Domaine 5 - Protection des actifs informationnels Flashcards
Quelle est la base pour concevoir et développer des
contrôles d’accès logiques ?
La politique de sécurité
Qui est responsable du maintien approprié des contrôles de sécurité sur les actifs informationnels ?
Propriétaires de données et de systèmes
Quelle est la première étape de la classification des données ?
Établir la propriété
Qui est chargé de vérifier les droits d’accès des utilisateurs ?
Le propriétaire des données
Quelle est la première étape lors de l’examen d’une ligne de base de sécurité informatique ?
Pour déterminer la suffisance et l’adéquation de la ligne de base
Quel est le contrôle le plus efficace pour se prémunir contre l’indisponibilité à long terme de l’énergie électrique ?
Une alimentation alternative.
Quel est le contrôle le plus efficace pour se prémunir contre la réduction à court terme de la puissance électrique ?
Un conditionneur de ligne électrique
Quel est le contrôle le plus efficace pour se protéger contre une surtension à haute tension ?
Un dispositif de surtension
Quel est le risque du dioxyde de carbone et du gaz halon ?
Suffocation dans une pièce fermée (le dioxyde de carbone et le gaz halon réduisent l’oxygène dans
l’atmosphère)
Quel est le contrôle le plus efficace sur les visiteurs ?
Accompagnement des visiteurs
Quel est l’objectif d’avoir un plancher surélevé dans une salle informatique ?
Sécurité des câbles d’alimentation et de données (le plancher est surélevé pour accueillir le système de ventilation, les câbles d’alimentation et de données
sous le plancher, les protégeant ainsi des divers risques et événements)
Quel est le gaz le plus sûr à utiliser comme extincteur ?
FM-200
Quel est le risque majeur des comptes d’utilisateurs
partagés ?
La responsabilité individuelle des utilisateurs peut ne
pas être établie.
Quel est l’objectif d’un auditeur SI qui examine le
contrôle d’accès logique ?
Déterminer si l’accès est accordé et contrôlé
conformément aux autorisations approuvées
Quelle est la première étape de la classification des
données ?
Établir les propriétaires des données.
Comment garantir au mieux le respect d’une politique de
mot de passe ?
Avec des outils de gestion de mots de passe automatisés.
Quelle est la considération la plus importante lors de l’examen des contrôles du système ?
L’alignement des exigences de sécurité et de performance.
Quelle est la meilleure façon d’effacer les données ?
Destruction physique. Démagnétisation ou
démagnétisation si le support doit être réutilisé
Quel est l’objectif de l’utilisation d’une convention de nommage ?
La mise en place de règles d’accès efficaces et la simplification de l’administration de la sécurité.
Quelle est la première étape de la mise en œuvre des contrôles d’accès logiques ?
Etablir un état des lieux des ressources SI
Quel est le contrôle le plus important pour SSO ?
La mise en place d’une politique de mot de passe fort
Qu’est-ce qu’un risque majeur du SSO ?
Il agit comme un point d’authentification unique pour plusieurs applications
Quel est le contrôle le plus efficace contre le vol d’identité ?
Authentification à deux facteurs
Comment assurer la confidentialité des messages dans le
chiffrement asymétrique ?
Utilisation de la clé publique du destinataire pour le chiffrement et
utilisation de la clé privée du destinataire pour le déchiffrement
Comment assurer l’authentification des messages dans le
chiffrement asymétrique ?
Utilisation de la clé privée de l’expéditeur pour chiffrer le
message/hachage et utilisation de la clé publique de l’expéditeur
pour déchiffrer le message/hachage
Comment assurer la non-répudiation des messages dans le
chiffrement asymétrique ?
Utilisation de la clé privée de l’expéditeur pour chiffrer le
message/hachage et utilisation de la clé publique de l’expéditeur
pour déchiffrer le message/hachage
Comment garantir l’intégrité des messages dans le chiffrement
asymétrique ?
Utilisation de la clé privée de l’expéditeur pour chiffrer le hachage et
utilisation de la clé publique de l’expéditeur pour déchiffrer le
hachage
Qu’est-ce qui augmente le coût de la cryptographie ?
Touches longues asymétriques
Comment combiner les méthodes symétriques et asymétriques pour
un chiffrement fort au meilleur coût ?
Utilisation d’une clé symétrique pour chiffrer le message complet
Utilisation de la clé publique du destinataire pour chiffrer la clé
symétrique
Comment assurer la confidentialité des messages dans le
chiffrement asymétrique ?
Utilisation de la clé publique du destinataire pour le chiffrement et
utilisation de la clé privée du destinataire pour le déchiffrement
Comment assurer l’authentification des messages dans le
chiffrement asymétrique ?
Utilisation de la clé privée de l’expéditeur pour chiffrer le
message/hachage et utilisation de la clé publique de l’expéditeur
pour déchiffrer le message/hachage
Comment assurer la non-répudiation des messages dans le
chiffrement asymétrique ?
Utilisation de la clé privée de l’expéditeur pour chiffrer le
message/hachage et utilisation de la clé publique de l’expéditeur
pour déchiffrer le message/hachage
Comment garantir l’intégrité des messages dans le chiffrement
asymétrique ?
Utilisation de la clé privée de l’expéditeur pour chiffrer le hachage et
utilisation de la clé publique de l’expéditeur pour déchiffrer le
hachage
Qu’est-ce qui augmente le coût de la cryptographie ?
Touches longues asymétriques
Comment combiner les méthodes symétriques et asymétriques pour
un chiffrement fort au meilleur coût ?
Utilisation d’une clé symétrique pour chiffrer le message complet
Utilisation de la clé publique du destinataire pour chiffrer la clé
symétrique
Quelle autorité gère le cycle de vie des certificats numériques ?
Autorité de certification
Quelles sont les fonctions d’une Autorité
d’Enregistrement ?
Vérifier et valider les informations fournies par le demandeur.
Pour vérifier que le demandeur est en possession de la clé privée et qu’elle correspond à la clé publique
demandée pour un certificat.C’est ce qu’on appelle la preuve de possession(POP).
Pour distribuer des jetons physiques contenant des clés privées
Pour générer des clés secrètes partagées lors de l’initialisation et de la phase d’enregistrement du certificat
Quel est le nom du document de procédure qui détaille comment traiter les clés privées compromises?
Énoncé des pratiques de certification
Quelle technique est utilisée pour obtenir les mots de passe sans outils ou programmes techniques ?
Ingénierie sociale
Quel est le moyen le plus efficace de minimiser l’impact des attaques d’ingénierie sociale ?
Formation de sensibilisation à la sécurité
Le risque d’attaque par hameçonnage peut être mieux traité en
Formation des utilisateurs
Dans quel type d’attaque, le trafic Internet semble provenir de l’adresse IP interne de
l’organisation?
Usurpation d’adresse IP
Dans quel type d’attaque, aucun outil technique ni technique n’est nécessaire pour extraire des informations?
Ingénierie sociale
Quelle est la meilleure façon de réduire le risque de surf à l’épaule?
L’écran du mot de passe doit être masqué
Quels sont les exemples d’attaques passives?
Analyse du trafic/analyse du réseau/écoute clandestine
Dans quel type d’attaque, les ordinateurs sont utilisés comme zombies pour effectuer des attaques DDOS, spam ou autres?
Réseau de zombies
Quel IDS a la capacité de mettre à jour sa base de données et d’auto-apprentissage?
IDS basé sur un réseau de neurones
Composant d’IDS qui collecte les données
Capteur
Quel IDS a le plus grand nombre de fausses alarmes?
IDS basé sur les statistiques
Une configuration pour capturer des informations relatives à l’intrus afin de renforcer de manière proactive les contrôles de sécurité est connue sous le nom de:
Pot de miel
