MASTER-SISRI-IFRI
MODULE
Durée : 2h00 Année : 2022-2023 Consigne : (Inutile d’utiliser les calculatrices et aucun document n’est autorisé)
1. Quel est l’avantage pour une organisation
d’utiliser SOAR dans le cadre du système
SIEM?
a. SOAR a été conçu pour traiter les
événements de sécurité critiques et les
enquêtes haut de gamme.
b. SOAR profiterait aux petites organisations
car il ne nécessite aucune intervention
d’analyste en cybersécurité une fois
installé.
c. SOAR automatise l’enquête sur les
incidents et répond aux workflows basés
sur des playbooks.
d. L’automatisation SOAR garantit un facteur
de disponibilité de « 5 neufs ».
2. Quel personnel d’un SOC est chargé de
rechercher les menaces potentielles et de
mettre en œuvre des outils de détection des
menaces ?
a. PME de niveau 3
b. Signalement des incidents de niveau 2
c. Analyste de niveau 1
d. Gestionnaire SOC
3. Quelles sont les trois technologies qui doivent
être incluses dans un système de gestion des
informations et des événements de sécurité
SOC ? (Choisissez-en trois.)
a. Surveillance de la sécurité
b. Renseignements sur les menaces
c. Service proxy
d. Appliance de pare-feu
e. Prévention des intrusions
f. Gestion des journaux
4. Le terme analyste des cyberopérations désigne
quel groupe de personnel dans un SOC ?
a. Personnel de niveau 1
b. Personnel de niveau 3
c. Personnel de niveau 2
d. Gestionnaires SOC
5. Comment un système de gestion des
informations et des événements de sécurité
(SIEM) dans un SOC aide-t-il le personnel à
lutter contre les menaces de sécurité ?
a. en analysant les données de journalisation
en temps réel
b. en combinant des données provenant de
plusieurs technologies
c. en intégrant tous les dispositifs et
appliances de sécurité dans une
organisation
CCNA SECURITY/CYBEROPS
d. en implémentant dynamiquement des
règles de pare-feu
6. Quel travail nécessiterait de vérifier qu’une
alerte représente un véritable incident de
sécurité ou un faux positif?
a. Analyste d’alertes
b. Chasseur de menaces
c. Gestionnaire SOC
d. Reporter d’incident
7. Une entreprise vient de subir un incident de
cybersécurité. L’acteur de la menace semblait
avoir pour objectif de perturber le réseau et
semblait utiliser un outil de piratage de
sécurité commun qui submergeait un serveur
particulier avec une grande quantité de trafic.
Ce trafic a rendu le serveur inutilisable.
Comment un analyste certifié en cybersécurité
classerait-il ce type d’acteur de la menace ?
e. terroriste
f. hacktiviste
g. Parrainé par l’État
h. amateur
8. Pourquoi les appareils IoT présentent-ils un
risque plus élevé que les autres appareils
informatiques d’un réseau ?
a. La plupart des appareils IoT ne reçoivent
pas de mises à jour fréquentes du
micrologiciel.
b. La plupart des appareils IoT ne nécessitent
pas de connexion Internet et ne peuvent
pas recevoir de nouvelles mises à jour.
c. Les appareils IoT ne peuvent pas
fonctionner sur un réseau isolé avec
uniquement une connexion Internet.
d. Les appareils IoT nécessitent des
connexions sans fil non chiffrées.
9. Quelle cyberattaque implique une attaque
coordonnée à partir d’un botnet d’ordinateurs
zombies?
a. DDoS
b. MITM
c. Usurpation d’adresse
d. Redirection ICMP
10. Qu’est-ce qu’un exemple d'« hacktivisme » ?
a. Un adolescent s’introduit sur le serveur
Web d’un journal local et publie une
photo d’un personnage de dessin animé
préféré.
b. Un groupe d’écologistes lance une
attaque par déni de service contre une
 compagnie pétrolière responsable d’une
importante marée noire.
c. Un pays tente de voler des secrets de
défense à un autre pays en infiltrant les
réseaux gouvernementaux.
11. Quel plan de gestion des risques consiste à
interrompre une activité qui crée un risque?
a. Rétention des risques
b. Réduction des risques
c. Partage des risques
d. Évitement des risques
12. Quel type de menace réseau est destiné à
empêcher les utilisateurs autorisés d’accéder
aux ressources?
a. Attaques de reconnaissance
b. Exploitation de confiance
c. Attaques d’accès
d. Attaques DoS
13. Quel outil de sécurité permet à un acteur
malveillant de pirater un réseau sans fil et de
détecter les failles de sécurité?
a. NMap
b. Fuzzers de clic
c. KisMac
d. SuperScan
14. Quelle caractéristique décrit les script kiddies?
a. des acteurs de menaces inexpérimentés
exécutant des scripts, des outils et des
exploits existants pour causer des
dommages, mais généralement sans but
lucratif
b. Les pirates informatiques qui tentent de
découvrir des exploits et de les signaler
aux fournisseurs, parfois pour des prix ou
des récompenses
c. des hackers qui se rassemblent et
protestent contre différents idéaux
politiques et sociaux
d. les acteurs de menaces qui volent des
secrets gouvernementaux, recueillent des
renseignements et sabotent les réseaux
de gouvernements étrangers, de groupes
terroristes et d’entreprises
15. Une entreprise a conclu un contrat avec une
entreprise de sécurité réseau pour l’aider à
identifier les vulnérabilités du réseau
d’entreprise. L’entreprise envoie une équipe
pour effectuer des tests d’intrusion sur le
réseau de l’entreprise. Pourquoi l’équipe
utiliserait-elle des outils médico-légaux ?
a. pour désosser des fichiers binaires lors de
l’écriture d’exploits et de l’analyse de
logiciels malveillants
b. pour détecter les outils installés dans les
fichiers et les répertoires qui fournissent
aux acteurs de la menace un accès et un
contrôle à distance sur un ordinateur ou
un réseau
c. pour détecter toute preuve d’un piratage
ou d’un logiciel malveillant dans un
ordinateur ou un réseau
d. pour obtenir des systèmes d’exploitation
spécialement conçus et préchargés avec
des outils optimisés pour le piratage
16. Quelle est la caractéristique importante des
logiciels malveillants de vers?
a. Les logiciels malveillants Worm se
déguisent en logiciels légitimes.
b. Une fois installé sur un système hôte, un
ver ne se réplique pas.
c. Un ver doit être déclenché par un
événement sur le système hôte.
d. Un ver peut s’exécuter indépendamment
du système hôte.
17. Quels sont les trois principaux composants
d’une attaque de ver ? (Choisissez-en trois.)
a. une charge utile
b. un mécanisme de propagation
c. une vulnérabilité d’infection
d. un mécanisme de sondage
e. une vulnérabilité habilitante
f. Un mécanisme de pénétration
18. Un utilisateur est curieux de savoir comment
quelqu’un pourrait savoir qu’un ordinateur a
été infecté par un logiciel malveillant. Quels
sont les deux comportements courants des
logiciels malveillants ? (Choisissez-en deux.)
a. L’ordinateur émet un sifflement chaque
fois que le taille-crayon est utilisé.
b. L’ordinateur émet un bip une fois pendant
le processus de démarrage.
c. L’ordinateur devient de plus en plus lent à
répondre.
d. Aucun son n’émet lorsqu’un CD audio est
lu.
e. L’ordinateur se bloque et nécessite des
redémarrages.
19. Quels sont les deux types d’attaques qui sont
des exemples d’attaques de reconnaissance ?
(Choisissez-en deux.)
a. Force brute
b. Analyse des ports
c. balayage ping
d. Homme du milieu
e. Inondation SYN
20. Un administrateur découvre une vulnérabilité
dans le réseau. Après analyse de la
vulnérabilité, l’administrateur décide que le
coût de la gestion du risque l’emporte sur le
coût du risque lui-même. Le risque est accepté
et aucune mesure n’est prise. Quelle stratégie
de gestion des risques a été adoptée?
 a. Transfert des risques c. pour rechercher l’accessibilité
b. Acceptation des risques d. pour collecter des informations sur le
c. Réduction des risques réseau et les périphériques
d. Évitement des risques e. Pour récupérer et modifier des données
21. Quel est le résultat d’une attaque passive 28. Quel type d’attaque réseau implique
d’empoisonnement ARP? l’ouverture aléatoire de nombreuses requêtes
a. Les données sont modifiées en transit ou Telnet à un routeur et empêche un
des données malveillantes sont insérées administrateur réseau valide d’accéder au
en transit. périphérique ?
b. Les clients réseau rencontrent un déni de a. Empoisonnement DNS
service. b. Homme du milieu
c. Des informations confidentielles sont c. Inondation SYN
volées. d. Spoofing
d. Plusieurs sous-domaines sont créés. 29. Quelle instruction décrit une caractéristique
22. Quelles sont les deux méthodes utilisées par opérationnelle de NetFlow ?
les cybercriminels pour masquer les attaques a. NetFlow collecte des informations de base
DNS ? (Choisissez-en deux.) sur le flux de paquets, et non sur les
a. réflexion données de flux lui-même.
b. Ombrage b. NetFlow capture l’intégralité du contenu
c. algorithmes de génération de domaine d’un paquet.
d. flux rapide c. Les enregistrements de flux NetFlow
e. Tunneling peuvent être visualisés par l’outil
23. Dans quel type d’attaque un cybercriminel tcpdump.
tente-t-il d’empêcher les utilisateurs légitimes d. NetFlow peut fournir des services de
d’accéder aux services réseau? contrôle d’accès utilisateur.
a. DoS e. Explication: NetFlow ne capture pas la
b. Détournement de session totalité du contenu d’un paquet. Au lieu
c. MITM de cela, NetFlow collecte des
d. Usurpation d’adresse métadonnées, ou des données sur le flux,
24. Quel champ de l’en-tête IPv6 pointe vers des pas les données de flux elles-mêmes. Les
informations de couche réseau facultatives informations NetFlow peuvent être
transportées dans le paquet IPv6 ? visualisées à l’aide d’outils tels que
a. Classe de trafic nfdump et FlowViewer.
b. Version 30. Quelles sont les trois fonctionnalités fournies
c. étiquette de flux par SOAR ? (Choisissez-en trois.)
d. En-tête suivant a. Il automatise les procédures complexes de
25. Quel type d’attaque est mené par les auteurs réponse aux incidents et les enquêtes.
de menaces contre un réseau pour déterminer b. Il fournit des statistiques 24×7 sur les
quelles adresses IP, protocoles et ports sont paquets qui transitent par un routeur
autorisés par les listes de contrôle d’accès ? Cisco ou un commutateur multicouche.
a. Ingénierie sociale c. Il utilise l’intelligence artificielle pour
b. Déni de service détecter les incidents et faciliter l’analyse
c. hameçonnage et la réponse aux incidents.
d. reconnaissance d. Il présente les données d’événements
26. Quel type de message ICMP peut être utilisé corrélées et agrégées dans une
par les acteurs de la menace pour créer une surveillance en temps réel et des résumés
attaque de l’homme du milieu ? à long terme.
a. Demande d’écho ICMP e. Il fournit une piste d’audit complète des
b. ICMP inaccessible informations de base sur chaque flux IP
c. Redirections ICMP transmis sur un périphérique.
d. Réponse du masque ICMP f. Il fournit des outils de gestion de cas qui
27. Quels sont les deux objectifs du lancement permettent au personnel de cybersécurité
d’une attaque de reconnaissance sur un de rechercher et d’enquêter sur les
réseau? (Choisissez-en deux.) incidents.
a. Pour augmenter les privilèges d’accès 31. Quels appareils doivent être sécurisés pour
b. pour empêcher d’autres utilisateurs atténuer les attaques d’usurpation d’adresse
d’accéder au système MAC?
 g. Appareils de couche 7
h. Appareils de couche 4
i. Appareils de couche 3
j. Appareils de couche 2
32. Un administrateur réseau vérifie les journaux
système et remarque des tests de connectivité
inhabituels à plusieurs ports bien connus sur
un serveur. Quel type d’attaque réseau
potentielle cela pourrait-il indiquer ?
a. accès
b. Déni de service
c. Vol d’informations
d. reconnaissance
33. Qu’est-ce qu’une vulnérabilité qui permet aux
criminels d’injecter des scripts dans les pages
Web consultées par les utilisateurs?
a. Script inter-sites
b. Injection XML
c. Débordement de la mémoire tampon
d. Injection SQL
34. Quelles sont les deux fonctions fournies par
NetFlow ? (Choisissez-en deux.)
a. Il utilise l’intelligence artificielle pour
détecter les incidents et faciliter l’analyse
et la réponse aux incidents.
b. Il fournit une piste d’audit complète des
informations de base sur chaque flux IP
transmis sur un périphérique.
c. Il fournit des statistiques 24×7 sur les
paquets qui transitent par un routeur
Cisco ou un commutateur multicouche.
d. Il permet à un administrateur de capturer
le trafic réseau en temps réel et
d’analyser l’ensemble du contenu des
paquets.
e. Il présente des données d’événements
corrélées et agrégées dans une
surveillance en temps réel et des résumés
à long terme.
35. Un attaquant redirige le trafic vers une fausse
passerelle par défaut pour tenter d’intercepter
le trafic de données d’un réseau commuté.
Quel type d’attaque pourrait y parvenir ?
a. Espion d’adresse MAC
b. Espionnage DHCP
c. Manque d’adresses MAC
d. Usurpation DHCP
36. Quelle technique est nécessaire pour assurer
un transfert privé de données à l’aide d’un
VPN ?
a. autorisation
b. Évolutivité
c. chiffrement
d. Virtualisation
37. Quelle technologie serait utilisée pour créer
les journaux de serveur générés par les
périphériques réseau et examinés par une
personne du réseau de niveau d’entrée qui
travaille de nuit dans un centre de données?
a. syslog
b. NAT
c. ACL
d. VPN
38. Quelle instruction décrit une appliance de
sécurité Web Cisco (WSA) ?
a. Il protège un serveur Web en empêchant
les menaces de sécurité d’accéder au
serveur.
b. Il fournit des services Web performants.
c. Il agit comme un serveur VPN basé sur SSL
pour une entreprise.
d. Il fonctionne comme un proxy Web.
39. Quelle instruction décrit les données de
session dans les journaux de sécurité ?
a. Il peut être utilisé pour décrire ou prédire
le comportement du réseau.
b. Il affiche le résultat des sessions réseau.
c. Il s’agit d’un enregistrement d’une
conversation entre hôtes réseau.
d. Il signale les activités réseau détaillées
entre les hôtes réseau.
e. Explication: Les données de session sont
un enregistrement d’une conversation
entre deux points de terminaison réseau.
40. 1Comment un périphérique proxy Web
fournit-il une protection contre la perte de
données (DLP) pour une entreprise?
a. en fonctionnant comme un pare-feu
b. en inspectant le trafic entrant à la
recherche d’exploits potentiels
c. en analysant et en enregistrant le trafic
sortant
d. en vérifiant la réputation des serveurs
Web externes