Date : Classe : MPCGF2a JOUR

Nom : Prénoms :
TEST à 60% NOTE sur 20
Durée : X heures Y mn

AUDIT DE LA SECURITE DU SYSTEME D'INFORMATION

TOUS DOCUMENTS AUTORISES

------------------------------------------------------------------------------------------------------------------------

1- L'entreprise ABC fournit un certain nombre de services à travers son site web. Un jour, le
Directeur constate avec surprise que des données sensibles et critiques sur leurs serveurs sont
piratées (volées) à partir d'internet par des individus non autorisés. Des investigations post
incident révèlent que les serveurs clés de l'entreprise sont infectés par un « Trojan ».
Cet incident est survenu après l'installation d'un module logiciel acquis auprès d'un
fournisseur. Ce logiciel ayant été auparavant testé sur des serveurs de test conformément aux
spécifications. L'incident est passé inaperçu pendant environ quatre (04) semaines. La cause
potentielle de la fuite était un programme malveillant intégré dans le nouveau module.
Laquelle des mesures suivantes pourraient prévenir la communication à partir d'un hôte
(ordinateur) douteux ?
A) Crypter les données sur le serveur
B) Mettre à jour le logiciel anti-virus
C) Implémenter un système de détection et de prévention d'intrusion (IDS/IPS)
D) Implémenter un protocole sécurisé tel que le SSL ou TSL.

2- Laquelle des options suivantes serait le meilleur moyen pour un auditeur des SI de
déterminer l'efficacité d'un programme de sensibilisation et de formation à la sécurité ?
A) Examen du programme de formation à la sécurité
B) Questionner l'administrateur de sécurité
C) Interroger (interviewer) un échantillon d'employé
D) Examiner les souvenirs des employés

3 - Les procédures d'administration de la sécurité requiert l'accès uniquement en lecture :

a) des tables (ou fichier) de contrôle d'accès.
b) des fichiers journaux (ou fichier log) de sécurité.
c) des options de connexion.
d) des profils utilisateurs.

4 – Lequel des énoncés suivants fournit le meilleur contrôle d'accès pour les données salariale
qui sont traitées sur un serveur local ?
a) La journalisation de l'accès aux informations personnelles.
b) Utilisation de mots de passe séparés pour les transactions sensibles.
c) Utilisation de logiciel qui restreint les règles d'accès au personnel autorisé.
 d) Restreindre l'accès aux systèmes aux heures d'opération.

5 – Un auditeur des SI vient juste de terminer la révision d'une entreprise qui possède un
ordinateur central et deux (02) serveurs de base de données dans lesquels se trouvent
toutes les données de production. Laquelle des faiblesses suivantes seraient considérées
comme étant la plus sérieuse ?
a) Le responsable de la sécurité joue aussi le rôle d'administrateur de la base de données.
b) Les contrôles de mots de passe ne sont pas gérés sur les deux serveurs de base de données.
c) On ne retrouve pas de plan de continuité des affaires pour les applications non essentielles
du système de l'ordinateur central.
d) La plupart des LAN (réseaux locaux) ne sauvegardent pas les disques fixe des serveurs de
fichiers régulièrement.

6 - Laquelle des techniques d'audit suivantes seraient la plus efficace pour identifier les
violations de séparation de tâches dans la mise en place (implémentation) d'un ERP ?
a) Examiner un rapport sur les droits de sécurité dans le système
b) Examiner les complexités des objets ou motifs d'autorisation
c) Elaborer un programme pour identifier les conflits dans l'autorisation
d) Examiner les cas récents de violation de droits d'accès.

7 – Une entreprise propose d'installer une seule fonctionnalité d'ouverture de session qui
donne l'accès à tous les systèmes. L'entreprise doit être consciente que :
a) l'accès maximum autorisé serait possible si un mot de passe est divulgué.
b) les droits d'accès des utilisateurs seraient restreints avec des paramètres de sécurité
supplémentaires.
c) la charge de travail de l'administrateur de la sécurité serait augmentée.
d) les droits d'accès des utilisateurs seraient augmentés.

8 - Laquelle des options ci-dessous assureraient la confidentialité des informations envoyées à

travers internet ?

a) une contrainte d’intégrité.

b) un certificat numérique.
c) un anti-virus.
d) un système de clé de cryptage (ou de chiffrement).

9 – Laquelle des options suivantes un auditeur des SI devrait utiliser pour détecter des
enregistrements en double des factures dans un fichier maître des factures ?
a) échantillonnage par attribut
b) logiciel d'audit généralisé
c) les données de test
d) Implémentation d'essai intégré (ITF)

10 – Laquelle des options suivantes un auditeur des SI utiliserait pour déterminer si des
modifications non autorisées ont été effectuées sur les programmes de production ?
A) – l'analyse des journaux système
B) – les tests de conformité
C) – l'analyse judiciaire ou légale
D) – l'examen analytique.

11 – Lequel des composants ci-après permettraient de limiter ou bloquer des tentatives

d'intrusion sur le réseau ?
a) un routeur
b) un anti-virus.
c) une DMZ.
d) un firewall ou pare-feux

12 – Un auditeur des SI qui passe en revue le journal des tentatives manquées d'ouverture de
session serait des plus inquiets si lequel des comptes suivants étaient ciblés ?
a) Administrateur de réseau.
b) Administrateur de système.
c) Administrateur de données.
d) Administrateur de base de données.

13 – L'on voudrait savoir à partir d'une grande base de données qui stocke des formulaires de
demande d'accès aux applications (parfaitement renseignés ou non) si oui ou non les
procédures en la matière sont respectées. On veut procéder par échantillonnage (ou
sondage). Quel genre de sondage serait pertinent ?
a) Sondage par variable.
b) Sondage par découverte.
c) Sondage par attribut.
d) Sondage statistique.

14 – Lors de la réalisation d'un audit, un auditeur des SI détecte la présence d'un virus. Quel
est l'étape suivante qu'il devrait entreprendre ?
A) – observer le mécanisme de réponse
B) – éliminer le virus du réseau
C) – informer immédiatement le personnel approprié
D) – s'assurer de la suppression du virus.

15 – Au cours de la réalisation d'une analyse de risque, un auditeur des SI a identifié les

menaces et les impacts potentiels.
La prochaine étape pour l'audit sera :
A) Identifier et évaluer le processus d'évaluation des risques utilisé par le management
B) Identifier les actifs informationnels ainsi que que systèmes sous-jacents
C) divulguer les menaces et les impacts au management
D) identifier et évaluer les contrôles existants.

16 - Un auditeur des SI entreprend un examen de la configuration d'un système.

Quel serait la meilleure preuve qui correspondra aux paramètres de la configuration actuelle
du système ?
A) Les valeurs (paramètres) de la configuration du système importées dans une feuille de calcul
(de tableur comme excel)
B) rapport standard contenant les valeurs de configuration récupérer dans le système par
l'auditeur
C) une capture d'écran, datée, des paramètres de configuration du système effectuée et fournie
par l'administration du système
D) une révision annuelle des valeurs de configuration du système approuvées par le chef
d'entreprise.

17 – Lequel des problèmes suivants touchant à la sécurité d'un message électronique est traité
avec les signatures numériques ?
a) la lecture non autorisée.
b) le vol.
c) la copie non autorisée.
d) l'altération.

18 – Parmi les référentiels suivants, quels sont ceux qui seraient pertinents à retenir pour un
audit du système d’information d’une entreprise commerciale locale.
(Plusieurs choix sont permis pour cette question)

a. COBIT
b. SYSCOA
c. ISO 27001
d. ISO 9001
e. Sarbane Oxley's Act (SOX)
f. ISO 27002
g. BALE II

19 – Un auditeur des SI examine les accès au système et découvre un nombre excessif

d'utilisateurs à haut privilèges d'accès (qui peuvent presque tout faire sur le système ou
l'application). L'auditeur discute de la situation avec l'administrateur système, qui indique
que certaines personnes appartenant à d'autres départements ont besoin des accès à haut
privilèges et que les Directeurs ont approuvé ces attributions d'accès.
Quel serait la meilleure action à entreprendre par l'auditeur ?
A) – Déterminer si des contrôles compensatoires sont en place.
B) – Documenter ou en faire cas dans le rapport d'audit.
C) – Recommander une mise à jour des procédures.
D) – Discuter du problème avec la direction.

20- Lequel des énoncés suivants devraient être le plus gros sujet d'inquiétude d'un auditeur
des SI ?
A) Absence de reporting (rapport) sur une attaque réussie du réseau
B) Défaut d'adressage de tentative d'intrusion par une politique
C) Absence de d'examen périodique des droits d'accès
D) Défaut de notification des intrusions au public

21- Lequel des média de transmission fourni la meilleure de sécurité contre les accès non
autorisés ?
A) Le fil de cuivre
B) La paire torsadée
C) La fibre optique
D) Le câble coaxial
22 - Quelles sont les qualités des preuves devant soutenir les conclusions d'une mission
d'audit ?
A) – Pertinent, suffisant, durée de vie adéquat
B) – Suffisant, durée de vie adéquate, fiable
C) – Pertinent, fiable, durée de vie adéquat
D) – Pertinent, suffisant, fiable

23 – Pour s'assurer de la conformité de la politique de sécurité, qui exige que les mots de passe
soient des combinaisons de lettre et de nombre, un auditeur des SI devrait recommander que :
A) – La politique de l'entreprise soit modifiée.
B) – Les mots de passe soient périodiquement changés (modifiés)
C) – Un outil de gestion automatisé de mot de passe soit utilisé.
D) – un entrainement sur la connaissance en matière de sécurité soit dispensé.

24 – Un site Web de commerce électronique de détail désire, en tant que partie de son
programme de sécurité de l'information, surveiller, détecter et prévenir les activités des
pirates informatiques et alerter l'administrateur du système lorsque surviennent des
activités douteuses. lequel des composants d'infrastructure suivants pourraient être
utilisés à cette fin ?
a) Système de détection d'intrusion (IDS)
b) Les coupe-feux
c) Les routeurs
d) Encryptage asymétrique.

25 - Parmi les attentes relatives au contenu d'un rapport d'audit des SI ci-dessous, lesquelles
sont partagées par les trois grandes catégories de destinataires ?
I – Quels sont les risques identifiés ?
II – Pourquoi ces risques existent ?
III – Quelle est la gravité de l'exposition au risque ?
IV – Comment sont gérés les risques ?
V – Quel est la cause du risque ?
VI – Quelles sont les recommandations ?
VII – Quelle est la réponse du management.

26 – Que devrait faire une entreprise avant de permettre à une agence externe (personnel
externe) l'accès physique à ces infrastructures de traitement de l'information ?
A) Le processus de l'agence externe devrait faire l'objet d'un audit de SI par un cabinet indépendant
B) Les employés de l'agence externe devraient être entrainés sur les procédures de sécurité de
l'organisation.
C) Tout accès par l'agence externe devrait être limité à la DMZ.
D) L'entreprise devrait mener une évaluation de risque afin de concevoir et mettre en place
(implémenter des contrôles approuvés.

27 – Lorsqu'on utilise une clé USB pour transporter des données confidentielles d'une société
sur un autre site, un contrôle efficace serait de :
A) - Transporter la clé USB dans un cartable sécurisé.
B) - Rassurer le Directeur que vous ne perdrai pas la clé.
C) - Demander au directeur de faire acheminer la clé par courrier.
D) - Crypter (ou chiffrer) le répertoire contenant les données avec une clé robuste (indéchiffrable).

28 - Un auditeur des SI constate que les requêtes (commandes) d'un client étaient traitées
plusieurs fois lorsqu'elles sont reçues de différentes bases de données de départements
indépendants au sein de la société. Ces différentes bases de données sont synchronisées
(uniformiser leur contenu) par semaines. Quel serait la meilleure recommandation ?
A) Augmenter la fréquence de réplication des données entre les différents systèmes des
départements pour assurer une mise à jour en temps opportun.
B) Centraliser toutes les requêtes de traitement au niveau d'un seul département afin d'éviter les
traitements parallèles de la même requête.
C) Changer l'architecture de l'application afin que les données soient contenues dans une seule
base de données partagée par tous les départements.
D) Implémenter des contrôles de réconciliation pour détecter les doublons avant d'autoriser le
traitement de requêtes dans le système.

29 – Lors d'un examen de la sécurité de l'accès logique d'une organisation, laquelle des
options suivantes constitueraient la plus grande inquiétude pour un auditeur des SI.

A) Les mots de passe ne sont pas partagés.

B) Les fichiers de mots de passe ne sont pas cryptés.
C) Les codes d'accès redondant de connexion ne sont pas supprimés.
D) Les attributions de code d'accès sont contrôlées.

30 – Un auditeur des SI planifie un audit du système de transfert bancaire dans le contexte

d'une réglementation qui requiert que la banque transcrive avec précision les transactions
Laquelle des options suivantes représentent le principal intérêt du champ de l'audit ?
A) La disponibilité des données
B) La confidentialité des données
C) le port des données.
D) L'intégrité des données.

31 - la plus importante raison pour un auditeur des systèmes d’information d’obtenir des
preuves suffisantes et appropriées est :
A) se conformer aux exigences réglementaires
B) fournir une base pour émettre des conclusions raisonnables
C) assurer une couverture complète de l’audit
D) effectuer un audit conforme au champ défini

32 – Pour empêcher une personne disposant des compétences techniques suffisantes de

contourner les procédures de sécurité et de modifier les programmes en production (en
exploitation), le mieux est :
 E) d'examiner les rapports d'exécution des travaux
F) de comparer les programmes en production avec des copies détenues par des tiers
indépendants
G) d'effectuer périodiquement à des test avec des données d'essai
H) d'instaurer une séparation des tâches appropriée.

33- Lequel des suivants réduiraient le plus efficacement les incidents de l'ingénierie sociale
(Facebook, LinkedIn, etc) ?
A) Formation, sensibilisation à la sécurité
B) Augmentation des mesures de sécurité physique
C) Politique des surveillances de messagerie électronique (e-mail)
D) Systèmes de détection d'intrusion

34- Un serveur d'authentification unique (SSO – Single Sign On) est utilisé pour authentifier
l'accès des utilisateurs aux réseaux de l'entreprise. L'auditeur des SI a remarqué que des
utilisateurs peuvent avoir plusieurs identifiants et qu'il n'existe pas de lien fort entre le
système des ressources humaines et le système d'authentification d'identité.
L'auditeur des SI sera plus concerné par lequel des énoncés ?

A) Les identifiants d'utilisateur (User ID) sont utilisés dans différentes applications
B) Il y a un défaut d'identifiant unique d'utilisateur
C) Les utilisateurs pourrait se voir attribuer de multiple compte d'accès au système
D) Les identifiants ne respectent pas un unique critère de composition (nommage)

35 – Dans le traitement de données distribué, un réseau en anneau :

I) relie tous les ordinateurs à un ordinateur hôte et chaque ordinateur relié achemine toutes les
données via l'ordinateur hôte
J) relie tous les canaux de communication pour former une boucle et chaque lien passe les
communications à son voisin jusqu'à destination
K) attache tous les messages du canal le long d'un câble unique et la communication vers
l'emplacement approprié se fait par accès direct
L) s'organise selon les lignes de communication hiérarchique, habituellement vers un ordinateur
central hôte.

36 – Une entreprise commerciale a conçu un site Web à l'intention de sa clientèle et de ses

fournisseurs. Elle souhaite mettre en ligne ce site qui sera hébergé sur un serveur placé dans
son réseau privé. Elles vous demandent des conseils sur l'architecture la meilleure à adopter.
Quel conseil lui préconiseriez-vous ?
M) Installer son site sur le serveur dans son réseau privé sans plus
N) Positionner le serveur devant héberger le site dans une DMZ
O) Laisser le serveur d'hébergement dans son réseau privé mais placer un pare-feu (firewall)
entre le nuage et le serveur en question
P) Placer le serveur dans une DMZ séparé d'avec le réseau privé par un Firewall.

37 – Lorsque deux (02) dispositifs communiquent au sein d'un système de transmission de

données, il doit exister un accord quant au format et l'interprétation des données et des
informations de contrôle.
Quelle expression désigne communément ce type d'accord ?
Q) La communication asynchrone
R) la communication synchrone
S) le canal de communication
T) le protocole de communication.

38 – Lequel des éléments présentent la mesure de contrôle des virus la plus efficace ?
a) le balayage des pièces jointes sur le serveur de courriel
b) La récupération des systèmes à partir de copie saines
c) l'inhibition des ports USB
d) un scanner antivirus en ligne comprenant des descriptions à jour des nouveaux virus.

39 – Quel dispositif dans une base de données permet d'empêcher la suppression d'un
enregistrement père si celle-ci contient des enregistrements fils incluant l'identifiant du père ?
U) Le langage de manipulation de donnée (LMD)
V) le langage de description de données (LDD)
W) la contrainte d'intégrité
X) l'étreinte fatale

40 – Les options suivantes comptent parmi les facteurs de sécurité du SI :

I – disponibilité / II – fiabilité
III – confidentialité /IV – efficacité
V – intégrité / VI – conformité
VII – importance

A) – VI, VII, I
B) – V, I, III
C) – I, II, III
D) – III, IV, V
28 – Etude de cas :

Une entreprise de formation s'est spécialisée dans les inscriptions en ligne pour les séminaires
qu'elle organise.
Elle a conçu un site Web, qu'elle héberge sur un serveur sur place chez elle. Ce serveur est situé
dans son réseau privé. Son réseau est composé de 10 micro-ordinateurs et de 05 ordinateurs
portables. Il convient de préciser qu'il n' y a pas de système cryptographique installé sur ce réseau.
A partir de son site, les clients potentiels s'inscrivent en ligne aux séminaires souhaités et effectuent
le paiement en ligne de 50% du coût du séminaire choisi. Ces paiements sont ensuite répertoriés par
le comptable et saisies dans l'application de comptabilité, qui est une application séparée (non
interfacée avec) de l'application Web de l'entreprise.
Le comptable possède en plus de son compte d'accès utilisateur à l'application de comptabilité, un
compte administrateur aussi bien à l'application Web et à l'application de comptabilité. Cela pour
suppléer le responsable informatique qui part très souvent en voyage de formation. L’identifiant
(code) administrateur est le même que celui utilisé par l'informaticien.
Par ailleurs, l'entreprise ne dispose pas d'onduleur, ni de groupe électrogène, bien qu'elle soit
installée dans une zone où les coupure d'électricité sont fréquentes, survenant en moyenne neuf (09)
heures par semaine et les variations de tension de retour de courant sont très élevées.
D'un autre côté, les fichiers des actions de formation sont traités par des formateurs contractuelles, à
leur domicile qu'ils copient par la suite via des clés USB sur les ordinateurs de l'entreprise. Les
ordinateurs de l'entreprise possèdent un anti-virus qui est mis à jour chaque semestre.
L'indisponibilité du site Web pendant 10 H fait perdre à l'entreprise environ 15% de son chiffre
d'affaire mensuelle.
Toutefois, la Direction générale (DG) estime que lorsque les pertes financières sont au-delà de 35%,
son chiffre d'affaire, le risque financier est élevé donc inacceptable et en dessous de 10% est faible.
Dans les autres cas, le risque doit être transféré.
Nous observons que l'entreprise compte de nombreux concurrents qui convoitent ses actions de
formation.
Dans le cadre d'un audit de la sécurité du système d'information de l'entreprise que vous devez
mener, il vous est demandé de :

1- Identifier les actifs de l'organisation qui entre dans le périmètre de l'étude.

Actif de l’entreprise :
un serveur
site web
05 micro-ordinateurs
05 ordinateurs portables
Les logiciels(applications)
Fichiers des actions de formation
2- Identifier les risques encourus par l'organisation et les conséquences possibles si le risque se
réalise (dans tableau)
3- Proposer des mesures de sécurité appropriées pour maîtriser ces risques.
4- Dans le cadre de l'estimation du risque financier que pourrait courir l'entreprise :
a) Comment désigne-t-on la définition des niveaux de risque acceptables ou non par la DG ?
b) Quelle décision l'auditeur devrait-il recommander au regard des seuils définis ?

5- En vous appuyant sur les normes pertinentes de l’ISACA et de l’IIA, présenter une FAR
typique avec les rubriques nécessaires pour un bon reporting.

6- Elaborer une FAR en rapport avec l’étude de cas ci-dessus.

Notation
- Questions sur 10/20
- Etude de cas 10/20

--------/-------