Académique Documents
Professionnel Documents
Culture Documents
PARTIE 1
Faille dans les mesures Lorsque les développeurs tentent de créer leurs propres applications de
de sécurité sécurité
Débordement de tampon Mauvaise régulation des rôles et de ce qu’ils peuvent faire avec les ressources
Help People
La société « Help People » a été créée en 2010 et possède son siège à Douala. Elle
propose divers services d’aide à la personne tels que la garde d’enfants, le ménage,
l’aide administrative ou encore de l’assistance médicale.
Question 1 : Qu'est-ce qu'un a) Un virus qui récupère les accès à votre compte en banque
rançongiciel (ransomware) ? b) Un virus qui réclame à vos amis l'argent qu'ils vous doivent
c) Un virus qui chiffre vos données pour les bloquer tant que
vous ne payez pas son créateur
La société « Help People » a été créée en 2010 et possède son siège à Douala. Elle propose
divers services d’aide à la personne tels que la garde d’enfants, le ménage, l’aide
administrative ou encore de l’assistance médicale.
Question 5 : Autre cas de figure ! Le paiement en ligne des prestations facturées par Help
People fait l’objet de fraudes faisant perdre environ 1 . . FCFA par an à l’entreprise,
soit 3 % du chiffre d’affaires de l’année 18. Les fraudes concernent en grande majorité les
prestations d’assistance administrative.
Une entreprise organise un appel d’offre pour faire auditer la sécurité de son réseau. Trois
offres sont proposées :
Chaque audit est utile à sa manière. Pour chacun, décrire une situation qui en ferait l’usage
approprié.
a. Oui
b. Non
c. Oui
d. Non
a. Debian
b. RedHat
c. Kali
Question 5 : Lesquels des outils de pentest suivants sont des outils utilisés
dans les tests d'intrusion ?
Attention, plusieurs réponses sont possibles.
a. Nero
b. Nmap
c. Wireshark
d. Word
e. OpenOffice
a. Facebook Scan
b. Scanner Ultimate Defender
c. Nessus
Question 2 : Quels sont les axes d'évaluation des risques qui permettent de
qualifier les vulnérabilités ? Attention, plusieurs réponses sont possibles.
a. La sévérité.
b. Le niveau de priorité pour effectuer la correction.
c. L’intention de l’entreprise cible de corriger ou pas certaines
vulnérabilités
d. Les moyens techniques de l’entreprise pour corriger les vulnérabilités
a. L'ancienneté de la vulnérabilité.
b. Le niveau de gravité des conséquences de l'utilisation de cette
vulnérabilité.
c. La probabilité que la vulnérabilité soit exploitée.
Question 7 : Vous réalisez un test d'intrusion dans une petite PME. Vous
réalisez que les mots de passe par défaut (utilisateur et administrateur)
n'ont pas été changés sur leurs applications métiers. Qu’allez-vous
recommander dans votre rapport ?
1. Classer les bien supports suivants selon les catégories : matériels (MAT),
logiciels (LOG), canaux informatiques et de téléphonie (RSX), personnes
(PER), supports papier (PAP), canaux interpersonnels (CAN), locaux (LOC) :
- fibre optique
- document imprimé
- cartouche de sauvegarde
- commutateur téléphonique
- assistant personnel (PDA)
- SGBD Oracle
- discussions de couloir
- salle de réunion
- Linux
- client de courrier électronique
- poste de travail
- salle de conférence
- ligne téléphonique
2. Proposer des exemples d’impacts génériques : sur le fonctionnement, les
humains, les biens. Quels autres impacts ne rentrent pas dans les catégories
précédentes ?
3. Pour les catégories LOG et CAN présentes, proposer des menaces génériques
en précisant le(s) critère(s) de sécurité concernés et les vulnérabilités
exploitables. Par exemple pour PER on proposerait "Dissipation de l’activité d’une
personne" par l’exploitation du temps de travail, du blocage de l’accès d’une personne
ou l’exploitation d’une personne en dehors de ses prérogatives. Cette menace porte
atteinte à la disponibilité de la personne et sera efficace sur les sujets à la dissipation.
Dans le module d’étude des risques EBIOS, les risques intolérables du service des
finances sont :
- Risque lié à l’arrêt de SIFAC en période de clôture ;
- Risque lié l’usurpation d’identité sur la messagerie électronique ;
1. Quelles sont, en général, les différentes possibilités de traitement des risques ?
Lesquelles sont envisageables dans le contexte de l’étude ?