Académique Documents
Professionnel Documents
Culture Documents
UE D – EXPERTISE PROFESSIONNELLE
Corrigé
Durée : 6 heures
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 1 - Sécurité des systèmes d’exploitation et des réseaux
Question 1
Quels sont les types de droits possibles ?
Question 2
Expliquez les types de logiciels malveillants suivants :
- cheval de Troie,
- porte dérobée,
- bombe logique,
- logiciel espion.
Cheval de Troie
Un cheval de Troie (Trojan horse) est un logiciel qui se présente sous un jour honnête, utile ou agréable, et
qui une fois installé sur un ordinateur y effectue des actions cachées et pernicieuses.
Porte dérobée
Une porte dérobée (backdoor) est un logiciel de communication caché, installé par exemple par un virus ou
par un cheval de Troie, qui donne à un agresseur extérieur accès à l’ordinateur victime, par le réseau.
Bombe logique
Une bombe logique est une fonction, cachée dans un programme en apparence honnête, utile ou agréable,
qui se déclenchera à retardement, lorsque sera atteinte une certaine date, ou lorsque surviendra un certain
événement. Cette fonction produira alors des actions indésirées, voire nuisibles.
Logiciel espion
Un logiciel espion, comme son nom l’indique, collecte à l’insu de l’utilisateur légitime des informations au
sein du système où il est installé, et les communique à un agent extérieur, par exemple au moyen d’une
porte dérobée.
Une variété particulièrement toxique de logiciel espion est le keylogger (espion dactylographique), qui
enregistre fidèlement tout ce que l’utilisateur tape sur son clavier et le transmet à son honorable
correspondant ; il capte ainsi notamment identifiants, mots de passe et codes secrets.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 2/7
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 3
Quelles sont les principales étapes mises en place pour une authentification en environnement
Kerberisé ?
16 points
Les principales étapes mises en place pour une authentification en environnement Kerberisé sont :
1. Le client demande un ticket d’authentification (TGT) au Key Distribution Center (KDC).
2. Le KDC vérifie les données d’identification et renvoie un TGT chiffré et une clé de session.
3. Le TGT est chiffré à l’aide de la clé secrète Ticket Granting Service (TGS).
4. Le client conserve le TGT et, lorsqu’il arrive à expiration, le gestionnaire de session local en
demande un autre (cette procédure est transparente pour l’utilisateur).
Si le client demande à accéder à un service ou à une autre ressource du réseau, la procédure est la
suivante :
1. Le client envoie le TGT en cours du TGS avec le Service Principal Name (SPN) de la ressource à
laquelle le client souhaite accéder.
2. Le KDC vérifie le TGT de l’utilisateur et s’assure que l’utilisateur a accès au service.
3. Le TGS envoie une clé de session valide pour le service au client.
4. Le client transmet la clé de session au service pour prouver que l’utilisateur dispose d’un accès, et
le service accorde l’accès.
Question 4
A quelles règles les commutateurs adhèrent ?
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 3/7
UC D31 - Informatique, réseaux et sécurité - Corrigé
Dossier 2 - Sécurité des bases de données et du Web
Question 1
Quelles sont les personnes qui doivent lire les documents suivants ?
- le règlement des utilisateurs,
- le plan de reprise et de continuation,
- la politique de sécurité.
- Le règlement des utilisateurs : tous les utilisateurs du système informatique ainsi que le
responsable de la sécurité qui élabore ce règlement.
- Le plan de reprise et de continuation : le responsable de la sécurité ainsi que tous les
administrateurs pour l'aspect technique, mais aussi les personnes concernées par la relation
clientèle : direction, chargé de communication, etc...
- La politique de sécurité : le responsable de la sécurité et la direction. Les utilisateurs et les
administrateurs peuvent aussi y avoir accès, mais ils ne sont pas directement concernés.
Question 2
Définissez l’utilisation de chaque rôle.
Rôle Utilisation
créateur par défaut des objets de la base, il possède toutes les autorisations sur la
db_owner
base de données.
Db_securituadmin gère les droits : accès, propriétés d’objet, rôles et membres des rôles.
gestion des droits au niveau du sous-ensemble DDl du SQL : lance l’instruction ALL
Db_ddladmin
DDL, mais pas les instructions GRANT, REVOKE ou DENY.
opérateur de sauvegarde (mais pas de restauration !). Lance les instructions DBCC,
Db_backupoperator
CHECKPOINT et BACKUP.
droit en lecture, écriture des données de la base. Modifie les données de toutes
Db_datawriter
les tables utilisateur dans la base de données.
Db_denydatareader révocation des droits en lecture sur tous les objets de la base.
Db_denydatawriter révocation des droits en écriture sur tous les objets de la base.
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 4/7
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 3
Quelles sont les étapes pour s’adapter au RGPD selon la CNIL ?
Étape Détail
Étape 1 : Nommer Disposer d’un pilote est indispensable pour gérer les données personnelles
un délégué à la protection collectées par une entreprise. Celui-ci est chargé d’un rôle d’information, de
des données conseil et de contrôle interne.
Étape 2 : Recenser les Un registre des traitements des données personnelles est une documentation
traitements des données qui permet de faire le bilan sur l’effet du règlement.
Afin de respecter les règles en matière de droits et libertés personnelles, il est
Étape 3 : Définir les nécessaire de déterminer quelles sont les actions prioritaires à mettre en
actions correctives œuvre. La priorisation est déterminée en fonction du niveau de risque et
grâce au registre des traitements.
Étape 4 : Analyser les Il convient de gérer au mieux les risques pouvant avoir des conséquences sur
risques la sécurité des données.
Les procédures internes permettent de constamment assurer la protection
Étape 5 : Établir des
des données personnelles. Il faut ici anticiper les événements éventuels
procédures internes
pouvant affecter les traitements en cours.
La documentation permet de justifier la conformité d’une entreprise au
Étape 6 : Tenir une
règlement. Il est également essentiel de fréquemment reconsidérer et ajuster
documentation
les actions et documents afin de garantir une protection des données durable.
Question 4
Quelles sont ces informations ?
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 5/7
UC D31 - Informatique, réseaux et sécurité - Corrigé
Question 5
Qui sont exclus de son application ?
9 points
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 6/7
UC D31 - Informatique, réseaux et sécurité - Corrigé
GRILLE DE NOTATION
UC D31 - Épreuve écrite - Informatique, réseaux, sécurité
N° de candidat__________________
TOTAL /120
Appréciation générale :
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Signature :
© Fédération Européenne Des Ecoles - Federation for EDucation in Europe - Juin 2021 7/7
UC D31 - Informatique, réseaux et sécurité - Corrigé