Études

Question 1

La cybersécurité est basée sur trois piliers de sécurité qui doivent être pris en considération lors d’analyse de sécurité. Nommez ces trois piliers et donnez une description de chacun

Answer 1

(C) Confidentialité : Assurer la protection des informations classifiées
confidentielles tels les renseignements personnels et les informations
sensibles (financier, propriété intellectuelle, légale, médical, etc.).

(I) Intégrité : Assurer la complétude et l’exactitude des informations ne
permettant aucune altération volontaire ou accidentelle.

(D) Disponibilité : Assurer la disponibilité des actifs informationnels pour
maintenir la continuité des affaires et de prévenir la destruction volontaire
ou accidentelle et ainsi atteinte les objectifs corporatifs des entreprises.

Question 2

Nommez trois (3) méthodes (Moyens) efficaces de prévention de l’espionnage industriel

Answer 2

1. Moyens technologiques: (Chiffrement des informations recettes, limitation des accès, etc.)
2. Moyens Politiques: (NDA, Inventaire des propriétés intellectuelles, etc.)
3. Moyens Physiques (Caméras, Systèmes d’alarme, etc.)

Question 3

Un cadre d’une politique de sécurité est constitué de quatre (4) types de documents. Nommez ces documents et donnez une description de chacun

Answer 3

1. La Politique: Un document qui traite différents domaines en matière de
   sécurité informatique et qui a pour but de véhiculer les décisions prises par
   l’entreprise dans le respect des normes de conformité légales et spécifiques
   (ISO, SOX, PCI, etc.). La politique répond à la question ‘‘Que veut-on faire?’’
2. Les Directives: Est un ensemble de documents qui donnent
   des lignes directrices, des exigences et parfois des prescriptions afin de
   supporter les domaines de la politique de sécurité informatique. Les pratiques
   contribuent à l’établissement des standards qui doivent être conformes aux
   normes de conformité légales et spécifiques. La pratique répond à la question
   ‘‘Comment va-t-on le faire?’’
3. Les Standards: Sont des listes de normes techniques ou des mesures
   référentielles publiées par des organismes nationaux et internationaux de
   standardisation (Ex.: ISO, IEC). Les standards répond à la question ‘‘Avec quoi
   va-t-on le faire?’’
4. Les Procédures: Sont des documents techniques qui détaillent des processus
   et les méthodes nécessaires pour la mise en place et le maintien des exigences
   de sécurité prescrits dans les pratiques et les standards de la politique de
   sécurité informatique.

Question 4

Quels sont les quatre (4) objectifs d’une politique de sécurité ?

Answer 4

1. Établir les meilleures pratiques visant à protéger les actifs
   informationnels/opérationnels des entreprises, afin de prévenir les
   incidents incluant la fraude, les attaques informatiques, les fuites
   d’informations et les atteintes à la vie privée.
2. Assurer la conformité aux normes et aux exigences légales des entreprises.
3. Réduire les risques inhérents en risques résiduels.
4. Établir des prescriptions et des standards de sécurité propres aux
   entreprises sans empêcher ou nuire aux objectifs corporatifs.

Question 5

La révision de la politique de sécurité doit se faire à quelle fréquence ?

Answer 5

À chaque année

Question 6

Nommez les quatre (4) critères à considérer lors de l’établissement de la classification des informations

Answer 6

• La valeur: Données financières, informations bancaires.
• La sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.
• Les obligations légales: Renseignements personnels, informations de crédit.
• La criticité: Données essentielles au fonctionnement des systèmes de
production.

Question 7

Quelles sont les conditions si des données de production se retrouvent dans des environnements de développement, de test ou de formation ?

Answer 7

ces dernières (Données) doivent être déclassifiées
en masquant ou en modifiant les attributs (les champs) des données
confidentielles pour rendre celles-ci illisibles ou invalides.

Si des copies de la production sont nécessaires dans les environnements de
développement, de test et de formation; les mêmes contrôles de sécurité de
l’environnement de production doivent être appliqués.

Question 8

Nommez les six (6) segments réseautique que l’on retrouve dans les entreprises

Answer 8

1. Segment Internet (Internet Gateway): Zone d’accès externe à l’internet.
2. Segment DMZ (¨Demilitarized Zone¨): Zone qui relie le réseau interne
   de l’entreprise (intranet) à l’internet. L’hébergement des services Web
   externes, tels les sites de l’entreprise, les serveurs de transfert des
   données et les serveurs d’accès distants, font partie du segment DMZ.
3. Segment entreprise: Segment intranet non visible à l’Internet où se
   situent les utilisateurs, les postes de travail, les imprimantes et les
   téléphones IP. Les unités d’affaire de l’entreprise peuvent avoir leurs
   propres segments réseautiques séparés par des pare-feu. Ex.: Finances,
   RH, légales, etc.
4. Segment restreint : Zone avec restriction d’accès où se trouvent les
   bases de données, les dossiers des employés, des fichiers réseau,
   système de paye, système de facturation, et tous les serveurs contenant
   des informations classifiées confidentielles.
5. Segment de gestion de sécurité : Systèmes d’authentification (Active
   Directory, systèmes de journalisation, systèmes de monitorage)
6. Segment de production – usine : Zone réservée aux systèmes de
   production des usines et aux contrôles manufacturiers (SCADA, PLC, etc).

Question 9

À quoi sert un balayage de découverte (Ping Scan)?

Answer 9

Les balayages de découverte servent à identifier les hôtes solitaires (¨Rogue¨) pour déterminer si ces équipements doivent être débranchés du réseau ou s’ils déclencheront des enquêtes de sécurité.

Question 10

Pourquoi les protocoles de télécommunication FTP et Telnet sont considérés non-sécuritaires ?

Answer 10

Parce que la communication se fait sans encryption (Donc le tout est transféré “In clear text”)

Question 11

Nommez trois (3) enjeux de sécurité avec les services infonuagiques

Answer 11

1. Confidentialité et protection de la vie privée
2. Contrôle des accès et gestion des privilèges
3. Disponibilité et gestion de continuité

Question 12

Gestion des identités et des accès

Définition : Identification

Answer 12

Processus qui permet de connaître l’identité d’une entité
ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (Qui
vous êtes).

Question 13

Gestion des identités et des accès

Définition : Authentification

Answer 13

Consiste à vérifier l’identité d’une entité ou d’un
utilisateur afin d’autoriser l’accès à des ressources ou à des actifs
informationnels. Il s’agit principalement des mots de passe (Ce que vous
savez).

Question 14

Gestion des identités et des accès

Définition : Authentification Simple

Answer 14

L’authentification repose sur un seul élément

ou un seul facteur (l’utilisateur indique son mot de passe).

Question 15

Gestion des identités et des accès

Définition : Authentification Forte

Answer 15

L’authentification repose sur deux éléments ou
deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton,
biométrie, carte intelligente, etc.).

Question 16

Gestion des identités et des accès

Définition : Authentificiation Unique

Answer 16

Méthode permettant aux utilisateurs de
procéder qu’à une seule authentification pour accéder à plusieurs
systèmes ou applications informatiques. (SSO ¨Single Sign On¨)

Question 17

Gestion des identités et des accès

Définition : Accès

Answer 17

Les accès sont définis comme des passages pour accéder à des
informations, des applications, des systèmes, des services, des sites web
et des segments réseautiques nécessaires à l’exécution des tâches des
utilisateurs.

Question 18

Gestion des identités et des accès

Définition : Privilèges

Answer 18

Les privilèges sont des droits qui permettent aux utilisateurs
d’effectuer des actions dans des environnements et des systèmes
informatiques. Une liste non exhaustive de privilège serait : lecture,
modifier, copier, imprimer, supprimer.

Question 19

Gestion des identités et des accès

Définition : Mot de passe

Answer 19

Un mot de passe est une série de caractère utilisé
comme moyen d’authentification dans le but de prouver l’identité d’un
utilisateur ou d’une ressource.

Question 20

Quelles sont les 8 étapes de cycle des accès

Answer 20

1. Initier la demande
2. Approbations
3. Approvisionnement
4. Permissions
5. Modifications
6. Monitoring
7. Désactivation
8. Suppresion

Question 21

Quels sont les 3 types de comptes

Answer 21

1. Compte régulier
2. Compte administrateur
3. Compte fonctionnel

Question 22

Définition : Compte régulier

Answer 22

Les comptes réguliers sont des comptes qui sont
assignés individuellement et sont utilisés par tous les utilisateurs dans
l’exécution quotidienne de leurs tâches tels les accès au réseau interne
et les accès aux systèmes de courriels de l’entreprise.

Question 23

Définition : Compte administrateur

Answer 23

Les comptes administrateurs sont des comptes
qui ont des privilèges élevés et peuvent effectuer des changements dans
les environnements et dans les systèmes informatiques.

Question 24

Définition : Compte fonctionnel

Answer 24

Les comptes fonctionnels ou comptes génériques
sont des comptes qui identifient des systèmes, des ordinateurs, des
processus ou un groupe d’utilisateurs. Ces comptes n’identifient pas un
utilisateur en particulier et peuvent avoir des accès et des privilèges
limités à des tâches spécifiques.

Question 25

Quelles sont les 5 règles des comptes réguliers

Answer 25

1. Les comptes d’utilisateurs sans mot de passe sont interdits.
2. Les comptes d’utilisateur ne doivent sous aucune considération être
   partagés.
3. Tous les utilisateurs doivent avoir leurs propres comptes afin d’éviter
   toute répudiation ; c’est-à-dire une contestation qu’une transaction a
   été effectuée dans un système informatique par un utilisateur
   spécifique.
4. Chaque compte doit être unique et suivre un standard d’attribution des
   noms établi par l’entreprise.
5. Les propriétaires de comptes (employés ou fournisseurs de service)
   doivent avoir un statut actif dans le répertoire (annuaire ou bottin) de
   l’entreprise ou dans les systèmes de gestion des ressources
   humaines.

Question 26

Quelles sont les 4 règles des comptes administrateurs

Answer 26

1. Ces comptes doivent être utilisés seulement lors d’exécution de
   travaux qui nécessitent des privilèges élevés tels des
   configurations, des ajouts, des retraits et des modifications aux
   environnements informatiques et aux systèmes d’exploitation.
2. Les privilèges administratifs doivent être assignés seulement au
   besoin après avoir reçu une approbation de gestion de
   changement. Les privilèges administratifs doivent être retirés
   immédiatement après l’achèvement des travaux administratifs.
3. Toutes les transactions effectuées par les comptes administratifs
   doivent être enregistrées dans les journaux (logs) des systèmes
   informatiques.
4. Les comptes ayant des privilèges élevés ne peuvent être utilisés
   pour effectuer des tâches ou des transactions régulières (email,
   etc.)

Question 27

Nommez 3 types de comptes fonctionnels

Answer 27

1. Compte fonctionnel courriel: Compte courriel qui représente un groupe
   d’utilisateurs ou un service ex.: finances@plasti-tech.com.
2. Compte fonctionnel système: Compte machine ou compte pour
   processus informatisé (¨Script¨) pour authentifier des équipements
   (serveurs, stations, M to M, etc.).
3. Compte fonctionnel partagé: Compte d’utilisateur qui sera partagé entre
   plusieurs utilisateurs.

Question 28

Vrai ou faux : Les comptes fonctionnels peuvent identifier un utilisateur dans les systèmes de journalisation d’une entreprise.

Answer 28

Faux.

• Un compte fonctionnel ne peut identifier
  un utilisateur en particulier dans les
  systèmes de journalisation de l’entreprise.

Question 29

Nommez le plus gros problème dans l’industrie par rapport aux mots de passe

Answer 29

L’utilisation du même mot de passe sur différents systèmes

Question 30

Nommez les 4 facteurs affectant la robustesse des mots de passe.

Answer 30

• La longueur du mot de passe: La quantité de caractères utilisés dans
la composition du mot de passe.

• Combinaison de caractères alphanumériques: Des lettres de
l’alphabet (A à Z) en minuscules et en majuscules et des caractères
numériques comprenant les chiffres 0 à 9.

• Utilisation de caractères spéciaux: Ex.: @, /, %, &, $

• Des expressions uniques: introuvables dans les dictionnaires des
langues parlées des utilisateurs.

Question 31

Pourquoi de nombreuses entreprises répartissent-elles des services TI à des fournisseurs de services spécialisés (4 raisons) ?

Answer 31

1. Requiers moins de ressources spécialisées en TI (main d’oeuvre).
2. Accès rapide aux infrastructures TI (Cloud).
3. Diminution des travaux de soutien (maintenance des systèmes,
   application des correctifs, gestion des mises à jour, etc.)
4. Diminution des coûts d’infrastructure TI ($ pour équipement).

Question 32

Quels sont les 4 désavantages à répartir des services TI à des fournisseurs de service spécialisé?

Answer 32

1. Pertes de connaissances techniques au sein de l’entreprise.
2. Dépendance aux fournisseurs de service.
3. Perte d’autonomie (particulièrement dans le développement).
4. Dans bien des cas, augmentation des coûts d’opération TI.

Question 33

Quels sont les 2 modèles de répartition pour les services TI qui sont donnés à sous-contrat à des fournisseurs de service spécialisé?

Answer 33

1. Hébergement externe; chez le fournisseur.

2. Hébergement interne; chez le client.

Question 34

Nombreuses entreprises répartissent des services TI à des fournisseurs
de service spécialisé. Qu’est-ce que les contrats de services doivent spécifier? (10 choses)

Answer 34

• L’engagement du fournisseur de service de se conformer ou excéder les
normes et les exigences de sécurité de l’entreprise.

• Établir dans le contrat une liste complète des contrôles et des exigences
de sécurité de l’entreprise.

• Si applicable, spécifier les normes et les certifications que le fournisseur
de service doit se conformer et démontrer des preuves de certification et
de renouvellement de certification (PCI-DSS, ISO-27001, SOX, UpTime,
etc.).

• Entente de non-divulgation (NDA).

• Les responsabilités du fournisseur de service en matière de protection au
niveau de la confidentialité, l’intégrité et la disponibilité des
informations.

• Établissement d’une matrice de rôle et responsabilité (RACI:
Responsable, Approbateur, Consulté, Informé).

• Vérification de dossier criminel des employés du fournisseur de
service.

• Adhésion à un code de conduite et d’éthique des employés du
fournisseur de service.

• Exigences de rétention des informations et des procédures de
destruction des informations.

• Procédures de fin de contrat et désengagement.

Question 35

Quels sont les 3 niveaux de criticité et quelle est la durée maximale de panne tolérable qui les défini?

Answer 35

1. Critique : Maximum 8 heures
   a. Exemples : Impact financier élevé, Arrêt d’une ou de plusieurs usines
   b. Effet ressenti par plus de 50% des utilisateurs
2. Important : Maximum 2 jours
   a. Exemples : Ralentissement de production des employés ou d’une usine
   b. Effet ressenti par 20% à 50% des utilisateurs
3. Régulier : Maximum 5 jours
   a. Faible impact, peu importe le nombre d’utilisateurs touchés

Question 36

Quels sont les 4 types d’architectures (protection) des CTRL industriels?

Answer 36

1. Architecture Monolithique : Segment isolé d’une usine unique, sans connexion internet
2. Architecture partagée entreprise : Toujours sans connexion internet, mais le réseau est relié entre les usines
3. Architecture partagée entreprise hybride : Réseau interrelié entre les usines, avec connexion avec un fournisseur cloud via Internet (infonuagique)
4. Architecture infonuagique IaaS (“Infrastructure as a Service”) : Le réseau de production est relié à un fournisseur Cloud (Internet)

Question 37

Quelles sont les principales vulnérabilités des contrôles industriels sur réseaux TCP/IP ? (10 items)

Answer 37

• La cybersécurité versus les systèmes de
contrôle industriels
• Les systèmes de contrôle sans capacité de
processeur OS.
• Accès non-autorisé aux systèmes de contrôle
• Infections virales
• Renifleur réseautique ( ̈Network sniffing ̈)
• Attaques de rançongiciel ( ̈Ransomware ̈)
• Systèmes d’exploitation expirés
• Élargissement réseautique sans diligence de sécurité.
• Vulnérabilités physiques des composantes ICS
• Employés malveillants

Question 38

Quelles sont les différentes stratégies et recommandations de protection des ICS (8 items)?

Answer 38

• Analyse et études de cas
• Débuter par l’inventaire des composantes.
• Établissement des périmètres réseautiques
• La gestion des identités et des accès
• Encryption (chiffrement) des informations
• Surveillance SOC/SIEM
• Application des correctifs ( ̈Patches ̈) de sécurité
• Stratégie de replacement des équipements

Question 39

Quelles sont les 2 grandes utilités des services SOC/SIEM ?

Answer 39

1. Centralisation des journaux

2. Surveillance SIEM (Security information and event management)

Question 40

Quel est le délai de l’application d’un correctif (patch) sur un système critique ?

Answer 40

15 Jours

Question 41

Quel est le délai de l’application d’un correctif (patch) sur un système régulier?

Answer 41

3 Mois

Question 42

À quoi sert la journalisation des systèmes? (5 points)

Answer 42

1. Contrôler le volume d’utilisation des ressources informatiques et
   détecter les anomalies pour assurer une qualité de service et faire
   évoluer les équipements en fonction des besoins.
2. Vérifier les règles en matière de sécurité et détecter toute défaillance ou
   anomalie volontaire ou accidentelle, passive ou active, d’origine
   matérielle ou humaine.
3. Détecter les utilisations des systèmes informatiques contraires au Code
   d’éthique et de conduite de l’entreprise.
4. Fournir des éléments de preuves nécessaires pour mener des enquêtes
   en cas d’incidents (« Forensic »).
5. Porter assistance au processus de diagnostic lors de procédures de
   remédiation des systèmes informatiques.

Question 43

Les journaux des systèmes informatiques sont classifiés dans quelle catégorie de documents et pourquoi?

Answer 43

Confidentiels, en raison de la sensibilité et l’intégrité des informations.

Question 44

Qu’est-ce qui est journalisé pour l’item suivant : Serveurs et postes de travail

Answer 44

• l’identification des utilisateurs
• les dates et les heures des accès
• les résultats d’authentifications
  (succès ou échec)
• les commandes passées

Question 45

Qu’est-ce qui est journalisé pour l’item suivant : Services de courriel et messagerie

Answer 45

- les informations de l’expéditeur
(adresse)
- les adresses des destinataires
- les dates et les heures des messages
- les différents serveurs de
transmission des messages
- le traitement « accepté ou rejeté »
des messages
- la taille du message
- les résultats du traitement des
courriels non sollicités (SPAM)
- les résultats des logiciels antiviraux

Question 46

Qu’est-ce qui est journalisé pour l’item suivant : Serveurs Web

Answer 46

- les noms DNS ou les adresses IP des
utilisateurs (demandeurs)
- les URL des pages consultées
- les informations fournies par le client
- le type de la requête
- la date et l’heure des requêtes
- le volume des données transmises
- les différents paramètres passés

Question 47

Qu’est-ce qui est journalisé pour l’item suivant : Les équipements réseautiques

Answer 47

- les noms DNS ou adresses IP des
sources et des destinations
- les dates et les heures des
connexions
- les numéros de port et les protocoles
utilisés des sources et les
destinations
- les dates et les heures des
transactions
- le nombre de paquets et le nombre
d’octets transférés
- les messages d’alerte

Question 48

Qu’est-ce qui est journalisé pour l’item suivant : Les applications

Answer 48

• les identités des utilisateurs
• les dates et les heures des accès et
  des transactions
• les commandes passées
• les transactions effectuées
• les volumes des données transférées

Question 49

Que signifie l’acronyme “SCADA” et quelle est sa définition ?

Answer 49

Supervisory Control and Data Acquisition est une architecture de
contrôle industriel qui utilise des ordinateurs et de la réseautique pour gérer et contrôler des systèmes et des périphériques tels des PLC (¨Programmable Logic Controller¨), des automates et autres composantes.

Question 50

Qu’est-ce qui définit une architecture Monolithique (Stand alone) ?

Answer 50

Segment réseautique de
production pour usine unique ou par usine indépendant des autres usines
et du réseau interne de l’entreprise sans aucune connexion à l’internet.
• Les PLCs, les SCADAs, etc. sont gérés à l’usine.
• Pas IoT
• Pas AI
• Aucun support à distance (tout se fait à l’usine)

Question 51

Qu’est-ce qui définit une architecture partagée entreprise ?

Answer 51

Segment réseautique de production relié
avec les autres usines par le réseau interne de l’entreprise sans connexion à
l’internet.
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• Possibilité d’AI qui est limitée aux données de l’entreprise.
• Le support à distance à partir du réseau interne de l’entreprise est
disponible.

Question 52

Qu’est-ce qui définit une architecture partagée entreprise hybride ?

Answer 52

Segment réseautique de
production relié avec les autres usines par le réseau interne de l’entreprise
avec connexion à un fournisseur de service infonuagique via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• AI provient d’un fournisseur de service spécialisé.
• Possibilité de support à distance à partir du réseau interne de
l’entreprise et de l’internet.

Question 53

Qu’est-ce qui définit une Architecture infonuagique IaaS (¨Infrastructure as a Service¨) ?

Answer 53

Segment réseautique de production relié à un fournisseur spécialisé infonuagique
(¨Cloud¨) via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par un fournisseur infonuagique
spécialisé à partir de l’internet.
• AI provient du fournisseur de service
• Support provient 100% du fournisseur

Question 54

Quelles sont les 7 points d’une analyse et étude de cas ?

Answer 54

1. Comprendre le domaine du manufacturier (c’est quoi qu’ils font ?)
2. Comprendre les objectifs de l’entreprise en matière de production
3. Comprendre les enjeux en matière de santé, de sécurité,
   d’environnement, financier, conformité, etc.
4. Envisager les pires scénarios où une catastrophe pourrait se produire.
5. Analyser les systèmes de gestion ICS en place
6. Envisager des protections logiques et physiques
7. Émettre des recommandations

Question 55

Qu’est-ce que l’inventaire des composantes (CTRL Industriels) doit spécifier, entre autres ?

Answer 55

o Les composantes intelligentes munis d’OS
o Les équipements sans processeur
o Leurs fonctions
o Protocole de télécommunication
o Niveau de criticité (Critique, Important et Régulier)
o Équipement de relève ?
o Les types d’ICS émetteurs (¨Out Bound¨)
o Les types d’ICS récepteurs (¨Inbound¨)
o Les types d’ICS émetteur et récepteurs (¨Inboud/Outbound¨)
o Les types d’ICS contrôlés par console (PLC/SCADA)
o Diagramme des segments réseautiques (¨subnet¨)

Question 56

Nommez des exemples de contrôle des périmètres réseautiques.

Answer 56

o Vérification de la provenance d’une adresse IP spécifique lors de
l’émission d’une commande sensible (ouverture/fermeture de valve,
command d’arrêt d’un système, commande de déroutage des fluides,
etc. etc.
o Forcer une réauthentification à double facteur lors de réception d’une
commande sensible.
o Bloquer des commandes de contrôle à des heures ou des périodes
spécifiques.
o Plusieurs autres scénarios de protection à être analyser selon le type
de manufacture industrielle.
o Systèmes de protection NIDS/NIPS (¨Network Intrusion Detection &
Prevention¨)
o Présence de pare-feux entre chaque segment réseautique

Question 57

Quelles sont les 5 différentes stratégies et recommandations de protection des ICS ?

Answer 57

1. La gestion des identités et des accès
2. Encryption (chiffrement) des informations
3. Surveillance SOC/SIEM
4. Application des correctifs (¨Patches¨) de sécurité des équipements qui supportent les applications ICS.
5. Stratégie de replacement des équipements

Question 58

Nommez 5 évènements que les services SOC/SIEM peuvent détecter en terme de sécurité.

Answer 58

• Détection de bris d’équipement
• Tentative d’intrusion réseautique
• Intrusion de système
• Élévation de privilèges non planifiée
• Vols d’information (si DLP activé)

Question 59

Nommez quelques exemples de cas de surveillance (use cases) des services SOC/SIEM.

Answer 59

• Arrêt/démarrage de serveurs critiques
• Arrêt/démarrage de services critiques
• Suppression de journaux (logs) de système
• Compte créé et supprimé en 24 heures
• Brute force attack sur un compte
• Comptes barrés à maintes reprises
• Activation de compte administratif
• Ajout d’un compte à un groupe de privilège élevé
• Tentative d’accès d’un compte d’un employé terminé
• Tous les changements de configuration/politique de sécurité de AD
• Violation de règles de pare-feu applicatif
• Échec de mise à jour de signatures virales
• Attaques virales (virus/malveillant)
• Détection d’utilisation de protocoles proscrits (FTP, Telnet, etc.)
• Alertes IDS réseautiques

Question 60

Pourquoi l’horodatage (NTP) est-elle importante ?

Answer 60

Afin d’assurer l’intégrité des informations et des évènements, il est important que
les systèmes informatiques obtiennent la date et l’heure à partir de sources
officielles et communes. Un synchronisme du protocole NTP (¨Network Time
Protocol¨) est nécessaire pour tous les équipements branchés sur des réseaux
internes.

Question 61

Quelles sont les 9 étapes à suivre lors de la configuration des systèmes ?

Answer 61

1. L’installation du système d’exploitation
2. Faire les mises à jour du système d’exploitation et appliquer les correctifs
   (¨Patches¨) selon les recommandations du vendeur.
3. Les paramètres de sécurité doivent être configurés selon les
   recommandations de la gouvernance.
4. Voir à l’installation des applications et des logiciels selon la fonction
   primaire de l’équipement.
5. Mettre à jour les logiciels et les applications selon les plus récentes
   versions et les recommandations du vendeur.
6. Les comptes qui ne sont pas utilisés doivent être désactivés.
7. Renommer les comptes administratifs par défauts et changer leurs mots
   de passe. Les noms de comptes ne peuvent divulguer les privilèges ou
   les rôles administratifs (admin, back up, etc.)
8. Activation de la journalisation du système.
9. Désactiver les services et les protocoles non sécuritaires (consulter la
   table des protocoles proscrits dans du cours # 6).

Question 62

Nommez les 9 principales règles de sécurité pour les logiciels anti-malveillants.

Answer 62

• Les suites de logiciels de sécurité doivent être en mesure de détecter,
d’éradiquer, de supprimer et de protéger les équipements contre tous les
types de logiciels malveillants connus tels les virus, les vers
informatiques, les chevaux de Troie, les logiciels espions, les « Root Kit »,
etc.
• Les mises à jour des fichiers de menace (signatures virales) doivent être
automatiques et installées sur chaque poste de travail et chaque serveur.
• Les mises à jour des logiciels antivirus et les nouvelles signatures doivent
être téléchargées et installées sur les équipements dès qu’elles sont
disponibles.
• Des analyses rapides de détection virales doivent être configurées pour
qu’elles soient exécutées quotidiennement sur les postes de travail et les
équipements portatifs.
• Seuls les administrateurs TI de l’entreprise sont autorisés à changer les
configurations, activer ou désactiver les logiciels antivirus sur les postes
de travail et les équipements portables. Les permissions des utilisateurs
se limitent à lancer des balayages (« Scans ») sur demande.
• Des analyses complètes de détection virales doivent être configurées
pour qu’elles soient exécutées hebdomadairement sur les postes de
travail et les équipements portatifs.
• Afin d’éviter des propagations, les équipements infectés ou suspectés
d’être infectés de virus doivent si possible être débranchés du réseau
interne de l’entreprise dans les plus brefs délais.
• Les systèmes de courriel doivent bloquer et empêcher la transmission
des messages ayant des fichiers exécutables comme pièces jointes telles
des .EXE, .BAT, .CMD, etc. Consultez la liste des extensions bloquées
d’Outlook de Microsoft.
• Des balayages de détection virale doivent être déclenchés
automatiquement lors de détection de médias portatifs tels les clés USB,
« Flash Drive », et disques externes avant de les utiliser.

Question 63

Quels sont les 3 types de sauvegarde et ce qui les définit ?

Answer 63

Complète: Cette méthode permet de copier toutes les données indépendamment des modifications depuis la précédente sauvegarde.

Différentielle: Cette méthode permet de conserver toutes les
modifications depuis la sauvegarde complète.

Incrémentale: Cette méthode permet de conserver toutes les modifications depuis la précédente sauvegarde. Ce qui signifie que la préservation des données est effectuée depuis les sauvegardes incrémentales précédentes.

Question 64

Quelle est la règle du 3-2-1 quand on parle de sauvegarde des informations ?

Answer 64

La règle du 3-2-1 consiste à réaliser trois (3) copies des
informations qui seront sauvegardées sur deux (2) médias différents avec une
(1) copie située à l’extérieur du centre des données.

Question 65

Quel est le délai d’application pour une Mise à jour Critique sur un système Critique ?

Answer 65

15 jours

Question 66

Quel est le délai d’application pour une Mise à jour Critique sur un système Important ?

Answer 66

1 mois

Question 67

Quel est le délai d’application pour une Mise à jour Critique sur un système Régulier?

Answer 67

1 mois

Question 68

Quel est le délai d’application pour une Mise à jour Importante sur un système Critique ?

Answer 68

1 mois

Question 69

Quel est le délai d’application pour une Mise à jour Importante sur un système Important ?

Answer 69

2 mois

Question 70

Quel est le délai d’application pour une Mise à jour Importante sur un système Régulier ?

Answer 70

3 mois

Question 71

Quel est le délai d’application pour une Mise à jour Moyenne sur un système Critique ?

Answer 71

3 mois

Question 72

Quel est le délai d’application pour une Mise à jour Moyenne sur un système Important ?

Answer 72

3 mois

Question 73

Quel est le délai d’application pour une Mise à jour Moyenne sur un système Régulier?

Answer 73

3 mois

Question 74

Les critères d’attribution des niveaux de sévérité des mises à jour sont basé sur quoi? (3 points)

Answer 74

1. Les recommandations des fournisseurs;
2. L’applicabilité dans l’entreprise;
3. L’exposition à la vulnérabilité (menace).

Question 75

Comment vérifie-t-on l’état de la sécurité et de la conformité des infrastructures réseautiques et des systèmes informatiques ?

Answer 75

Par des balayages de vulnérabilité et des tests d’intrusion. Il s’agit de détecter des failles dans les configurations des systèmes
informatiques pour ensuite les remédier et rendre les environnements plus
robustes contre les intrusions.

Question 76

Qu’est-ce qu’un Balayage (Scan) de vulnérabilité ?

Answer 76

Il s’agit d’un utilitaire qui effectue des
vérifications de sécurité en effectuant des balayages des ports de connexions sur
une machine spécifique (serveur ou poste de travail) ou un réseau tout entier.
L’utilitaire vérifiera l’état des mises à jour des correctifs et des packs de service.
Ces balayages peuvent être automatisés et sont non intrusifs. (Exemples
d’utilitaires: Nessus, Tripwire, Wireshark, Aircrack, etc.)

Question 77

Qu’est-ce qu’un Test d’intrusion (¨Penetration Test¨ ou ¨Ethical Hacking¨) ?

Answer 77

Il s’agit d’une simulation d’intrusion autorisée pour identifier les faiblesses et les vulnérabilités d’un système informatique ou d’une application web que des pirates informatiques pourraient exploiter. Ces tests sont intrusifs et doivent être effectués en laboratoire ou en environnement de test. Il est fortement
déconseillé d’effectuer ces tests dans des environnements de production.

Question 78

Quels sont les niveaux de sévérité des vulnérabilités et leur score CVSS respectifs ?

Answer 78

• Entre 0 et 3.9 : Sévérité Faible
• Entre 4 et 6.9 : Sévérité Moyenne
• Entre 7 et 10 : Sévérité Élevée

Question 79

Que signifie l’acronyme CVSS ?

Answer 79

Common Vulnerability Scoring System

Question 80

Dans quelles conditions les balayages de vulnérabilité et des tests d’intrusion doivent-ils être exécutés ? (5 points)

Answer 80

1. Avant la mise en production de nouveaux équipements (serveurs,
   routeurs, pare-feu).
2. Avant le déploiement de nouvelles images (configurations) d’ordinateurs
   de table et portatifs.
3. Lors de changements significatifs aux systèmes informatiques.
4. Lorsque des procédures de nettoyage ont été complétées sur un système
   informatique qui a été victime d’une attaque virale ou d’injection de
   logiciel malveillant.
5. Selon une table de fréquence basée sur les niveaux de criticité des
   systèmes et d’échantillonnages.

Question 81

Quelles sont les 5 étapes à suivre lors des balayages de vulnérabilité ?

Answer 81

1. Appliquer les mises à jours et les correctifs (patches) aux
   environnements et aux équipements des segments réseautiques qui
   feront l’objet d’un balayage de vulnérabilité.
2. Effectuer les balayages de vulnérabilité selon la gestion de changement
   de l’entreprise.
3. Appliquez les recommandations de remédiation énumérées dans le
   rapport de balayage de vulnérabilité.
4. Effectuer un balayage de vulnérabilité pour confirmer les efforts de
   remédiation.
5. Répétez le processus selon la table des fréquences des balayages
   (prochaine page).

Question 82

Quelle est la Fréquence et échantillonnage des balayages de vulnérabilité pour les différents niveaux de criticité des systèmes et applications? (Critiques, Importants, Réguliers)

Answer 82

• Critiques : Tous les 3 mois, échantillonnage (Adresses IP): 100%
• Importants : Tous les 3 mois, échantillonnage : 50%
• Réguliers : Tous les 6 mois, échantillonnage : 25%

Question 83

Nommez des exemples de vulnérabilités connues pour les applications informatiques

Answer 83

• Erreurs de codage affectant l’intégrité des informations.
• Objet ou fonction non sécuritaire pouvant être exploité.
• Procédure outrepassant les authentifications et les privilèges (accès
direct à la BD, téléchargement sans authentification).
• Mauvaise gestion des réinitialisations des variables contenant des
informations confidentielles pouvant être écrites dans des fichiers ¨Swap
Temp¨ sur disque.

Question 84

Quelles est le Top 10 des vulnérabilités classées par OWASP

Answer 84

1. Injection
2. Bris d’authentification
3. Exposition du data sensible
4. Entité externe XML (Extensible
   Markup Language)
5. Bris de gestion des accès
6. Mauvaises configurations de sécurité
7. Cross Site Scripting (XSS)
8. Désérialisation insécure
9. Utilisation d’éléments vulnérables
10. Journalisation (logs) inadéquate

2021 :

1. Contrôles d’accès défaillants
2. Défaillances Cryptographiques
3. Injection
4. Conception non sécurisée
5. Mauvaise configuration de sécurité
6. Composants vulnérables / obsolètes
7. Identification et authentification de mauvaise qualité
8. Manque d’intégrité des données et du logiciel
9. Carence des systèmes de contrôle et de journalisation
10. Falsification de requête côté serveur

Question 85

Quelle est la liste de ce que doivent avoir les équipes de développement ? (8 points)

Answer 85

1. Méthodologie de développement connue (ex.: OWASP).
2. Cédule de révision des codes sources (hebdomadaire).
3. Ségrégation des tâches à l’intérieur du groupe (développeurs, DBA, sys
   admin, tester, etc.)
4. Procédures de gestion des versions des codes sources.
5. Les codes sources doivent être clairement documentés.
6. Documentation relative aux bases de données (dictionnaire de data).
7. Environnement de test (ou Dev), avec des plans de test documenté.
8. Procédure de gestion de changement documentée et tenue à jour.

Question 86

À quoi doivent porter une attention particulière les équipes de développement ?

Answer 86

Aux étudiants stagiaires. Les codes sources sont considérés comme propriété intellectuelle.

Question 87

Vrai ou faux : Des tests peuvent être conduits dans des environnements de production.

Answer 87

Faux.

Question 88

Vrai ou faux: Le data utilisé dans les environnements de test doit être le même que dans les environnements de production pour correctement tester l’affichage des données.

Answer 88

Faux : Les environnements de test sont souvent ciblés par les pirates informatiques.
Car souvent les contrôles de sécurité ne sont pas appliqués comme dans les
environnements de production. Pour cette raison, le data utilisé dans les
environnements de test doit être déclassifié.

Question 89

Quels sont les 4 domaines des équipes de cybersécurité en entreprise ?

Answer 89

1. Gestion et gouvernance
2. Architecture (infrastructure)
3. Opérations de sécurité.
4. Analystes de sécurité

Question 90

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Gestion et gouvernance” ?

Answer 90

• Administration de l’équipe de cybersécurité
• Gestion des budgets ($)
• Priorisation des gestions de risque
• Maintient du cadre de la politique de
  cybersécurité
• Responsable des contrôles de sécurité
• Formation et sensibilisation
• Gestion des exceptions à la politique et
  acceptations de risque

Question 91

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Architecte (infrastructure)” ?

Answer 91

• Établissement des standards de sécurité de l’entreprise.
• Services d’authentification
• Services de réinitialisation des mots de passe (SSPR)
• Sécurité des centre de données et services de sauvegarde
• Gestion des journaux des systèmes
  informatiques (Logs).
• Responsable des standards des images
  (configurations) des postes de travail et des serveurs.
• Sécurité des télécommunications (network map)

Question 92

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Opérations de sécurité” ?

Answer 92

• Contrôle des accès (comptes d’utilisateurs)
• Gestion des privilèges
• Gestion des rôles d’accès
• Gestion des identités
• Balayages de vulnérabilité
• Tests d’intrusion
• Surveillance réseautiques et des journaux informatiques (logs)
• Gestion des incidents de sécurité
• Gestion des contrôles de sécurité (anti-virus,
  anti-malware, etc.)
• Gestion des certificats de sécurité

Question 93

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Analystes de sécurité” ?

Answer 93

• Analyses de sécurité des nouveaux projets de déploiement de technologie et des services existants.
• Conseillers experts en cybersécurité (SME)
• Analyses des exceptions à la politique et des acceptations de risque.
• Analyses de conformité (pas des audits)
• Contrôles compensatoires

Question 94

Nommez quelques certifications reconnues du personnel en cybersécurité.

Answer 94

• CISSP (Certified Information Systems Security Professional)
• CISM (Certified Information Security Manager)
• CISA (Certified Information Security Auditor)
• CEH (Certified Ethical Hacker)
• Certificat en cybersécurité (30 crédits)

Question 95

Quelle est la dernière ligne défensive des stratégies de cybersécurité et de la protection des informations?

Answer 95

L’encryption.

Question 96

Quelles sont les 3 niveaux que se fait l’encryption ?

Answer 96

• Informations statiques (¨Data at Rest¨)
• Informations en transit (¨Data in Transit¨)
• Double chiffrement (¨Double Encryption¨)

Question 97

Expliquez ce qu’est l’item suivant: Informations statiques (¨Data at Rest¨)

Answer 97

Informations qui sont conservées et
sauvegardées dans des bases de données, des serveurs de fichier, des systèmes de
collaboration, des médias de sauvegarde, des systèmes de gestion des journaux
(« Logs »), des disques durs d’ordinateur de table et d’ordinateur portatif, des clés
USB, des disques CD et DVD.

Question 98

Expliquez ce qu’est l’item suivant: Informations en transit (¨Data in Transit¨)

Answer 98

Transmission ou téléchargement des
informations sur réseau TCP/IP public (internet), réseau privé, transmission par
signaux WiFi et transmission par réseau cellulaire.

Question 99

Expliquez ce qu’est l’item suivant: • Double chiffrement (¨Double Encryption¨)

Answer 99

Pour les systèmes hautement
sécuritaires, un double-chiffrement (double-encryption) est possible. Il s’agit de
chiffrer les informations avec un algorithme et chiffrer les transmissions avec un
algorithme différent. Ce processus génère deux (2) clés de chiffrement différentes.
Donc la transmission et le data sont chiffrés.

Question 100

Quels sont les 3 types de chiffrement ?

Answer 100

1. Chiffrement symétrique
2. Chiffrement Asymétrique
3. Le Hachage

Question 101

Qu’est-ce que le chiffrement symétrique ?

Answer 101

Le chiffrement symétrique est une méthode d’encryption

dont la même clé est utilisée pour le chiffrement et le déchiffrement.

Question 102

Qu’est-ce que le chiffrement asymétrique ?

Answer 102

Le chiffrement asymétrique utilise deux clés différentes
soit une « clé publique » servant au chiffrement et une « clé privée » servant au
déchiffrement. Le chiffrement asymétrique offre la possibilité de signature
électronique (signature numérique) pour fin d’authentification, d’intégrité et de
non-répudiation. Notez qu’il est mathématiquement impossible de déduire une clé
privée à partir de sa clé publique.

Question 103

Qu’est-ce que le hachage ?

Answer 103

Le hachage est une méthode de transformation d’une ligne de
caractère à une ligne numérique qui est non réversible d’où vient le terme « One
Way Hash ». Cette méthode est très sécuritaire pour protéger des informations
telles des codes d’utilisateur et des mots de passe. Le hachage n’est pas
recommandé pour la protection des documents.

Question 104

Donnez des exemples qui exigent du chiffrement.

Answer 104

• Renseignements personnels
• Informations financières
• Dossiers médicaux
• Informations d’affaires confidentielles

Question 105

Donnez un exemple de chiffrement symétrique.

Answer 105

AES (Advanced Encrypted Standard) avec

une longueur de clé 256bits

Question 106

Donnez un exemple de chiffrement asymétrique.

Answer 106

RSA (Rivest Shamir Adleman) avec une
longueur de clé 2014bits et PGP (Pretty
Good Privacy)

Question 107

Donnez un exemple de hachage.

Answer 107

SHA (Secure Hash Algorythm) versions SHA2 et SHA3

Question 108

Donnez des exemples de chiffrement des télécommunications.

Answer 108

TLS (Transport Layer Security)V1.2 et v1.3,
SSH (Secure Shell), SFTP ( Secure File
Transfer Protocol), FTPS (File Transfer
Protocol Secure), POP3 over TLS (Post Office
Protocol over TLS)

Question 109

Donnez des exemples de chiffrement des ondes WiFi.

Answer 109

WPA2 (WiFi Protected Access), WPA+AES,

WPA+TKIP

Question 110

Quel est le but de la pratique de la rétention des informations?

Answer 110

Prescrire des spécifications de rétention basées sur les lois en vigueur, les exigences d’affaires et le respect de la vie privée.

Question 111

Quels sont les 8 domaines des prescriptions de rétention pour la majorité des industries ?

Answer 111

1. Administration et gestion
2. Finances et comptabilité
3. Ressources immobilières et mobilières
4. Ressources humaines
5. Service à la clientèle
6. Informatique et technologie
7. Services médicaux
8. Légal

Question 112

Nommez des exemples de prescriptions de rétention pour : Ressources Humaines (RH)

Answer 112

Dossiers du personnel
Dossiers des stagiaires
Offres d’emplois
Descriptions de tâche
T4, TP4 et relevés 1
Talons de paye
Feuilles de temps
Activités de formation et de
perfectionnement
Dossiers d’évaluation de la performance
Réclamations d’assurances
Dossiers produit par L'employé

Question 113

Nommez des exemples de prescriptions de rétention pour : Service à la clientèle

Answer 113

Dossiers clients
Publicité
Contrats
Ventes (statistiques)
Service après vente
Plaintes
Étude de marché

Question 114

Nommez des exemples de prescriptions de rétention pour : Informatique et technologies

Answer 114

Journaux (logs)
Courriels supprimés
Agendas électroniques
Rapports de vérification de conformité (audit)

Question 115

Nommez des exemples de prescriptions de rétention pour : Finance et comptabilité
(Rétention par défaut= 7 années)

Answer 115

Comptes débiteurs et factures
Relevés de comptes
États des recettes déboursés
Avis de paiement
Journaux et écritures comptables
Impôts et taxes
Rapports retenues à la source
Petite caisse
États financiers
Honoraires
Prévisions budgétaires

Question 116

Le recyclage des supports

imprimés est possible pour les actifs informationnels qui ont quelle(s) classification(s) ?

Answer 116

« Internes» et « Publics »

La destruction des supports imprimés, tel le déchiquetage, est requise pour les actifs informationnels qui sont classifiés « Confidentiels ».

Question 117

Comment supprime-t-on sécuritairement les supports électroniques ?

Answer 117

La suppression de l’information selon une méthode qui consiste à « écraser » le contenu original des supports en réécrivant par-dessus (¨Cluster Over writing¨) est considérée comme acceptable pour les supports électroniques réutilisables sans reformatage.

Question 118

Quelles sont les 4 méthodes efficaces de destruction des supports électroniques ?

Answer 118

1. Désintégration
2. Incinération
3. Déchiquetage
4. Fonte

Question 119

Combien de fois un formatage simple à haut niveau (tel le formatage rapide) doit-il est répété pour s’assurer que toutes les informations ont été retirées des clusters des disques?

Answer 119

5 fois.

Question 120

Pourquoi les bureaux d’assistance sont la cible préférée de l’ingénierie sociale ? (4 raisons)

Answer 120

1. En raison de la culture des agents de 1ière ligne dont leur vocation est de porter assistance et aider les utilisateurs (se sont des aidants naturels).
2. Les agents de 1ière ligne sont entrainés à donner le meilleur
   service le plus rapidement possible.
3. Les agents de 1ière ligne ont accès à des informations sensibles tels les bottins d’entreprise, renseignements sur le personnel, informations corporatives, etc.
4. Les criminels qui pratiquent l’ingénierie sociale le savent et utilisent ces vulnérabilités d’une façon surprenante.

Question 121

Comment les ingénieurs sociaux font ? (4 méthodes)

Answer 121

1. L’autorité
2. Désir d’intégration social
3. Désir d’aider
4. Persuasion

Question 122

À quoi se limite-elle la portée de la sécurité physique de la politique de cybersécurité ?

Answer 122

Aux équipements informatiques principalement dans les centres de données ou les salles d’équipements informatiques.

Question 123

Quelles sont les différences entre les salles d’équipement et les centres de données ?

Answer 123

Salle d’équipement informatique: Est une salle ou une pièce dédiée à
l’hébergement des équipements informatiques et des équipements de
télécommunication normalement pour une seule entreprise. La dimension de la
salle ainsi que la quantité d’équipement peuvent varier.

Centre de données: Un centre de données (Data Center) est un lieu
d’hébergement des équipements informatiques regroupant des systèmes
d’information pour un ou plusieurs clients. La presque totalité de l’espace de l’édifice est dédiée à l’hébergement des équipements informatiques.

Question 124

Quelles sont les 7 menaces relatives aux centres de données ?

Answer 124

1. Température ambiante
2. Taux d’humidité ambiante
3. Fuite de liquide
4. Accès non autorisé
5. Fumée et incendie
6. Électrostatique
7. Évènement majeur

Question 125

Quelles sont les 7 règles et conditions pour l’établissement des centres de données ?

Answer 125

1. L’édifice qui héberge le centre de données doit être commercialement
   viable et doit être équipé de ressources électriques suffisantes
   (ampérage et voltage).
2. Les centres de données doivent être localisés à des endroits sécuritaires
   où les risques d’accidents sont maintenus au minimum. Entre autres les
   centres de données ne devraient pas être localisés à des endroits où les
   risques de collision et d’accidents sont élevés. Ex. : édifice localisé dans
   le bas d’une pente prononcée, édifice à proximité d’une sortie
   d’autoroute.
3. Les salles d’équipement doivent avoir une seule vocation unique soit
   l’hébergement des équipements informatiques, celles-ci ne peuvent être
   utilisées à d’autres fins.
4. Les salles d’équipement des centres de données ne peuvent être munis
   de fenestration et des portes donnant accès à l’extérieure du bâtiment.
5. Les centres de données doivent être munis d’espace prévue pour le
   câblage des équipements et des ordinateurs via un double plancher ou
   des rails à câblage plafonniers.
6. Les portes donnant accès aux centres de données doivent être pleines,
   sécuritaires et sans fenestration. Les pentures des portes ne peuvent
   être accessibles à l’extérieure de la salle du centre de données.
7. Les portes donnant accès aux salles d’ordinateur doivent être fermées et
   maintenues verrouillées en tout temps. Elles doivent être reliées à un
   système d’alarme au cas d’ouverture non autorisée.

Question 126

Quelles sont les 3 règles de prévention des incendies pour les centres de données ?

Answer 126

• Les centres de données doivent être munis de détecteurs de fumée, de
détecteurs de chaleur et de détecteurs de flamme. Les quantités de
détecteurs doivent être selon les recommandations des manufacturiers
qui sont basées sur les espaces à protéger. Les détecteurs doivent être
remplacés selon les recommandations des manufacturiers qui ne
devraient pas dépasser dix (10) années (la même règle s’applique à la
maison).
• Les centres de données doivent être équipés d’extincteurs de classe D
pouvant combattre des incendies de métaux. Les règles suivantes
s’appliquent :
o Deux (2) extincteurs sont requis par 150 mètres carrés.
o Les extincteurs doivent être portables et ne devraient pas dépasser
un poids de 6 kilos.
o Les extincteurs doivent être placés à des endroits visibles et leurs
localisations doivent être clairement identifiées.
o Les extincteurs à base d’eau et de gaz CO2 sont interdits dans les
centres de données.
• La présence de matériel inflammable ainsi que l’utilisation de solvant
inflammable sont strictement interdites.

Question 127

Quelles sont les 4 règles de prévention des inondations pour les centres de données ?

Answer 127

• Les tuyaux de plomberie contenant des liquides doivent être déroutés
afin de contourner les espaces des centres de données.
• Les salles d’équipements informatiques ne doivent pas être branchées
sur le système de gicleur de l’édifice.
• Les centres de données doivent être localisés à des endroits stratégiques
où les risques d’inondation ou des dégâts d’eau sont maintenus au
minimum. Les centres de données ne devraient pas être localisés à des
étages inférieurs au rez-de-chaussée où les risques d’inondation s’avèrent
élevés dans le cas d’un déclenchement d’un système de gicleur.
• Des salles d’eau contenant des toilettes et/ou des douches ne peuvent
être localisées au-dessus des centres de données.

Question 128

Quelles sont les 6 règles et conditions pour les contrôle des accès dans les centres de données ?

Answer 128

• Seul le personnel ayant des rôles d’assistance technique ou ayant des
justifications d’affaire valable peut avoir accès aux centres de données.
• Une liste du personnel autorisé doit être maintenue à jour et doit être
révisée tous les trimestres (trois mois).
• Toutes les portes donnant accès aux centres de données doivent être
munies d’un système d’accès par cartes magnétiques et contrôlées par le
groupe de gestion des accès. Les serrures à boutons poussoirs et les
cadenas sont considérés non sécuritaires.
• Des caméras dédiées doivent être pointées sur chaque porte donnant
accès aux salles d’équipements informatiques. Ces caméras doivent
fonctionner et enregistrer les allées et venues aux centres de données
7/24 ou être déclenchées par des détecteurs de mouvement.
• Tous les contractuels et/ou les visiteurs incluant les vérificateurs ou les
auditeurs doivent être accompagnés en tout temps par le personnel
autorisé de l’entreprise.
• Les périmètres des salles des centres de données munies de plafond
suspendu ou de faux plafond doivent être sécurisés afin d’empêcher des
infiltrations par les plafonds.

Question 129

Quelles sont les mesures nécessaire de contrôle de température ambiante dans les centres de données ?

Answer 129

• Les centres de données doivent être équipés de système de chauffage et
de climatisation adéquats pouvant maintenir la température de l’air
ambiante à un niveau constant.
• La température des salles d’ordinateur ne peut être inférieure à 18⁰C
(64⁰F) et ne peut dépasser 25⁰C (77⁰F).
• Les centres de données doivent être munis de thermomètres reliés à des
alarmes.

Question 130

Quelles sont les mesures nécessaire de contrôle de taux d’humidité ambiant dans les centres de données ?

Answer 130

• Le taux d’humidité dans les centres de données doit être maintenu stable
entre 40% et 55% d’humidité. Les taux d’humidité peuvent être contrôlés
par des déshumidificateurs ou par du chauffage.
• Les centres de données doivent être munis de baromètre indiquant les
taux d’humidité ou de capteur d’humidité.

Question 131

Quelles sont les mesures nécessaire de contrôle de l’électricité et électrostatique dans les centres de données ?

Answer 131

• Afin d’assurer une alimentation électrique stabilisée, filtrée et continue,
les centres de données doivent être équipés d’onduleur et de source
électrique alternative (génératrice).
• Les racks dans les centres de données doivent être branchés sur des
mises à terre.
• Les prises de courant qui alimentent les équipements informatiques
doivent être munies de dispositif de protection automatique au cas de
surcharges électriques.
• Les recouvrements des planchers des centres de données doivent être
antistatiques. Les recouvrements de tapis sont interdits.

Question 132

Quelles sont les règles de sécurité des équipements informatiques dans les centres de données ?

Answer 132

• Les cabinets et les racks contenant les équipements informatiques
doivent être disposés d’une façon propice et logique dans le centre de
données. Il est préférable de regrouper les équipements ayant des
fonctions similaires ou les mêmes systèmes d’exploitation.
• Les cabinets et les racks doivent être solidement fixés au plancher
réduisant les risques de basculement pouvant causer des chutes
d’équipement.
• Les espaces de ventilation entre les composantes doivent être respectés
selon les recommandations des manufacturiers. Normalement elles se
situent à environ 4cm.
• Dans les cabinets et les racks, un espace de 30cm est requis entre le
plancher de la salle et les premières rangées d’équipement.
• Le câblage reliant les périphériques et les équipements informatiques
doit être proprement attaché et fixé aux cabinets et aux racks. Les excès
de câblage doivent être enroulés et attachés.
• Afin de réduire les risques d’accidents et de bris d’équipement, les portes
des cabinets doivent être fermées en tout temps lorsque les
équipements ne sont pas en maintenance.
• Certains équipements aspirent l’air frais par les portes avant et rejettent
l’air chaud par les portes arrière. Les portes des cabinets et les prises d’air
des équipements ne doivent pas être obstruées.
• Les claviers des consoles des serveurs doivent être repliés, barrés ou
retirés lorsqu’ils ne sont pas en utilisation.
• Les centres de données doivent être maintenus propres et rangés en tout
temps. Libres de tout obstacle pouvant provoquer un incident résultant à
un bris d’équipement ou un accident pouvant causer des blessures.

Question 133

Quelles sont les précautions à prendre concernant la sécurité du personnel dans les centres de données ?

Answer 133

• Le port d’équipement de sécurité tel des lunettes protectrices, des gants,
des protecteurs auditifs (pour exposition sonore > 90dB), des chaussures
de sécurité peut être nécessaire en fonction des travaux à exécuter.
• Les techniciens qui doivent effectuer des travaux en hauteur dans le
centre de données doivent utiliser des escabeaux sécuritaires isolés qui
ne transmettent pas de courant électrique et électrostatique.
• Les individus qui doivent travailler seuls dans des centres de données en
dehors des heures normales de travail doivent suivre une procédure pour
signaler leur présence toutes les deux (2) heures (Tracking).
• Les techniciens qui doivent ouvrir les boitiers des équipements
informatiques pour effectuer des travaux doivent suivre les
recommandations des manufacturiers en ce qui a trait aux mises à terre
et aux suppressions des courants électriques.

Question 134

Quelles sont règles pour les sites de relève dans les centres de données ?

Answer 134

• Des liens privés de télécommunications à haute performance doivent
relier les sites.
• Des sauvegardes de type miroir doivent être effectuées
automatiquement entre les systèmes critiques.
• Un plan de recouvrement doit être établi décrivant les procédures et les
étapes à suivre au cas d’un désastre ou un évènement majeur qui
exigerait le site de relève.
• Des essais de type DRP (¨Disaster Recovery Process¨) doivent être
effectués annuellement.

Question 135

Quels sont les 3 buts et objectifs d’une analyse de sécurité ?

Answer 135

1. Évaluer les niveaux de risque des services ou des systèmes informatiques
   internes et infonuagiques basés sur les potentialités et les impacts.
2. Réduire et maintenir les niveaux de risque des actifs informationnels de
   l’entreprise à un niveau acceptable en recommandant des contrôles et
   des méthodes pour assurer la confidentialité, l’intégrité et la
   disponibilité des informations et des systèmes informatiques.
3. Assurer et maintenir la conformité aux normes légales, aux exigences de
   certifications applicables et à la politique de sécurité de l’entreprise.

Question 136

Dans quelles (4) circonstances une analyse de sécurité est-elle nécessaire ?

Answer 136

1. Lors de déploiement des nouvelles technologies.
2. Lors de la conception des logiciels.
3. Les systèmes qui traitent des informations classifiées confidentielles.
4. Les systèmes qui ont été victimes de nombreux incidents de sécurité.

Question 137

Qui devrait participer à une analyse de sécurité ?

Answer 137

Toutes les personnes impliquées dans les processus décisionnel, de maintenance,
de développement, de gestion et de support d’un service ou d’un système
informatique:
• Gestionnaire de projet
• Représentant de l’unité d’affaires (utilisateur ou ¨Sponser¨)
• Propriétaire ou gardien de l’actif informationnel
• Administrateur du système
• Tous les autres intervenants (développeur, fournisseur de service,
hébergeur, etc).

Question 138

Qu’est-ce que sont les risques inhérents ?

Answer 138

Il s’agit des risques indissociables de l’origine de leurs
menaces. En sécurité de l’information on considère les risques inhérents
comme les dangers qui peuvent subvenir sans la protection des contrôles
et des méthodes de sécurité.

Question 139

Qu’est-ce que sont les risques résiduels ?

Answer 139

Il s’agit des risques qui subsistent après l’application des contrôles et des méthodes de sécurité.

Question 140

Quels sont les rôles et responsabilités d’un analyste de sécurité ?

Answer 140

• Analyser et établir les niveaux de risque (élevé, moyen et faible)
ainsi que les potentiels que ces risques se matérialisent.
• Au besoin coordonner les balayages de vulnérabilité ou des tests
d’intrusion.
• Produire le rapport d’analyse de sécurité en émettant des
recommandations de sécurité par l’établissement de contrôle ou des
procédures opérationnelles.
• Présenter le rapport d’analyse de sécurité aux participants et valider
les observations avant l’émission de la version finale du rapport.
• Informez les participants des prochaines étapes selon les niveaux de
risque.
• Conseillez les participants sur les moyens ou les méthodes de
remédiation acceptables.
• Produire le rapport final de l’analyse de sécurité selon les directives
de la Gouvernance.

Question 141

Quels sont les rôles et responsabilités de la gouvernance ?

Answer 141

• Prioriser les calendriers d’analyses de sécurité.
• Réception des rapports d’analyse de sécurité.
• Enregistrer les recommandations dans le registre des recommandations
de sécurité.
• Négocier avec les commanditaires ou les propriétaires des actifs
informationnels les prochaines étapes à suivre selon les niveaux de
risque.
• Informer la sécurité TI des décisions prises.
• Faire les suivis des exceptions à la politique.
• Au besoin ; voir au processus d’acceptation de risque ou escalader au
comité de direction de l’entreprise.

Question 142

Quels sont les rôles et responsabilités du commanditaire ou propriétaire de l’actif informationnel

Answer 142

• Faciliter la logistique des sessions d’analyse de sécurité et assure la
coordination avec les différents intervenants et participants (ressources
TI, fournisseurs de service, gestionnaire de projet, etc.).
• Faire les suivis sur les requêtes d’information et de validation provenant
de l’analyste de sécurité.
• Recevoir et valider le rapport d’analyse de sécurité lors de la réception.
• Mettre en place les contrôles et les recommandations de sécurité. Faire
les suivis des exceptions à la politique.
• Au besoin ; voir au processus d’acceptation de risque ou escalader au
comité de direction de l’entreprise.

Question 143

Quels sont les 3 niveaux de risques ?

Answer 143

• Risque Faible: Représente peu de risque à la confidentialité, à l’intégrité et à
la disponibilité des systèmes et de l’information. Le service ou le projet peut
donc passer à la prochaine étape ou en mode de production sans autres
mesures.
• Risque Moyen: Représente des inquiétudes à la confidentialité, à l’intégrité et
à la disponibilité des systèmes et de l’information. Le service ou le projet peut
donc passer à la prochaine étape ou en mode de production avec un plan de
remédiation qui réduira le niveau de risque à faible dans les 3 à 6 mois
suivants la prochaine étape.
• Risque Élevé: Représente un danger imminent à la confidentialité, à
l’intégrité et à la disponibilité des systèmes et de l’information. Le service
ou le projet ne peut passer à la prochaine étape ou en mode de
production sans avoir complété un plan de remédiation qui réduira le
niveau de risque à moyen ou à faible.

Question 144

Donnez des exemples de situations qui pourraient influencer les niveaux de risque en entreprise.

Answer 144

• Contrôle de sécurité manquant qui pourrait compromettre la
confidentialité, l’intégrité et la disponibilité des actifs informationnels
confidentiels (ex.: Pas d’encryption, paramètres de sécurité inexistants,
etc.).
• Défaillance dans la gestion des accès, des privilèges et des ségrégations
des tâches.
• État de non-conformité à la politique de sécurité de l’entreprise et des
normes obligatoires (Ex.: Utilisation de protocoles proscrits Telnet, FTP).
• Incapacité de produire les preuves exigées durant l’analyse de sécurité.

Question 145

Quelles sont les 8 étapes de gestion des incidents de sécurité ?

Answer 145

1. Préparation
2. Création de l’équipe de gestion des incidents
3. Détection et évaluation
4. Procédure d’escalade
5. Procédure de confinement
6. Éradication
7. Retour à la normale
8. Suivis et rapports

Question 146

Définition de la Cybersécurité

Answer 146

La cybersécurité est un ensemble de lois, de politiques, d’outils, de dispositifs de sécurité,
des bonnes pratiques, des méthodes de gestion de risque, de formation et de
sensibilisation pour protéger les personnes, les actifs informationnels/opérationnels et
le matériel informatique contre les attaques, les intrusions, les fuites d’informations, les
fraudes et les atteintes à la vie privée.

Question 147

Deux (2) catégories de cybercriminalité *:

Answer 147

1. Infractions où la technologie est la cible – actes criminels qui ciblent des ordinateurs et d’autres technologies de l’information, comme ceux qui concernent l’utilisation non
   autorisée d’ordinateurs ou les méfaits concernant des données.
2. Infractions où la technologie est l’instrument – actes criminels commis à l’aide d’Internet ou de technologies de l’information, comme la fraude, le vol d’identité, la violation de propriété intellectuelle, le blanchiment d’argent, le trafic de drogues, la traite de personnes, les activités du crime organisé, l’exploitation sexuelle des enfants
   ou la cyberintimidation.

Question 148

Exemples d’obligations et exigences des lois:

Answer 148

• Les entreprises doivent obligatoirement mettre des contrôles de sécurité pour
protéger les renseignements personnels de leurs employés et de leurs clients.
• Les entreprises doivent informer les individus lorsque leurs informations
personnelles ont été compromises pouvant causer des préjudices.
• Les entreprises doivent informer leurs employés lorsque leurs informations
personnelles sont hébergées à l’extérieure de leurs pays (applicable au Canada et E-U).
• La non-conformité à certaines lois peut entrainer des accusations au criminel (ex: SOX aux CFOs) et des amendes très salées (ex: RGPD/GDPR= 4% du revenu global de l’entreprise).
• La loi RGPD et la loi 64 au Québec exigent des registres de consentement lors de la collecte de renseignements personnels.

Question 149

Nommez Quelques menaces connues et leur description

Answer 149

DDOS
TROJAN
SNIFFING
SPOOFING
RANSOMWARE
SPYWARE
WORMS
PHISHING

Question 150

Espionnage industriel (Suite):
Trois (3) méthodes de prévention:

Answer 150

1. Moyens technologiques:
   • Chiffrement des informations recettes (cours # 9)
   • Limiter les accès (Gestion des identités - cours # 7)
   • Segmentations réseautiques (cours # 6)
   • Blocage des signaux radio (WiFi et cellulaire)
   • DLP (Data Lost Prevention)
2. Moyens Politiques:
   • Inventaire des propriétés intellectuelles
   • Entente de non-divulgation (NDA)
   • Accompagnement des visiteurs
   • Interdiction d’appareils photo et cellulaires (ex: dans les usines)

3. Moyens Physiques:
• Séparation physique des équipements.
• Caméras
• Systèmes d’alarme
• Fouilles du personnel (exceptionnel)

Question 151

Règle générale, il y a trois (3) niveaux de sévérité de risque dans les entreprises
soit :

Answer 151

Risque Faible : Représente peu de risque à la confidentialité, à l’intégrité et
à la disponibilité des systèmes et des informations.

Risque Moyen : Représente des inquiétudes à l’égard de la confidentialité,
de l’intégrité et de la disponibilité des systèmes et des informations.

Risque Élevé : Représente un danger imminent à l’égard de la
confidentialité, de l’intégrité et de la disponibilité des systèmes et des
informations.

Question 152

Le cadre de la politique est structuré en quatre types de documents:

Answer 152

1. La Politique: Un document qui traite différents domaines en matière de
   sécurité informatique et qui a pour but de véhiculer les décisions prises par
   l’entreprise dans le respect des normes de conformité légales et spécifiques
   (ISO, SOX, PCI, etc.). La politique répond à la question ‘‘Que veut-on faire?’’
2. Les Pratiques ou les Directives: Est un ensemble de documents qui donnent
   des lignes directrices, des exigences et parfois des prescriptions afin de
   supporter les domaines de la politique de sécurité informatique. Les pratiques
   contribuent à l’établissement des standards qui doivent être conformes aux
   normes de conformité légales et spécifiques. La pratique répond à la question
   ‘‘Comment va-t-on le faire?’’
3. Les Standards: Sont des listes de normes techniques ou des mesures
   référentielles publiées par des organismes nationaux et internationaux de
   standardisation (Ex.: ISO, IEC). Les standards répond à la question ‘‘Avec quoi
   va-t-on le faire?’’
4. Les Procédures: Sont des documents techniques qui détaillent des processus
   et les méthodes nécessaires pour la mise en place et le maintien des exigences
   de sécurité prescrits dans les pratiques et les standards de la politique de
   sécurité informatique.

Question 153

• Trois (3) types de changements applicables au cadre de la politique:

Answer 153

1. Clarification: L’ajout des détails techniques ou explicatifs d’un contrôle ou
   d’un énoncé existant qui aurait généré des questionnements.
2. Modification: D’un contrôle existant ou d’un énoncé ou une règle. Il s’agit
   d’un ajustement pour refléter les réalités de l’entreprise ou resserré ou
   retirer un contrôle.
3. Ajout: D’un nouveau contrôle ou d’une nouvelle règle de conformité.

Question 154

Nommez un exemple de conformité

Answer 154

La norme PCI-DSS

Question 155

La majorité des entreprises qui utilisent les protocoles d’internet TCP/IP (IPv4,
IPv6) pour communiquer ont établi des réseaux privés d’entreprise pour les
6 raisons suivantes:

Answer 155

1. Séparer les réseaux publics (internet) du réseau de l’entreprise.
2. Contrôler les accès au réseau de l’entreprise.
3. Contrôler le trafic entrant et sortant (In bound et Out bound)
4. Permettre une ségrégation par segment réseautique
5. Assurer une disponibilité et une performance optimale pour les
   télécommunications de l’entreprise
6. Sécuriser l’ensemble du réseau (impossible de sécuriser l’internet)

Question 156

Quelques vulnérabilités réseautiques :

Answer 156

Sniffing
DDOS
ARP/DNS Spoofing

Question 157

Moyens préventifs de protection réseautiques:

Answer 157

• Chiffrement (encryption): Le chiffrement des transmissions filaires et sans-fils
ainsi que du data en sauvegarde (data at rest) est une excellente stratégie de
protection des informations. Si un pirate s’infiltre dans un réseau, il ne pourra
pas lire les données sans les clés des chiffrements.
• Segmentation réseautique: La segmentation réseautique peut rendre les
données inaccessibles aux pirates informatiques. Segmenter les données
sensibles classifiées confidentielles tels les renseignements personnels (RH) ou
des finances est une bonne stratégie de protection des informations. Si le
réseau des invités est compromis, les pirates n’auront pas accès aux autres
segments réseautiques.
• Les authentifications: Les authentifications réduisent les risques d’usurpation
d’identité ou d’adresses MAC (spoofing). Utilisez des protocoles qui forcent
des authentifications sécuritaires (chiffrées) ou des authentifications fortes à
doubles facteurs.
• Surveillance réseautique (monitoring): Une surveillance réseautique
constante est un moyen de prévention d’intrusion et de piratage reconnu.
L’utilisation de systèmes de protection tels les NIDS et les NIPS (Network
Intrusion Detection/Prevention) sont des moyens efficaces.

Question 158

Exemples d’infrastructure réseautique dans les grandes entreprises:

Answer 158

• Centres de données

* Hybride avec infonuagique (¨Cloud¨)

Question 159

Catégories des services infonuagiques:

Answer 159

Software as a Service (SaaS) Est un logiciel de service qui demeure dans le cloud
tel une suite de bureautique. Ex.: Office365, Google
Apps, Salesforce, etc.
Plateforme as a Service (PaaS) Une plateforme logiciel développée dans le cloud tel
un serveur d’application web dans le cloud. Ex.:
Microsoft Azure, Google App Engine, etc.
Infrastructure as a Service (IaaS) Fournisseur d’infrastructure cloud, hébergement des
systèmes informatiques, des serveurs, VM, etc. Ex.:
IBM, Microsoft, Amazone, Google, etc.
Data as a Service (DaaS) Service d’hébergement de data dans le cloud. Ex.:
OneDrive, DropBox, iCloud, Google Docs, etc.

Question 160

Processus d’authentification:

Answer 160

• Identification : Processus qui permet de connaître l’identité d’une entité
ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (Qui
vous êtes).
• Authentification : Consiste à vérifier l’identité d’une entité ou d’un
utilisateur afin d’autoriser l’accès à des ressources ou à des actifs
informationnels. Il s’agit principalement des mots de passe (Ce que vous
savez).
• Authentification Simple : L’authentification repose sur un seul élément
ou un seul facteur (l’utilisateur indique son mot de passe).
• Authentification Forte : L’authentification repose sur deux éléments ou
deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton,
biométrie, carte intelligente, etc.).
• Authentification Unique : Méthode permettant aux utilisateurs de
procéder qu’à une seule authentification pour accéder à plusieurs
systèmes ou applications informatiques. (SSO ¨Single Sign On¨)

Question 161

Deux (2) types d’occurrences de sécurité:

Answer 161

1. Évènement de sécurité: Les évènements de sécurité sont causés par des
   pannes de systèmes ou par des bris d’équipement. Ces défaillances
   peuvent être causées par l’usure normale des équipements (ex: le bris
   d’un disque dur d’un serveur) ou par une cause ou une force externe
   (ex: l’inondation d’une salle de serveur, un incendie, etc.). Il n’y a pas
   d’implication humaine dans la cause d’un évènement de sécurité.
2. Incident de sécurité: Les incidents de sécurité sont causés par un
   humain soit par un geste volontaire ou involontaire ou par une erreur.
   Les incidents de sécurité peuvent être de nature technique ou éthique.
   Les incidents de sécurité peuvent devenir viraux et demandent des
   mesures défensives et des connaissances techniques avancées. Les
   incidents de nature éthique (vols d’équipement informatique,
   divulgation volontaire d’information confidentielle) doivent être traités
   au cas par cas et peuvent exiger la participation des ressources
   humaines, des services juridiques, du groupe responsable des enquêtes
   internes de l’entreprise et, dans certaines circonstances, doivent être
   transmis aux autorités policières.

Question 162

Voici des exemples d’occurrences qui requièrent le déclenchement de gestion d’incident :

Answer 162

• Intrusion de système: Toute intrusion ou tentative d’intrusion (hacking)
intentionnelle ou non intentionnelle par un utilisateur non autorisé au
réseau interne de l’entreprise.
• Perte ou vol d’équipement: Contenant des informations classifiées
confidentielles ou usage interne.
• Endommagement de site Web: Transformation non autorisée d’un site
Web de l’entreprise (gribouillages, fausses informations)
• Injection de code malicieux: Toutes infections de code malicieux tels les
virus, les vers informatiques, les chevaux de Troie, rançongiciel, etc.
• Déni de service (DDoS): Émission de multiples requêtes provenant de
sources internes ou externes ayant une incidence sur la performance et
la disponibilité des systèmes et du réseau interne de l’entreprise.
• Protection d’infrastructure critique: Toute activité non planifiée ou
erreur qui a un effet négatif sur les infrastructures critiques qui n’ont pas
suivi les procédures de gestion de changement.
• Utilisation non autorisée: Toute utilisation non autorisée de système ou
de ressources réseautiques qui ont un effet négatif sur la performance et
la disponibilité.
• Compromission d’information: Toute divulgation non autorisée
d’information classifiée confidentielle ou interne.
• Bris ou panne d’équipement: Toute panne ou tout bris d’équipement
ayant une incidence sur la performance et la disponibilité des systèmes
ou du réseau interne de l’entreprise.
• Évènement majeur: Menaçant l’intégrité et la disponibilité des systèmes
et des actifs informationnels, Ex: incendie, inondation, accident causant
des pertes d’équipement.