TEST XIII

1. Dans la planification d'un audit SI, l'étape la plus critique est l'identification des:
A- Zones de risque significatif.
B- Compétences du personnel d'audit.
C- Tests pour les étapes de l'audit.
D- Le temps alloué à l’audit.

2. L'objectif PRIMAIRE d'un audit médico-légal est:

A- De participer aux enquêtes liées à la fraude d'entreprise.
B- La collecte systématique et l'analyse des preuves après une irrégularité du
système.
C- D’évaluer l'exactitude des états financiers d'une organisation.
D- De préserver les preuves d'activités criminelles.

3. Une fonction d’audit interne des SI prévoit un audit général des SI. Laquelle des
activités suivantes a lieu pendant la PREMIÈRE étape de la phase de planification?
A- Développement d'un programme d'audit
B- Examen de la charte d'audit
C- Identification des propriétaires d'informations clés
D- Développement d'une évaluation des risques

4. Un auditeur des SI examinant le processus de surveillance des journaux d'accès

souhaite évaluer le processus d'examen manuel des journaux. Laquelle des
techniques d’audit suivantes serait le plus souvent utilisée par l'auditeur pour
atteindre cet objectif?
A- Inspection
B- Enquête
C- Procédure pas à pas
D- Reperformance

5. Pour une entreprise de vente au détail ayant un volume important de transactions,

laquelle des techniques d’audit suivantes est la plus appropriée pour faire face aux
risques émergents?
A- Utilisation de techniques d'audit assistées par ordinateur (CAAT)
B- Évaluations trimestrielles des risques
C- Échantillonnage des journaux de transaction
D- Audit continu

6. L'auditeur des SI est en train d'examiner la mise en œuvre d'un réseau de stockage
(SAN). L'administrateur du SAN indique que la consignation et la surveillance sont
actives, que la segmentation matérielle est utilisée pour isoler les données des
différentes unités opérationnelles et que tous les ports SAN inutilisés sont désactivés.
L'administrateur a mis en œuvre le système, a effectué et documenté des tests de
sécurité au cours de l'implémentation et a déterminé qu'il était le seul utilisateur
disposant des droits d'administration sur le système. Quelle devrait être la
préoccupation initiale de l'auditeur des SI
A- Le SAN est sécurisé et aucun risque significatif n'existe.
B- Le SAN présente un risque potentiel car un zoning logiciel devrait être utilisé.
C- Le SAN présente un risque potentiel car les journaux d'audit ne sont pas
examinés en temps opportun.
 D- Le SAN présente un risque potentiel car un seul employé y a accès.

7. Lequel des éléments suivants serait le mieux maitrisé par un plancher surélevé dans
la salle des machines?
A- Dommages occasionnés par rapport aux câbles autour des ordinateurs et des
serveurs
B- Une panne de courant
C- Tremblements de terre
D- Dégâts d'eau

8. Un auditeur des SI examine l'accès au système et découvre un nombre excessif

d'utilisateurs ayant un accès privilégié. L'auditeur des SI discute de la situation avec
l'administrateur du système, qui déclare que certains membres du personnel des
autres services ont besoin d'un accès privilégié et que la direction a approuvé l'accès.
Lequel des éléments suivants serait le MEILLEUR plan d'action pour l'auditeur de SI?
A- Déterminer si les contrôles de compensation sont en place.
B- Documenter le problème dans le rapport d'audit.
C- Recommander une mise à jour des procédures.
D- Discutez de la constatation avec la haute direction.

9. Le risque d'accès non autorisé au système au moyen de terminaux ou de postes de

travail dans les installations d'une organisation augmente lorsque:
A- Des points de connexion sont disponibles pour connecter des ordinateurs
portables au réseau.
B- Les utilisateurs prennent des précautions pour garder leurs mots de passe
confidentiels.
C- Les terminaux avec protection par mot de passe sont situés dans des endroits
non sécurisés.
D- Les terminaux sont organisés en petits groupes sous la supervision d'un
administrateur.

10. Les attaques par déni de service distribué (DDoS) sur les sites Internet sont
généralement évoquées par des pirates utilisant l'un des éléments suivants?
A- Les bombes logiques
B- Phishing
C- Spyware
D- chevaux de Troie
11. Une société de négoce d'actions en ligne est en train de mettre en œuvre un système
pour fournir un échange de courriel sécurisé avec ses clients. Quelle est la meilleure
option pour assurer la confidentialité, l'intégrité et la non-répudiation?
A- Chiffrement à clé symétrique
B- Signatures numériques
C- Algorithmes de résumé de message
D- Certificats numériques

12. Lors de l'examen de la mise en œuvre d'un réseau local (LAN), un auditeur de SI doit
d'abord examiner:
A- Liste de noeuds.
B- Rapport d'essai d'acceptation.
C- Diagramme de réseau.
D- Liste des utilisateurs.
13. La technique utilisée pour assurer la sécurité dans les réseaux privés virtuels (VPN)
est:
A- Encapsulation
B- Emballage
C- Transformation
D- Hachage

14. Un auditeur des SI examinant des applications de gestion des droits numériques
(DRM) devrait s'attendre à trouver une utilisation extensive pour laquelle des
technologies suivantes?
A- Signatures numériques
B- Hachage
C- Parsing
D- Stéganographie

15. Une société de ressources humaines (RH) offre un accès Internet sans fil à ses
invités, après s'être authentifié avec un code d'utilisateur générique et un mot de
passe. L'identifiant et le mot de passe génériques sont demandés à la réception.
Lequel des contrôles suivants traite le mieux cette situation?
A- Le mot de passe pour le réseau sans fil est modifié chaque semaine.
B- Un pare-feu d'inspection dynamique est utilisé entre le réseau public sans fil et le
réseau d'entreprise.
C- Le réseau sans fil public est physiquement séparé du réseau de l'entreprise.
D- Un système de détection d'intrusion (IDS) est déployé dans le réseau sans fil.

16. Le facteur le plus important dans la planification d'un test de pénétration de boîte
noire est:
A- La documentation de la procédure de test prévue.
B- Une évaluation réaliste de l'architecture de l'environnement pour déterminer la
portée.
C- La tenue au courant de la direction de l'organisation cliente.
D- La planification et la décision de la durée du test.

17. Lors de l'examen d'un système de détection d'intrusion (IDS), un auditeur des SI
devrait être plus préoccupé par ce qui suit?
A- Nombre d'événements non menaçants identifiés comme menaçants
B- Les attaques non identifiées par le système
C- Rapports / logs produits par un outil automatisé
D- Le trafic légitime est bloqué par le système

18. Lequel des exemples suivants est un exemple d'attaque passive lancée via Internet?
A- Analyse du trafic
B- Masquerading
C- Déni de service (DoS)
D- Usurpation d'e-mail

19. L'implémentation des contrôles d'accès nécessite premièrement:

A- Une classification des ressources du SI.
B- L'étiquetage des ressources du SI.
C- La création d'une liste de contrôle d'accès (ACL).
 D- Un inventaire des ressources du SI

20. L'explication la plus probable pour une attaque réussie d'ingénierie sociale est:
A- Que les ordinateurs font des erreurs logiques.
B- Que les gens font des erreurs de jugement.
C- la connaissance informatique des attaquants.
D- La sophistication technologique de la méthode d'attaque.

21. Lequel des éléments suivants serait le plus important à examiner lors d’un audit de
récupération après sinistre?
A- Un site chaud est loué et disponible au besoin
B- Un manuel de continuité d'activité actualisé est disponible
C- La couverture d'assurance est adéquate et les primes sont à jour
D- Les sauvegardes sont effectuées en temps opportun et stockées hors site

22. Un plan de reprise après sinistre (DRP) pour une organisation devrait:
A- Réduire la durée du temps de récupération et le coût de la récupération
B- Augmenter la durée du temps de récupération et le coût de la récupération.
C- Réduire la durée du temps de récupération et augmenter le coût de la
récupération
D- N'affecte pas le temps de récupération ou le coût de la récupération

23. Un auditeur des SI a déterminé que le gestionnaire informatique a changé

récemment le fournisseur responsable de la maintenance des systèmes
informatiques critiques pour réduire les coûts. Alors que le nouveau fournisseur est
moins coûteux, le nouveau contrat de maintenance spécifie une modification du
temps de résolution des incidents spécifié par le fournisseur d'origine. Lequel des
éléments suivants devrait être le plus grand souci pour l'auditeur des SI?
A- Les plans de récupération après sinistre (DRP) peuvent être invalides et doivent
être révisés
B- Les données métier transactionnelles peuvent être perdues en cas de panne du
système
C- Le nouveau fournisseur de maintenance n'est pas familier avec les politiques de
l'organisation
D- Les propriétaires d'applications n'ont pas été informés de la modification

24. Lequel des équipements suivants réduit au mieux la capacité d'un périphérique à
capturer les paquets qui sont destinés à un autre périphérique?
A- Hubs
B- Switches
C- Routers
D- Firewalls

25. Si l'objectif de temps de récupération (RTO) augmente:

A- La tolérance aux catastrophes augmente
B- Le coût de la reprise augmente
C- Un site froid ne peut pas être utilisé
D- La fréquence de sauvegarde des données augmente

26. Lequel des éléments suivants est la MEILLEURE façon de s'assurer que les activités
de réponse aux incidents sont conformes aux exigences de continuité des activités?
 A- Ébaucher et publier une pratique claire pour la réponse aux incidents au niveau
de l'entreprise
B- Établir un groupe de travail interministériel pour partager les points de vue
C- Développez un scénario et réalisez une transition structurée
D- Élaborer un plan de projet pour le test de bout en bout de la reprise après sinistre
27. Au cours d'une évaluation des pratiques de développement de logiciels, un auditeur
des SI estime que les composants logiciels libres ont été utilisés dans une application
conçue pour un client. Quelle est la GRANDE préoccupation de l'auditeur concernant
l'utilisation de logiciels open source?
A- Des problèmes de sécurité pourraient se poser
B- Il peut y avoir un problème de licence
C- La sécurité est renforcée
D- Il doit reporter cela au management

28. Au cours du travail sur le terrain, un auditeur des SI a connu un accident du système
provoqué par une installation de correctifs de sécurité. Pour fournir une assurance
raisonnable que cet événement ne se reproduira pas, l'auditeur de SI devrait
s'assurer que:
A- Seuls les administrateurs système exécutent le processus de patch
B- Le processus de gestion du changement du client est adéquat
C- Les correctifs sont validés en utilisant des tests parallèles en production
D- Un processus d'approbation du patch, y compris une évaluation des risques, est
développé

29. Quelle est la MEILLEURE stratégie de sauvegarde pour une grande base de
données avec des données prenant en charge les ventes en ligne?
A- Sauvegarde complète hebdomadaire avec sauvegarde incrémentale quotidienne
B- Sauvegarde complète quotidienne
C- Serveurs en cluster
D- Disques durs en miroir

30. Lequel des éléments suivants traite spécifiquement de la façon de détecter les
cyberattaques contre les systèmes informatiques d'une organisation et comment se
remettre d'une attaque?
A- Un plan d'intervention d'incident (IRP)
B- Un plan d'urgence informatique
C- Un plan de continuité des activités (BCP)
D- Un plan de continuité des opérations (COOP)

31. Laquelle des mesures suivantes aide un auditeur des SI à évaluer la qualité des
activités de programmation liées aux capacités de maintenance futures?

A- Le langage de programmation
B- L’environnement de développement
C- Un système de contrôle de version
D- Les normes de codage en programmation

32. La documentation relative au business case utilisé dans un projet de développement

informatique devrait être conservée jusqu'à:
A- La fin du cycle de vie du système.
 B- Le projet est approuvé
C- Acceptation par l’utilisateur du système
D- Le système est en production

33. Lequel des éléments suivants est le plus important pour un auditeur de SI évaluant
comment le gestionnaire de projet a surveillé l'avancement du projet?
A- Diagramme de chemin critique
B- Méthode PERT (Program evaluation review technique)
C- Analyse des points de fonction
D- Diagramme de Gantt

34. Avant de mettre en œuvre les contrôles dans un système nouvellement développé, la
gestion devrait PREMIEREMENT s’assurer que les contrôles:
A- Répondent à un besoin donné
B- Ne réduisent pas la productivité
C- Sont basées sur une analyse des coûts minimisés
D- Sont détectifs ou correctifs

35. Quelle approche de test est-elle la plus appropriée pour s'assurer que les erreurs
d'interface d'application interne sont identifiées le plus tôt possible?
A- Test ascendant (Bottom-up testing)
B- Test de sociabilité
C- Test descendant ( Top down testing)
D- Test système

36. Une défaillance constatée dans laquelle des étapes de tests suivantes aurait le plus
grand impact sur la mise en production d’un nouveau logiciel?
A- Test Système
B- Test d’acceptation utilisateur
C- Test d’intégration
D- Test unitaire

37. Quelle est la raison PREMIERE pour laquelle un auditeur des SI vérifie que la revue
post-implémentation d’un logiciel a été effectuée après la mise en production?
A- S’assurer que les utilisateurs ont été proprement formés
B- Vérifier que le budget du projet a été respecté
C- S’assurer que le projet répond aux attentes
D- S’assurer que les contrôles adéquats ont été implémentés

38. La fonctionnalité est une caractéristique associée à l'évaluation de la qualité des

produits logiciels tout au long de leur cycle de vie et est décrite de la meilleure façon
comme l'ensemble des attributs qui portent sur:
A- L’existence d'un ensemble de fonctions et de leurs propriétés spécifiées.
B- La capacité du logiciel à être transféré d'un environnement à l'autre.
C- La Capacité du logiciel à maintenir son niveau de performance dans les conditions
énoncées.
D- La Relation entre la performance du logiciel et la quantité de ressources utilisée.

39. Lors de l'exécution d'une évaluation post-implémentation d'un projet de

développement logiciel pour une application hautement sécurisée, il est important de
confirmer que:
 A- Les tests de vulnérabilité ont été effectués
B- Le projet a été formellement bouclé
C- Le budget et le chronogramme du projet ont été respectés
D- Les besoins spécifiés ont été respectés

40. Laquelle des mesures suivantes permet de s'assurer que les écarts par rapport au
plan de projet sont identifiés?
A- Le cadre de management du projet
B- L’approche de management du projet
C- La planification des ressources du projet
D- Les critères de performance du projet

41. Un auditeur en SI impliqué dans la phase d'analyse préliminaire d'un projet de

développement d'une nouvelle application devra s'assurer que:
A- les programmeurs fournissent les solutions aux exigences fonctionnelles.
B- les exigences de sécurité ont été définies.
C- le coût pour l'entretien du système est dans une marge acceptable.
D- D. une solution clé en main pour couvrir les besoins du système est disponible.

42. Dans un projet de développement de système où il est difficile de fixer et stabiliser

les exigences de base du système, la méthode recommandée pour le développement
serait:
A- La programmation en ligne.
B- Le développement classique des systèmes
C- La méthode du temps fixe (Timebox).
E- La programmation agile

43. En analysant les contrôles liés à la saisie, un auditeur des SI remarque que
conformément à la politique d'entreprise, les procédures de supervision permettent
de rectifier des données après leur validation à la saisie. L’auditeur doit :
A- S’assurer qu’il y a des contrôles compensatoires pour atténuer les risques
B- S’assurer que les modifications sont automatiquement journalisées pour être
revues ultérieurement
C- S'assurer que tout changement est référé aux gestionnaires pour approbation.
D- Recommander que ces modifications ne soient pas autorisées.

44. Lors de la mise en place d'infrastructure d'essais intégrée (ITF), l’auditeur devrait
s'assurer que:
A. Les données de production sont utilisées pour les essais.
B. Les données d'essai sont isolées des données de production.
C. un générateur de données de test est utilisé.
D. les fichiers maîtres sont mis à jour avec les données d'essai

45. La description la plus exacte du modèle de boîte noire d'essai est liée au fait qu'il:
A. permet d'obtenir la preuve de conformité avec les spécifications, en garantissant
que les résultats obtenus à la sortie ont été obtenus uniquement à partir de ce qui a
été défini à l'entrée.
B. permet de vérifier l'exactitude de la logique du programme et des flux de donnée.
C. préconise des essais non documentés entrepris par les utilisateurs pour confirmer
que le système est testé dans des conditions réelles.
 D. permet de démontrer la performance des nouveaux équipements.

46. Pour minimiser le coût d'un projet de développement de système, les techniques de
gestion de la qualité devraient être appliquées:
A. au stade le plus près possible de sa réalisation des activités concernées.
B. essentiellement lors du démarrage du projet pour garantir que le projet est aligné
sur les normes de gouvernance de l'organisation.
C. de façon continue durant tout le projet avec plus d'efforts vers la fin pour identifier
les erreurs et les mesures correctives pendant les essais et ce, dans le but de
maximiser le taux de détection des anomalies.
D. particulièrement à la fin du projet pour détecter les leçons apprises pour pouvoir
les appliquer aux projets futurs.

47. Un auditeur informatique passe en revue la politique de sécurité de l'information

d'une organisation, qui exige le cryptage de toutes les données placées sur les
lecteurs USB (Universal Serial Bus). La politique exige également qu'un algorithme
de chiffrement spécifique soit utilisé. Lequel des algorithmes suivants fournirait la
plus grande assurance que les données placées sur les lecteurs USB sont protégées
contre la divulgation non autorisée?
A- Data Encryption Standard (DES)
B- Algorithme MD5
C- Advanced Encryption Standard (AES)
D- Secure Shell (SSH)

48. Lequel des éléments suivants sert de leurre pour détecter les attaques actives sur
Internet?
A- Honeypots
B- Firewalls
C- Trappes
D- Analyse de trafic réseau

49. Un auditeur des SI effectuant un examen d’un data center pour une grande
entreprise découvre que le centre de données dispose d'une batterie au plomb pour
alimenter son alimentation ininterrompue (UPS) pendant des interruptions de courte
durée et un générateur diesel pour fournir une alimentation à long terme . Lequel des
éléments suivants entraînerait la plus grande préoccupation de l'auditeur SI?
A- Le contrat de service sur le générateur diesel n'est pas actualisé.
B- La salle de batterie ne contient pas de capteurs d'hydrogène.
C- La porte de la batterie est maintenue verrouillée.
D- La salle de batterie n’est pas très éloignée du générateur diesel.

50. Le but PRIMAIRE des pistes d'audit est de:

A- Améliorer le temps de réponse pour les utilisateurs.
B- Etablir la responsabilité des transactions effectuées.
C- Améliorer l'efficacité opérationnelle du système.
D- Fournir des informations utiles aux auditeurs qui souhaitent suivre les
transactions.

51. Cette question se rapporte au diagramme suivant

 Le trafic relatif au courrier électronique provenant d'Internet est acheminé via le pare-
feu 1 vers la passerelle de messagerie. Le courrier est acheminé depuis la passerelle
de messagerie, via le pare-feu 2, vers les destinataires du courrier dans le réseau
interne. L'autre trafic n'est pas autorisé. Par exemple, les pare-feu n'autorisent pas le
trafic direct d'Internet vers le réseau interne. Le système de détection d'intrusion
(IDS) détecte le trafic pour le réseau interne qui ne provient pas de la passerelle de
messagerie. La première action déclenchée par l'IDS devrait être de:
A- Alerter le personnel approprié.
B- Créer une entrée dans le journal.
C- Fermer le pare-feu-2.
D- Fermer le pare-feu-1.

52. Lequel des contrôles suivants serait le plus efficace pour réduire le risque de perte en
raison de demandes de paiement frauduleuses en ligne?
A- Surveillance des transactions
B- Protection des sessions Web à l'aide du protocole SSL (Secure Sockets Layer)
C- Application de la complexité du mot de passe pour l'authentification
D- Saisie des contrôles de validation sur les formulaires Web

53. Lequel des éléments suivants bloque potentiellement les tentatives de piratage?
A- Système de détection d'intrusion (IDS)
B- Système de honeypot
C- Système de prévention d'intrusion (IPS)
D- Scanner de sécurité réseau

54. Laquelle des procédures suivantes est la meilleure pour déterminer si un pare-feu est
configuré conformément à la politique de sécurité d'une entreprise?
A- Vérifiez les paramètres.
B- Interviewez l'administrateur du pare-feu.
C- Passez en revue les procédures réelles.
D- Consultez le fichier journal du périphérique pour les attaques récentes.

55. Une organisation prévoit de remplacer ses réseaux filaires par des réseaux sans fil.
Lequel des éléments suivants protégerait le mieux le réseau sans fil contre tout accès
non autorisé?
A- Implémentez WEP (Wired Equivalent Privacy).
B- Autoriser l'accès aux seules adresses MAC (Media Access Control) autorisées.
C- Désactiver la diffusion ouverte des identificateurs d'ensemble de services (SSID).
D- Implementer le Wi-Fi Protected Access (WPA) 2.

56. Lequel des types de tests de pénétration suivants évalue efficacement la capacité de
traitement et d'intervention des incidents de l'administrateur système?
A- Test ciblé (Targeted Testing)
 B- Test interne (Internal Testing)
C- Test en double aveugle (Double-blind Testing)
D- Test externe (External Testing)

57. Lequel des composants suivants est responsable de la collecte de données dans un
système de détection d'intrusion (IDS)?
A- Analyseur
B- Console d'administration
C- Interface utilisateur
D- Capteur

58. Une organisation développe une nouvelle application Web pour traiter les
commandes des clients. Lesquelles des mesures de sécurité suivantes devraient être
prises pour protéger cette application contre les pirates informatiques?
A- S’assurer que les ports 80 et 443 sont bloqués sur le pare-feu.
B- Inspecter les fichiers et les autorisations d'accès sur tous les serveurs pour vous
assurer que tous les fichiers ont un accès en lecture seule.
C- Effectuer une révision de la sécurité de l'application Web.
D- S’assurez-vous que seules les adresses IP des clients existants sont autorisées
via le pare-feu.

59. Un auditeur des SI examine la configuration d’un pare feu logiciel. Lequel des
énoncés suivants représente la PLUS GRANDE vulnérabilité? Le logiciel pare-feu:
A- est configuré avec une règle de refus implicite comme dernière règle dans la base
de règles.
B- est installé sur un système d'exploitation avec les paramètres par défaut.
C- a été configuré avec des règles permettant ou interdisant l'accès aux systèmes ou
aux réseaux.
D- est configuré en tant que point de terminaison de réseau privé virtuel (VPN).

60. Les utilisateurs reçoivent des jetons de sécurité à utiliser en combinaison avec un
numéro d'identification personnel (PIN) pour accéder au réseau privé virtuel
d'entreprise (VPN). En ce qui concerne le code PIN, quelle est la règle la plus
importante à inclure dans une politique de sécurité?
A- Les utilisateurs ne doivent pas laisser de jetons à un endroit où ils pourraient être
volés.
B- Les utilisateurs ne doivent jamais conserver le jeton dans le même sac que leur
ordinateur portable.
C- Les utilisateurs doivent sélectionner un code PIN complètement aléatoire, sans
répétition de chiffres.
D- Les utilisateurs ne doivent jamais écrire leur code PIN sur un support

61. La société XYZ a externalisé le support de production au prestataire de services ABC

situé dans un autre pays. Le personnel du fournisseur de services ABC se connecte
à distance au réseau d'entreprise de l'entité d'externalisation XYZ sur Internet.
Lequel des éléments suivants fournirait l'assurance MEILLEURE que seuls les
utilisateurs autorisés d'ABC se connectent sur Internet pour le soutien à la production
de XYZ?
A- Authentification à connexion unique
B- Conditions de complexité du mot
C- Authentification à deux facteurs
 D- Restrictions d'adresses IP

62. Lequel des contrôles préventifs suivants permet le mieux de sécuriser une application
Web?
A- Masquer les mots de passe
B- Formation des développeurs
C- Chiffrement
D- Tests de vulnérabilité

63. Lors de la protection des systèmes informatiques d'une organisation, lequel des
éléments suivants constitue normalement la ligne de défense suivante après que le
pare-feu du réseau ait été compromis?
A- Pare-feu personnel
B- Programmes antivirus
C- Système de détection d'intrusion (IDS)
D- Configuration du réseau local virtuel (VLAN)

64. L'utilisation d'informations biométriques résiduelles pour obtenir un accès non

autorisé est un exemple des attaques suivantes?
A- Replay attack (Rejouer)
B- Attaque par force brute
C- Attaque cryptographique
D- Imitation (mimic)

65. Lequel des éléments suivants fournit les informations les plus pertinentes pour
renforcer de manière proactive les paramètres de sécurité?
A- Bastion hôte
B- Système de détection d'intrusion (IDS)
C- Pot de miel
D- Système de prévention d'intrusion

66. L'utilisation de signatures numériques:

A- Nécessite l'utilisation d'un générateur de mot de passe à usage unique.
B- Fournit un cryptage à un message.
C- Valide la source d'un message.
D- Assure la confidentialité des messages.

67. Un auditeur des SI découvre que les paramètres de configuration pour les contrôles
de mot de passe sont plus stricts pour les utilisateurs que pour les développeurs
informatiques. Laquelle des actions suivantes est la meilleure pour l'auditeur des SI?
A- Déterminer s'il s'agit d'une violation de stratégie et la documenter.
B- Documenter l'observation comme une exception.
C- Recommander que tous les paramètres de configuration du mot de passe soient
identiques.
D- Recommander que les journaux d'accès des développeurs informatiques soient
révisés périodiquement.

68. L'objectif PRIMAIRE d'un certificat de site Web est:

A- Authentification du site web
B- Authentification de l'utilisateur qui surfe sur ce site.
C- Empêcher la navigation sur le site Web par des hackers.
 D- Le même objectif que celui d'un certificat numérique.

69. Une politique de sécurité de l'information stipulant que «l'affichage des mots de passe
doit être masqué ou supprimé» adresse laquelle des méthodes d'attaque suivantes?
A- Piggybacking
B- Dumpster diving
C- Shoulder surfing
D- Impersonation

70. Lequel des groupes suivant susciterait le plus de préoccupations chez un auditeur SI
s'il avait directement accès à la base de données de production?
A- Testeurs d'application
B- Administrateurs système
C- Le propriétaire de base de données
D- L'équipe de récupération de données

71. Une organisation découvre que le PC du directeur financier (CFO) a été infecté par
un logiciel malveillant qui est un enregistreur de frappe et un rootkit. La première
action à entreprendre serait de:
A- Contacter les autorités répressives compétentes pour ouvrir une enquête.
B- S'assurer immédiatement qu'aucune donnée supplémentaire n'est compromise.
C- Déconnecter le PC du réseau.
D- Mettre à jour la signature antivirus sur le PC pour s'assurer que le logiciel
malveillant ou le virus est détecté et supprimé.
72. Le PLUS GRAND risque d'un système de prévention des intrusions (IPS) mal
configuré est:
A- Qu'il y aura trop d'alertes pour les administrateurs système à vérifier.
B- Diminution des performances réseau due au trafic IPS.
C- Le blocage de systèmes ou de services critiques en raison de faux déclencheurs.
D- Le recours à une expertise spécialisée au sein de l'organisation informatique.

73. Les émissions électromagnétiques d'un terminal représentent un risque car:

A- Pourraient endommager ou effacer les supports de stockage à proximité.
B- Peuvent perturber les fonctions du processeur.
C- Pourraient avoir des effets néfastes sur la santé du personnel.
D- peuvent être détectées et piratées.

74. Pour assurer la conformité avec une politique de sécurité exigeant que les mots de
passe soient une combinaison de lettres et de chiffres, un auditeur des SI devrait
recommander que:
A- La politique de l'entreprise soit modifiée.
B- Les mots de passe sont périodiquement modifiés.
C- Un outil de gestion de mot de passe automatisé soit utilisé.
D- Une formation de sensibilisation à la sécurité est dispensée.

75. Le directeur informatique d'une organisation a approuvé l'installation d'un point

d'accès au réseau local sans fil (WLAN) dans une salle de conférence pour permettre
à une équipe de consultants d'accéder à Internet avec leurs ordinateurs portables. Le
meilleur contrôle pour protéger les serveurs d'entreprise contre les accès non
autorisés est de s'assurer que:
A- Le cryptage est activé sur le point d'accès.
 B- Le réseau de la salle de conférence se trouve sur un réseau local virtuel (VLAN)
distinct.
C- Les signatures antivirus et les correctifs sont à jour sur les ordinateurs portables
des consultants.
D- Les ID utilisateurs par défaut sont désactivés et des mots de passe forts sont
définis sur les serveurs de l'entreprise.

76. Laquelle des méthodes suivantes pour supprimer un incendie dans un centre de
données est la plus efficace et écologique?
A- Gaz Halon
B- Arroseurs à tuyaux humides
C- Arroseurs à tuyaux secs
D- Gaz de dioxyde de carbone

77. Pour optimiser le plan de continuité des opérations (PCA) d'un organisme, un
auditeur des SI doit recommander une analyse d'impact sur les activités (BIA) pour
déterminer:
A- Les processus métier qui génèrent le plus de valeur financière pour l'organisation
et doivent donc être récupérés en premier.
B- Les priorités et l'ordre de recouvrement pour assurer l'alignement avec la
stratégie d'affaires de l'organisation.
C- Les processus d'affaires qui doivent être récupérés après une catastrophe pour
assurer la survie de l'organisation.
D- Les priorités et l'ordre de récupération, qui permettra de récupérer le plus grand
nombre de systèmes dans les plus brefs délais.

78. Avant de mettre en place un tableau de bord de l'informatique (BSC), une

organisation doit:
A- Fournir des services efficaces et efficients.
B- Définir des indicateurs de performance clés.
C- Fournir de la valeur commerciale aux projets informatiques.
D- Contrôler les dépenses informatiques.

79. L'établissement du niveau de risque acceptable est la responsabilité de:

A- Management de l'assurance qualité (AQ)
B- La haute direction.
C- Directeur de l'information (CIO).
D- Responsable de la sécurité du système d’information

80. Une entreprise de services financiers a un petit département informatique et les

individus remplissent plus d'un rôle. Laquelle des pratiques suivantes représente le
risque le PLUS GRAND?
A- Les développeurs insèrent du code dans l'environnement de production.
B- L'analyste d'affaires (business) écrit les exigences et effectue des tests
fonctionnels.
C- Le responsable informatique effectue également l'administration des systèmes.
D- L'administrateur de base de données (DBA) effectue également des sauvegardes
de données.

81. Lequel des éléments suivants contribuerait le mieux à un plan de continuité des
activités (PCA) efficace?
 A- L’approbation de la direction générale
B- L’implication de tous les départements utilisateurs
C- L’audit du Plan
D- L’approbation du directeur informatique

82. De nombreuses organisations exigent qu'un employé prenne des vacances

obligatoires (vacances) d'une semaine ou plus pour:
A- S'assurer que l'employé conserve une bonne qualité de vie, ce qui mènera à une
plus grande productivité.
B- Réduire la possibilité pour un employé de commettre un acte inapproprié ou
illégal.
C- Assurer une formation transversale appropriée pour un autre employé.
D- Eliminer les perturbations potentielles causées lorsqu'un employé prend des
vacances un jour à la fois.

83. En tant que moteur de la gouvernance informatique, la transparence du coût, de la

valeur et du risque des TI est principalement assurée par:
A- Mesure du rendement.
B- Alignement stratégique.
C- Livraison de valeur.
D- La gestion des ressources.

84. Un auditeur de SI constate que tous les employés ne sont pas au courant de la
politique de sécurité de l'information de l'entreprise. L'auditeur des SI doit conclure
que:
A- Ce manque de connaissances peut conduire à la divulgation involontaire
d'informations sensibles.
B- La sécurité de l'information n'est pas critique pour toutes les fonctions.
C- L'audit des SI devrait fournir une formation sur la sécurité aux employés.
D- La constatation de la vérification incitera la direction à offrir une formation
continue au personnel.

85. Lequel des éléments suivants est le plus critique pour la réussite de la mise en
œuvre et de la maintenance d'une politique de sécurité?
A- Assimilation du cadre et de l'intention d'une politique de sécurité écrite par toutes
les parties concernées
B- Support du management et approbation pour la mise en place et la maintenance
d'une politique de sécurité
C- Application des règles de sécurité en prévoyant des mesures punitives pour toute
violation des règles de sécurité
D- Mise en œuvre rigoureuse, surveillance et application des règles par le
responsable de la sécurité via un logiciel de contrôle d'accès

86. Un auditeur des SI évalue le cadre de gouvernance informatique d'une organisation.

Lequel des énoncés suivants serait le plus préoccupant?
A- La haute direction a une participation limitée.
B- Le retour sur investissement (ROI) n'est pas mesuré.
C- La rétro facturation du coût informatique n'est pas cohérente.
D- L'appétence risque n'est pas quantifié.

87. L'évaluation du risque informatique est mieux réalisée par:

 A- L’évaluation des menaces et des vulnérabilités associées aux actifs informatiques
existants et aux projets informatiques.
B- En utilisant l'expérience de la perte réelle passée de l'entreprise pour déterminer
l'exposition actuelle.
C- En examinant les statistiques sur les pertes publiées par des organismes
comparables.
D- En examinant les faiblesses du contrôle informatique identifiées dans les rapports
d'audit.

88. En évaluant les projets de développement d'applications par rapport au modèle de

maturité de capacité (CMM), un auditeur des SI doit être en mesure de vérifier que:
A- Des produits fiables sont garantis.
B- L'efficacité des programmeurs est améliorée.
C- Les exigences de sécurité sont conçues.
D- Les processus logiciels prévisibles sont suivis.

89. Pour comprendre l'efficacité de la planification et de la gestion des investissements

dans les actifs informatiques d'une organisation, un auditeur des SI doit examiner:
A- Le modèle de données d'entreprise.
B- Tableau de bord IT (BSC).
C- Structure organisationnelle informatique.
D- Les anciens états financiers.

90. Un comité de pilotage informatique devrait:

A- Inclure un mélange de membres de différents départements et niveaux de
personnel.
B- S'assurer que les politiques et les procédures de sécurité des SI ont été
correctement exécutées.
C- Tenir les procès-verbaux de ses réunions et tenir le conseil d'administration au
courant.
D- Etre informé des nouvelles tendances et des nouveaux produits lors de chaque
réunion par un fournisseur.

91. Un auditeur de SI examinant un contrat d'externalisation d'installations informatiques

s'attendrait à ce qu'il définisse:
A- La configuration matérielle.
B- Le logiciel de contrôle d'accès.
C- La propriété de la propriété intellectuelle.
D- La méthodologie de développement d'application.

92. Lequel des éléments suivants est responsable de l'approbation d'une politique de
sécurité de l'information?
A- Le département informatique
B- Le comité de sécurité
C- L'administrateur de la sécurité
D- Le Conseil d'administration

93. Lequel des intervenants suivants est le plus important pour l'élaboration d'un plan de
continuité des opérations (PCA)?
A- Propriétaires de processus
B- Propriétaires d'applications
 C- Le Conseil d'administration
D- Le management de l’IT

94. Un auditeur des SI examine le rétablissement d'une organisation suite à une

catastrophe dans laquelle toutes les données critiques nécessaires pour reprendre
les opérations commerciales n'ont pas été conservées. Lequel des éléments suivants
n’a pas été correctement défini?
A- La fenêtre d'interruption
B- L'objectif de temps de récupération (RTO)
C- L'objectif de prestation de services (SDO)
D- L'objectif du point de récupération (RPO)

95. Une gouvernance informatique efficace nécessite des structures et des processus
organisationnels pour garantir que:
A- Le risque est maintenu à un niveau acceptable pour le management de l’IT.
B- La stratégie commerciale est dérivée de la stratégie informatique.
C- La gouvernance informatique est distincte de la gouvernance globale.
D- La stratégie informatique s’aligne sur les stratégies et les objectifs de
l'organisation.

96. Un auditeur de SI découvre que plusieurs projets informatiques ont été mis en œuvre
mais n'ont pas été approuvés par le comité de pilotage. Quelle est la PLUS GRANDE
préoccupation de l'auditeur des SI?
A- Les projets informatiques ne seront pas financés de manière adéquate.
B- Les projets informatiques ne suivent pas le processus du cycle de développement
des systèmes (SDLC).
C- Les projets informatiques ne sont pas systématiquement approuvés.
D- Le département informatique peut ne pas travailler vers un objectif commun.
97. Lequel des éléments suivants est le plus important pour un auditeur SI à prendre en
compte lors de l'examen d'un accord de niveau de service (SLA) avec un fournisseur
de services informatiques externe?
A- Modalités de paiement
B- Garantie de disponibilité
C- Clause d'indemnisation
D- Résolution par défaut

98. Lors d'un audit, un auditeur des SI remarque que le service informatique d'une
organisation de taille moyenne n'a pas de fonction de gestion des risques distincte et
que la documentation sur les risques opérationnels de l'organisation ne contient que
quelques types de risques informatiques largement décrits. Quelle est la
recommandation la plus appropriée dans cette situation?
A- Créer un département de gestion des risques informatiques et établir un cadre
des risques informatiques avec l'aide d'experts externes en gestion des risques.
B- Utiliser des standards communs à l'industrie pour scinder la documentation
existante sur les risques en plusieurs types de risques qui seront plus faciles à
gérer.
C- Aucune recommandation n'est nécessaire car l'approche actuelle est appropriée
pour une organisation de taille moyenne.
D- Établir un cadre régulier de gestion des risques informatiques pour identifier et
évaluer les risques, et créer un plan d'atténuation en tant que contribution à la
gestion des risques de l'organisation.
99. Lequel des éléments suivants un auditeur des SI considérerait le plus pertinent pour
la planification à court terme pour un département informatique?
A- Allocation des ressources
B- Rester à jour avec les avancées technologiques
C- Conduite de l'auto-évaluation des contrôles
D- Évaluation des besoins en matériel

100. Un auditeur des SI examine les projets informatiques d'une grande entreprise
et souhaite déterminer si les projets informatiques entrepris au cours d'une année
donnée sont ceux auxquels l'entreprise a accordé la plus haute priorité et qui
génèreront la plus grande valeur commerciale. Lequel des éléments suivants serait le
plus pertinent?
A- Un modèle de maturité de capacité (CMM)
B- Gestion de portefeuille
C- Gestion de la configuration
D- Corpus de connaissances en gestion de projet (PMBOK)

101. Lors de la mise en œuvre d'un cadre de gouvernance informatique dans une
organisation, l'objectif le plus important est:
A- Alignement de l’IT avec l'entreprise.
B- La responsabilité.
C- La réalisation de valeur avec IT.
D- L’amélioration du rendement des investissements informatiques.

102. Quelle est la considération PRIMAIRE pour un auditeur SI lors de l'examen de

la priorisation et de la coordination des projets informatiques?
A- Les projets sont alignés sur la stratégie de l'organisation.
B- Le risque du projet identifié est surveillé et atténué.
C- Les contrôles liés à la planification et à la budgétisation de projet sont appropriés.
D- Les métriques de projet informatique sont rapportées avec précision.

103. Lequel des éléments suivants doit exister pour assurer la viabilité d'une
installation de traitement de l'information en double?
A- Le site est proche du site primaire pour assurer une récupération rapide et
efficace.
B- Le site contient le matériel le plus avancé disponible.
C- La charge de travail du site principal est surveillée afin de garantir une
sauvegarde adéquate.
D- Le matériel est testé lorsqu'il est installé pour s'assurer qu'il fonctionne
correctement.

104. Lors de la conception d'un plan de continuité d'activité, l'analyse d'impact sur
les activités (BIA) identifie les processus critiques et les applications de support. Cela
influera PRINCIPALEMENT sur :
A- La responsabilité du maintien du plan de continuité des activités.
B- Les critères de sélection d'un fournisseur de site de récupération.
C- La stratégie de récupération.
D- Les responsabilités du personnel clé.
 105. Concernant les mots de passe, quelle proposition suivante n’est pas
correcte ?
Les mots de passe devraient :
A- Ne pas s’afficher à l’écran
B- Ne jamais être partagé avec d'autres utilisateurs
C- Ne pas être changés par les utilisateurs
D- Etre changés périodiquement

106. Dans l’inspection de la sécurité des données, l’auditeur informatique vérifie

typiquement les points suivants sauf :
A- Le statut et l’étendue des responsabilités
B- La documentation des contrôles d’édition de l’application
C- Les procédures pour les accès automatisés
D- Les contrôles d’accès généraux aux ressources informatiques

107. Lesquels des contrôles suivants font partie de la vérification de

l’environnement ?
I. Les labels externes des fichiers
II. Les détecteurs de feux et de fumées
III. Les énergies de secours
IV. Les procédures de bon entretien

A. I et IV
B. II et III
C. II, III et IV
D. I, II, III et IV

108. L’authentification est le processus par lequel :

A. Le système vérifie que l’utilisateur est autorisé à entrer des demandes de transaction
B. Le système vérifie l’identité de l’utilisateur
C. L’utilisateur s’identifie lui même au système
D. L’utilisateur indique au système que la transaction s’est correctement passée

109. Dans un système d’encryptage à clé publique, la connaissance de quelle clé est
nécessaire pour décoder le message reçu ?
I. Privée
II. Publique
A. I
B. II
C. I et II
D. Ni I ni II
 110. Toutes les propositions suivantes font partie des objectifs d’un audit de
sécurité sauf :
A. Faire des recommandations pour corriger les manques
B. Identifier les risques potentiels
C. Evaluer la politique de sécurité actuelle
D. Confirmer l’exactitude des enregistrements de contrôle du fichier principal

111. Les contrôles destinés à assurer que des changements non autorisés ne
peuvent pas être faits sur une information lorsqu’elle est stockée sur un fichier sont
connus comme :
A. Des contrôles de sécurité des données
B. Des contrôles de mise en œuvre
C. Des contrôles de sécurité des programmes
D. Des contrôles sur l’exploitation informatique

112. Dans le cadre d’une application bancaire en ligne, laquelle de ces méthodes
constitue la meilleure protection contre des usurpations d’identité
A. Le chiffrement du mot de passe personnel
B. Contraindre l’utilisateur à utiliser un terminal spécifique
C. Une authentification utilisant 2 moyens différents (Two Factor Authentification)
D. Une revue périodique des logs d’accès à l’application

113. Pendant les transmissions de données, quelle technique est la plus efficace
pour la sécurité ?
A. La trace de la communication
B. La trace du logiciel système
C. L’encryptage
D. Le protocole standard

114. Les demandes d’accès aux données de production doivent être approuvées
par :
A. Le propriétaire des données
B. L’officier de sécurité
C. Le responsable de la programmation
D. Le responsable de la production

115. Quelle localisation parmi les suivantes est la plus importante à considérer
pour un auditeur dans le cadre d'une revue de l'implantation d'un VPN ?
A. Les infrastructures informatiques à l'intérieur de l'entreprise
B. Les infrastructures du site de secours
C. Le domicile des employés pouvant accéder au réseau de l'entreprise de chez eux
D. Les agences décentralisées de l'entreprise

116. La principale raison parmi les suivantes pour l'utilisation de la signature

électronique est :
A. La confidentialité
B. L'intégrité
C. La disponibilité
D. La non obsolescence de l'information

117 . Parmi les attaques suivantes sur Internet, laquelle fait partie des attaques passives?
A. L'analyse du trafic
B. Le masquage d'adresse IP (IP masquerade)
C. Le déni de service
D. L'email spoofing

118 . Le niveau de sécurité d'un système de chiffrement à clé privée dépend :

A. Du nombre de bits de la clé
B. Des messages envoyés
C. Du contenu de la clé
D. Des voies de communication

119. Une séquence de code qui est capable de se modifier elle-même à chaque fois qu'elle
infecte un fichier est appelée :
A. Une bombe logique
B. Un virus furtif
C. Un cheval de Troie
D. Un virus polymorphe

120 . Un auditeur apprend que lors de la livraison d'une nouvelle machine par un fournisseur,
l'interrupteur électrique d'urgence de la salle machines a été accidentellement actionné
provocant un basculement intempestif de l'alimentation électrique à partir de l'onduleur.
Laquelle de ces recommandations l'auditeur pourrait-il suggérer ?

A. Mettre l'interrupteur d'urgence à un autre endroit de l'établissement

B. Installer un couvercle de protection pour l'interrupteur
C. Escorter les visiteurs
D. Tracer les incidents liés à l'environnement