Office de la Formation Professionnelle et de la Promotion du Travail

Direction de la Recherche et de l’Ingénierie de la Formation

Division Conception des Examens
Examen National de Fin d’année
Session de Juin 2023
Examen de Fin de Formation (Epreuve de Synthèse)

Eléments de correction
Secteur : Digital et Intelligence Artificielle Niveau : Technicien Spécialisé

Filière : Infrastructure Digitale Option Cyber sécurité

Variante V1 Durée : 4h00 Barème /100

Consignes et Conseils aux candidats :

 Toutes les réponses devront être justifiées avec le détail des calculs qui doit être indiqué sur la copie ;
 Apporter un soin particulier à la présentation de votre copie ;
Document(s) et Matériel(s) autorisés :
 Les documents ne sont pas autorisés ;
 Calculatrice simple (non programmable) autorisée.
Détail du Barème :
Théorie /40 Pratique /60
Dossier 1 /17 Dossier 2 /23 Dossier 3 /38 Dossier 4 /22
Q1 1,5 Q12 2 Q26 2 Q40 4
Q2 1 Q13 2 Q27 2 Q41 8
Q3 2 Q14 3 Q28 2 Q42 4
Q4 1 Q15 2 Q29 2 Q43 3
Q5 2 Q16 1 Q30 2 Q44 3
Q6 1 Q17 1,5 Q31
Q7 1,5 Q18 1,5 a 1
Q8 2 Q19 1 b 1
Q9 1 Q20 2 Q32
Q10 2 Q21 2 c 1
Q11 2 Q22 1 d 1
Q23 1 e 2
Q24 1 Q33
Q25 2 f 2
g 2
Q34 4
Q35 2
Q36 4
Q37 4
Q38 2
Q39 2
Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 1 sur 12
Examen Corrigé Fin de Formation Session Juin
PARTIE THEORIQUE :
Dossier 1 :
1. Citer et définir les principes fondamentaux de la cybersécurité (C.I.D.).

Disponibilité : Propriété d'accessibilité au moment voulu des biens par les personnes autorisées
(i.e. le bien doit être disponible durant les plages d’utilisation prévues)
Intégrité : Propriété d'exactitude et de complétude des biens et informations (i.e. une modification
illégitime d’un bien doit pouvoir être détectée et corrigée)
Confidentialité : Propriété des biens de n'être accessibles qu'aux personnes autorisées
2. Quelle est la différence entre les postures offensive et défensive ?

La posture défensive se focalise sur des mesures réactives, telles que l'application de correctifs
logiciels et la recherche et la remédiation des vulnérabilités du système tandis que La posture
offensive est une approche proactive pour protéger les systèmes informatiques, les réseaux et les
individus contre les attaques qui consiste à attaquer son propre système pour en découvrir les
points faibles et y apporter des solutions.
3. Relier chaque norme ISO à son principe :

1- 27001 a- Gestion de risques

2- 27002 b- Guide de l’audit pour auditeur

3- 27005 c- Exigences de SMSI

4- 27007
d- Les bonnes pratiques

4. Définir la politique de sécurité d’un système d’information (PSSI).

Une Politique de Sécurité des Systèmes d’Information (PSSI) reflète la vision stratégique de la
direction de l’organisme (PMI, industrie, administration) en matière de sécurité des systèmes
d'information (SSI) et de gestion de risques SSI. Elle décrit en effet les éléments stratégiques (
référentiel, principaux besoins de sécurité et menaces) et les règles de sécurité applicables à la
protection du système d'information de l'organisme.
5. Utiliser la capture suivante est définir les éléments : A, B, C et D

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 2 sur 12

Examen Corrigé Fin de Formation Session Juin
A= Numéro CVE (numéro de la vulnérabilité)
B= la nouvelle version de la notation de vulnérabilité ou score de la vulnérabilité,
C= National Vulnerability Database, La base de données nationale des vulnérabilités est le
référentiel du gouvernement américain
D : gravité de la vulnérabilité
6. Citer deux métiers liés à la cybersécurité.
Analyste SOC – Pentester – RSSI ….
7. Expliquer le rôle de chaque type de Hackers suivants :
Black Hat Hacker, White Hat Hacker, Grey Hat Hacker

Black Hat Hacker : désigne un pirate informatique qui s’introduit dans un système ou un
réseau informatique avec des intentions malveillantes. Un hacker black hat peut exploiter les
failles de sécurité à des fins lucratives, pour voler ou détruire des données privées, ou pour
modifier, perturber ou fermer des sites web et des réseaux.
White Hat Hacker : est un hacker qui est légalement engagé par une organisation ou une
personne pour pirater ses infrastructures afin de trouver d'éventuelles faiblesses
Grey Hat Hacker : est un hacker ou un groupe de hackers, qui agit parfois avec éthique, et
parfois non. Ce terme est employé pour désigner ceux qui se situent entre hacker white hat et
hacker black hat

8. Donner les étapes à suivre pour réussir un programme de sensibilisation à la sécurité informatique.
Analyse - Planification – Déploiement – Mesure - Optimisation
9. Citer les deux référentiels les plus répandus utilisés pour le durcissement de la sécurité.
ANSSI - CIS
10. Vous avez reçu l’email suivant :

Quel est le piège à éviter ? Quelle sont les meilleures attitudes à adopter ? Et il s’agit de quel type
d’attaque?

Le piège à éviter : Cliquer sur le lien « consulter l’activité de mon compte ».

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 3 sur 12

Examen Corrigé Fin de Formation Session Juin
 Les attitudes à adopter : vérifier la source des emails, ne jamais cliquer sur des liens, signaler
ce message comme phishing ….
Le type d’attaque : Phishing (Hameçonnage)
11. Vous êtes technicien en cybersécurité et vous avez été chargé d'effectuer une analyse Microsoft
STRIDE sur un nouveau système de stockage de données en ligne. Présenter le rôle de cette méthode
et les six catégories de menaces informatiques.
STRIDE (pour Spoofing - Tampering - Repudiation - Information Disclosure - Denial of
Service - Elevation of Privilege) est un modèle de classification de Menaces (Threats) développé
par Microsoft.
La compréhension des risques et menaces sont des items importants à prendre en considération
lorsque vous concevez et construisez des Application Web (Locales ou hébergées dans le
Cloud).
C'est la raison pour laquelle Microsoft a développé le modèle STRIDE, modèle sur lequel vous
pouvez vous appuyez pour identifier, lister et classifier les différentes menaces représentant un
"Risk" et pouvant impacter votre future "Business Application". (source site Microosft)
Dossier 2 :
12. Classer les caractéristiques suivantes selon test d’intrusion ou Hacking ? (Copier le tableau dans
votre feuille)
A. Un cadre bien défini F. Se réalise sur une période donnée
B. Pas de cadre défini G. N’est pas cadré dans le temps
C. Suit des méthodologies de test H. Objectif de compromission
D. Pas de méthodologie I. Recherche opportuniste des
E. Se base sur des standards de vulnérabilités
gouvernance

Test d’intrusion Hacking

A,C,E,F B,D,G,H,I

13. Donner deux qualités les plus importantes pour un pentester.

Le pentester est un professionnel de la cybersécurité dont les missions visent à limiter et anticiper
au maximum les failles et intrusions malveillantes dans le système informatique de l’entreprise. Si
ses compétences sont bien un atout, ses qualités doivent suivre aussi. Les unes ne vont pas sans les
autres. Cela se traduit par être :
 Ethique et légal
 Curieux
 Dynamique
 Réactif
 Créatif
 Disponible
 Faire preuve de confidentialité
 Aimer le travail en équipe
 Avoir le goût du défi

14. Remplir le tableau de comparaison entre les méthodologies de test d’intrusion (copier le tableau
dans votre feuille).
OWASP OSSTMM PTES
Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 4 sur 12
Examen Corrigé Fin de Formation Session Juin
 Domaine d’utilisation (Industrie, Application Application Industrie Système
Web ou Système d’Information) Web d’Information
Type de test d’intrusion (Interne ou Externe) Interne/Externe Interne Interne/Externe

15. Quelle est la différence entre reconnaissance passive et active ?

La reconnaissance passive (collecte passive d'informations) ou encore OSINT (Open Source

Intelligence) est un processus de collecte d'informations disponibles publiquement concernant une
cible, sans aucune interaction directe avec elle, tandis que la reconnaissance active commence par
des connexions directes établies avec la machine cible Une telle connexion peut laisser des
informations dans les journaux indiquant l'adresse IP que nous utilisons, l'heure de la connexion
et la durée de la connexion, entre autres

16. A quoi sert le processus de gestion des incidents ?

L'objectif du processus de gestion des incidents est de définir les activités qui doivent être prises
en compte lors de la détection, de l'analyse et de la résolution de l’incident.
17. Donner deux exemples d'incidents de sécurité.

Modifications non autorisées des systèmes, des logiciels ou des données

Accès non autorisé ou utilisation de systèmes, de logiciels ou de données
Attaque par déni de service
Comptes d'utilisateurs compromis…….
18. Quels sont les niveaux de qualification des incidents ?
Risque Majeur, Risque Modéré, Risque Mineur.

19. Quel est le principe de Threat Hunting ?

Threat Hunting peut être défini comme stratégie proactive conçue pour trouver des menaces
inconnues ou des adversaires cachés à l'intérieur d’un réseau avant qu'ils ne puissent exécuter une
attaque ou atteindre leurs objectifs

20. Quelle est la différence entre la Chasse structurée et non structurée de Threat Hunting ?

La chasse structurée est la méthodologie la plus proactive du Threat Hunting qui permet d’utiliser
les indicateurs d'attaque (IoA) et les tactiques, techniques et procédures (TTP) pour déterminer
les acteurs de menace, alors que La chasse non structurée débute à partir d'un déclencheur ou
d'un indicateur de compromission (Ce type de Threat Hunting peut découvrir de nouveaux types
de menaces ou de menaces qui ont pénétré l'environnement dans le passé et sont maintenant en
sommeil.
21. Citer deux objectifs du plan de réponse aux incidents.

Fournir une stratégie de réponse cohérente aux menaces de sécurité de l'information qui mettent
en danger les données et les systèmes de l’entreprise .
Protéger la confidentialité, l'intégrité et la disponibilité des systèmes, réseaux et données.
Protéger le bien-être de l’entreprise et minimiser les atteintes à la réputation.
Aider l'entreprise à se rétablir après des incidents de sécurité de l'information.
Mettre en oeuvre des actions correctives opportunes et appropriées.
Répondre aux exigences légales ou réglementaires.
22. Donner deux exemples des attaques APT.

Muddy Water
Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 5 sur 12
Examen Corrigé Fin de Formation Session Juin
Cozy Bear
Fancy Bear
Stuxnet….

23. Définir le principe de l’investigation numérique et identifier son processus.

L'investigation numérique, ou digital forensic, consiste à utiliser des techniques spécialisées dans
la recherche, la collecte et l'analyse de données issues de supports numériques.
Le processus : Identification, Préservation, Analyse, Documentation et Présentation

24. Quel est l’objectif du durcissement d’un système d’information et citer ses 3 principes.

Le Durcissement des systèmes d’information fait partie des principes les plus importants de la
sécurité des SI. À mesure que les SI évoluent, le durcissement doit être ajusté pour suivre
l’évolution de la technologie du système d’exploitation. Le durcissement consiste à réduire la
surface d’attaque disponible pour l’attaque.
3 principes : zéro trust, sécurité en profondeur, moindre privilège
25. Citer les étapes pour mettre en œuvre un programme DLP.

 Réaliser un inventaire et une évaluation

 Classer les données
 Établir des politiques de traitement et de correction des données
 Mettre en œuvre un programme DLP unique et centralisé
 Éduquer les employés

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 6 sur 12

Examen Corrigé Fin de Formation Session Juin
PARTIE PRATIQUE :

Dossier 3 :
Partie 1 :
Vous serez dans le rôle d’un pentester de sécurité informatique. Vous êtes mandaté par la société XYZ
pour tester la sécurité de son système d’information interne Active Directory.
Active Directory est une solution de Microsoft qui permet de gérer des parcs informatiques d’entreprises.
Les entreprises utilisent cette solution pour gérer leurs utilisateurs, les postes de travail, les serveurs, etc.
Dans cette démarche, vous vous mettrez à la place d’un administrateur d’entreprise qui souhaite sécuriser
son environnement. Cela vous permettra d’avoir suffisamment d’informations pour être le plus exhaustif
possible dans vos recherches, et d’avoir les clés nécessaires pour sécuriser et surveiller votre
environnement.
Ton objectif en tant que pentester est d’identifier les serveurs et postes potentiellement vulnérables qui
pourront par la suite être utilisés comme point d’entrée par un attaquant.
La topologie du réseau :

26. Quelle est la première étape de votre test d’intrusion ?

1ère étape : Interactions pré-engagement
NB : si la réponse du stagiaire est « la reconnaissance ou collecte des informations » accepter la
comme correcte
27. Quelle est la commande pour découvrir l’adresse IP de votre cible ?
Les commandes arp-scan -l ou netdiscover -r
28. Quel est outil à utiliser pour scanner la cible afin d’avoir les ports ouverts, les services actifs, le
système d’exploitation ?
Outil : nmap
29. Donner la commande permettant d’afficher les protocoles (services) trouvés dans la machine cible.
nmap -T4 -sS -Pn -p1 -1024 192.168.1.5
30. Donner deux outils pour scanner les vulnérabilités de la cible
Nessus – Nexpose - nmap

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 7 sur 12

Examen Corrigé Fin de Formation Session Juin
31. Votre collègue, un stagiaire, au sein de votre service, vous a envoyé la capture suivante :

a) Quel est le rôle de la commande suivante searchsploit wordpress 5.8 ?

Rechercher sur searchsploit des exploits liés à wordpress que nous pouvons utiliser
b) Comment vous définissez les éléments de la colonne « Title » ?
C’est la description des exploits disponibles
32. Une autre capture envoyée par ce stagiaire :

c) Quel est le nom de cet outil et quel est son utilité ?

Metasploit, un framework qui fournit des informations sur les vulnérabilités de
systèmes informatiques et aide dans le test de pénétration
d) Donner la commande exécutée pour démarrer cet outil.
msfconsole
e) Quelle est la différence entre exploits et payloads
Exploit - Un exploit est le moyen par lequel un attaquant, ou un testeur de
pénétration, tire parti d'une vulnérabilité au sein d'un système, d'une application ou
d'un service. Un attaquant utilise un exploit pour attaquer un système d'une manière
qui aboutit à un résultat particulier que le développeur n'avait pas prévu. Les exploits
les plus courants sont les débordements de mémoire tampon, les vulnérabilités des
applications web (telles que l'injection de code SQL) et les erreurs de configuration.

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 8 sur 12

Examen Corrigé Fin de Formation Session Juin
 Payload – ou Une charge utile est un code personnalisé que l'attaquant veut faire
exécuter par le système et qui doit être sélectionné et fourni par le cadre. Par exemple,
un reverse shell est une charge utile qui crée une connexion entre la machine cible et
l'attaquant sous la forme d'une invite de commande Windows, tandis qu'un bind shell
est une charge utile qui "lie" une invite de commande à un port d'écoute sur la
machine cible, auquel l'attaquant peut ensuite se connecter. Une charge utile peut
également être quelque chose d'aussi simple que quelques commandes à exécuter sur
le système d'exploitation cible.
33. Il a exécuté la commande : search ms08-067

f) Expliquer le rôle de la commande search ms08-067

Chercher et trouver le code d'exploitation exécuté sur la machine.
g) Définir les colonnes suivantes : NAME, RANK et CHECK
NAME : le nom ou désignation de l’exploit
RANK : c’est la qualité de cet exploit
CHECK : possibilité de vérifier le fonctionnement de cet exploit avant de l’utiliser

34. En utilisant la capture précédente, écrire la suite des commandes pour utiliser ce module sur la
machine cible Windows 2003 server (contrôleur de domaine AD)
Use 0 ou use exploit/windows/smb/ms08_067_netapi
[Info]
[Options]
Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 9 sur 12
Examen Corrigé Fin de Formation Session Juin
 set RHOSTS 192.168.1.5
[use payload windows/meterpreter/reverse_tcp]
Exploit

35. Quels sont les éléments que vous devez inclure au rapport de test d’intrusion ?
Le sommaire exécutif
Les détails techniques des vulnérabilités identifiées
L’impact potentiel des vulnérabilités et le niveau de risque associé
Les solutions concrètes permettant de corriger les vulnérabilités
Les méthodologies utilisées dans le test

Partie 2 :
Selon le Rapport d'évaluation de la configuration de la sécurité du PC WINDOWS 10 réalisé par l’outil CIS-
CAT, voilà un extrait de rapport :.

36. Quelles sont les menaces de cette découverte ?

Accès non autorisé au système
Vol de données
Modification des données
Contrôle totale

37. Proposer une politique stricte de mot de passe et de verrouillage du compte en se basant sur les
paramètres de stratégie de groupe.

Plusieurs réponses possibles

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 10 sur 12

Examen Corrigé Fin de Formation Session Juin
 Champ Valeaurs
Appliquer la longueur minimale du mot de passe 10
Appliquer l’historique des mots de passe 40
Le mot de passe doit respecter des exigences de complexité OUI
Appliquer l’âge minimal de mot de passe 30j
Appliquer l’âge maximal de mot de passe 90j
Seuil de verrouillage du compte : 5
Réinitialiser le compteur de verrouillages du compte après 5
Durée de verrouillage de comptes 15

Partie 3 :
Avec les connaissances de techniques d’attaque requises pendant le test d’intrusion, vous aurez tous pour
améliorer le niveau de sécurité de votre Active Directory et le surveiller. Votre client vous demande de
réaliser un guide de durcissement afin de fournir des recommandations et des procédures permettant la
sécurisation d’un annuaire Active Directory.
38. Le durcissement de l’Active Directory consiste principalement à réduire à l'indispensable les objets
installés sur le système et la surface d’attaque disponible. Citer trois recommandations pour renforcer
la sécurité de l’Active Directory.
L’implémentation de moindres privilèges comme modèle d’administration
L’implémentation d’hôtes d’administration sécurisés
Gérer les groupes de sécurité Active Directory
Nettoyer les comptes d'utilisateurs inactifs dans AD
Surveiller les administrateurs locaux
Une politique de mot de passe stricte
Activer la surveillance de la sécurité d'Active Directory pour les signes de compromis…..
39. En plus d’améliorer le niveau de sécurité global du système d’information, il est crucial de
savoir surveiller le système pour maintenir le niveau de sécurité le plus élevé possible. Citer deux
outils ou méthodes pour surveiller les événements de votre environnement Active Directory.
Syslog – Sysmon – PingCastle - EventLog Analyzer….
Dossier 4 :
Après le téléchargement d’une pièce jointe à partir d’un email personnel, un collaborateur de l'entreprise
ABC remarque que ses fichiers sont inaccessibles, ont une extension étrange telle que HLjkNskOq ou
19MqZqZ0s et un message s’affiche, ressemblant à l'image suivante :

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 11 sur 12

Examen Corrigé Fin de Formation Session Juin
40. D’après ce cas, définir et expliquer cette attaque ?
Ransomware ou un rançongiciel ( est une sorte de logiciel malveillant qui empêche les utilisateurs
d’accéder à un système informatique jusqu’à ce qu’ils paient une rançon à l’attaquant.
41. En se basant sur le processus de gestion des incidents contre les attaques, vous allez appliquer les
phases de la procédure 800-61 R2 du NIST décrites sous dessous pour protéger votre système contre
l’attaque découverte.
Vérifier les points suivants dans la réponse du stagiaire :
Le respect des étapes de la méthode NIST 800-61 R2 et présentation de quelques actions dans chaque
étape
a- Préparation
b- Détection et analyse
c- Confinement, éradication et rétablissement des systèmes
d- Activités après l'incident
42. Donner trois recommandations pour éviter cette cyberattaque ?
Appliquez de manière régulière et systématique les mises à jour de sécurité
Tenez à jour l’antivirus et configurez votre pare-feu.
N’ouvrez pas les courriels, leurs pièces jointes et ne cliquez par sur les liens
N’installez pas d’application ou de programme « piratés »
Évitez les sites non sûrs ou illicites
Faites des sauvegardes régulières
N’utilisez pas un compte avec des droits « administrateur »
Éteignez votre machine lorsque vous ne vous en servez pas…
43. Comment vous pouvez sensibiliser vos employés aux risques de sécurité de cette cyberattaque ?
Organiser une séance des compagnes de sensibilisation
Envoyer régulièrement les mises à jour des procédures pertinentes pour les fonctions des
personnes
Faire des rappels par messagerie électronique
Mettre en place une charte informatique qui regroupe les règles ainsi que les bonnes pratiques
inhérentes à l’utilisation de l’informatique de façon générale dans l’organisation.

44. Qu’est-ce qu’une réponse automatisée aux incidents et quelle est son importance dans ce cas ?
La gestion automatisée des incidents est le processus d'automatisation de la réponse aux incidents
pour garantir que les incidents critiques sont détectés et traités de la manière la plus efficace et la
plus cohérente.
L'avantage fondamental L'automatisation accélère les réponses et les tâches de routine réduisant
considérablement le temps de réponse face à une cyber menace. Cela peut faire toute la différence
lorsqu'il s'agit de réduire l'impact d'une attaque sur un système.
L’automatisation fonctionne comme un accélérateur pour atteindre l'objectif de répondre
intelligemment en un temps record

Filière Infrastructure Digitale Option Cybersécurité Variante V1 Page Page 12 sur 12

Examen Corrigé Fin de Formation Session Juin