Vous êtes sur la page 1sur 15

Département de Mathématiques et Informatique

MASTER PROFESSIONNEL - MIA 438


Travaux Dirigés – Sécurité Informatique des Entreprises

PARTIE 1

Exercice 1 : Quels sont les objectifs d’un attaque par rebond?

Exercice 2 : Expliquer les mots suivants: exploit, spoofing

Exercice 3 : Décrire la méthodologie d’une intrusion en général?

Exercice 4 : Pourquoi un ordinateur connecté à un réseau peut être attaqué?

Exercice 5 : Qu’il est l’ intérêt de l’opération de balayage du réseau?

Exercice 6 : Identifier la terminologie relative à la vulnérabilité (la partie en surbrillance


verte est aléatoire)

Données entrant dans un programme avec du contenu malveillant, conçu pour


Situations de concurrence
forcer le programme à se comporter de manière indésirable.

Faille dans les mesures Lorsque les développeurs tentent de créer leurs propres applications de
de sécurité sécurité

Problèmes de contrôle Lorsque le résultat d’un évènement dépend de résultats commandés ou


d’accès chronométrés

Lorsqu’une application malveillante accède à de la mémoire attribuée à


Entrée non validée
d’autres processus

Débordement de tampon Mauvaise régulation des rôles et de ce qu’ils peuvent faire avec les ressources

Pierre PEP, Ing Page 1 sur 15


Exercice 7 : Identifier les types de programmes malveillants (la partie en surbrillance
verte est aléatoire)

Programme malveillant conçu pour exécuter une action,


MitMo
généralement en ligne.

Programme malveillant conçu pour tenir en otage un système


Ver informatique ou les données qu’il contient jusqu’a ce qu’un
paiement soit effectué.

Logiciel conçu pour modifier le système d’exploitation afin de


Rançongiciel créer une porte dérobée.

Souvent fourni avec des logiciels légitimes. Ce programme


Publiciel
malveillant est conçu pour suivre les activités d’un utilisateur.

Code exécutable malveillant joint à d’autres fichiers


Scareware
exécutables qui sont souvent des programmes légitimes.

Programme malveillant qui effectue des opérations nuisibles


Virus
sous couverts d’une opération souhaitée.

Parfois fourni avec d’autres logiciels. Ce programme


Logiciel espion
malveillant est conçu

Programme malveillant utilisé pour prendre le contrôle d’un


Bot
terminal mobile.

Logiciel conçu pour convaincre l’utilisateur d’effectuer une


Rootkit
action spécifique en lui faisant peur.

Cheval de troie Code malveillant qui se reproduit en exploitant


indépendamment les vulnérabilités dans les réseaux.

Pierre PEP, Ing Page 2 sur 15


CAS D'ETUDE : Vous travaillez en tant que Responsable SI chez Help People !

Help People

La société « Help People » a été créée en 2010 et possède son siège à Douala. Elle
propose divers services d’aide à la personne tels que la garde d’enfants, le ménage,
l’aide administrative ou encore de l’assistance médicale.

Quelques infos sur le fonctionnement du produit et de son système d'information :

 la souscription aux différents services s’effectue exclusivement sur le site


Internet de l’entreprise ;
 les clients accèdent à leurs comptes contenant des informations personnelles
(nom, prénom, adresse postale, dossier médical, etc.) et des informations
bancaires pour procéder aux paiements en ligne de façon automatique dès la
confirmation d’une prestation ;
 sur ce site sont également consultables le catalogue des prestations proposées,
les tarifs associés et les profils des intervenants ;
 une plateforme d’échanges permet aux clients de poser leurs questions et de
recommander les intervenants dont ils sont satisfaits ;
 l’affectation des prestations auprès des intervenants s’effectue via un intranet
sur lequel les employés partagent leurs plannings ;
 une voiture de fonction est attribuée à chacun des intervenants pour faciliter
leurs déplacements chez les clients.

Pierre PEP, Ing Page 3 sur 15


Question 1 : Un ancien employé o Actif
malveillant dont les droits sur l’intranet o Menace
n’ont pas été révoqués continue de o Vulnérabilité
partager ses disponibilités et donc o Risque
d’assurer des interventions au nom de
Help People de façon illégale. Cet ancien
employé malveillant représente :

Question 2 : Dans cette même situation, o Actif


la gestion des droits d’accès à la o Menace
plateforme intranet représente : o Vulnérabilité
o Risque

Question 3 : Les droits d’accès à o Inexistante


l’intranet de l’ancien employé o Initialisée
malveillant n’ont pas été révoqués car o Reproductible
l’administrateur réseau récemment o Définie
embauché n’avait pas connaissance du o Gérée
processus de gestion des droits en place. o Optimisée

Pierre PEP, Ing Page 4 sur 15


EXERCICE 8 : Identifiez les métiers & risques liés à la CyberSécurité

Question 1 : Qu'est-ce qu'un a) Un virus qui récupère les accès à votre compte en banque
rançongiciel (ransomware) ? b) Un virus qui réclame à vos amis l'argent qu'ils vous doivent
c) Un virus qui chiffre vos données pour les bloquer tant que
vous ne payez pas son créateur

Question 2 : En combien de a) Le plus tôt possible (quelques jours)


temps une entreprise doit-elle b) Sous 1 à 3 mois
divulguer une brèche de c) Il ne faut jamais divulguer les brèches de données : si on en
données lorsqu'elle en a été parle, tout le monde va vouloir voir les données !
victime ?
Question 3 : Quel est l'autre a) La brèche de données
nom du phishing ? b) La faille réseau
c) L'ingénierie sociale

Question 4 : Une entreprise a a) L'auditeur SSI


été victime d'une brèche b) L'analyste SSI
logicielle. Quelle personne va c) Le DPO
chercher à comprendre ce qu'il
s'est passé maintenant que
l'incident a eu lieu ?
Question 5 : Quelle personne a) Le RSSI
est la plus à même de passer b) Le chef de projet sécurité SI
des commandes auprès des c) Le technicien SSI
SSII ?
Question 6 : Quel est le rôle a) Cartographier la sécurité de l'entreprise.
du DPO ? b) Anticiper les menaces extérieures en mettant en place une
veille.
c) Conseiller l'entreprise sur la protection des données.

EXERCICE 9 : Test d’Intrusion

Question 1: À quoi sert un test a) À être sûr d'être complètement protégé


d'intrusion? b) À identifier les vulnérabilités uniquement
c) À identifier les vulnérabilités, tenter de les exploiter pour
les qualifier, et proposer des solutions pour les corriger
Question 2 : Comment doit-on a) Le pentesteur détermine cela tout seul en fonction de ce
déterminer le périmètre du qu'il pense le plus adapté, c'est sa seule expertise qui
test d'intrusion? compte.
b) Le pentesteur et le responsable de l'entreprise cible du test
d'intrusion doivent déterminer ensemble le périmètre idéal
pour atteindre l'objectif.
c) Le pentesteur doit vérifier avec les utilisateurs finaux le
périmètre de tests.

Pierre PEP, Ing Page 5 sur 15


Question 3: Une autorisation a) Non, une autorisation n'est pas nécessaire car le pentesteur
de l'entreprise cible est-elle est un professionnel qui sait ce qu'il fait.
indispensable pour réaliser un b) Oui et non, c’est mieux mais pas obligatoire.
test d'intrusion? c) Oui, et n'importe quelle personne de l'entreprise cible peut
signer le mandat d'autorisation.
d) Aucune de ces réponses.
Question 4: Que doit contenir a) La liste des vulnérabilités trouvées pendant le test
un rapport de test d'intrusion? d'intrusion par le pentesteur.
b) La liste exhaustive des outils utilisés par le pentesteur
pendant son test d'intrusion.
c) Toutes les techniques et méthodes employées par le
pentesteur pendant son test.
Question 5 : En fonction de a) L'ancienneté de la vulnérabilité.
quels critères est calculée la b) Le niveau de gravité des conséquences de l'utilisation de
priorisation de la correction cette vulnérabilité.
d'une vulnérabilité? c) La probabilité que la vulnérabilité soit exploitée.

Attention, plusieurs réponses


sont possibles.
Question 6: Vous réalisez un a) Installer les mises à jour Windows.
test d'intrusion chez un b) Installer un patch spécial fourni par Microsoft, la
hébergeur de site Web. Dans KB2953522 pour sécuriser les serveurs.
votre rapport, Vous établissez c) Recommander de changer les systèmes d'exploitation pour
que l'hébergeur possède une des versions plus récentes que Windows Server 2003.
infrastructure hétérogène qui
contient certains serveurs
tournant sur Windows Server
2003. Pendant le test, vous
avez trouvé des vulnérabilités
sur ces quelques serveurs.
Quelle recommandation allez-
vous faire pour la correction
des vulnérabilités trouvées sur
ces serveurs tournant sur
Windows 2003 ?

EXERCICE 10 : Politique de Sécurité du Système d’Information (PSSI)

Question 1: Le SI doit assurer a) Intégration, Confidentialité, Traçabilité, Disponibilité


les fonctions suivantes: b) Confinement, Intégrité, Traçabilité, Disponibilité
c) Disponibilité, Confidentialité, Traçabilité, Intégrité

Question 2: À qui s’adresse a) À la MOA des projets.


une PSSI? b) À la MOE des projets.
c) Aux prestataires de l’entreprise.
Attention, plusieurs réponses d) Uniquement aux services informatiques.
sont possibles.
Question 3 : Une PSSI est a) Contient les codes des armoires fortes de l’entreprise.
un document stratégique. b) Contient les enjeux de sécurité pour les activités de

Pierre PEP, Ing Page 6 sur 15


Cela signifie qu’elle : l’entreprise
c) Exprime les priorités du management.
Attention, plusieurs réponses
sont possibles.
Question 4 : Le standard ISO a) Vrai
27001 définit les exigences à b) Faux
mettre en place pour
l’élaboration d’un système de
management de la sécurité de
l’information.
Question 5: La mise en œuvre a) Déterminer les responsables, évaluer les ressources,
de la PSSI se fait au travers de prioriser les objectifs, faire valider la méthodologie par
l’application d’un plan la direction.
d’action. Quelles en sont les b) Évaluer les responsables, prioriser les ressources,
étapes ?
valider les objectifs, impliquer la direction.
c) Déterminer les responsables, faire valider la
méthodologie par la direction, évaluer les ressources,
prioriser les objectifs.
Question 6 : La famille de a) Vrai.
normes ISO x énonce b) Faux
des principes essentiels qui
vont permettre un
alignement progressif de la
securite de l’information
avec les meilleures
pratiques de management.
Question 7 : Quelles sont les a) Les activités de l’entreprise
raisons qui militent pour une b) La réglementation
révision régulière de la PSSI? c) Un recrutement massif d’utilisateurs
d) La recrudescence de nouvelles menaces
Attention, plusieurs réponses
sont possibles.
Question 8: Quel est le rôle du a) Sanctionner les utilisateurs dangereux
RSSI en termes d'hygiène b) Former les utilisateurs aux enjeux de cybersécurité
cybernétique? c) Sensibiliser les utilisateurs aux usages à risques
Attention, plusieurs réponses d) Vérifier que toutes les sessions sont verrouillées
sont possibles.
chaque soir

Question9: Dans la a) Pour mobiliser les prestataires externes


démarche d’élaboration de b) Pour mobiliser les utilisateurs
la PSSI et de sa mise en c) Pour faciliter la mise à disposition de ressources
œuvre dans un plan financières pour le projet
d’action, l’implication de la
direction est essentielle.
Pourquoi ?

Pierre PEP, Ing Page 7 sur 15


Attention, plusieurs réponses
sont possibles.
Question 10: Dans quelle a) Plan
phase de mise en oeuvre la b) Do
mise en place d'actions c) Check
correctrices intervient-elle ? d) Act

EXERCICE 11 : Vous travaillez en tant que Responsable SI chez Help People !

La société « Help People » a été créée en 2010 et possède son siège à Douala. Elle propose
divers services d’aide à la personne tels que la garde d’enfants, le ménage, l’aide
administrative ou encore de l’assistance médicale.

Quelques infos sur le fonctionnement du produit et de son système d'information :

 La souscription aux différents services s’effectue exclusivement sur le site Internet de


l’entreprise ;
 Les clients accèdent à leurs comptes contenant des informations personnelles (nom,
prénom, adresse postale, dossier médical, etc.) et des informations bancaires pour
procéder aux paiements en ligne de façon automatique dès la confirmation d’une
prestation ;
 Sur ce site sont également consultables le catalogue des prestations proposées, les
tarifs associés et les profils des intervenants ;
 Une plateforme d’échanges permet aux clients de poser leurs questions et de
recommander les intervenants dont ils sont satisfaits ;
 L’affectation des prestations auprès des intervenants s’effectue via un intranet sur
lequel les employés partagent leurs plannings ;
 Une voiture de fonction est attribuée à chacun des intervenants pour faciliter leurs
déplacements chez les clients.

Question 1: Les quatre (04) a) Vulnérabilité


composantes nécessaires à la b) Impact
définition d’un risque sont : c) Vraisemblance
d) Actif
Attention, plusieurs réponses
e) Conséquence
sont possibles.
f) Menace
Question 2: Pour la gestion a) EBIOS
des risques, la norme ISO b) MEHARI
5 s’appuie sur la c) OCTAVE
méthodologie : d) Aucune méthodologie spécifique
Question 3: Dans la définition a) L’activité interne prime
du contexte de l’analyse de b) L’environnement externe prime
risque : c) L’activité interne et l’environnement externe ont des
importances équivalentes
Question4: "Le vol des a) Critère d’évaluation du risque
informations personnelles et b) Critère d’impact du risque

Pierre PEP, Ing Page 8 sur 15


bancaires des comptes clients c) Critère d’acceptation du risque
de l’entreprise Help People
entacherait l’image de marque
de l’entreprise et ferait perdre
25 % des abonnés."

Cette affirmation constitue un


critère :

Question 5 : Autre cas de figure ! Le paiement en ligne des prestations facturées par Help
People fait l’objet de fraudes faisant perdre environ 1 . . FCFA par an à l’entreprise,
soit 3 % du chiffre d’affaires de l’année 18. Les fraudes concernent en grande majorité les
prestations d’assistance administrative.

Possibilité1: Help People a) Réduction du risque


décide de cesser son activité b) Partage du risque
d’assistance administrative. Il c) Refus du risque
s’agit de l’activité générant les d) Maintien du risque
plus faibles revenus parmi le e) Redéfinition du risque
panel des services proposés. f) Analyse approfondie du risque
Seuls la garde d’enfant,
l’assistance administrative et
le ménage resteront au
catalogue l’année prochaine.
Cette action constitue une
mesure de :
Possibilité2: Help People a) Réduction du risque
décide de mettre en place un b) Partage du risque
système de paiement en ligne c) Refus du risque
sécurisé respectant la norme d) Maintien du risque
PCI-DSS. Il a été démontré que e) Redéfinition du risque
les mécanismes préconisés par f) Analyse approfondie du risque
la norme réduit drastiquement
les types de fraudes subies par
l’entreprise. Cette action
constitue une mesure de :
Possibilité3: Help People a) Réduction du risque
contractualise avec une société b) Partage du risque
spécialisée dans le paiement c) Refus du risque
en ligne. De ce fait, elle ne sera d) Maintien du risque
plus responsable d’aucun e) Redéfinition du risque
paiement sur sa plateforme. f) Analyse approfondie du risque
Ces derniers seront
intégralement gérés par la
société partenaire. Cette action
constitue une mesure de:
Possibilité4: Help People a) Réduction du risque
considère que la perte générée b) Partage du risque
par les fraudes (soit 3 % du c) Refus du risque
chiffre d’affaires sur 18) sont d) Maintien du risque

Pierre PEP, Ing Page 9 sur 15


minimes comparées aux e) Redéfinition du risque
revenus générés par l’activité f) Analyse approfondie du risque
d’assistance médicale.
L’entreprise décide donc
d’accepter la situation en
l’état. Cette action constitue
une mesure de :

EXERCICE 12 : Audit de sécurité

Une entreprise organise un appel d’offre pour faire auditer la sécurité de son réseau. Trois
offres sont proposées :

1. Un audit conceptuel : plans, schémas et configurations du réseau sont demandés. À


partir de ces informations, l’expert estimera si le réseau est sûr ou non;

2. Un scan de vulnérabilités : à l’aide de sondes spécialisées placées à différents


endroits du réseau, l’expert découvrira automatiquement les vulnérabilités des
équipements;

3. Un test d’intrusion : sans aucune information préalable, l’expert tentera de pénétrer


le réseau de l’entreprise depuis Internet et de s’approprier des informations
confidentielles.

Chaque audit est utile à sa manière. Pour chacun, décrire une situation qui en ferait l’usage
approprié.

Pierre PEP, Ing Page 10 sur 15


PARTIE 2
EXERCICE 1: PRÉPAREZ VOTRE TEST D’INTRUSION

 Question 1 : Est-ce qu'un scan de vulnérabilité est équivalent à un test


d'intrusion ?

a. Oui
b. Non

 Question 2 : Est-ce qu’un pentest est équivalent à un test d'intrusion ?

c. Oui
d. Non

 Question 3 : À quoi sert un test d'intrusion ?

a. À être sûr d'être complètement protégé


b. À identifier les vulnérabilités uniquement
c. À identifier les vulnérabilités, tenter de les exploiter pour les qualifier, et
proposer des solutions pour les corriger

 Question 4 : Quelle est la distribution Linux conçue spécialement pour les


tests d'intrusion ?

a. Debian
b. RedHat
c. Kali

 Question 5 : Lesquels des outils de pentest suivants sont des outils utilisés
dans les tests d'intrusion ?
Attention, plusieurs réponses sont possibles.

a. Nero
b. Nmap
c. Wireshark
d. Word
e. OpenOffice

 Question 6 : Lequel des outils suivants est un célèbre outil de scan de


vulnérabilité?

a. Facebook Scan
b. Scanner Ultimate Defender
c. Nessus

Pierre PEP, Ing Page 11 sur 15


 Question 7 : Lequel des outils suivants est un outil d'exploitation de
vulnérabilité ?

a. Vulnerability Exploiter Corp


b. WireShark
c. Metasploit
d. VulntesterPro

 Question 8 : Comment doit-on déterminer le périmètre du test d'intrusion ?

a. Le pentesteur détermine cela tout seul en fonction de ce qu'il pense le plus


adapté, c'est sa seule expertise qui compte.
b. Le pentesteur et le responsable de l'entreprise cible du test d'intrusion doivent
déterminer ensemble le périmètre idéal pour atteindre l'objectif.
c. Le pentesteur doit vérifier avec les utilisateurs finaux le périmètre de tests.

 Question 9 : Une autorisation de l'entreprise cible est-elle indispensable


pour réaliser un test d'intrusion ?

a. Non, une autorisation n'est pas nécessaire car le pentesteur est un


professionnel qui sait ce qu'il fait.
b. Oui et non, c’est mieux mais pas obligatoire.
c. Oui, et n'importe quelle personne de l'entreprise cible peut signer le
mandat d'autorisation.
d. Aucune de ces réponses.

EXERCICE 2 : RÉDIGEZ VOTRE RAPPORT DE TEST D’INTRUSION

 Question 1 : Que doit contenir un rapport de test d'intrusion ?

a. La liste des vulnérabilités trouvées pendant le test d'intrusion par le


pentesteur.
b. La liste exhaustive des outils utilisés par le pentesteur pendant son test
d'intrusion.
c. Toutes les techniques et méthodes employées par le pentesteur pendant
son test.

 Question 2 : Quels sont les axes d'évaluation des risques qui permettent de
qualifier les vulnérabilités ? Attention, plusieurs réponses sont possibles.

a. La sévérité.
b. Le niveau de priorité pour effectuer la correction.
c. L’intention de l’entreprise cible de corriger ou pas certaines
vulnérabilités
d. Les moyens techniques de l’entreprise pour corriger les vulnérabilités

Pierre PEP, Ing Page 12 sur 15


 Question 3 : Qu'est-ce que le standard CVSS ?

a. C’est un référentiel qui donne une méthodologie à suivre pour effectuer


un test d'intrusion.
b. C’est un guide pour évaluer la sécurité de son système informatique.
c. C’est un système d'évaluation de la criticité des vulnérabilités selon des
critères objectifs et mesurables.

 Question 4 : En fonction de quels critères est calculée la priorisation de la


correction d'une vulnérabilité ? Attention, plusieurs réponses sont possibles.

a. L'ancienneté de la vulnérabilité.
b. Le niveau de gravité des conséquences de l'utilisation de cette
vulnérabilité.
c. La probabilité que la vulnérabilité soit exploitée.

 Question 5 : Quand une vulnérabilité est rendue publique, elle est


référencée dans des bases de données officielles qui sont disponibles sur
Internet
a. Vrai
b. Faux

 Question 6 : Quelles sont les personnes qui sont susceptibles de lire un


rapport de test d'intrusion ?

a. Uniquement le chef d'entreprise.


b. Les responsables de l'entreprise et les personnes en charge de la
sécurisation du système informatique.
c. Tous les collaborateurs de l'entreprise car ils ont le droit de savoir s’ils
travaillent dans un environnement sécurisé.

 Question 7 : Vous réalisez un test d'intrusion dans une petite PME. Vous
réalisez que les mots de passe par défaut (utilisateur et administrateur)
n'ont pas été changés sur leurs applications métiers. Qu’allez-vous
recommander dans votre rapport ?

a. Rien, car il y a un mot de passe donc c’est l’essentiel.


b. Réinstaller l'application métier car cela a vraisemblablement été mal
fait.
c. Changer les mots de passe.

Pierre PEP, Ing Page 13 sur 15


POLITIQUE DE SECURITE & ANALYSE DES RISQUES

EXERCICE 1 : Bien supports et menaces génériques

1. Classer les bien supports suivants selon les catégories : matériels (MAT),
logiciels (LOG), canaux informatiques et de téléphonie (RSX), personnes
(PER), supports papier (PAP), canaux interpersonnels (CAN), locaux (LOC) :
- fibre optique
- document imprimé
- cartouche de sauvegarde
- commutateur téléphonique
- assistant personnel (PDA)
- SGBD Oracle
- discussions de couloir
- salle de réunion
- Linux
- client de courrier électronique
- poste de travail
- salle de conférence
- ligne téléphonique
2. Proposer des exemples d’impacts génériques : sur le fonctionnement, les
humains, les biens. Quels autres impacts ne rentrent pas dans les catégories
précédentes ?
3. Pour les catégories LOG et CAN présentes, proposer des menaces génériques
en précisant le(s) critère(s) de sécurité concernés et les vulnérabilités
exploitables. Par exemple pour PER on proposerait "Dissipation de l’activité d’une
personne" par l’exploitation du temps de travail, du blocage de l’accès d’une personne
ou l’exploitation d’une personne en dehors de ses prérogatives. Cette menace porte
atteinte à la disponibilité de la personne et sera efficace sur les sujets à la dissipation.

Pierre PEP, Ing Page 14 sur 15


ANALYSE DE RISQUES EBIOS : CAS D’ETUDE UCBL

Description du cas : La Direction du Système d’Information (DSI) de l’UCBL


désire mettre en place une Politique de Sécurité du Système d’Information (PSSI). La
complexité du SI impose d’utiliser une méthode pour recenser et classifier
exactement ce qu’il faut sécuriser. La méthode Expression des Besoins et
Identification des Objectifs de Sécurité (EBIOS) est retenue pour conduire cette étude
et aboutir à la définition de la PSSI. Parmi les services de l’UCBL, notons celui des
finances, en charge de la comptabilité, de la gestion des budgets, des marchés et des
payes. Les services financiers s’appuient sur le logiciel SIFAC (Système
d’Information, Financier Analytique et Comptable) hébergé sur un serveur du
bâtiment Braconnier. Notons que l’activité services financiers n’est pas régulière, en
effet, ces services sont particulièrement sollicités chaque fin de mois pour les payes et
de façon intense aux mois de novembre et de début décembre avec la clôture de
l’exercice budgétaire.

EXERCICE 1 : Étude du contexte


1. Les sources de menaces au sens EBIOS sont les sources non humaines (code
malveillant, phénomène naturel, catastrophe naturelle ou sanitaire, activité
animale, événement interne) ou humaines. Les humaines sont décomposées
en interne/externe, avec/sans intention de nuire et selon leur capacité (faibles,
importantes, illimitées). Indiquer quelles sont les sources de menaces qui
peuvent raisonnablement être écartées du contexte de l’étude.

2. Donner des exemples de sources de menaces pour les types de sources de


menaces suivants :
a. Source humaine interne, sans intention de nuire, avec de faibles capacités ;
b. Source humaine interne, sans intention de nuire, avec des capacités illimitées
c. Source humaine externe, sans intention de nuire, avec de faibles capacités ;
d. Source humaine externe, malveillante, avec de faibles capacités ;
e. Événement interne.

3. Quels sont les critères traditionnels de la sécurité ? La DSI souhaite ajouter le


critère de traçabilité dans le périmètre de son étude. Proposer une définition
de ce critère et justifier l’inclusion de ce nouveau critère dans le contexte.

EXERCICE 4 : Détermination des objectifs de sécurité

Dans le module d’étude des risques EBIOS, les risques intolérables du service des
finances sont :
- Risque lié à l’arrêt de SIFAC en période de clôture ;
- Risque lié l’usurpation d’identité sur la messagerie électronique ;
1. Quelles sont, en général, les différentes possibilités de traitement des risques ?
Lesquelles sont envisageables dans le contexte de l’étude ?

2. Proposer des mesures de sécurité pour réduire les risques.

Pierre PEP, Ing Page 15 sur 15

Vous aimerez peut-être aussi