateur réseau ne doit pas partager les tâches de lequel des rôles
suivants ?
A. Assurance qualité
B. Administrateur système
C. Programmeur d'applications
D. Analyste de systèmes

2. Vous auditez un système de paiement par carte de crédit. Laquelle des

méthodes suivantes offre la meilleure assurance que les informations sont
saisies correctement ?
A. Des pistes de vérification
B. Séparation de la saisie des données et des tâches de l'opérateur
informatique
C. Vérification des clés
D. Examen de surveillance

3. Quel niveau du CMMI se caractérise par sa capacité à mesurer les résultats par
des mesures qualitatives ?
A. Niveau 1
B. Niveau 2
C. Niveau 3
D. Niveau 4
4. Lequel des postes suivants peut être combiné pour créer le moins de risques
ou d'opportunités d'actes malveillants ?
A. Analyste de systèmes et assurance qualité
B. Opérateur informatique et programmeur de systèmes
C. Administrateur de sécurité et programmeur d'applications
D. Administrateur de bases de données et analyste de systèmes

5. En effectuant un examen de la réingénierie du processus opérationnel,

l’auditeur découvre qu'un contrôle préventif clé a été supprimé. Dans cette
situation. L’auditeur des SI doit:

A. Informer la direction de sa découverte et déterminer si celle- ci est

prête à accepter le risque matériel potentiel engendré par cette
suppression.

B. Déterminer si un contrôle de détection a remplacé le contrôle préventif

pendant le processus, et si ce n'est pas le cas, signaler la suppression du
contrôle préventif.

C. Recommander que cette procédure et toutes les procédures de

contrôle qui existaient avant que le processus soit remodelé fassent partie
du nouveau processus.

D. Développer une approche de vérification continue pour surveiller les

effets de la suppression du contrôle préventi

6. Laquelle des mesures suivantes constitue la MEILLEURE mesure préventive

pour atténuer les risques découlant d'un éventuel désastre naturel pour un
système de TI?

A. Identifier les menaces naturelles.

 B. Choisir un emplacement sécuritaire pour les installations.

C. Garder les systèmes critiques et les systèmes généraux dans des

endroits distincts.

D. Mettre à jour et entreposer les copies de secours hors site.

7. Laquelle des lacunes suivantes serait considérée comme la PLUS sérieuse pour
un logiciel de planification des ressources d'entreprise (ERP) utilisé par une
banque?

A. Les contrôles d'accès n'ont pas été passés en revue.

B. La documentation disponible est limitée.

C. Des bandes de sauvegarde vieilles de deux ans n'ont pas été

remplacées.

D. Une copie de secours de la base de données est effectuée une fois par
jour.

8. Lorsqu'il vérifie la phase relative aux exigences de l'acquisition d'un logiciel,

l'auditeur des SI doit:

A. Evaluer la faisabilité de l'échéancier du projet.

B. Evaluer les processus de qualité proposés par le fournisseur.

C. S'assurer de l'acquisition du meilleur progiciel.

D. Réviser l'exhaustivité des spécifications.

9. Une entreprise décide d'acquérir un progiciel au lieu de le concevoir. Dans une

telle situation, les phases de conception et de développement classiques des
systèmes seraient remplacées par :

A. les phases de sélection et de configuration.

B. les phases de faisabilité et d'exigences.
C. les phases d'implantation et de test.
D. Rien, aucun remplacement n'est nécessaire.
10. Les spécifications de l'utilisateur définies pour un projet réalisé́ par la
méthode traditionnelle du cycle de développement des systèmes n'ont pas été
respectées. Laquelle de ces phases doit l’auditeur des SI doit examiner l'auditeur
des SI pour découvrir ce qui a engendré cette situation?

A. Assurance-Qualité
B. Exigences
C. Développement
D. Formation de l'utilisateur

11. Lors de l'introduction d'une architecture client léger, lequel des risques
suivants, en ce qui concerne les serveurs, est augmenté de façon significative?

A. L’intégrité
B. La concurrence
C. La confidentialité
D. La disponibilité
 M14 : Audit de la Sécurité des Systèmes d’Information
Exercices d’application
1. Lequel des éléments suivants d'un plan de continuité des opérations relève
PRINCIPALEMENT d'un service des SI d'une organisation?

A. Le développement du plan de continuité des opérations

B. La sélection et l'approbation des stratégies de récupération utilisées dans le
plan de continuité des opérations
C. La déclaration d'un sinistre
D. Le rétablissement des systèmes des TI et la restauration des données après
un sinistre

2. La duplication des données doit être mise en œuvre comme stratégie de reprise des
opérations lorsque:

A. L'objectif de point de reprise (OPR) est faible.

B. L'objectif de point de reprise (OPR) est élevé.
C. L'objectif de temps de reprise (OTR) est élevé.
D. La tolérance au sinistre est élevée.

3. La période nécessaire au rétablissement des fonctions de traitement de

l'information repose sur :

A. La criticité des processus touchés.

B. La qualité des données traitées.
C. la nature du sinistre.
D. Les applications centrales.

4. Un auditeur des SI doit être impliqué dans :

A. l'observation des tests du plan de reprise après sinistre.

B. le développement du plan de reprise après sinistre.
C. le maintien du plan de reprise après sinistre.
D. l'examen des exigences de reprise après sinistre relatives aux contrats avec
les fournisseurs.

5. Laquelle des méthodes suivantes est la PLUS efficace pour qu'un auditeur des SI
puisse tester le processus de gestion des modifications apportées aux programmes?

A. Le traçage de l'information générée par le système vers la documentation de la

gestion des modifications.
 B. L’examen de la documentation de gestion des modifications pour vérifier
l'exactitude.
C. Le traçage de la documentation de la gestion des modifications vers une piste
d'audit générée par le système.
D. L’examen de la documentation de gestion des modifications pour vérifier
l'intégrité.

6. L’objectif principal de la planification de la capacité est de s'assurer que :

A. les ressources disponibles sont pleinement utilisées.

B. de nouvelles ressources dévouées aux nouvelles applications seront ajoutées au
moment opportun.
C. les ressources disponibles sont utilisées de façon efficace et efficiente.
D. le pourcentage d'utilisation des ressources ne passe pas sous la barre de 85 %.

7. La classification d'une application logicielle en fonction de sa criticité dans le cadre

d'un plan de continuité des opérations de SI est déterminée par :

1. La nature de l'entreprise et la valeur de l'application pour l'entreprise.

2. Le coût de remplacement de l'application.
3. Le soutien offert par le fournisseur relativement à l'application.
4. Les menaces et vulnérabilités associées à l'application.

8. Lors de la réalisation d'un audit concernant la sécurité de la base de données client-

serveur, l'auditeur du secteur des SI doit être SURTOUT informé de la disponibilité des
éléments suivants :

1. les installations du système

2. les générateurs de programmes d'applications
3. la documentation traitant de la sécurité des systèmes
4. l'accès aux procédures stockées

9. Lors de la revue du réseau utilisé pour les communications Internet, un auditeur du

secteur des SI doit d'ABORD vérifier:

1. la validité des occurrences de modification des mots de passe.

2. l'architecture de l'application client-serveur.
3. l'architecture réseau et la conception.
4. la protection des Pare-feux et les serveurs mandataires.
 M14 : Audit de la Sécurité des Systèmes d’Information
Exercices d’application
1. Lequel des énoncés suivants décrit la relation entre les tests de conformité et les

tests de corroboration ?

A. Les tests de conformité vérifient la présence de contrôles ; les tests de

corroboration vérifient l'intégrité des contenus internes.

B. Tests de corroboration testent la présence ; les tests de conformité testent le

contenu réel.

C. Les tests sont de nature identique

D. Les tests de corroboration vérifient les politiques d'entreprise écrites.

2. Quel est l'objet de la charte d'audit ?

A. Engager des auditeurs externes

B. Accorder la responsabilité, l'autorité et la responsabilité

C. Autoriser la création du comité d'audit

D. Fournir une planification détaillée de l'audit

3. Une organisation effectue une copie de sauvegarde des données critiques chaque

jour à 17h et externalise les bandes de sauvegarde au niveau d’un autre bâtiment. La

copie de sauvegarde est utilisée pour restaurer les fichiers en cas d’incident. Quel type

de contrôle s’agit-il ?

A. Un contrôle préventif.

B. Un contrôle de gestion.

C. Un contrôle correctif.

D. Un contrôle de détection.

4. Lequel des types de risques d'audit suivants présume une absence de contrôle
compensatoire dans le domaine examiné?
 A. Risque d'échec des contrôles

B. Risque de contrôle

C. Risque inhérent

D. Risque de détection

5. Lors de l'élaboration d'un programme d'audit axé sur le risque, sur lequel des
éléments suivants un auditeur des SI porterait- il probablement le PLUS son attention?

A. Les processus d'entreprise

B. Les applications essentielles des TI

C. Les contrôles opérationnels

D. Les stratégies d'entreprise

6. La PREMIÈRE étape de planification d'un audit est de :

A. Définir les livrables de l'audit.

B. Finaliser la portée et les objectifs de l'audit.

C. Acquérir une compréhension des objectifs de l'entreprise.

D. concevoir l'approche pour l'audit ou la stratégie d'audit.

7. Lequel des énoncés suivants décrit le mieux cette déclaration : Ce risque peut être

causé par la défaillance des contrôles internes et peut entraîner une erreur

matérielle.

A. Risque d'audit

B. Risque inhérent

C. Risque de détection

D. Risque de contrôle
8. Lequel des éléments suivants constitue une autorisation pour mener un audit des
SI?

A. La délimitation de l'audit, y compris ses buts et objectifs

B. Une requête d'effectuer un audit de la part de la direction

C. La charte d'audit approuvée

D. L'échéancier d'audit approuvé

9. Lequel des éléments suivants serait le MIEUX adapté pour que la direction fasse un
suivi efficace du respect des processus et des applications?

1. A. Un dépôt central de documents

2. B. Un système de gestion des connaissances
3. Un tableau de bord
4. Une analyse comparative

10. Lequel des éléments suivants est juge le PLUS critique pour l'implantation réussie
d'un programme de sécurité de l'information (SI)?

1. Un cadre efficace de gestion du risque d'entreprise

2. L'engagement de la haute direction
3. Un processus budgétaire adéquat
4. Une planification de programme rigoureuse

11. Laquelle des tâches suivantes peut être effectuée par la même personne dans un
centre informatique de traitement de l’information bien contrôlé?

A. L’administration de la sécurité́ et la gestion des modifications

B. Les opérations informatiques et la conception de systèmes

C. La conception de systèmes et la gestion des modifications

D. Le développement du système et l'entretien des systèmes

12. Lorsqu'une séparation complète des tâches ne peut être réalisée dans un
environnement de système en direct, laquelle des fonctions suivantes doit être
séparée des autres?

A. Émission
 B. Autorisation

C. Enregistrement

D. Correction

13. Dans une petite entreprise, où la séparation des tâches n'est pas pratique, un
employé effectue la fonction d'opérateur d'ordinateur et de programmeur
d'application. Lequel des contrôles suivants un auditeur des SI doit-il recommander?

A. Des journaux automatisés des changements apportés aux bibliothèques de

conception
B. Embauche de main d’ œuvre supplémentaire pour permettre la séparation des
tâches
C. Des procédures qui vérifient que seuls les changements autorisés au
programme sont implantés
D. Des contrôles d'accès pour empêcher l'opérateur d'apporter des modifications
au programme

14. Un auditeur des SI effectuant un examen des contrôles d'une application

découvre une faiblesse dans les logiciels systèmes qui pourrait avoir une incidence
importante sur l'application. L'auditeur des SI doit :

A. Ne pas tenir compte de ces faiblesses, puisque l'examen des logiciels systèmes
dépasse la portée de cet examen.
B. Mener un examen détaillé des logiciels systèmes et faire état des faiblesses de
contrôle.
C. Inclure dans le rapport une déclaration que la vérification se limitait à
l'examen des contrôles de l'application.
D. Examiner les contrôles des logiciels systèmes, ceux-ci étant pertinents, et
recommander un examen détaillé́ des logiciels systèmes.

15. Lequel des éléments suivants feront partie d'un plan stratégique des SI?

A. Les spécifications pour les achats planifiés de matériel.

B. L'analyse des objectifs de l'entreprise pour le futur.
C. Les dates butoir pour les projets de développement.
D. Les cibles budgétaires annuelles pour le service des SI.

16. La classification d'une application logicielle en fonction de sa criticité dans le

cadre d'un plan de continuité des opérations de SI est déterminée par :
A. La nature de l'entreprise et la valeur de l'application pour l'entreprise.
B. Le coût de remplacement de l'application.
C. Le soutien offert par le fournisseur relativement à l'application.
D. Les menaces et vulnérabilités associées à l'application.