1- Laquelle des proposition ci-après un Contrôleur ou auditeur des SI considérerait comme étant la

plus importante lors de l'évaluation la stratégie du système d'information d'une entreprise ? Que
celle-ci :
A- aie été approuvée par les supérieurs hiérarchiques (ou ligne hiérarchique).
B- ne s'écarte pas du budget préliminaire du département de SI.
C- est conforme aux procédures d'approvisionnement.
D- supporte les objectifs métiers de l'entreprise.

2- Laquelle des activités ci-après indiquées effectuées par l'administrateur des bases de données
(DBA) devrait l'être par une autre personne ?
A- Supprimer les journaux retraçant les activités effectuées sur la base de données.
B- Implémenter ou mettre en œuvre des outils d'optimisation de base de données.
C- Surveiller l'utilisation de la base de données.
D- Définir les procédures de sauvegarde et de restauration.

3- Une entreprise financière a des difficultés pour clairement établir des responsabilités entre le
Comité de stratégie des TI et le Comité directeur des TI. Laquelle des responsabilités ci-après
énumérées conviendrait le mieux au Comité directeur des TI ?
A- Approuver les budgets et plans des projets informatiques.
B- Aligner les TI aux objectifs de l'entreprise (ou objectifs métiers).
C- Fournir des conseils relativement aux risques de conformité informatiques.
D- Promouvoir les pratiques de gouvernance des TI.

4- Lors de l'évaluation par un auditeur SI, de l'auto-évaluation des contrôles (CSA) effectuée par le
Directeur des risques (CRO) d'une entreprise informatique, que sera sa plus grande préoccupation ?
A- Le CRO rend directement compte à directeur des système d'information (DSI ou CIO)
B- Des responsables informatiques soutiennent que les ateliers d'auto-évaluation des
contrôles sont inadéquates.
C- Le CRO rend directement compte au conseil d'administration.
D- Le processus d'auto-évaluation des contrôles a été récemment adopté par l'entreprise.

5- Plusieurs entreprises exigent que les employés prennent obligatoirement des congés d'au moins
une semaines par année, afin de :
A- S'assurer que l'employé maintient une bonne qualité de vie, qui engendrerait une plus
grande productivité.
B- Réduire les opportunités pour l'employé à commettre des actes illégaux et malveillants.
C- Fournir un entraînement croisé à d'autre employé.
D- Éliminer les potentiels interruption ou perturbations de travail occasionnées par le fait
que l'employé n'a prend pratiquement pas de repos.

6- Examinant les pratiques d’entraînement croisé mises en œuvre dans d'une entreprise, l'on devrait
évaluer le risque de :
A- Dépendance à une unique personne.
B- Inadéquation du plan de succession.
C- Une même personne connaissant toutes les étapes de traitement d'un système.
D- Une rupture (discontinuité) des opérations.

7- Un auditeur des SI examinant le plan stratégique d'une organisation devrait initialement

examiner :
A- l'environnement TI existant.
B- Le plan metier de l'organisation.
C- Le budget actuel de l'informatique (TI).
D- Les tendances actuelles des technologies.
8- Les activités qui contribuent à l'objectif de minimiser la dépendance à un individu clé sont : des
procédures documentées, le partage de connaissance, la formation croisée et...
A- le plan de succession
B- l'évaluation des travaux des travailleurs.
C- la définition des responsabilités.
D-des programmes de récompense des employés.

9- Un Comité directeur des TI devrait

A- Comprendre ou inclure un mélange de membres provenant des différents départements de
l'entreprise et de différents niveaux hiérarchiques.
B- S'assurer que les politiques de sécurité informatique ont été correctement mises en œuvre.
C- Élaborer des compte rendu ou rapport e leur réunion afin de tenir le Conseil d’administration
informer.
D- Être informé par les fournisseur à chaque rencontre sur les nouveaux tendances et produits en
matière de TI.

10- Un développeur important des systèmes informatiques a démissionné sans crier gare d'une
entreprise. Laquelle des dispositions suivantes serait la plus importante à prendre ?
A- mettre en place un entretien départ (rupture de contrat) avec le ressources humaines.
B- Initier une passation de charges pour assurer la continuité du projet.
C- Mettre fin aux droits d'accès logiques du développeur aux ressources informatiques.
D- S'assurer que le management a signé ou validé le document de fin de travail (ou contrat).

11- Lequel des contrôles suivants un auditeur des SI rechercherait dans un environnement où les
tâches ou fonctions ne peuvent pas être séparées de manière appropriée ?
A- contrôles redondants.
B- Contrôles limites.
C- Contrôles d'accès.
D- Contrôles compensatoires.

12- En examinant les rôles et responsabilités assignés à la fonction informatique dans une grande
entreprises, vous remarquez que des agents TI jouent de multiples rôles. Laquelle des combinaison
de rôle serait le plus préoccupant au regard de la gouvernance des SI ?
A- Des administrateurs réseau sont responsable de l'assurance qualité.
B- Des administrateurs de la sécurité sont des programmeurs système.
C- Des utilisateurs finaux sont des administrateurs de la sécurité des applications critiques.
D- Des analystes systèmes sont des administrateurs de base de données.

13- Laquelle des options ci-après atténuerait mieux la menace sur la sécurité des données d'une
entreprise provenance d'une attaque interne ?
A- Formaliser d'une politique de sécurité de l'information.
B- Fournir une formation ou un entraînement aux employés sur la sécurité.
C- Fournir des émoluments (salaire) compétitifs aux agents occupant des postes de responsabilités.
D- Effectuer des vérifications adéquates sur les employés potentiels.

14- Comme résultat de la gouvernance de sécurité de l'information, l'alignement stratégique

fournit :
A- des exigences de sécurité basées sur les exigences de l'entreprise.
B- Les mesures de base de la sécurité suivent les bonnes pratiques.
C- des solutions commercialisées et institutionnalisées.
D- Une compréhension de l'exposition au risque.
15- Lors de l'examen du plan des stratégie TI d'une entreprise, l'auditeur des SI doit s'attendre à
trouver :
A- Une évaluation de l'ajustement du portefeuille des applications de l'organisation avec les
objectifs métiers.
B- Des actions pour réduire les coût d'approvisionnement en matériels.
C- Une liste des fournisseurs ressources informatiques agrées de l'entreprise.
D- Une description de l'architecture technique pour la sécurité du périmètre réseau de l'entreprise.

16- Le plus important point de considération pour un auditeur des SI examinant le portefeuille de
projet d'une entreprise est que celui-ci :
A- n'excède pas le budget existant alloué à l'informatique.
B- soit aligné sur la stratégie d'investissement.
C- a été approuvé par le Comité directeur des TI.
D- est aligné sur le plan global de l'entreprise.

17- Laquelle des options ci-après un auditeur des SI considérerait comme le plus pertinent pour une
planification à court terme concernant un département informatique ?
A- Allocation ou répartition des ressources.
B- Se tenir au fait des progrès technologiques.
C- Réalisation une auto-évaluation de contrôles.
D- Évaluation des besoins en matériels.

18- Lequel des contrôles représente un exemple de contrôle préventif relativement au personnel
informatique ?
A- Examiner le journal des visiteur du centre de donnée (data Center).
B- Un serveur de journalisation qui suit les adresses IP de connexion des utilisateurs aux systèmes.
C- la mise en œuvre d'un système de badge pour l'accès aux locaux informatiques.
D- Un système de comptabilité qui suit les appels téléphoniques des employés.

19- Laquelle des responsabilités suivantes est normalement du ressort du Directeur de la sécurité
(CSO) ?
A- Examiner et évaluer périodiquement la politique de sécurité.
B- Exécuter les tests et évaluation des applications et logiciels utilisateurs.
C- Affecter et révoquer les droits d'accès utilisateur aux ressources informatiques.
D- Approuver les accès aux données et aux applications.

20- Laquelle des options ci-après devrait être le plus important point de considération lorsque l'on
décide des zones de priorité pour la mise en œuvre (l'implémentation) de la gouvernance de TI ?
A- la maturité du processus.
B- les indicateurs de performance.
C- le risque métier.
D- les rapports d'assurance.

21- Les objectives de contrôle informatique sont utiles pour les auditeurs des SI, car ils fournissent
les bases pour comprendre :
A- le résultat ou le but souhaité de l'implémentation des procédures de contrôles spécifiques.
B- Les meilleures pratiques de contrôles de sécurité informatiques pertinentes pour une entité
spécifique.
C- Les techniques pour sécuriser l'information.
D- La politique de sécurité.
22- La Direction d'une organisation a décidé de mettre en place un programme de sensibilisation à
sécurité. Laquelle des options suivantes serait les plus probablement une partie du programme .
A- Utilisation d'un système de détection d’intrusion pour reporter les incidents.
B- Imposer l'utilisation de mot de passe pour accéder à toutes les applications.
C- Installation d'un système de journalisation efficace pour suivre les actions de chaque utilisateurs.
D- Formation fournie régulièrement à tout les employés (anciens ou nouveaux).

23- L'avantage d'un approche « bottom-up » pour le développement des politiques

organisationnelles est que les politiques
A- Sont développées pour l'ensemble de l'organisation.
B- découlent plus probablement du résultat d'une évaluation des risques.
C- ne seront en conflit avec la politique globale de l'entreprise.
D- assure une cohérence à travers l'organisation.

24- Pour s'assurer qu'une organisation se conforme aux exigences sur le vie privée, un auditeur des
SI doit initialement examiner :
A- l’infrastructure informatique.
B- Les politiques organisationnelles, les standards et procédures.
C- les exigences légales et réglementaires.
D- l'adhésion aux politiques organisationnelles, aux standards et procédures.

25- L'étape initiale pour la mise en place d'un programme de sécurité de l'information est :
A- le développement et l'implémentation d'un manuel des standards de sécurité de l'information.
B- l'accomplissement d'une revue complète des contrôles de sécurité par un auditeur des SI.
C- l'adoption d'un énoncé d'une politique de sécurité de l'information de l'entreprise.
D- l'achat d'un logiciel de sécurité de contrôle d'accès.

26- Une politique de la sécurité de l'information d'entreprise d'un centre d'appel requière que soit
affecté un compte unique à tous les utilisateurs.Cependant ce n'est pas le cas de tous les utilisateurs
courant. Quel est la recommandation la plus appropriée dans ce cas ?
A- la configuration actuel doit être approuvée par le responsable des opérations.
B- S'assurer qu'il y a une piste d'audit pour tous comptes existants.
C- Implémenter un compte individuel pour tout le personnel.
D- Amender la politique de sécurité de l'information afin de permettre le partage de compte.

27- Quel est l'étape initiale de la création d'un politique de pare-feu ?

A- Une analyse bénéfice-coût des méthodes de sécurisation des applications.
B- L'identification des applications réseaux devant être accessible depuis l'extérieur du réseau local.
C- L'identification des vulnérabilités associées aux applications réseaux accessibles de l'extérieur.
D- la création d'une matrice de trafic des applications indiquant les méthodes de protection.

28- La fréquence ou taux de changement en technologie augmente l'importance de :

A- l'externalisation de la fonction informatique,
B- l'implémentation et l'application des processus fiable et rigoureux,
C- L'embauche de personnel qualifié,
D- la satisfaction des attentes des utilisateurs.

29- Un Comité Directeur des TI devrait examiner le système d'information, principalement pour
évaluer :
A- si les processus TI soutiennent ou supportent les exigences métiers,
B- si les fonctionnalités du système proposées sont adéquats ou suffisants,
C- la stabilité des applications existantes,
D- la complexité de la technologie installée.
30- Lorsqu'il audit les archivage des communications par Email de la société, l'auditeur des SI
devrait mettre la plus d'attention sur :
A- l'existence de la politique de conservation des données
B- la capacité de stockage de la solution d'archivage
C- le niveau de sensibilisation des utilisateurs concernant l'utilisation des Email
D- le support et stabilité du fournisseur (du fabricant) de la solution d'archivage

31- Laquelle des propositions suivantes fournit la meilleure preuve de l'adéquation du programme
de sensibilisation/formation à la sécurité ?
A- le nombre de parties-prenantes, les employés inclus, à différents échelons sensibilisés ou formés
B- la couverture de la formation à l'échelle de toute la société
C- l’implémentation d'appareils de sécurité provenant des différents fournisseurs
D- des comparaisons et revues périodiques avec les bonnes pratiques.

32- Une organisation a externalisé son réseau informatique étendu (WAN) à un fournissent de
service. En pareil circonstance, laquelle des propositions est la principal tâche que l'auditeur des SI
devrait effectuer pendant un audit de plan de continuité des activités (PCA) et de reprise après
sinistre (PRS) ?
A- Examiner si le processus du PCA du fournisseur de service est aligné sur le PCA de
l'organisation et les obligations contractuelles
B- Examiner si l'accord sur le niveau de service (ANS ou SLA) contient une clause de pénalité en
cas de défaillance à satisfaire le niveau de service en cas de sinistre
C-Examiner la méthodologie adaptée par l'organisation pou le choix du fournisseur de service
D- Examiner l'accréditation (les permissions accordées) du personnel du fournisseur de service.

33- Un auditeur des SI examinant un contrat d'externalisation des installation informatiques

s'attendrait qu'il définisse
A- la configuration du matériel
B- le logiciel de contrôle d'accès
C- la possession du droit sur la propriété intellectuelle
D- la méthodologie de développement d'application.

34- L'établissement de l'appétence au risque est de la responsabilité :

A- du Directeur de l'assurance qualité
B- du Directeur général
C- du Directeur des systèmes d'information
D- du Directeur de la sécurité.

35- Le coût des opérations en cours lorsqu'un plan de reprise après sinistre (PRS) est en place,
comparé à celui en cas d'absence de PRS le plus probablement
A- augmentera
B- diminuera
C- restera le même
D- sera imprévisible.