Test Xiii
Test Xiii
Test Xiii
1. Dans la planification d'un audit SI, l'étape la plus critique est l'identification des:
A- Zones de risque significatif.
B- Compétences du personnel d'audit.
C- Tests pour les étapes de l'audit.
D- Le temps alloué à l’audit.
3. Une fonction d’audit interne des SI prévoit un audit général des SI. Laquelle des
activités suivantes a lieu pendant la PREMIÈRE étape de la phase de planification?
A- Développement d'un programme d'audit
B- Examen de la charte d'audit
C- Identification des propriétaires d'informations clés
D- Développement d'une évaluation des risques
6. L'auditeur des SI est en train d'examiner la mise en œuvre d'un réseau de stockage
(SAN). L'administrateur du SAN indique que la consignation et la surveillance sont
actives, que la segmentation matérielle est utilisée pour isoler les données des
différentes unités opérationnelles et que tous les ports SAN inutilisés sont désactivés.
L'administrateur a mis en œuvre le système, a effectué et documenté des tests de
sécurité au cours de l'implémentation et a déterminé qu'il était le seul utilisateur
disposant des droits d'administration sur le système. Quelle devrait être la
préoccupation initiale de l'auditeur des SI
A- Le SAN est sécurisé et aucun risque significatif n'existe.
B- Le SAN présente un risque potentiel car un zoning logiciel devrait être utilisé.
C- Le SAN présente un risque potentiel car les journaux d'audit ne sont pas
examinés en temps opportun.
D- Le SAN présente un risque potentiel car un seul employé y a accès.
7. Lequel des éléments suivants serait le mieux maitrisé par un plancher surélevé dans
la salle des machines?
A- Dommages occasionnés par rapport aux câbles autour des ordinateurs et des
serveurs
B- Une panne de courant
C- Tremblements de terre
D- Dégâts d'eau
10. Les attaques par déni de service distribué (DDoS) sur les sites Internet sont
généralement évoquées par des pirates utilisant l'un des éléments suivants?
A- Les bombes logiques
B- Phishing
C- Spyware
D- chevaux de Troie
11. Une société de négoce d'actions en ligne est en train de mettre en œuvre un système
pour fournir un échange de courriel sécurisé avec ses clients. Quelle est la meilleure
option pour assurer la confidentialité, l'intégrité et la non-répudiation?
A- Chiffrement à clé symétrique
B- Signatures numériques
C- Algorithmes de résumé de message
D- Certificats numériques
12. Lors de l'examen de la mise en œuvre d'un réseau local (LAN), un auditeur de SI doit
d'abord examiner:
A- Liste de noeuds.
B- Rapport d'essai d'acceptation.
C- Diagramme de réseau.
D- Liste des utilisateurs.
13. La technique utilisée pour assurer la sécurité dans les réseaux privés virtuels (VPN)
est:
A- Encapsulation
B- Emballage
C- Transformation
D- Hachage
14. Un auditeur des SI examinant des applications de gestion des droits numériques
(DRM) devrait s'attendre à trouver une utilisation extensive pour laquelle des
technologies suivantes?
A- Signatures numériques
B- Hachage
C- Parsing
D- Stéganographie
15. Une société de ressources humaines (RH) offre un accès Internet sans fil à ses
invités, après s'être authentifié avec un code d'utilisateur générique et un mot de
passe. L'identifiant et le mot de passe génériques sont demandés à la réception.
Lequel des contrôles suivants traite le mieux cette situation?
A- Le mot de passe pour le réseau sans fil est modifié chaque semaine.
B- Un pare-feu d'inspection dynamique est utilisé entre le réseau public sans fil et le
réseau d'entreprise.
C- Le réseau sans fil public est physiquement séparé du réseau de l'entreprise.
D- Un système de détection d'intrusion (IDS) est déployé dans le réseau sans fil.
16. Le facteur le plus important dans la planification d'un test de pénétration de boîte
noire est:
A- La documentation de la procédure de test prévue.
B- Une évaluation réaliste de l'architecture de l'environnement pour déterminer la
portée.
C- La tenue au courant de la direction de l'organisation cliente.
D- La planification et la décision de la durée du test.
17. Lors de l'examen d'un système de détection d'intrusion (IDS), un auditeur des SI
devrait être plus préoccupé par ce qui suit?
A- Nombre d'événements non menaçants identifiés comme menaçants
B- Les attaques non identifiées par le système
C- Rapports / logs produits par un outil automatisé
D- Le trafic légitime est bloqué par le système
18. Lequel des exemples suivants est un exemple d'attaque passive lancée via Internet?
A- Analyse du trafic
B- Masquerading
C- Déni de service (DoS)
D- Usurpation d'e-mail
20. L'explication la plus probable pour une attaque réussie d'ingénierie sociale est:
A- Que les ordinateurs font des erreurs logiques.
B- Que les gens font des erreurs de jugement.
C- la connaissance informatique des attaquants.
D- La sophistication technologique de la méthode d'attaque.
21. Lequel des éléments suivants serait le plus important à examiner lors d’un audit de
récupération après sinistre?
A- Un site chaud est loué et disponible au besoin
B- Un manuel de continuité d'activité actualisé est disponible
C- La couverture d'assurance est adéquate et les primes sont à jour
D- Les sauvegardes sont effectuées en temps opportun et stockées hors site
22. Un plan de reprise après sinistre (DRP) pour une organisation devrait:
A- Réduire la durée du temps de récupération et le coût de la récupération
B- Augmenter la durée du temps de récupération et le coût de la récupération.
C- Réduire la durée du temps de récupération et augmenter le coût de la
récupération
D- N'affecte pas le temps de récupération ou le coût de la récupération
24. Lequel des équipements suivants réduit au mieux la capacité d'un périphérique à
capturer les paquets qui sont destinés à un autre périphérique?
A- Hubs
B- Switches
C- Routers
D- Firewalls
26. Lequel des éléments suivants est la MEILLEURE façon de s'assurer que les activités
de réponse aux incidents sont conformes aux exigences de continuité des activités?
A- Ébaucher et publier une pratique claire pour la réponse aux incidents au niveau
de l'entreprise
B- Établir un groupe de travail interministériel pour partager les points de vue
C- Développez un scénario et réalisez une transition structurée
D- Élaborer un plan de projet pour le test de bout en bout de la reprise après sinistre
27. Au cours d'une évaluation des pratiques de développement de logiciels, un auditeur
des SI estime que les composants logiciels libres ont été utilisés dans une application
conçue pour un client. Quelle est la GRANDE préoccupation de l'auditeur concernant
l'utilisation de logiciels open source?
A- Des problèmes de sécurité pourraient se poser
B- Il peut y avoir un problème de licence
C- La sécurité est renforcée
D- Il doit reporter cela au management
28. Au cours du travail sur le terrain, un auditeur des SI a connu un accident du système
provoqué par une installation de correctifs de sécurité. Pour fournir une assurance
raisonnable que cet événement ne se reproduira pas, l'auditeur de SI devrait
s'assurer que:
A- Seuls les administrateurs système exécutent le processus de patch
B- Le processus de gestion du changement du client est adéquat
C- Les correctifs sont validés en utilisant des tests parallèles en production
D- Un processus d'approbation du patch, y compris une évaluation des risques, est
développé
29. Quelle est la MEILLEURE stratégie de sauvegarde pour une grande base de
données avec des données prenant en charge les ventes en ligne?
A- Sauvegarde complète hebdomadaire avec sauvegarde incrémentale quotidienne
B- Sauvegarde complète quotidienne
C- Serveurs en cluster
D- Disques durs en miroir
30. Lequel des éléments suivants traite spécifiquement de la façon de détecter les
cyberattaques contre les systèmes informatiques d'une organisation et comment se
remettre d'une attaque?
A- Un plan d'intervention d'incident (IRP)
B- Un plan d'urgence informatique
C- Un plan de continuité des activités (BCP)
D- Un plan de continuité des opérations (COOP)
31. Laquelle des mesures suivantes aide un auditeur des SI à évaluer la qualité des
activités de programmation liées aux capacités de maintenance futures?
A- Le langage de programmation
B- L’environnement de développement
C- Un système de contrôle de version
D- Les normes de codage en programmation
33. Lequel des éléments suivants est le plus important pour un auditeur de SI évaluant
comment le gestionnaire de projet a surveillé l'avancement du projet?
A- Diagramme de chemin critique
B- Méthode PERT (Program evaluation review technique)
C- Analyse des points de fonction
D- Diagramme de Gantt
34. Avant de mettre en œuvre les contrôles dans un système nouvellement développé, la
gestion devrait PREMIEREMENT s’assurer que les contrôles:
A- Répondent à un besoin donné
B- Ne réduisent pas la productivité
C- Sont basées sur une analyse des coûts minimisés
D- Sont détectifs ou correctifs
35. Quelle approche de test est-elle la plus appropriée pour s'assurer que les erreurs
d'interface d'application interne sont identifiées le plus tôt possible?
A- Test ascendant (Bottom-up testing)
B- Test de sociabilité
C- Test descendant ( Top down testing)
D- Test système
36. Une défaillance constatée dans laquelle des étapes de tests suivantes aurait le plus
grand impact sur la mise en production d’un nouveau logiciel?
A- Test Système
B- Test d’acceptation utilisateur
C- Test d’intégration
D- Test unitaire
37. Quelle est la raison PREMIERE pour laquelle un auditeur des SI vérifie que la revue
post-implémentation d’un logiciel a été effectuée après la mise en production?
A- S’assurer que les utilisateurs ont été proprement formés
B- Vérifier que le budget du projet a été respecté
C- S’assurer que le projet répond aux attentes
D- S’assurer que les contrôles adéquats ont été implémentés
40. Laquelle des mesures suivantes permet de s'assurer que les écarts par rapport au
plan de projet sont identifiés?
A- Le cadre de management du projet
B- L’approche de management du projet
C- La planification des ressources du projet
D- Les critères de performance du projet
43. En analysant les contrôles liés à la saisie, un auditeur des SI remarque que
conformément à la politique d'entreprise, les procédures de supervision permettent
de rectifier des données après leur validation à la saisie. L’auditeur doit :
A- S’assurer qu’il y a des contrôles compensatoires pour atténuer les risques
B- S’assurer que les modifications sont automatiquement journalisées pour être
revues ultérieurement
C- S'assurer que tout changement est référé aux gestionnaires pour approbation.
D- Recommander que ces modifications ne soient pas autorisées.
44. Lors de la mise en place d'infrastructure d'essais intégrée (ITF), l’auditeur devrait
s'assurer que:
A. Les données de production sont utilisées pour les essais.
B. Les données d'essai sont isolées des données de production.
C. un générateur de données de test est utilisé.
D. les fichiers maîtres sont mis à jour avec les données d'essai
45. La description la plus exacte du modèle de boîte noire d'essai est liée au fait qu'il:
A. permet d'obtenir la preuve de conformité avec les spécifications, en garantissant
que les résultats obtenus à la sortie ont été obtenus uniquement à partir de ce qui a
été défini à l'entrée.
B. permet de vérifier l'exactitude de la logique du programme et des flux de donnée.
C. préconise des essais non documentés entrepris par les utilisateurs pour confirmer
que le système est testé dans des conditions réelles.
D. permet de démontrer la performance des nouveaux équipements.
46. Pour minimiser le coût d'un projet de développement de système, les techniques de
gestion de la qualité devraient être appliquées:
A. au stade le plus près possible de sa réalisation des activités concernées.
B. essentiellement lors du démarrage du projet pour garantir que le projet est aligné
sur les normes de gouvernance de l'organisation.
C. de façon continue durant tout le projet avec plus d'efforts vers la fin pour identifier
les erreurs et les mesures correctives pendant les essais et ce, dans le but de
maximiser le taux de détection des anomalies.
D. particulièrement à la fin du projet pour détecter les leçons apprises pour pouvoir
les appliquer aux projets futurs.
48. Lequel des éléments suivants sert de leurre pour détecter les attaques actives sur
Internet?
A- Honeypots
B- Firewalls
C- Trappes
D- Analyse de trafic réseau
49. Un auditeur des SI effectuant un examen d’un data center pour une grande
entreprise découvre que le centre de données dispose d'une batterie au plomb pour
alimenter son alimentation ininterrompue (UPS) pendant des interruptions de courte
durée et un générateur diesel pour fournir une alimentation à long terme . Lequel des
éléments suivants entraînerait la plus grande préoccupation de l'auditeur SI?
A- Le contrat de service sur le générateur diesel n'est pas actualisé.
B- La salle de batterie ne contient pas de capteurs d'hydrogène.
C- La porte de la batterie est maintenue verrouillée.
D- La salle de batterie n’est pas très éloignée du générateur diesel.
52. Lequel des contrôles suivants serait le plus efficace pour réduire le risque de perte en
raison de demandes de paiement frauduleuses en ligne?
A- Surveillance des transactions
B- Protection des sessions Web à l'aide du protocole SSL (Secure Sockets Layer)
C- Application de la complexité du mot de passe pour l'authentification
D- Saisie des contrôles de validation sur les formulaires Web
53. Lequel des éléments suivants bloque potentiellement les tentatives de piratage?
A- Système de détection d'intrusion (IDS)
B- Système de honeypot
C- Système de prévention d'intrusion (IPS)
D- Scanner de sécurité réseau
54. Laquelle des procédures suivantes est la meilleure pour déterminer si un pare-feu est
configuré conformément à la politique de sécurité d'une entreprise?
A- Vérifiez les paramètres.
B- Interviewez l'administrateur du pare-feu.
C- Passez en revue les procédures réelles.
D- Consultez le fichier journal du périphérique pour les attaques récentes.
55. Une organisation prévoit de remplacer ses réseaux filaires par des réseaux sans fil.
Lequel des éléments suivants protégerait le mieux le réseau sans fil contre tout accès
non autorisé?
A- Implémentez WEP (Wired Equivalent Privacy).
B- Autoriser l'accès aux seules adresses MAC (Media Access Control) autorisées.
C- Désactiver la diffusion ouverte des identificateurs d'ensemble de services (SSID).
D- Implementer le Wi-Fi Protected Access (WPA) 2.
56. Lequel des types de tests de pénétration suivants évalue efficacement la capacité de
traitement et d'intervention des incidents de l'administrateur système?
A- Test ciblé (Targeted Testing)
B- Test interne (Internal Testing)
C- Test en double aveugle (Double-blind Testing)
D- Test externe (External Testing)
57. Lequel des composants suivants est responsable de la collecte de données dans un
système de détection d'intrusion (IDS)?
A- Analyseur
B- Console d'administration
C- Interface utilisateur
D- Capteur
58. Une organisation développe une nouvelle application Web pour traiter les
commandes des clients. Lesquelles des mesures de sécurité suivantes devraient être
prises pour protéger cette application contre les pirates informatiques?
A- S’assurer que les ports 80 et 443 sont bloqués sur le pare-feu.
B- Inspecter les fichiers et les autorisations d'accès sur tous les serveurs pour vous
assurer que tous les fichiers ont un accès en lecture seule.
C- Effectuer une révision de la sécurité de l'application Web.
D- S’assurez-vous que seules les adresses IP des clients existants sont autorisées
via le pare-feu.
59. Un auditeur des SI examine la configuration d’un pare feu logiciel. Lequel des
énoncés suivants représente la PLUS GRANDE vulnérabilité? Le logiciel pare-feu:
A- est configuré avec une règle de refus implicite comme dernière règle dans la base
de règles.
B- est installé sur un système d'exploitation avec les paramètres par défaut.
C- a été configuré avec des règles permettant ou interdisant l'accès aux systèmes ou
aux réseaux.
D- est configuré en tant que point de terminaison de réseau privé virtuel (VPN).
60. Les utilisateurs reçoivent des jetons de sécurité à utiliser en combinaison avec un
numéro d'identification personnel (PIN) pour accéder au réseau privé virtuel
d'entreprise (VPN). En ce qui concerne le code PIN, quelle est la règle la plus
importante à inclure dans une politique de sécurité?
A- Les utilisateurs ne doivent pas laisser de jetons à un endroit où ils pourraient être
volés.
B- Les utilisateurs ne doivent jamais conserver le jeton dans le même sac que leur
ordinateur portable.
C- Les utilisateurs doivent sélectionner un code PIN complètement aléatoire, sans
répétition de chiffres.
D- Les utilisateurs ne doivent jamais écrire leur code PIN sur un support
62. Lequel des contrôles préventifs suivants permet le mieux de sécuriser une application
Web?
A- Masquer les mots de passe
B- Formation des développeurs
C- Chiffrement
D- Tests de vulnérabilité
63. Lors de la protection des systèmes informatiques d'une organisation, lequel des
éléments suivants constitue normalement la ligne de défense suivante après que le
pare-feu du réseau ait été compromis?
A- Pare-feu personnel
B- Programmes antivirus
C- Système de détection d'intrusion (IDS)
D- Configuration du réseau local virtuel (VLAN)
65. Lequel des éléments suivants fournit les informations les plus pertinentes pour
renforcer de manière proactive les paramètres de sécurité?
A- Bastion hôte
B- Système de détection d'intrusion (IDS)
C- Pot de miel
D- Système de prévention d'intrusion
67. Un auditeur des SI découvre que les paramètres de configuration pour les contrôles
de mot de passe sont plus stricts pour les utilisateurs que pour les développeurs
informatiques. Laquelle des actions suivantes est la meilleure pour l'auditeur des SI?
A- Déterminer s'il s'agit d'une violation de stratégie et la documenter.
B- Documenter l'observation comme une exception.
C- Recommander que tous les paramètres de configuration du mot de passe soient
identiques.
D- Recommander que les journaux d'accès des développeurs informatiques soient
révisés périodiquement.
69. Une politique de sécurité de l'information stipulant que «l'affichage des mots de passe
doit être masqué ou supprimé» adresse laquelle des méthodes d'attaque suivantes?
A- Piggybacking
B- Dumpster diving
C- Shoulder surfing
D- Impersonation
70. Lequel des groupes suivant susciterait le plus de préoccupations chez un auditeur SI
s'il avait directement accès à la base de données de production?
A- Testeurs d'application
B- Administrateurs système
C- Le propriétaire de base de données
D- L'équipe de récupération de données
71. Une organisation découvre que le PC du directeur financier (CFO) a été infecté par
un logiciel malveillant qui est un enregistreur de frappe et un rootkit. La première
action à entreprendre serait de:
A- Contacter les autorités répressives compétentes pour ouvrir une enquête.
B- S'assurer immédiatement qu'aucune donnée supplémentaire n'est compromise.
C- Déconnecter le PC du réseau.
D- Mettre à jour la signature antivirus sur le PC pour s'assurer que le logiciel
malveillant ou le virus est détecté et supprimé.
72. Le PLUS GRAND risque d'un système de prévention des intrusions (IPS) mal
configuré est:
A- Qu'il y aura trop d'alertes pour les administrateurs système à vérifier.
B- Diminution des performances réseau due au trafic IPS.
C- Le blocage de systèmes ou de services critiques en raison de faux déclencheurs.
D- Le recours à une expertise spécialisée au sein de l'organisation informatique.
74. Pour assurer la conformité avec une politique de sécurité exigeant que les mots de
passe soient une combinaison de lettres et de chiffres, un auditeur des SI devrait
recommander que:
A- La politique de l'entreprise soit modifiée.
B- Les mots de passe sont périodiquement modifiés.
C- Un outil de gestion de mot de passe automatisé soit utilisé.
D- Une formation de sensibilisation à la sécurité est dispensée.
76. Laquelle des méthodes suivantes pour supprimer un incendie dans un centre de
données est la plus efficace et écologique?
A- Gaz Halon
B- Arroseurs à tuyaux humides
C- Arroseurs à tuyaux secs
D- Gaz de dioxyde de carbone
77. Pour optimiser le plan de continuité des opérations (PCA) d'un organisme, un
auditeur des SI doit recommander une analyse d'impact sur les activités (BIA) pour
déterminer:
A- Les processus métier qui génèrent le plus de valeur financière pour l'organisation
et doivent donc être récupérés en premier.
B- Les priorités et l'ordre de recouvrement pour assurer l'alignement avec la
stratégie d'affaires de l'organisation.
C- Les processus d'affaires qui doivent être récupérés après une catastrophe pour
assurer la survie de l'organisation.
D- Les priorités et l'ordre de récupération, qui permettra de récupérer le plus grand
nombre de systèmes dans les plus brefs délais.
81. Lequel des éléments suivants contribuerait le mieux à un plan de continuité des
activités (PCA) efficace?
A- L’approbation de la direction générale
B- L’implication de tous les départements utilisateurs
C- L’audit du Plan
D- L’approbation du directeur informatique
84. Un auditeur de SI constate que tous les employés ne sont pas au courant de la
politique de sécurité de l'information de l'entreprise. L'auditeur des SI doit conclure
que:
A- Ce manque de connaissances peut conduire à la divulgation involontaire
d'informations sensibles.
B- La sécurité de l'information n'est pas critique pour toutes les fonctions.
C- L'audit des SI devrait fournir une formation sur la sécurité aux employés.
D- La constatation de la vérification incitera la direction à offrir une formation
continue au personnel.
85. Lequel des éléments suivants est le plus critique pour la réussite de la mise en
œuvre et de la maintenance d'une politique de sécurité?
A- Assimilation du cadre et de l'intention d'une politique de sécurité écrite par toutes
les parties concernées
B- Support du management et approbation pour la mise en place et la maintenance
d'une politique de sécurité
C- Application des règles de sécurité en prévoyant des mesures punitives pour toute
violation des règles de sécurité
D- Mise en œuvre rigoureuse, surveillance et application des règles par le
responsable de la sécurité via un logiciel de contrôle d'accès
92. Lequel des éléments suivants est responsable de l'approbation d'une politique de
sécurité de l'information?
A- Le département informatique
B- Le comité de sécurité
C- L'administrateur de la sécurité
D- Le Conseil d'administration
93. Lequel des intervenants suivants est le plus important pour l'élaboration d'un plan de
continuité des opérations (PCA)?
A- Propriétaires de processus
B- Propriétaires d'applications
C- Le Conseil d'administration
D- Le management de l’IT
95. Une gouvernance informatique efficace nécessite des structures et des processus
organisationnels pour garantir que:
A- Le risque est maintenu à un niveau acceptable pour le management de l’IT.
B- La stratégie commerciale est dérivée de la stratégie informatique.
C- La gouvernance informatique est distincte de la gouvernance globale.
D- La stratégie informatique s’aligne sur les stratégies et les objectifs de
l'organisation.
96. Un auditeur de SI découvre que plusieurs projets informatiques ont été mis en œuvre
mais n'ont pas été approuvés par le comité de pilotage. Quelle est la PLUS GRANDE
préoccupation de l'auditeur des SI?
A- Les projets informatiques ne seront pas financés de manière adéquate.
B- Les projets informatiques ne suivent pas le processus du cycle de développement
des systèmes (SDLC).
C- Les projets informatiques ne sont pas systématiquement approuvés.
D- Le département informatique peut ne pas travailler vers un objectif commun.
97. Lequel des éléments suivants est le plus important pour un auditeur SI à prendre en
compte lors de l'examen d'un accord de niveau de service (SLA) avec un fournisseur
de services informatiques externe?
A- Modalités de paiement
B- Garantie de disponibilité
C- Clause d'indemnisation
D- Résolution par défaut
98. Lors d'un audit, un auditeur des SI remarque que le service informatique d'une
organisation de taille moyenne n'a pas de fonction de gestion des risques distincte et
que la documentation sur les risques opérationnels de l'organisation ne contient que
quelques types de risques informatiques largement décrits. Quelle est la
recommandation la plus appropriée dans cette situation?
A- Créer un département de gestion des risques informatiques et établir un cadre
des risques informatiques avec l'aide d'experts externes en gestion des risques.
B- Utiliser des standards communs à l'industrie pour scinder la documentation
existante sur les risques en plusieurs types de risques qui seront plus faciles à
gérer.
C- Aucune recommandation n'est nécessaire car l'approche actuelle est appropriée
pour une organisation de taille moyenne.
D- Établir un cadre régulier de gestion des risques informatiques pour identifier et
évaluer les risques, et créer un plan d'atténuation en tant que contribution à la
gestion des risques de l'organisation.
99. Lequel des éléments suivants un auditeur des SI considérerait le plus pertinent pour
la planification à court terme pour un département informatique?
A- Allocation des ressources
B- Rester à jour avec les avancées technologiques
C- Conduite de l'auto-évaluation des contrôles
D- Évaluation des besoins en matériel
100. Un auditeur des SI examine les projets informatiques d'une grande entreprise
et souhaite déterminer si les projets informatiques entrepris au cours d'une année
donnée sont ceux auxquels l'entreprise a accordé la plus haute priorité et qui
génèreront la plus grande valeur commerciale. Lequel des éléments suivants serait le
plus pertinent?
A- Un modèle de maturité de capacité (CMM)
B- Gestion de portefeuille
C- Gestion de la configuration
D- Corpus de connaissances en gestion de projet (PMBOK)
101. Lors de la mise en œuvre d'un cadre de gouvernance informatique dans une
organisation, l'objectif le plus important est:
A- Alignement de l’IT avec l'entreprise.
B- La responsabilité.
C- La réalisation de valeur avec IT.
D- L’amélioration du rendement des investissements informatiques.
103. Lequel des éléments suivants doit exister pour assurer la viabilité d'une
installation de traitement de l'information en double?
A- Le site est proche du site primaire pour assurer une récupération rapide et
efficace.
B- Le site contient le matériel le plus avancé disponible.
C- La charge de travail du site principal est surveillée afin de garantir une
sauvegarde adéquate.
D- Le matériel est testé lorsqu'il est installé pour s'assurer qu'il fonctionne
correctement.
104. Lors de la conception d'un plan de continuité d'activité, l'analyse d'impact sur
les activités (BIA) identifie les processus critiques et les applications de support. Cela
influera PRINCIPALEMENT sur :
A- La responsabilité du maintien du plan de continuité des activités.
B- Les critères de sélection d'un fournisseur de site de récupération.
C- La stratégie de récupération.
D- Les responsabilités du personnel clé.
105. Concernant les mots de passe, quelle proposition suivante n’est pas
correcte ?
Les mots de passe devraient :
A- Ne pas s’afficher à l’écran
B- Ne jamais être partagé avec d'autres utilisateurs
C- Ne pas être changés par les utilisateurs
D- Etre changés périodiquement
A. I et IV
B. II et III
C. II, III et IV
D. I, II, III et IV
109. Dans un système d’encryptage à clé publique, la connaissance de quelle clé est
nécessaire pour décoder le message reçu ?
I. Privée
II. Publique
A. I
B. II
C. I et II
D. Ni I ni II
110. Toutes les propositions suivantes font partie des objectifs d’un audit de
sécurité sauf :
A. Faire des recommandations pour corriger les manques
B. Identifier les risques potentiels
C. Evaluer la politique de sécurité actuelle
D. Confirmer l’exactitude des enregistrements de contrôle du fichier principal
111. Les contrôles destinés à assurer que des changements non autorisés ne
peuvent pas être faits sur une information lorsqu’elle est stockée sur un fichier sont
connus comme :
A. Des contrôles de sécurité des données
B. Des contrôles de mise en œuvre
C. Des contrôles de sécurité des programmes
D. Des contrôles sur l’exploitation informatique
112. Dans le cadre d’une application bancaire en ligne, laquelle de ces méthodes
constitue la meilleure protection contre des usurpations d’identité
A. Le chiffrement du mot de passe personnel
B. Contraindre l’utilisateur à utiliser un terminal spécifique
C. Une authentification utilisant 2 moyens différents (Two Factor Authentification)
D. Une revue périodique des logs d’accès à l’application
113. Pendant les transmissions de données, quelle technique est la plus efficace
pour la sécurité ?
A. La trace de la communication
B. La trace du logiciel système
C. L’encryptage
D. Le protocole standard
114. Les demandes d’accès aux données de production doivent être approuvées
par :
A. Le propriétaire des données
B. L’officier de sécurité
C. Le responsable de la programmation
D. Le responsable de la production
115. Quelle localisation parmi les suivantes est la plus importante à considérer
pour un auditeur dans le cadre d'une revue de l'implantation d'un VPN ?
A. Les infrastructures informatiques à l'intérieur de l'entreprise
B. Les infrastructures du site de secours
C. Le domicile des employés pouvant accéder au réseau de l'entreprise de chez eux
D. Les agences décentralisées de l'entreprise
117 . Parmi les attaques suivantes sur Internet, laquelle fait partie des attaques passives?
A. L'analyse du trafic
B. Le masquage d'adresse IP (IP masquerade)
C. Le déni de service
D. L'email spoofing
119. Une séquence de code qui est capable de se modifier elle-même à chaque fois qu'elle
infecte un fichier est appelée :
A. Une bombe logique
B. Un virus furtif
C. Un cheval de Troie
D. Un virus polymorphe
120 . Un auditeur apprend que lors de la livraison d'une nouvelle machine par un fournisseur,
l'interrupteur électrique d'urgence de la salle machines a été accidentellement actionné
provocant un basculement intempestif de l'alimentation électrique à partir de l'onduleur.
Laquelle de ces recommandations l'auditeur pourrait-il suggérer ?