Académique Documents
Professionnel Documents
Culture Documents
UE D – EXPERTISE PROFESSIONNELLE
Durée : 6 heures
- - Juin 2021
UC D31 - Informatique, réseaux et sécurité - Sujet
© Fédération Européenne Des Ecoles Federation for EDucation in Europe
BARÈME DE NOTATION
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 2/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Dossier 1 - Sécurité des systèmes d’exploitation et des réseaux
Question 1
Le propriétaire d’un objet informatique peut avoir conféré à lui-même et à d’autres utilisateurs des droits
d’accès à cet objet.
Quels sont les types de droits possibles ?
REP
Question 3
L’authentification Kerberos est actuellement la technologie d’authentification par défaut utilisée par
Microsoft Windows, et on trouve des implémentations de Kerberos dans Apple OS, FreeBSD, UNIX, et Linux.
Microsoft a introduit sa version de Kerberos dans Windows 2000. Il est devenu la norme pour les sites Web
et les implémentations d’authentification unique (SSO) sur les différentes plates-formes.
Le Kerberos Consortium veille à ce qu’il reste un projet en accès libre.
Kerberos offre des améliorations majeures par rapport aux technologies d’autorisation antérieures. Un
chiffrement renforcé et une capacité externe d’autorisation de tickets compliquent sérieusement la tâche
des cybercriminels qui cherchent à s’infiltrer dans le réseau. Il n’est toutefois pas sans défauts, et vous
devez commencer par comprendre ces imperfections pour pouvoir y remédier.
Kerberos a contribué à améliorer la sécurité d’Internet et de ses utilisateurs en permettant à ceux-ci
d’exploiter encore davantage le net et d’être encore plus efficaces au travail sans compromettre leur
sécurité.
Quelles sont les principales étapes mises en place pour une authentification en environnement
Kerberisé ?
Rep
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 3/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Étapes
Elle doit déjà être activée en tant que configuration par défaut.
2. Assurez-vous que chaque forêt Active Directory possède un serveur de catalogue global.
Dans chaque forêt, configurez un contrôleur de domaine en tant que serveur de catalogue
global.
4. Synchronisez l'heure des hôtes Oracle VDI avec celle du serveur Active Directory.
Pour vérifier que les horloges de tous les hôtes sont synchronisées, utilisez le logiciel Network
Time Protocol (NTP) ou la commande rdate.
Dans un environnement de production, cela convient mieux qu'un serveur de temps NTP.
5. Modifiez le fichier de configuration Kerberos par défaut du système dans les hôtes Oracle VDI.
Ou :
https://<tsm-computer-name>:8850
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 4/10
UC D31 - Informatique, réseaux et sécurité - Sujet
6. Cliquez sur Enregistrer les modifications en attente après avoir saisi vos
informations de configuration.
Question 4
Les règles de fonctionnement du protocole STP (Spanning Tree Protocol)
Lors de leur première activation, les commutateurs lancent le processus de sélection du commutateur
racine.
Chaque commutateur transmet un BPDU au commutateur directement connecté, sur chaque VLAN.
Tandis que le BPDU sort par le réseau, chaque commutateur compare le BPDU qu'il envoie au BPDU avec
celui qu'il reçoit des voisins.
Les commutateurs conviennent ensuite de celui qui fera office de commutateur racine. C'est le
commutateur qui dispose de l'ID de pont le plus faible qui gagne ce processus d'élection. A quelles règles
les commutateurs adhèrent ?
REP
Election STP : Le Spanning Tree permet d’éviter les boucles réseau, | en plaçant certains ports
dans un état de blocage, pour n’avoir qu’un seul chemin d’un point à un autre.
Ce qui rend possible la mise en place de redondance.
Car si un problème arrive sur l’un des segments du réseau, alors le protocole STP réactivera le
port bloqué, pour que les paquets puissent passer par un nouveau chemin.
| Le Spanning tree, utilise des BPDU’s pour la communication entre les switchs.
Et la dernière étape du spanning tree, | consiste à bloquer les autres ports pour ne pas créer de
boucles :
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 5/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Dossier 2 - Sécurité des bases de données et du Web
Question 1
Une entreprise a défini une politique globale de sécurité informatique à l'aide de consultants externes. Le
moment est venu de l'appliquer.
Quelles sont les personnes qui doivent lire les documents suivants ?
- le règlement des utilisateurs
LES UTILISATEURS
- le plan de reprise et de continuation,
LE RESPONSABLE DE SECURITE
- la politique de sécurité.
LES DEUX
Question 2
SQL Server propose des rôles préétablis, présents dans toutes les bases de données. Il s’agit des rôles
suivants : Public, db_owner, Db_accessadmin, Db_securituadmin, Db_ddladmin, Db_backupoperator,
Db_datareader, Db_datawriter, Db_denydatareader et Db_denydatawriter. Définissez l’utilisation de
chaque rôle.
REP
Nom de rôle de base La description
de données fixe
Chaque utilisateur de base de données appartient au rôle de base de
public données publique . Lorsqu'un utilisateur n'a pas reçu ou refusé
d'autorisations spécifiques sur un objet sécurisable, l'utilisateur hérite
des autorisations accordées à public sur cet objet. Les utilisateurs de
la base de données ne peuvent pas être supprimés du rôle public .
Question 3
Le Règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General data
protection regulation) est un règlement de l’Union européenne qui constitue le texte de référence en
matière de protection des données à caractère personnel.
Quelles sont les étapes pour s’adapter au RGPD selon la CNIL ?
Réponse :
.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 7/10
UC D31 - Informatique, réseaux et sécurité - Sujet
ETAPE1
DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin
d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de
contrôle en interne : le délégué à la protection des données. En attendant 2018, vous
pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous
donnera un temps d'avance et vous permettra d'organiser les actions à mener.
ETAPE2
CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des
données que vous traitez, commencez par recenser de façon précise vos traitements de
données personnelles. L'élaboration d'un registre des traitements vous permet de faire le
point.
ETAPE3
PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux
obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser
vos traitements sur les droits et les libertés des personnes concernées.
> En savoir plus
ETAPE4
GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer
des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener,
pour chacun de ces traitements, une analyse d'impact relative à la protection des données
(AIPD).
ETAPE5
ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence,
mettez en place des procédures internes qui garantissent la prise en compte de la
protection des données à tout moment, en prenant en compte l’ensemble des événements
qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des
demande de rectification ou d’accès, modification des données collectées, changement de
prestataire).
ETAPE6
DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la
documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être
réexaminés et actualisés régulièrement pour assurer une protection des données en
continu.
Question 4
La structure d’un certificat x509
Les certificats sont des fichiers électroniques complexes. On les divise communément en deux parties : d’un
côté, les informations contenues par le certificat, de l’autre, la signature de l’Autorité de certification. Cette
structure est normalisée par le standard x509 qui fait que l’on retrouve les mêmes informations quel que
soit le certificat.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 8/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Quelles sont ces informations ?
Rep :
par le standard x509 on retrouve les mêmes informations quel que soit le certificat. À
savoir :
La version du certificat
Le numéro de série
Le nom de l’Autorité de Certification qui l’a validé ( Distinguished Name)
La date de début et de fin de validité
L’objet de l’utilisation du certificat
Des informations au sujet de la clé publique (algorithme de chiffrement et clé
publique proprement dite)
L’identifiant unique du signataire et/ou du détenteur du certificat (en option)
Les extensions au certificat (en option)
La signature de l’émetteur du certificat
L’algorithme de signature
Ou bien
Version
Numéro de série
Algorithme de signature du certificat
DN (Distinguished Name) du délivreur (autorité de certification)
Validité (dates limites)
o Pas avant
o Pas après
DN de l'objet du certificat
Informations sur la clé publique
o Algorithme de la clé publique
o Clé publique proprement dite
Identifiant unique du signataire (optionnel, X.509v2)
Identifiant unique du détenteur du certificat (optionnel, X.509v2)
Extensions (optionnel, à partir de X.509v3)
o Liste des extensions
Signature des informations ci-dessus par l'autorité de certification
Question 5
Droit informatique
La Convention de Bruxelles et Lugano s’applique en matière civile et commerciale et quelle que soit la
nature de la juridiction. Elle ne recouvre notamment pas les matières fiscales, douanières ou
administratives.
Qui sont exclus de son application ?
REP
Sont exclus de son application:
a) l'état et la capacité des personnes physiques, les régimes matrimoniaux, les testaments et les
successions;
b) les faillites, concordats et autres procédures analogues;
c) la sécurité sociale;
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 9/10
UC D31 - Informatique, réseaux et sécurité - Sujet
d) l'arbitrage.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 10/10
UC D31 - Informatique, réseaux et sécurité - Sujet