FÉDÉRATION EUROPÉENNE DES ÉCOLES

FEDERATION FOR EDUCATION IN EUROPE

OING dotée du statut participatif auprès du Conseil de l’Europe INGO
enjoying participatory status with the Council of Europe

UE D – EXPERTISE PROFESSIONNELLE

Bachelor européen Informatique, réseaux et sécurité

UC D31 - Épreuve écrite - Informatique, réseaux, sécurité

Aucun document autorisé

Type d’épreuve : Étude de cas

Durée : 6 heures

Session : Juin 2021

- - Juin 2021
UC D31 - Informatique, réseaux et sécurité - Sujet
© Fédération Européenne Des Ecoles Federation for EDucation in Europe

UC D31 - ÉPREUVE ÉCRITE - INFORMATIQUE, RÉSEAUX, SÉCURITÉ

BARÈME DE NOTATION

Dossier 1 - Sécurité des systèmes d’exploitation et des réseaux 60 points

Dossier 2 - Sécurité des bases de données et du Web 60 points

Total 120 points

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 2/10
UC D31 - Informatique, réseaux et sécurité - Sujet
  Dossier 1 - Sécurité des systèmes d’exploitation et des réseaux

Question 1
Le propriétaire d’un objet informatique peut avoir conféré à lui-même et à d’autres utilisateurs des droits
d’accès à cet objet.
Quels sont les types de droits possibles ?
REP

  droit d'auteur et des droits voisins.

 le brevet d'invention et le certificat d'obtention végétale ou un droit de protection  et, d'autre part,
les signes distinctifs, notamment la marque commerciale, le nom de domaine et l'appellation
d'origine.
droit moral1 (extra-patrimonial) qui est le seul2 droit attaché à la personne de l'auteur de l’œuvre qui soit
perpétuel
Question 2
Expliquez les types de logiciels malveillants suivants :
- cheval de Troie,
- porte dérobée,
- bombe logique,
- logiciel espion.
REP
-Un cheval de Troie informatique est un programme d'apparence inoffensive, mais qui contient
un logiciel malveillant installé par l'utilisateur lui-même, ignorant qu'il fait pénétrer un intrus
malveillant sur son ordinateur.
- Un backdoor (ou porte dérobée) est un programme informatique malveillant utilisé pour donner
aux pirates un accès à distance non autorisé à un ordinateur infecté en exploitant les vulnérabilités
du système..
- bombes logiques,sont les dispositifs programmés dont le déclenchement s'effectue à un
moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe
quel appel au système.
- logiciel espion, est un logiciel malveillant qui s'installe dans un ordinateur ou autre appareil mobile,
dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé,
très souvent sans que l'utilisateur en ait connaissance. L'essor de ce type de logiciel est associé à celui
d'Internet qui lui sert de moyen de transmission de données.

Question 3
L’authentification Kerberos est actuellement la technologie d’authentification par défaut utilisée par
Microsoft Windows, et on trouve des implémentations de Kerberos dans Apple OS, FreeBSD, UNIX, et Linux.
Microsoft a introduit sa version de Kerberos dans Windows 2000. Il est devenu la norme pour les sites Web
et les implémentations d’authentification unique (SSO) sur les différentes plates-formes.
Le Kerberos Consortium veille à ce qu’il reste un projet en accès libre.
Kerberos offre des améliorations majeures par rapport aux technologies d’autorisation antérieures. Un
chiffrement renforcé et une capacité externe d’autorisation de tickets compliquent sérieusement la tâche
des cybercriminels qui cherchent à s’infiltrer dans le réseau. Il n’est toutefois pas sans défauts, et vous
devez commencer par comprendre ces imperfections pour pouvoir y remédier.
Kerberos a contribué à améliorer la sécurité d’Internet et de ses utilisateurs en permettant à ceux-ci
d’exploiter encore davantage le net et d’être encore plus efficaces au travail sans compromettre leur
sécurité.
Quelles sont les principales étapes mises en place pour une authentification en environnement
Kerberisé ?
Rep
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 3/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Étapes

1. L'authentification Kerberos doit être activée dans Active Directory.

Elle doit déjà être activée en tant que configuration par défaut.

2. Assurez-vous que chaque forêt Active Directory possède un serveur de catalogue global.

Dans chaque forêt, configurez un contrôleur de domaine en tant que serveur de catalogue
global.

3. Définissez le Niveau fonctionnel de la forêt.

Si le Contrôleur de domaine fonctionne sous Microsoft Windows Server 2008 R2, le Niveau

fonctionnel de la forêt doit être défini sur Windows Server 2008 ou Windows Server 2008 R2 (et
non pas sur la valeur utilisée par défaut, Windows Server 2003). Pour plus d'informations sur le
Niveau fonctionnel de la forêt, reportez-vous à la documentation de Microsoft.

4. Synchronisez l'heure des hôtes Oracle VDI avec celle du serveur Active Directory.

Pour vérifier que les horloges de tous les hôtes sont synchronisées, utilisez le logiciel Network
Time Protocol (NTP) ou la commande rdate.

Par exemple, utilisez ntpdate mon.hôte.windows.

Dans un environnement de production, cela convient mieux qu'un serveur de temps NTP.

5. Modifiez le fichier de configuration Kerberos par défaut du système dans les hôtes Oracle VDI.

Le fichier de configuration Kerberos par défaut du système est :

 /etc/krb5/krb5.conf dans les plates-formes Oracle Solaris.

 /etc/krb5.conf dans les plates-formes Oracle Linux.

Ou :

1. Ouvrez TSM dans un navigateur :

https://<tsm-computer-name>:8850

2. Cliquez sur Identité de l'utilisateur et accès dans l'onglet Configuration puis

cliquez sur Méthode d'authentification.

3. Sous Méthode d'authentification, sélectionnez Kerberos dans le menu

déroulant.

4. Sous Kerberos, sélectionnez Activer Kerberos pour l'ouverture de session

unique (SSO).

5. Pour copier le fichier keytab sur le serveur, cliquez sur Sélectionner un fichier,

et accédez au fichier sur votre ordinateur.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 4/10
UC D31 - Informatique, réseaux et sécurité - Sujet
 6. Cliquez sur Enregistrer les modifications en attente après avoir saisi vos
informations de configuration.

7. Cliquez sur Modifications en attente en haut de la page :

8. Cliquez sur Appliquer les modifications et redémarrer.

Question 4
Les règles de fonctionnement du protocole STP (Spanning Tree Protocol)
Lors de leur première activation, les commutateurs lancent le processus de sélection du commutateur
racine.
Chaque commutateur transmet un BPDU au commutateur directement connecté, sur chaque VLAN.
Tandis que le BPDU sort par le réseau, chaque commutateur compare le BPDU qu'il envoie au BPDU avec
celui qu'il reçoit des voisins.
Les commutateurs conviennent ensuite de celui qui fera office de commutateur racine. C'est le
commutateur qui dispose de l'ID de pont le plus faible qui gagne ce processus d'élection. A quelles règles
les commutateurs adhèrent ?

REP
Election STP : Le Spanning Tree permet d’éviter les boucles réseau, | en plaçant certains ports
dans un état de blocage, pour n’avoir qu’un seul chemin d’un point à un autre.
Ce qui rend possible la mise en place de redondance.
Car si un problème arrive sur l’un des segments du réseau, alors le protocole STP réactivera le
port bloqué, pour que les paquets puissent passer par un nouveau chemin.
| Le Spanning tree, utilise des BPDU’s pour la communication entre les switchs.

En règle général, l’administrateur réseau fait en sorte que le commutateur racine soit le plus proche

possible du cœur réseau, | en modifiant la valeur du Bridge ID.
 Après avoir élu le commutateur racine, le spanning tree | va déterminer les ports racines :
Cette élection porte sur la distance la plus courte vers le commutateur racine.
| Pour ça, il se base sur le « cout » de chaque lien traversé. Et la valeur du cout dépend de la bande
passante du lien,.
| Le « port racine » qui est aussi connu sous le nom de root port ou bien simplement avec les
initiales RP, sera celui qui mène le plus directement au commutateur racine.
Il ne peut y avoir qu’un seul root port par commutateur.
| En cas d’égalité, c’est-à-dire que 2 switchs ont le même coût vers le Bridge ID, alors ce sera le
port ayant le port ID le plus faible qui sera élu.
 Après avoir déterminé les ports racine, le spanning tree |va sélectionner les ports désignés :
Pour chaque segment réseau qui relie des commutateurs, |un « port désigné » qu’on peut écrire aussi
avec les initiales «  DP » , est sélectionné par le spanning tree.
|Il s’agit du port relié au segment, qui mène le plus directement à la racine !

 Et la dernière étape du spanning tree, | consiste à bloquer les autres ports pour ne pas créer de
boucles :

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 5/10
UC D31 - Informatique, réseaux et sécurité - Sujet
  Dossier 2 - Sécurité des bases de données et du Web

Question 1
Une entreprise a défini une politique globale de sécurité informatique à l'aide de consultants externes. Le
moment est venu de l'appliquer.
Quelles sont les personnes qui doivent lire les documents suivants ?
- le règlement des utilisateurs
LES UTILISATEURS
- le plan de reprise et de continuation,
LE RESPONSABLE DE SECURITE
- la politique de sécurité.
LES DEUX

Question 2
SQL Server propose des rôles préétablis, présents dans toutes les bases de données. Il s’agit des rôles
suivants : Public, db_owner, Db_accessadmin, Db_securituadmin, Db_ddladmin, Db_backupoperator,
Db_datareader, Db_datawriter, Db_denydatareader et Db_denydatawriter. Définissez l’utilisation de
chaque rôle.

REP
Nom de rôle de base La description
de données fixe
Chaque utilisateur de base de données appartient au rôle de base de
public  données publique . Lorsqu'un utilisateur n'a pas reçu ou refusé
d'autorisations spécifiques sur un objet sécurisable, l'utilisateur hérite
des autorisations accordées à public sur cet objet. Les utilisateurs de
la base de données ne peuvent pas être supprimés du rôle public .

db_owner Les membres du rôle de base de données

fixe db_owner peuvent effectuer toutes les activités de
configuration et de maintenance sur la base de données et
peuvent également supprimer la base de données dans SQL
Server. (Dans SQL Database et Azure Synapse, certaines activités
de maintenance nécessitent des autorisations au niveau du
serveur et ne peuvent pas être effectuées par db_owners .)
db_securityadmin Les membres du rôle de base de données
fixe db_securityadmin peuvent modifier l'appartenance aux
rôles pour les rôles personnalisés uniquement et gérer les
autorisations. Les membres de ce rôle peuvent potentiellement
élever leurs privilèges et leurs actions doivent être surveillées.
db_accessadmin Les membres du rôle de base de données
fixe db_accessadmin peuvent ajouter ou supprimer l'accès à la
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 6/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Nom de rôle de base La description
de données fixe
Chaque utilisateur de base de données appartient au rôle de base de
public  données publique . Lorsqu'un utilisateur n'a pas reçu ou refusé
d'autorisations spécifiques sur un objet sécurisable, l'utilisateur hérite
des autorisations accordées à public sur cet objet. Les utilisateurs de
la base de données ne peuvent pas être supprimés du rôle public .

base de données pour les connexions Windows, les groupes

Windows et les connexions SQL Server.
db_backupoperator Les membres du rôle de base de données
fixe db_backupoperator peuvent sauvegarder la base de
données.
db_ddladmin Les membres du rôle de base de données
fixe db_ddladmin peuvent exécuter n'importe quelle commande
DDL (Data Definition Language) dans une base de données.
db_datawriter Les membres du rôle de base de données
fixe db_datawriter peuvent ajouter, supprimer ou modifier des
données dans toutes les tables utilisateur.
db_datareader Les membres du rôle de base de données
fixe db_datareader peuvent lire toutes les données de toutes les
tables et vues utilisateur. Les objets utilisateur peuvent exister
dans n'importe quel schéma à l'exception
de sys et INFORMATION_SCHEMA .
db_denydatawriter Les membres du rôle de base de données
fixe db_denydatawriter ne peuvent pas ajouter, modifier ou
supprimer des données dans les tables utilisateur d'une base de
données.
db_denydatareader Les membres du rôle de base de données
fixe db_denydatareader ne peuvent pas lire les données des
tables et vues utilisateur au sein d'une base de données.

Question 3
Le Règlement général sur la protection des données (RGPD, ou encore GDPR, de l’anglais General data
protection regulation) est un règlement de l’Union européenne qui constitue le texte de référence en
matière de protection des données à caractère personnel.
Quelles sont les étapes pour s’adapter au RGPD selon la CNIL ?

Réponse :

RGPD : se prépare en 6 étapes

.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 7/10
UC D31 - Informatique, réseaux et sécurité - Sujet
 ETAPE1
DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin
d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de
contrôle en interne : le délégué à la protection des données. En attendant 2018, vous
pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous
donnera un temps d'avance et vous permettra d'organiser les actions à mener.
ETAPE2
CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des
données que vous traitez, commencez par recenser de façon précise vos traitements de
données personnelles. L'élaboration d'un registre des traitements vous permet de faire le
point.

ETAPE3
PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux
obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser
vos traitements sur les droits et les libertés des personnes concernées. 
> En savoir plus
ETAPE4
GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer
des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener,
pour chacun de ces traitements, une analyse d'impact relative à la protection des données
(AIPD).
ETAPE5
ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence,
mettez en place des procédures internes qui garantissent la prise en compte de la
protection des données à tout moment, en prenant en compte l’ensemble des événements
qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des
demande de rectification ou d’accès, modification des données collectées, changement de
prestataire). 
ETAPE6
DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la
documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être
réexaminés et actualisés régulièrement pour assurer une protection des données en
continu.

Question 4
La structure d’un certificat x509
Les certificats sont des fichiers électroniques complexes. On les divise communément en deux parties : d’un
côté, les informations contenues par le certificat, de l’autre, la signature de l’Autorité de certification. Cette
structure est normalisée par le standard x509 qui fait que l’on retrouve les mêmes informations quel que
soit le certificat.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 8/10
UC D31 - Informatique, réseaux et sécurité - Sujet
Quelles sont ces informations ?
Rep :

par le standard x509 on retrouve les mêmes informations quel que soit le certificat. À
savoir :

 La version du certificat
 Le numéro de série
 Le nom de l’Autorité de Certification qui l’a validé ( Distinguished Name)
 La date de début et de fin de validité
 L’objet de l’utilisation du certificat
 Des informations au sujet de la clé publique (algorithme de chiffrement et clé
publique proprement dite)
 L’identifiant unique du signataire et/ou du détenteur du certificat (en option)
 Les extensions au certificat (en option)
 La signature de l’émetteur du certificat
 L’algorithme de signature
Ou bien

 Version
 Numéro de série
 Algorithme de signature du certificat
 DN (Distinguished Name) du délivreur (autorité de certification)
 Validité (dates limites)
o Pas avant
o Pas après
 DN de l'objet du certificat
 Informations sur la clé publique
o Algorithme de la clé publique
o Clé publique proprement dite
 Identifiant unique du signataire (optionnel, X.509v2)
 Identifiant unique du détenteur du certificat (optionnel, X.509v2)
 Extensions (optionnel, à partir de X.509v3)
o Liste des extensions
 Signature des informations ci-dessus par l'autorité de certification

Question 5
Droit informatique
La Convention de Bruxelles et Lugano s’applique en matière civile et commerciale et quelle que soit la
nature de la juridiction. Elle ne recouvre notamment pas les matières fiscales, douanières ou
administratives.
Qui sont exclus de son application ?
REP
Sont exclus de son application:

a) l'état et la capacité des personnes physiques, les régimes matrimoniaux, les testaments et les
successions;
b) les faillites, concordats et autres procédures analogues;

c) la sécurité sociale;

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 9/10
UC D31 - Informatique, réseaux et sécurité - Sujet
d) l'arbitrage.

© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 10/10
UC D31 - Informatique, réseaux et sécurité - Sujet