UIR Exercice/DATASECURITY AND AUDITING 2023/2024

Pr. Kamal EL GUEMMAT

Big Data & AI

Exercice : Sécurité SI, Cyber Security, Sécurité des BDD Oracle
EXERCICE 1 : Sécurité SI, Cyber Security
1. Expliquer le principe du paradigme CIA de la sécurité des SI :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………..........
2. Mentionner trois outils utilisés pour CIA :
Concept Outil d’attaque Outil de sécurité
C ………………………………………….. …………………………………………..
I ………………………………………….. …………………………………………..
A ………………………………………….. …………………………………………..
3. Citer la différence entre la sécurité des SI et cyber Security :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………........
4. Déterminer la coexistence entre la sécurité des informations et la sécurité de données :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
5. Choisir le(s) danger(s) SI :
 Fuite de données et intrusions
 Perte de données
6. Indiquer le(s) problème(s) principau(x) à résoudre pour la sécurité SI :
 Fabrication
 Interruption
 Interception
 Modification
7. Le(s) objectif(s) de la sécurité des SI
 Réduire les risques informationnels
 Réduire les risques technologiques
8. Mentionner les domaines de sécurité SI :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
9. Citer la différence entre menace, vulnérabilité et risque :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………….......
UIR Exercice/DATASECURITY AND AUDITING 2023/2024
Pr. Kamal EL GUEMMAT
10. A quoi sert la gestion de risque ?
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………….......
11. Choisir les quatre étapes de ISO27001 :
 ACT
 CHECK
 DO
 PLAN
12. La politique de sécurité doit prévoir un schéma organisationnel de sécurité, s’appuyer sur des :
 Méthodes
 Normes
 Personnes et combiner plusieurs outils
 Processus
13. Les BDD font parties de quelle(s) catégorie(s) de risques cyber security :
 Accès réseaux
 Dissimulation
 DoS, DDoS
 Malwares
14. Préciser quelques techniques de protection du réseau et terminaux en Cyber Security ?
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………….......
15. Comment s’intitule l’architecture SIEM de Cyber Security assurant la surveillance de la
sécurité dans un SOC :
 Elsa
 Security Onion
 Sguil
 Wireshark

EXERCICE 2 : Sécurité des BDD Oracle

16. Pourquoi la sécurité des bases de données est essentielle ?
 Atténuez les risques liés aux bases de données mal configurées
 Rendre inutiles les données volées
 Restreindre les accès non autorisés par les utilisateurs privilégiés
 Surveiller l’accès et démontrer la conformité
17. Indiquer les modèles de sécurité de la base de données :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………….......
UIR Exercice/DATASECURITY AND AUDITING 2023/2024
Pr. Kamal EL GUEMMAT
18. Mentionner les approches de sécurité de la base de données :
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………......
19. Choisir le(s) quelque(s) question(s) courante(s) auxquelle(s) les attaquants tentent de répondre en
examinant vos bases de données :
 Existe-t-il des utilisateurs connus avec des mots de passe par défaut ou faciles à deviner ?
 Quelle est la version de la base de données ? Quelles sont les vulnérabilités connues ?
Ceux-ci ont-ils déjà été corrigés ?
 Quelles applications packagées s'exécutent sur cette base de données ? Sont-ils dotés de
privilèges tout-puissants ?
 Qui sont les utilisateurs privilégiés sur cette base de données ? Existe-t-il un moyen
d'augmenter les privilèges des utilisateurs réguliers ?
 L'audit est-il en cours ? Pour qui ? Dans quelles conditions ? Les activités peuvent-elles
être suivies ?
 Les données sont-elles cryptées ? Sinon, pouvons-nous accéder au stockage sous-jacent
ou à une sauvegarde ?
20. Selon Oracle choisir le principe de sécurité qui assure la sécurité des accès :
 Bronze
 Gold
 Platinum
 Silver
21. C’est quoi le nom de la PDB selon cette figure :

 BDAI
 Oracle19c
 Oradata
 Orclpdb
22. A quoi sert cette commande :
UIR Exercice/DATASECURITY AND AUDITING 2023/2024
Pr. Kamal EL GUEMMAT

…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………….......
23. Choisir le(s) type(s) d’authentification pour une BDD Oracle :

 Kerberos
 OS
 Par défaut
 Revoke
24. A quoi sert cette commande :

…………………………………………………………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………….......
25. Cette figure nous permet d’activer :

 Chiffrement Oracle Key Vault

 Chiffrement réseau
 Chiffrement transparent
 Oracle Key
UIR Exercice/DATASECURITY AND AUDITING 2023/2024
Pr. Kamal EL GUEMMAT
26. Grâce à quel(s) fichier(s) peut-on activer le chiffrement réseau :
 sql.ora
 sqlnet.ora
 net.ora
 ora
27. Choisir le(s) outil(s) de masquage statiques :
 Datasafe
 Oracle Data Masking and Subsetting.
 Oracle Data Redaction
 Virtual Private Database
28. Choisir le(s) type(s) de masquage dynamique :
 Aléatoire
 Complet
 Partiel
 Pas de réponse
29. Grâce à quelle(s) procédure(s) peut-on activer l’Oracle Data redaction :
 DBMS_POLICY
 DBMS_REDACT
 DBMS_REDACT.ADD_POLICY
 DBMS_REDACT.POLICY
30. Choisir le(s) outil(s) d’orientation de données :
 Datasafe
 OLS
 RAS
 VPD
31. Indiquer le super admin de database vault :
 c##dv
 c##dv_owner_root
 c##owner_root
 c##root
32. Choisir le(s) type(s) d’injections SQL :
 Injection SQL différentielle
 Injection SQL en bande
 Injection SQL hors bande
 Injection SQL inférentielle
33. Grâce à quel(s) outil(s) peut-on éviter les injections SQL :
 AUDF
 AVDF
 AWDF
 AXDF
UIR Exercice/DATASECURITY AND AUDITING 2023/2024
Pr. Kamal EL GUEMMAT
34. Grâce à quel(s) procédure(s) peut-on activer le VPD pour une politique de sécurité :
 DBMS_ADD_POLICY
 DBMS_RLS
 DBMS_RLS.ADD_POLICY
 DBMS_RLS.POLICY
35. Pour le OLS comment peut-on définir les autorisations utilisateur pour la stratégie de sécurité des
étiquettes Oracle :
 SA_USER_ADMIN.LEVELS
 SA_USER_ADMIN.SET
 SA_USER_ADMIN.SET_LEVELS
 SA_USER.LEVELS
36. Choisir le(s) outil(s) de contrôle d’évaluation :
 Data Masking and Subsetting
 Data Safe
 DBSAT
 Privilege Analysis
37. Citer le(s) technologie(s) Oracle pouvant être utilisée(s) pour découvrir des données sensibles :
 Database Security Assessment Tool (DBSAT)
 Enterprise Manager Application Data Modeling
 Oracle Audit Vault and Database Firewall
 Oracle Data Safe
38. L'application du Zero Trust à la base de données peut généralement être divisée en :
 Chiffrez les données au repos et en mouvement
 Contrôler l'accès aux données
 Évaluez votre configuration et surveillez les dérives de configuration
 Minimisez la surface d’attaque
 Renforcez l'authentification
 Surveiller l'activité de la base de données
39. Comment peut-on faire une sécurité automatique des bases de données :
 BDD autonome onsite
 BDD autonome sur cloud
 BDD cloud
 BDD onsite
40. En générale, sécurité automatique assure :
 Chiffrement automatique
 Empêche les attaques de phishing
 Protection du système