Études

Question 1

La cybersécurité est basée sur trois (3) piliers de sécurité qui doivent être pris en considération lors d’analyse de sécurité. Nommez ces trois piliers et donnez une description de chacun

Answer 1

Confidentialité: protection des informations confidentielles
Intégrité: avoir des informations exactes et complètes pour empêcher les modifications (accident ou délibéré)
Disponibilité: faire sûr que les informations sont disponible pour ne pas nuire aux affaires, prévention de destruction informationnels (accident ou délibéré)

Question 2

Nommez trois (3) méthodes (Moyens) efficaces de prévention de l’espionnage industriel

Answer 2

1. Moyens Technologiques (Encryption des informations recettes, limitation des accès, etc.)
2. Moyens Politiques (NDA, Inventaire des propriétés intellectuelles, etc.)
3. Moyens Physiques (Caméras, Systèmes d’alarme, etc.)

Question 3

Un cadre d’une politique de sécurité est constitué de quatre (4) types de documents. Nommez ces documents et donnez une description de chacun

Answer 3

1. Politique: ensemble de décision que l’entreprise prend pour sécuriser les systèmes et l’information (high level, pas technique)
2. Pratiques ou Directives: directives et exigences pour épauler la politique de sécurité
3. Standards: normes et références de standards publiées par des sociétés reconnues et spécialisées
4. Procédures: documents techniques qui explique clairement comment appliquer les standards et pratiques, ex. longueur password

Question 4

Quels sont les quatre (4) objectifs d’une politique de sécurité ?

Answer 4

1. Protéger les informations et opérations contre la fraude, les attaques informatiques, les fuites d’informations et les atteintes à la vie privée.
2. Assurer la conformité aux normes et exigences légales.
3. Réduire les risques inhérents en risques résiduels.
4. Établir des standards de sécurité sans nuire aux objectifs de l’entreprise.

Question 5

La révision de la politique de sécurité doit se faire à quelle fréquence ?

Answer 5

À chaque année

Question 6

Nommez les quatre (4) critères à considérer lors de l’établissement de la classification des informations

Answer 6

valeur: Données financières, informations bancaires.

sensibilité: Propriétés intellectuelles, plans d’acquisition, restructuration.

obligations légales: Renseignements personnels, informations de crédit.

criticité: Données essentielles au fonctionnement des systèmes de production.

Question 7

Quelles sont les conditions si des données de production se retrouvent dans des environnements de développement, de test ou de formation ?

Answer 7

les mêmes contrôles de sécurité de l’environnement de production doivent être appliqués.

Question 8

Nommez les six (6) segments réseautique que l’on retrouve dans les entreprises

Answer 8

1. Segment Internet (Internet Gateway): Zone d’accès externe à l’internet.
2. Segment DMZ (¨Demilitarized Zone¨): Zone qui relie le réseau interne
   de l’entreprise (intranet) à l’internet. L’hébergement des services Web
   externes, tels les sites de l’entreprise, les serveurs de transfert des
   données et les serveurs d’accès distants, font partie du segment DMZ.
3. Segment entreprise: Segment intranet non visible à l’Internet où se
   situent les utilisateurs, les postes de travail, les imprimantes et les
   téléphones IP. Les unités d’affaire de l’entreprise peuvent avoir leurs
   propres segments réseautiques séparés par des pare-feu. Ex.: Finances,
   RH, légales, etc.
4. Segment restreint: Zone avec restriction d’accès où se trouvent les
   bases de données, les dossiers des employés, des fichiers réseau,
   système de paye, système de facturation, et tous les serveurs contenant
   des informations classifiées confidentielles.
5. Segment de gestion de sécurité: Systèmes d’authentification (Active
   Directory, systèmes de journalisation, systèmes de monitorage)
6. Segment de production – usine: Zone réservée aux systèmes de
   production des usines et aux contrôles manufacturiers (SCADA, PLC, etc).

Question 9

À quoi sert un balayage de découverte (Ping Scan)?

Answer 9

identifier les hôtes solitaires (¨Rogue¨) pour déterminer si ces équipements doivent être débranchés du réseau ou s’ils déclencheront des enquêtes de sécurité.

Question 10

Pourquoi les protocoles de télécommunication FTP et Telnet sont considérés non-sécuritaires ?

Answer 10

clear text

Question 11

Nommez trois (3) enjeux de sécurité avec les services infonuagiques

Answer 11

1. Confidentialité et protection de la vie privée
2. Contrôle des accès et gestion des privilèges
3. Disponibilité et gestion de continuité

Question 12

Gestion des identités et des accès

Définition : Identification

Answer 12

Processus qui permet de connaître l’identité d’une entité ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (username, Qui vous êtes).

Question 13

Gestion des identités et des accès

Définition : Authentification

Answer 13

vérifier l’identité d’un utilisateur pour donner accès à des informations. Il s’agit principalement des mots de passe (password, Ce que vous savez).

Question 14

Gestion des identités et des accès

Définition : Authentification Simple

Answer 14

L’authentification utilise un seul facteur (l’utilisateur indique son mot de passe).

Question 15

Gestion des identités et des accès

Définition : Authentification Forte

Answer 15

L’authentification repose sur deux éléments ou deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton, biométrie, carte intelligente, etc.).

Question 16

Gestion des identités et des accès

Définition : Authentificiation Unique

Answer 16

Méthode permettant aux utilisateurs de procéder qu’à une seule authentification pour accéder à plusieurs systèmes ou applications informatiques. (SSO ¨Single Sign On¨)

Question 17

Gestion des identités et des accès

Définition : Accès

Answer 17

passages pour accéder à des informations, des applications, des systèmes, des services, des sites web et des segments réseautiques nécessaires à l’exécution des tâches des utilisateurs.

Question 18

Gestion des identités et des accès

Définition : Privilèges

Answer 18

droits qui permettent aux utilisateurs d’effectuer des actions dans des systèmes informatiques. Une liste non exhaustive de privilège serait : read, write, execute, copier, imprimer, supprimer.

Question 19

Gestion des identités et des accès

Définition : Mot de passe

Answer 19

série de caractère utilisé comme moyen d’authentification dans le but de prouver l’identité d’un utilisateur ou d’une ressource.

Question 20

Quelles sont les 8 étapes de cycle des accès

Answer 20

1. Initier la demande
2. Approbations
3. Approvisionnement
4. Permissions
5. Modifications
6. Monitoring
7. Désactivation
8. Suppresion

Question 21

Quels sont les 3 types de comptes

Answer 21

1. régulier
2. administrateur
3. fonctionnel

Question 22

Définition : Compte régulier

Answer 22

comptes qui sont assignés individuellement et sont utilisés par tous les utilisateurs dans l’exécution quotidienne de leurs tâches (réseau interne et courriels de l’entreprise)

Question 23

Définition : Compte administrateur

Answer 23

comptes qui ont des privilèges élevés et peuvent effectuer des changements dans les environnements et dans les systèmes informatiques.

Question 24

Définition : Compte fonctionnel

Answer 24

Les comptes fonctionnels identifient des systèmes, applications ou services ou un groupe d’utilisateurs (pas un utilisateur en particulier) et ont des accès limités pour des tâches spécifiques ou de manière automatisée.

Question 25

Quelles sont les 5 règles des comptes réguliers

Answer 25

1. Interdiction sans mot de passe: Les comptes sans mot de passe sont interdits.
2. Pas de partage: Les comptes ne doivent pas être partagés.
3. Propre compte: Chaque utilisateur doit avoir son propre compte pour éviter les contestations.
4. Unique: Chaque compte doit être unique et suivre les normes de l’entreprise.
5. Statut actif: Les propriétaires de comptes doivent être actifs dans le répertoire de l’entreprise.

Question 26

Quelles sont les 4 règles des comptes administrateurs

Answer 26

1. Utilisation spécifique: Utiliser uniquement pour des tâches nécessitant des privilèges élevés (configurations, modifications).
2. Privilèges temporaires: Attribuer les privilèges administratifs seulement au besoin et les retirer après achèvement des tâches.
3. Journalisation: Enregistrer toutes les transactions des comptes administratifs dans les journaux des systèmes.
4. Pas de tâches régulières: Ne pas utiliser pour des tâches quotidiennes comme les emails.

Question 27

Nommez 3 types de comptes fonctionnels

Answer 27

1. Courriel: représente un groupe d’utilisateurs ou un service ex.: finances@plasti-tech.com.
2. Système: Compte machine ou compte pour processus informatisé (¨Script¨) pour authentifier des équipements (serveurs, stations, M to M, etc.).
3. Partagé: Compte d’utilisateur qui sera partagé entre plusieurs utilisateurs.

Question 28

Vrai ou faux : Les comptes fonctionnels peuvent identifier un utilisateur dans les systèmes de journalisation d’une entreprise.

Answer 28

Faux.

• Un compte fonctionnel ne peut identifier
  un utilisateur en particulier dans les
  systèmes de journalisation de l’entreprise.

Question 29

Nommez le plus gros problème dans l’industrie par rapport aux mots de passe

Answer 29

L’utilisation du même mot de passe sur différents systèmes

Question 30

Nommez les 4 facteurs affectant la robustesse des mots de passe.

Answer 30

1. La longueur: La quantité de caractères utilisés dans la composition du mot de passe.
2. Combinaison de caractères alphanumériques: Des lettres de l’alphabet (A à Z) en minuscules et en majuscules et des caractères numériques comprenant les chiffres 0 à 9.
3. Caractères spéciaux: Ex.: @, /, %, &, $
4. Expressions uniques: introuvables dans les dictionnaires des langues parlées des utilisateurs.

Question 31

Pourquoi de nombreuses entreprises répartissent-elles des services TI à des fournisseurs de services spécialisés (4 raisons) ?

Answer 31

1. Requiers moins de ressources spécialisées en TI (main d’oeuvre).
2. Accès rapide aux infrastructures TI (Cloud).
3. Diminution des travaux de soutien (maintenance des systèmes, application des correctifs, gestion des mises à jour, etc.)
4. Diminution des coûts d’infrastructure TI ($ pour équipement).

Question 32

Quels sont les 4 désavantages à répartir des services TI à des fournisseurs de service spécialisé?

Answer 32

1. Pertes de connaissances techniques au sein de l’entreprise.
2. Dépendance aux fournisseurs de service.
3. Perte d’autonomie (particulièrement dans le développement).
4. Augmentation des coûts d’opération TI.

Question 33

Quels sont les 2 modèles de répartition pour les services TI qui sont donnés à sous-contrat à des fournisseurs de service spécialisé?

Answer 33

1. Hébergement externe; chez le fournisseur
2. Hébergement interne; chez le client.

Question 34

Quels sont les 3 niveaux de criticité et quelle est la durée maximale de panne tolérable qui les défini?

Answer 34

1. Critique: Maximum 8 heures
   a. Impact financier élevé, Arrêt d’une ou de plusieurs usines
   b. Effet ressenti par plus de 50% des utilisateurs
2. Important: Maximum 2 jours
   a. Ralentissement de production des employés ou d’une usine
   b. Effet ressenti par 20% à 50% des utilisateurs
3. Régulier: Maximum 5 jours
   a. Faible impact, peu importe le nombre d’utilisateurs touchés

Question 35

Quels sont les 4 types d’architectures (protection) des CTRL industriels?

Answer 35

1. Monolithique: Segment isolé d’une usine unique, sans connexion internet
2. Partagée entreprise: Toujours sans connexion internet, mais le réseau est relié entre les usines
3. Partagée entreprise hybride: Réseau inter relié entre les usines, avec connexion avec un fournisseur cloud via Internet (infonuagique)
4. Infonuagique (IaaS, “Infrastructure as a Service”): Le réseau de production est relié à un fournisseur Cloud (Internet)

Question 36

Quelles sont les principales vulnérabilités des contrôles industriels sur réseaux TCP/IP ? (10 items)

Answer 36

• La cybersécurité versus les systèmes de contrôle industriels
• Les systèmes de contrôle sans capacité de processeur OS.
• Accès non-autorisé aux systèmes de contrôle
• Infections virales
• Renifleur réseautique (Network sniffing)
• Attaques de Rançongiciel (Ransomware)
• Systèmes d’exploitation expirés
• Élargissement réseautique sans diligence de sécurité.
• Vulnérabilités physiques des composantes ICS
• Employés malveillants

Question 37

Quelles sont les différentes stratégies et recommandations de protection des ICS (8 items)?

Answer 37

• Analyse et études de cas
• Débuter par l’inventaire des composantes.
• Établissement des périmètres réseautiques
• La gestion des identités et des accès
• Encryption (chiffrement) des informations
• Surveillance SOC/SIEM
• Application des correctifs ( ̈Patches ̈) de sécurité
• Stratégie de replacement des équipements

Question 38

Quelles sont les 2 grandes utilités des services SOC/SIEM ?

Answer 38

1. Centralisation des journaux
2. Surveillance SIEM (Security information and event management)

Question 39

Quel est le délai de l’application d’un correctif (patch) sur un système critique ?

Answer 39

15 Jours

Question 40

Quel est le délai de l’application d’un correctif (patch) sur un système régulier?

Answer 40

3 Mois

Question 41

À quoi sert la journalisation des systèmes? (5 points)

Answer 41

1. Contrôler le volume d’utilisation des ressources informatiques et
   détecter les anomalies pour assurer une qualité de service et faire
   évoluer les équipements en fonction des besoins.
2. Vérifier les règles en matière de sécurité et détecter toute défaillance ou
   anomalie volontaire ou accidentelle, passive ou active, d’origine
   matérielle ou humaine.
3. Détecter les utilisations des systèmes informatiques contraires au Code
   d’éthique et de conduite de l’entreprise.
4. Fournir des éléments de preuves nécessaires pour mener des enquêtes
   en cas d’incidents (« Forensic »).
5. Porter assistance au processus de diagnostic lors de procédures de
   remédiation des systèmes informatiques.

Question 42

Les journaux des systèmes informatiques sont classifiés dans quelle catégorie de documents et pourquoi?

Answer 42

Confidentiels, en raison de la sensibilité et l’intégrité des informations.

Question 43

Qu’est-ce qui est journalisé pour l’item suivant : Serveurs et postes de travail

Answer 43

• l’identification des utilisateurs
• les dates et les heures des accès
• les résultats d’authentifications
  (succès ou échec)
• les commandes passées

Question 44

Qu’est-ce qui est journalisé pour l’item suivant : Services de courriel et messagerie

Answer 44

• les informations de l’expéditeur
  (adresse)
• les adresses des destinataires
• les dates et les heures des messages
• les différents serveurs de
  transmission des messages
• le traitement « accepté ou rejeté »
  des messages
• la taille du message
• les résultats du traitement des
  courriels non sollicités (SPAM)
• les résultats des logiciels antiviraux

Question 45

Qu’est-ce qui est journalisé pour l’item suivant : Serveurs Web

Answer 45

• les noms DNS ou les adresses IP des
  utilisateurs (demandeurs)
• les URL des pages consultées
• les informations fournies par le client
• le type de la requête
• la date et l’heure des requêtes
• le volume des données transmises
• les différents paramètres passés

Question 46

Qu’est-ce qui est journalisé pour l’item suivant : Les équipements réseautiques

Answer 46

• les noms DNS ou adresses IP des
  sources et des destinations
• les dates et les heures des
  connexions
• les numéros de port et les protocoles
  utilisés des sources et les
  destinations
• les dates et les heures des
  transactions
• le nombre de paquets et le nombre
  d’octets transférés
• les messages d’alerte

Question 47

Qu’est-ce qui est journalisé pour l’item suivant : Les applications

Answer 47

• les identités des utilisateurs
• les dates et les heures des accès et
  des transactions
• les commandes passées
• les transactions effectuées
• les volumes des données transférées

Question 48

Que signifie l’acronyme “SCADA” et quelle est sa définition ?

Answer 48

Supervisory Control and Data Acquisition est une architecture de
contrôle industriel qui utilise des ordinateurs et de la réseautique pour gérer et contrôler des systèmes et des périphériques tels des PLC (¨Programmable Logic Controller¨), des automates et autres composantes.

Question 49

Qu’est-ce qui définit une architecture Monolithique (Stand alone) ?

Answer 49

Segment réseautique de
production pour usine unique ou par usine indépendant des autres usines
et du réseau interne de l’entreprise sans aucune connexion à l’internet.
• Les PLCs, les SCADAs, etc. sont gérés à l’usine.
• Pas IoT
• Pas AI
• Aucun support à distance (tout se fait à l’usine)

Question 50

Qu’est-ce qui définit une architecture partagée entreprise ?

Answer 50

Segment réseautique de production relié
avec les autres usines par le réseau interne de l’entreprise sans connexion à
l’internet.
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• Possibilité d’AI qui est limitée aux données de l’entreprise.
• Le support à distance à partir du réseau interne de l’entreprise est
disponible.

Question 51

Qu’est-ce qui définit une architecture partagée entreprise hybride ?

Answer 51

Segment réseautique de
production relié avec les autres usines par le réseau interne de l’entreprise
avec connexion à un fournisseur de service infonuagique via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par des consoles centralisées à
partir du réseau interne de l’entreprise.
• AI provient d’un fournisseur de service spécialisé.
• Possibilité de support à distance à partir du réseau interne de
l’entreprise et de l’internet.

Question 52

Qu’est-ce qui définit une Architecture infonuagique IaaS (¨Infrastructure as a Service¨) ?

Answer 52

Segment réseautique de production relié à un fournisseur spécialisé infonuagique
(¨Cloud¨) via l’internet:
• Les PLCs, les SCADAs, etc. sont gérés par un fournisseur infonuagique
spécialisé à partir de l’internet.
• AI provient du fournisseur de service
• Support provient 100% du fournisseur

Question 53

Quelles sont les 7 points d’une analyse et étude de cas ?

Answer 53

1. Comprendre le domaine du manufacturier (c’est quoi qu’ils font ?)
2. Comprendre les objectifs de l’entreprise en matière de production
3. Comprendre les enjeux en matière de santé, de sécurité, d’environnement, financier, conformité, etc.
4. Envisager les pires scénarios où une catastrophe pourrait se produire.
5. Analyser les systèmes de gestion ICS en place
6. Envisager des protections logiques et physiques
7. Émettre des recommandations

Question 54

Qu’est-ce que l’inventaire des composantes (CTRL Industriels) doit spécifier, entre autres ?

Answer 54

• Les composantes intelligentes munis d’OS
• Les équipements sans processeur
• Leurs fonctions
• Protocole de télécommunication
• Niveau de criticité (Critique, Important et Régulier)
• Équipement de relève ?
• Les types d’ICS émetteurs (¨Out Bound¨)
• Les types d’ICS récepteurs (¨Inbound¨)
• Les types d’ICS émetteur et récepteurs (¨Inboud/Outbound¨)
• Les types d’ICS contrôlés par console (PLC/SCADA)
• Diagramme des segments réseautiques (¨subnet¨)

Question 55

Nommez des exemples de contrôle des périmètres réseautiques.

Answer 55

• Vérification de la provenance d’une adresse IP spécifique lors de l’émission d’une commande sensible (ouverture/fermeture de valve, command d’arrêt d’un système, commande de déroutage des fluides
• Forcer une réauthentification à double facteur lors de réception d’une commande sensible
• Bloquer des commandes de contrôle à des heures ou des périodes spécifiques
• Plusieurs autres scénarios de protection à être analyser selon le type de manufacture industrielle
• Systèmes de protection NIDS/NIPS (¨Network Intrusion Detection & Prevention¨)
• Présence de pare-feux entre chaque segment réseautique

Question 56

Quelles sont les 5 différentes stratégies et recommandations de protection des ICS ?

Answer 56

1. La gestion des identités et des accès
2. Encryption (chiffrement) des informations
3. Surveillance SOC/SIEM
4. Application des correctifs (¨Patches¨) de sécurité des équipements qui supportent les applications ICS.
5. Stratégie de replacement des équipements

Question 57

Nommez 5 évènements que les services SOC/SIEM peuvent détecter en terme de sécurité.

Answer 57

• Détection de bris d’équipement
• Tentative d’intrusion réseautique
• Intrusion de système
• Élévation de privilèges non planifiée
• Vols d’information (si DLP activé)

Question 58

Nommez quelques exemples de cas de surveillance (use cases) des services SOC/SIEM.

Answer 58

• Arrêt/démarrage de serveurs critiques
• Arrêt/démarrage de services critiques
• Suppression de journaux (logs) de système
• Compte créé et supprimé en 24 heures
• Brute force attack sur un compte
• Comptes barrés à maintes reprises
• Activation de compte administratif
• Ajout d’un compte à un groupe de privilège élevé
• Tentative d’accès d’un compte d’un employé terminé
• Tous les changements de configuration/politique de sécurité de AD
• Violation de règles de pare-feu applicatif
• Échec de mise à jour de signatures virales
• Attaques virales (virus/malveillant)
• Détection d’utilisation de protocoles proscrits (FTP, Telnet, etc.)
• Alertes IDS réseautiques

Question 59

Pourquoi l’horodatage (NTP) est-elle importante ?

Answer 59

Afin d’assurer l’intégrité des informations et des évènements, il est important que
les systèmes informatiques obtiennent la date et l’heure à partir de sources
officielles et communes. Un synchronisme du protocole NTP (¨Network Time
Protocol¨) est nécessaire pour tous les équipements branchés sur des réseaux
internes.

Question 60

Quelles sont les 9 étapes à suivre lors de la configuration des systèmes ?

Answer 60

1. L’installation du système d’exploitation
2. Faire les mises à jour du système d’exploitation et appliquer les correctifs
   (¨Patches¨) selon les recommandations du vendeur.
3. Les paramètres de sécurité doivent être configurés selon les
   recommandations de la gouvernance.
4. Voir à l’installation des applications et des logiciels selon la fonction
   primaire de l’équipement.
5. Mettre à jour les logiciels et les applications selon les plus récentes
   versions et les recommandations du vendeur.
6. Les comptes qui ne sont pas utilisés doivent être désactivés.
7. Renommer les comptes administratifs par défauts et changer leurs mots
   de passe. Les noms de comptes ne peuvent divulguer les privilèges ou
   les rôles administratifs (admin, back up, etc.)
8. Activation de la journalisation du système.
9. Désactiver les services et les protocoles non sécuritaires (consulter la
   table des protocoles proscrits dans du cours # 6).

Question 61

Nommez les 9 principales règles de sécurité pour les logiciels anti-malveillants.

Answer 61

• Les suites de logiciels de sécurité doivent être en mesure de détecter,
d’éradiquer, de supprimer et de protéger les équipements contre tous les
types de logiciels malveillants connus tels les virus, les vers
informatiques, les chevaux de Troie, les logiciels espions, les « Root Kit »,
etc.
• Les mises à jour des fichiers de menace (signatures virales) doivent être
automatiques et installées sur chaque poste de travail et chaque serveur.
• Les mises à jour des logiciels antivirus et les nouvelles signatures doivent
être téléchargées et installées sur les équipements dès qu’elles sont
disponibles.
• Des analyses rapides de détection virales doivent être configurées pour
qu’elles soient exécutées quotidiennement sur les postes de travail et les
équipements portatifs.
• Seuls les administrateurs TI de l’entreprise sont autorisés à changer les
configurations, activer ou désactiver les logiciels antivirus sur les postes
de travail et les équipements portables. Les permissions des utilisateurs
se limitent à lancer des balayages (« Scans ») sur demande.
• Des analyses complètes de détection virales doivent être configurées
pour qu’elles soient exécutées hebdomadairement sur les postes de
travail et les équipements portatifs.
• Afin d’éviter des propagations, les équipements infectés ou suspectés
d’être infectés de virus doivent si possible être débranchés du réseau
interne de l’entreprise dans les plus brefs délais.
• Les systèmes de courriel doivent bloquer et empêcher la transmission
des messages ayant des fichiers exécutables comme pièces jointes telles
des .EXE, .BAT, .CMD, etc. Consultez la liste des extensions bloquées
d’Outlook de Microsoft.
• Des balayages de détection virale doivent être déclenchés
automatiquement lors de détection de médias portatifs tels les clés USB,
« Flash Drive », et disques externes avant de les utiliser.

Question 62

Quels sont les 3 types de sauvegarde et ce qui les définit ?

Answer 62

Complète: Cette méthode permet de copier toutes les données indépendamment des modifications depuis la précédente sauvegarde.

Différentielle: Cette méthode permet de conserver toutes les
modifications depuis la sauvegarde complète.

Incrémentale: Cette méthode permet de conserver toutes les modifications depuis la précédente sauvegarde. Ce qui signifie que la préservation des données est effectuée depuis les sauvegardes incrémentales précédentes.

Question 63

Quelle est la règle du 3-2-1 quand on parle de sauvegarde des informations ?

Answer 63

trois (3) copies des informations qui seront sauvegardées sur
deux (2) médias différents avec
une (1) copie située à l’extérieur du centre des données.

Question 64

Quel est le délai d’application pour une Mise à jour Critique sur un système Critique ?

Answer 64

15 jours

Question 65

Quel est le délai d’application pour une Mise à jour Critique sur un système Important ?

Answer 65

1 mois

Question 66

Quel est le délai d’application pour une Mise à jour Critique sur un système Régulier?

Answer 66

1 mois

Question 67

Quel est le délai d’application pour une Mise à jour Importante sur un système Critique ?

Answer 67

1 mois

Question 68

Quel est le délai d’application pour une Mise à jour Importante sur un système Important ?

Answer 68

2 mois

Question 69

Quel est le délai d’application pour une Mise à jour Importante sur un système Régulier ?

Answer 69

3 mois

Question 70

Quel est le délai d’application pour une Mise à jour Moyenne sur un système Critique ?

Answer 70

3 mois

Question 71

Quel est le délai d’application pour une Mise à jour Moyenne sur un système Important ?

Answer 71

3 mois

Question 72

Quel est le délai d’application pour une Mise à jour Moyenne sur un système Régulier?

Answer 72

3 mois

Question 73

Les critères d’attribution des niveaux de sévérité des mises à jour sont basé sur quoi? (3 points)

Answer 73

1. Les recommandations des fournisseurs;
2. L’applicabilité dans l’entreprise;
3. L’exposition à la vulnérabilité (menace).

Question 74

Comment vérifie-t-on l’état de la sécurité et de la conformité des infrastructures réseautiques et des systèmes informatiques ?

Answer 74

Par des balayages de vulnérabilité et des tests d’intrusion. Il s’agit de détecter des failles dans les configurations des systèmes
informatiques pour ensuite les remédier et rendre les environnements plus
robustes contre les intrusions.

Question 75

Qu’est-ce qu’un Balayage (Scan) de vulnérabilité ?

Answer 75

vérifications de sécurité en effectuant des balayages des ports de connexions sur
une machine spécifique (serveur ou poste de travail) ou un réseau tout entier.
vérifier l’état des mises à jour des correctifs et des packs de service.
Ces balayages peuvent être automatisés et sont non intrusifs. (Exemples
d’utilitaires: Nessus, Tripwire, Wireshark, Aircrack, etc.)

Question 76

Qu’est-ce qu’un Test d’intrusion (¨Penetration Test¨ ou ¨Ethical Hacking¨) ?

Answer 76

Il s’agit d’une simulation d’intrusion autorisée pour identifier les faiblesses et les vulnérabilités d’un système informatique ou d’une application web que des pirates informatiques pourraient exploiter. Ces tests sont intrusifs et doivent être effectués en laboratoire ou en environnement de test. Il est fortement
déconseillé d’effectuer ces tests dans des environnements de production.

Question 77

Quels sont les niveaux de sévérité des vulnérabilités et leur score CVSS respectifs ?

Answer 77

• Entre 0 et 3.9 : Sévérité Faible
• Entre 4 et 6.9 : Sévérité Moyenne
• Entre 7 et 10 : Sévérité Élevée

Question 78

Que signifie l’acronyme CVSS ?

Answer 78

Common Vulnerability Scoring System

Question 79

Dans quelles conditions les balayages de vulnérabilité et des tests d’intrusion doivent-ils être exécutés ? (5 points)

Answer 79

1. Avant la mise en production de nouveaux équipements (serveurs,
   routeurs, pare-feu).
2. Avant le déploiement de nouvelles images (configurations) d’ordinateurs
   de table et portatifs.
3. Lors de changements significatifs aux systèmes informatiques.
4. Lorsque des procédures de nettoyage ont été complétées sur un système
   informatique qui a été victime d’une attaque virale ou d’injection de
   logiciel malveillant.
5. Selon une table de fréquence basée sur les niveaux de criticité des
   systèmes et d’échantillonnages.

Question 80

Quelles sont les 5 étapes à suivre lors des balayages de vulnérabilité ?

Answer 80

1. Appliquer les mises à jours et les correctifs (patches) aux
   environnements et aux équipements des segments réseautiques qui
   feront l’objet d’un balayage de vulnérabilité.
2. Effectuer les balayages de vulnérabilité selon la gestion de changement
   de l’entreprise.
3. Appliquez les recommandations de remédiation énumérées dans le
   rapport de balayage de vulnérabilité.
4. Effectuer un balayage de vulnérabilité pour confirmer les efforts de
   remédiation.
5. Répétez le processus selon la table des fréquences des balayages
   (prochaine page).

Question 81

Quelle est la Fréquence et échantillonnage des balayages de vulnérabilité pour les différents niveaux de criticité des systèmes et applications? (Critiques, Importants, Réguliers)

Answer 81

• Critiques : Tous les 3 mois, échantillonnage (Adresses IP): 100%
• Importants : Tous les 3 mois, échantillonnage : 50%
• Réguliers : Tous les 6 mois, échantillonnage : 25%

Question 82

Nommez des exemples de vulnérabilités connues pour les applications informatiques

Answer 82

• Erreurs de codage affectant l’intégrité des informations.
• Objet ou fonction non sécuritaire pouvant être exploité.
• Procédure outrepassant les authentifications et les privilèges (accès
direct à la BD, téléchargement sans authentification).
• Mauvaise gestion des réinitialisations des variables contenant des
informations confidentielles pouvant être écrites dans des fichiers ¨Swap
Temp¨ sur disque.

Question 83

Quelles est le Top 10 des vulnérabilités classées par OWASP

Answer 83

1. Injection
2. Bris d’authentification
3. Exposition du data sensible
4. Entité externe XML (Extensible
   Markup Language)
5. Bris de gestion des accès
6. Mauvaises configurations de sécurité
7. Cross Site Scripting (XSS)
8. Désérialisation insécure
9. Utilisation d’éléments vulnérables
10. Journalisation (logs) inadéquate

2021 :

1. Contrôles d’accès défaillants
2. Défaillances Cryptographiques
3. Injection
4. Conception non sécurisée
5. Mauvaise configuration de sécurité
6. Composants vulnérables / obsolètes
7. Identification et authentification de mauvaise qualité
8. Manque d’intégrité des données et du logiciel
9. Carence des systèmes de contrôle et de journalisation
10. Falsification de requête côté serveur

Question 84

Quelle est la liste de ce que doivent avoir les équipes de développement ? (8 points)

Answer 84

1. Méthodologie de développement connue (ex.: OWASP).
2. Cédule de révision des codes sources (hebdomadaire).
3. Ségrégation des tâches à l’intérieur du groupe (développeurs, DBA, sys
   admin, tester, etc.)
4. Procédures de gestion des versions des codes sources.
5. Les codes sources doivent être clairement documentés.
6. Documentation relative aux bases de données (dictionnaire de data).
7. Environnement de test (ou Dev), avec des plans de test documenté.
8. Procédure de gestion de changement documentée et tenue à jour.

Question 85

À quoi doivent porter une attention particulière les équipes de développement ?

Answer 85

Aux étudiants stagiaires. Les codes sources sont considérés comme propriété intellectuelle.

Question 86

Vrai ou faux : Des tests peuvent être conduits dans des environnements de production.

Answer 86

Faux.

Question 87

Vrai ou faux: Le data utilisé dans les environnements de test doit être le même que dans les environnements de production pour correctement tester l’affichage des données.

Answer 87

Faux : Les environnements de test sont souvent ciblés par les pirates informatiques.
Car souvent les contrôles de sécurité ne sont pas appliqués comme dans les
environnements de production. Pour cette raison, le data utilisé dans les
environnements de test doit être déclassifié.

Question 88

Quels sont les 4 domaines des équipes de cybersécurité en entreprise ?

Answer 88

1. Gestion et gouvernance
2. Architecture (infrastructure)
3. Opérations de sécurité.
4. Analystes de sécurité

Question 89

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Gestion et gouvernance” ?

Answer 89

• Administration de l’équipe de cybersécurité
• Gestion des budgets ($)
• Priorisation des gestions de risque
• Maintient du cadre de la politique de
  cybersécurité
• Responsable des contrôles de sécurité
• Formation et sensibilisation
• Gestion des exceptions à la politique et
  acceptations de risque

Question 90

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Architecte (infrastructure)” ?

Answer 90

• Établissement des standards de sécurité de l’entreprise.
• Services d’authentification
• Services de réinitialisation des mots de passe (SSPR)
• Sécurité des centre de données et services de sauvegarde
• Gestion des journaux des systèmes
  informatiques (Logs).
• Responsable des standards des images
  (configurations) des postes de travail et des serveurs.
• Sécurité des télécommunications (network map)

Question 91

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Opérations de sécurité” ?

Answer 91

• Contrôle des accès (comptes d’utilisateurs)
• Gestion des privilèges
• Gestion des rôles d’accès
• Gestion des identités
• Balayages de vulnérabilité
• Tests d’intrusion
• Surveillance réseautiques et des journaux informatiques (logs)
• Gestion des incidents de sécurité
• Gestion des contrôles de sécurité (anti-virus,
  anti-malware, etc.)
• Gestion des certificats de sécurité

Question 92

Quelles sont les responsabilités de l’équipe de cybersécurité dans le domaine “Analystes de sécurité” ?

Answer 92

• Analyses de sécurité des nouveaux projets de déploiement de technologie et des services existants.
• Conseillers experts en cybersécurité (SME)
• Analyses des exceptions à la politique et des acceptations de risque.
• Analyses de conformité (pas des audits)
• Contrôles compensatoires

Question 93

Nommez quelques certifications reconnues du personnel en cybersécurité.

Answer 93

• CISSP (Certified Information Systems Security Professional)
• CISM (Certified Information Security Manager)
• CISA (Certified Information Security Auditor)
• CEH (Certified Ethical Hacker)
• Certificat en cybersécurité (30 crédits)

Question 94

Quelle est la dernière ligne défensive des stratégies de cybersécurité et de la protection des informations?

Answer 94

L’encryption.

Question 95

Quelles sont les 3 niveaux que se fait l’encryption ?

Answer 95

• Informations statiques (¨Data at Rest¨)
• Informations en transit (¨Data in Transit¨)
• Double chiffrement (¨Double Encryption¨)

Question 96

Expliquez ce qu’est l’item suivant: Informations statiques (¨Data at Rest¨)

Answer 96

Informations qui sont conservées et
sauvegardées dans des bases de données, des serveurs de fichier, des systèmes de
collaboration, des médias de sauvegarde, des systèmes de gestion des journaux
(« Logs »), des disques durs d’ordinateur de table et d’ordinateur portatif, des clés
USB, des disques CD et DVD.

Question 97

Expliquez ce qu’est l’item suivant: Informations en transit (¨Data in Transit¨)

Answer 97

Transmission ou téléchargement des
informations sur réseau TCP/IP public (internet), réseau privé, transmission par
signaux WiFi et transmission par réseau cellulaire.

Question 98

Expliquez ce qu’est l’item suivant: • Double chiffrement (¨Double Encryption¨)

Answer 98

Pour les systèmes hautement
sécuritaires, un double-chiffrement (double-encryption) est possible. Il s’agit de
chiffrer les informations avec un algorithme et chiffrer les transmissions avec un
algorithme différent. Ce processus génère deux (2) clés de chiffrement différentes.
Donc la transmission et le data sont chiffrés.

Question 99

Quels sont les 3 types de chiffrement ?

Answer 99

1. Chiffrement symétrique
2. Chiffrement Asymétrique
3. Le Hachage

Question 100

Qu’est-ce que le chiffrement symétrique ?

Answer 100

Le chiffrement symétrique est une méthode d’encryption dont la même clé est utilisée pour le chiffrement et le déchiffrement.

Question 101

Qu’est-ce que le chiffrement asymétrique ?

Answer 101

Le chiffrement asymétrique utilise deux clés différentes
soit une « clé publique » servant au chiffrement et une « clé privée » servant au
déchiffrement. Le chiffrement asymétrique offre la possibilité de signature
électronique (signature numérique) pour fin d’authentification, d’intégrité et de
non-répudiation. Notez qu’il est mathématiquement impossible de déduire une clé
privée à partir de sa clé publique.

Question 102

Qu’est-ce que le hachage ?

Answer 102

Le hachage est une méthode de transformation d’une ligne de
caractère à une ligne numérique qui est non réversible d’où vient le terme « One
Way Hash ». Cette méthode est très sécuritaire pour protéger des informations
telles des codes d’utilisateur et des mots de passe. Le hachage n’est pas
recommandé pour la protection des documents.

Question 103

Donnez des exemples qui exigent du chiffrement.

Answer 103

• Renseignements personnels
• Informations financières
• Dossiers médicaux
• Informations d’affaires confidentielles

Question 104

Donnez un exemple de chiffrement symétrique.

Answer 104

AES (Advanced Encrypted Standard) avec une longueur de clé 256bits

Question 105

Donnez un exemple de chiffrement asymétrique.

Answer 105

RSA (Rivest Shamir Adleman) avec une
longueur de clé 2014bits et PGP (Pretty
Good Privacy)

Question 106

Donnez un exemple de hachage.

Answer 106

SHA (Secure Hash Algorythm) versions SHA2 et SHA3

Question 107

Donnez des exemples de chiffrement des télécommunications.

Answer 107

TLS (Transport Layer Security)V1.2 et v1.3,
SSH (Secure Shell), SFTP ( Secure File
Transfer Protocol), FTPS (File Transfer
Protocol Secure), POP3 over TLS (Post Office
Protocol over TLS)

Question 108

Donnez des exemples de chiffrement des ondes WiFi.

Answer 108

WPA2 (WiFi Protected Access)
WPA+AES
WPA+TKIP

Question 109

Quel est le but de la pratique de la rétention des informations?

Answer 109

Prescrire des spécifications de rétention basées sur les lois en vigueur, les exigences d’affaires et le respect de la vie privée.

Question 110

Quels sont les 8 domaines des prescriptions de rétention pour la majorité des industries ?

Answer 110

1. Administration et gestion
2. Finances et comptabilité
3. Ressources immobilières et mobilières
4. Ressources humaines
5. Service à la clientèle
6. Informatique et technologie
7. Services médicaux
8. Légal

Question 111

Nommez des exemples de prescriptions de rétention pour : Ressources Humaines (RH)

Answer 111

Dossiers du personnel
Dossiers des stagiaires
Offres d’emplois
Descriptions de tâche
T4, TP4 et relevés 1
Talons de paye
Feuilles de temps
Activités de formation et de
perfectionnement
Dossiers d’évaluation de la performance
Réclamations d’assurances
Dossiers produit par L’employé

Question 112

Nommez des exemples de prescriptions de rétention pour : Service à la clientèle

Answer 112

Dossiers clients
Publicité
Contrats
Ventes (statistiques)
Service après vente
Plaintes
Étude de marché

Question 113

Nommez des exemples de prescriptions de rétention pour : Informatique et technologies

Answer 113

Journaux (logs)
Courriels supprimés
Agendas électroniques
Rapports de vérification de conformité (audit)

Question 114

Nommez des exemples de prescriptions de rétention pour : Finance et comptabilité
(Rétention par défaut= 7 années)

Answer 114

Comptes débiteurs et factures
Relevés de comptes
États des recettes déboursés
Avis de paiement
Journaux et écritures comptables
Impôts et taxes
Rapports retenues à la source
Petite caisse
États financiers
Honoraires
Prévisions budgétaires

Question 115

Le recyclage des supports

imprimés est possible pour les actifs informationnels qui ont quelle(s) classification(s) ?

Answer 115

« Internes» et « Publics »

La destruction des supports imprimés, tel le déchiquetage, est requise pour les actifs informationnels qui sont classifiés « Confidentiels ».

Question 116

Comment supprime-t-on sécuritairement les supports électroniques ?

Answer 116

La suppression de l’information selon une méthode qui consiste à « écraser » le contenu original des supports en réécrivant par-dessus (¨Cluster Over writing¨) est considérée comme acceptable pour les supports électroniques réutilisables sans reformatage.

Question 117

Quelles sont les 4 méthodes efficaces de destruction des supports électroniques ?

Answer 117

1. Désintégration
2. Incinération
3. Déchiquetage
4. Fonte

Question 118

Combien de fois un formatage simple à haut niveau (tel le formatage rapide) doit-il est répété pour s’assurer que toutes les informations ont été retirées des clusters des disques?

Answer 118

5 fois.

Question 119

Pourquoi les bureaux d’assistance sont la cible préférée de l’ingénierie sociale ? (4 raisons)

Answer 119

1. En raison de la culture des agents de 1ière ligne dont leur vocation est de porter assistance et aider les utilisateurs (se sont des aidants naturels).
2. Les agents de 1ière ligne sont entrainés à donner le meilleur
   service le plus rapidement possible.
3. Les agents de 1ière ligne ont accès à des informations sensibles tels les bottins d’entreprise, renseignements sur le personnel, informations corporatives, etc.
4. Les criminels qui pratiquent l’ingénierie sociale le savent et utilisent ces vulnérabilités d’une façon surprenante.

Question 120

Comment les ingénieurs sociaux font ? (4 méthodes)

Answer 120

1. L’autorité
2. Désir d’intégration social
3. Désir d’aider
4. Persuasion

Question 121

À quoi se limite-elle la portée de la sécurité physique de la politique de cybersécurité ?

Answer 121

Aux équipements informatiques principalement dans les centres de données ou les salles d’équipements informatiques.

Question 122

Quelles sont les différences entre les salles d’équipement et les centres de données ?

Answer 122

Salle d’équipement informatique: Est une salle ou une pièce dédiée à
l’hébergement des équipements informatiques et des équipements de
télécommunication normalement pour une seule entreprise. La dimension de la
salle ainsi que la quantité d’équipement peuvent varier.

Centre de données: Un centre de données (Data Center) est un lieu
d’hébergement des équipements informatiques regroupant des systèmes
d’information pour un ou plusieurs clients. La presque totalité de l’espace de l’édifice est dédiée à l’hébergement des équipements informatiques.

Question 123

Quelles sont les 7 menaces relatives aux centres de données ?

Answer 123

1. Température ambiante
2. Taux d’humidité ambiante
3. Fuite de liquide
4. Accès non autorisé
5. Fumée et incendie
6. Électrostatique
7. Évènement majeur

Question 124

Quelles sont les 7 règles et conditions pour l’établissement des centres de données ?

Answer 124

1. L’édifice qui héberge le centre de données doit être commercialement
   viable et doit être équipé de ressources électriques suffisantes
   (ampérage et voltage).
2. Les centres de données doivent être localisés à des endroits sécuritaires
   où les risques d’accidents sont maintenus au minimum. Entre autres les
   centres de données ne devraient pas être localisés à des endroits où les
   risques de collision et d’accidents sont élevés. Ex. : édifice localisé dans
   le bas d’une pente prononcée, édifice à proximité d’une sortie
   d’autoroute.
3. Les salles d’équipement doivent avoir une seule vocation unique soit
   l’hébergement des équipements informatiques, celles-ci ne peuvent être
   utilisées à d’autres fins.
4. Les salles d’équipement des centres de données ne peuvent être munis
   de fenestration et des portes donnant accès à l’extérieure du bâtiment.
5. Les centres de données doivent être munis d’espace prévue pour le
   câblage des équipements et des ordinateurs via un double plancher ou
   des rails à câblage plafonniers.
6. Les portes donnant accès aux centres de données doivent être pleines,
   sécuritaires et sans fenestration. Les pentures des portes ne peuvent
   être accessibles à l’extérieure de la salle du centre de données.
7. Les portes donnant accès aux salles d’ordinateur doivent être fermées et
   maintenues verrouillées en tout temps. Elles doivent être reliées à un
   système d’alarme au cas d’ouverture non autorisée.

Question 125

Quelles sont les 3 règles de prévention des incendies pour les centres de données ?

Answer 125

• Les centres de données doivent être munis de détecteurs de fumée, de
  détecteurs de chaleur et de détecteurs de flamme. Les quantités de
  détecteurs doivent être selon les recommandations des manufacturiers
  qui sont basées sur les espaces à protéger. Les détecteurs doivent être
  remplacés selon les recommandations des manufacturiers qui ne
  devraient pas dépasser dix (10) années (la même règle s’applique à la
  maison).
• Les centres de données doivent être équipés d’extincteurs de classe D
  pouvant combattre des incendies de métaux. Les règles suivantes
  s’appliquent :
• Deux (2) extincteurs sont requis par 150 mètres carrés.
• Les extincteurs doivent être portables et ne devraient pas dépasser
  un poids de 6 kilos.
• Les extincteurs doivent être placés à des endroits visibles et leurs
  localisations doivent être clairement identifiées.
• Les extincteurs à base d’eau et de gaz CO2 sont interdits dans les
  centres de données.
• La présence de matériel inflammable ainsi que l’utilisation de solvant
  inflammable sont strictement interdites.

Question 126

Quelles sont les 4 règles de prévention des inondations pour les centres de données ?

Answer 126

• Les tuyaux de plomberie contenant des liquides doivent être déroutés
afin de contourner les espaces des centres de données.
• Les salles d’équipements informatiques ne doivent pas être branchées
sur le système de gicleur de l’édifice.
• Les centres de données doivent être localisés à des endroits stratégiques
où les risques d’inondation ou des dégâts d’eau sont maintenus au
minimum. Les centres de données ne devraient pas être localisés à des
étages inférieurs au rez-de-chaussée où les risques d’inondation s’avèrent
élevés dans le cas d’un déclenchement d’un système de gicleur.
• Des salles d’eau contenant des toilettes et/ou des douches ne peuvent
être localisées au-dessus des centres de données.

Question 127

Quelles sont les 6 règles et conditions pour les contrôle des accès dans les centres de données ?

Answer 127

• Seul le personnel ayant des rôles d’assistance technique ou ayant des
justifications d’affaire valable peut avoir accès aux centres de données.
• Une liste du personnel autorisé doit être maintenue à jour et doit être
révisée tous les trimestres (trois mois).
• Toutes les portes donnant accès aux centres de données doivent être
munies d’un système d’accès par cartes magnétiques et contrôlées par le
groupe de gestion des accès. Les serrures à boutons poussoirs et les
cadenas sont considérés non sécuritaires.
• Des caméras dédiées doivent être pointées sur chaque porte donnant
accès aux salles d’équipements informatiques. Ces caméras doivent
fonctionner et enregistrer les allées et venues aux centres de données
7/24 ou être déclenchées par des détecteurs de mouvement.
• Tous les contractuels et/ou les visiteurs incluant les vérificateurs ou les
auditeurs doivent être accompagnés en tout temps par le personnel
autorisé de l’entreprise.
• Les périmètres des salles des centres de données munies de plafond
suspendu ou de faux plafond doivent être sécurisés afin d’empêcher des
infiltrations par les plafonds.

Question 128

Quelles sont les mesures nécessaire de contrôle de température ambiante dans les centres de données ?

Answer 128

• Les centres de données doivent être équipés de système de chauffage et
de climatisation adéquats pouvant maintenir la température de l’air
ambiante à un niveau constant.
• La température des salles d’ordinateur ne peut être inférieure à 18⁰C
(64⁰F) et ne peut dépasser 25⁰C (77⁰F).
• Les centres de données doivent être munis de thermomètres reliés à des
alarmes.

Question 129

Quelles sont les mesures nécessaire de contrôle de taux d’humidité ambiant dans les centres de données ?

Answer 129

• Le taux d’humidité dans les centres de données doit être maintenu stable
entre 40% et 55% d’humidité. Les taux d’humidité peuvent être contrôlés
par des déshumidificateurs ou par du chauffage.
• Les centres de données doivent être munis de baromètre indiquant les
taux d’humidité ou de capteur d’humidité.

Question 130

Quelles sont les mesures nécessaire de contrôle de l’électricité et électrostatique dans les centres de données ?

Answer 130

• Afin d’assurer une alimentation électrique stabilisée, filtrée et continue,
les centres de données doivent être équipés d’onduleur et de source
électrique alternative (génératrice).
• Les racks dans les centres de données doivent être branchés sur des
mises à terre.
• Les prises de courant qui alimentent les équipements informatiques
doivent être munies de dispositif de protection automatique au cas de
surcharges électriques.
• Les recouvrements des planchers des centres de données doivent être
antistatiques. Les recouvrements de tapis sont interdits.

Question 131

Quelles sont les règles de sécurité des équipements informatiques dans les centres de données ?

Answer 131

• Les cabinets et les racks contenant les équipements informatiques
doivent être disposés d’une façon propice et logique dans le centre de
données. Il est préférable de regrouper les équipements ayant des
fonctions similaires ou les mêmes systèmes d’exploitation.
• Les cabinets et les racks doivent être solidement fixés au plancher
réduisant les risques de basculement pouvant causer des chutes
d’équipement.
• Les espaces de ventilation entre les composantes doivent être respectés
selon les recommandations des manufacturiers. Normalement elles se
situent à environ 4cm.
• Dans les cabinets et les racks, un espace de 30cm est requis entre le
plancher de la salle et les premières rangées d’équipement.
• Le câblage reliant les périphériques et les équipements informatiques
doit être proprement attaché et fixé aux cabinets et aux racks. Les excès
de câblage doivent être enroulés et attachés.
• Afin de réduire les risques d’accidents et de bris d’équipement, les portes
des cabinets doivent être fermées en tout temps lorsque les
équipements ne sont pas en maintenance.
• Certains équipements aspirent l’air frais par les portes avant et rejettent
l’air chaud par les portes arrière. Les portes des cabinets et les prises d’air
des équipements ne doivent pas être obstruées.
• Les claviers des consoles des serveurs doivent être repliés, barrés ou
retirés lorsqu’ils ne sont pas en utilisation.
• Les centres de données doivent être maintenus propres et rangés en tout
temps. Libres de tout obstacle pouvant provoquer un incident résultant à
un bris d’équipement ou un accident pouvant causer des blessures.

Question 132

Quelles sont les précautions à prendre concernant la sécurité du personnel dans les centres de données ?

Answer 132

• Le port d’équipement de sécurité tel des lunettes protectrices, des gants,
des protecteurs auditifs (pour exposition sonore > 90dB), des chaussures
de sécurité peut être nécessaire en fonction des travaux à exécuter.
• Les techniciens qui doivent effectuer des travaux en hauteur dans le
centre de données doivent utiliser des escabeaux sécuritaires isolés qui
ne transmettent pas de courant électrique et électrostatique.
• Les individus qui doivent travailler seuls dans des centres de données en
dehors des heures normales de travail doivent suivre une procédure pour
signaler leur présence toutes les deux (2) heures (Tracking).
• Les techniciens qui doivent ouvrir les boitiers des équipements
informatiques pour effectuer des travaux doivent suivre les
recommandations des manufacturiers en ce qui a trait aux mises à terre
et aux suppressions des courants électriques.

Question 133

Quelles sont règles pour les sites de relève dans les centres de données ?

Answer 133

• Des liens privés de télécommunications à haute performance doivent
relier les sites.
• Des sauvegardes de type miroir doivent être effectuées
automatiquement entre les systèmes critiques.
• Un plan de recouvrement doit être établi décrivant les procédures et les
étapes à suivre au cas d’un désastre ou un évènement majeur qui
exigerait le site de relève.
• Des essais de type DRP (¨Disaster Recovery Process¨) doivent être
effectués annuellement.

Question 134

Quels sont les 3 buts et objectifs d’une analyse de sécurité ?

Answer 134

1. Évaluer les niveaux de risque des services ou des systèmes informatiques
   internes et infonuagiques basés sur les potentialités et les impacts.
2. Réduire et maintenir les niveaux de risque des actifs informationnels de
   l’entreprise à un niveau acceptable en recommandant des contrôles et
   des méthodes pour assurer la confidentialité, l’intégrité et la
   disponibilité des informations et des systèmes informatiques.
3. Assurer et maintenir la conformité aux normes légales, aux exigences de
   certifications applicables et à la politique de sécurité de l’entreprise.

Question 135

Dans quelles (4) circonstances une analyse de sécurité est-elle nécessaire ?

Answer 135

1. Lors de déploiement des nouvelles technologies.
2. Lors de la conception des logiciels.
3. Les systèmes qui traitent des informations classifiées confidentielles.
4. Les systèmes qui ont été victimes de nombreux incidents de sécurité.

Question 136

Qui devrait participer à une analyse de sécurité ?

Answer 136

Toutes les personnes impliquées dans les processus décisionnel, de maintenance,
de développement, de gestion et de support d’un service ou d’un système
informatique:
• Gestionnaire de projet
• Représentant de l’unité d’affaires (utilisateur ou ¨Sponser¨)
• Propriétaire ou gardien de l’actif informationnel
• Administrateur du système
• Tous les autres intervenants (développeur, fournisseur de service,
hébergeur, etc).

Question 137

Qu’est-ce que sont les risques inhérents ?

Answer 137

Il s’agit des risques indissociables de l’origine de leurs
menaces. En sécurité de l’information on considère les risques inhérents
comme les dangers qui peuvent subvenir sans la protection des contrôles
et des méthodes de sécurité.

Question 138

Qu’est-ce que sont les risques résiduels ?

Answer 138

Il s’agit des risques qui subsistent après l’application des contrôles et des méthodes de sécurité.

Question 139

Quels sont les rôles et responsabilités d’un analyste de sécurité ?

Answer 139

• Analyser et établir les niveaux de risque (élevé, moyen et faible)
ainsi que les potentiels que ces risques se matérialisent.
• Au besoin coordonner les balayages de vulnérabilité ou des tests
d’intrusion.
• Produire le rapport d’analyse de sécurité en émettant des
recommandations de sécurité par l’établissement de contrôle ou des
procédures opérationnelles.
• Présenter le rapport d’analyse de sécurité aux participants et valider
les observations avant l’émission de la version finale du rapport.
• Informez les participants des prochaines étapes selon les niveaux de
risque.
• Conseillez les participants sur les moyens ou les méthodes de
remédiation acceptables.
• Produire le rapport final de l’analyse de sécurité selon les directives
de la Gouvernance.

Question 140

Quels sont les rôles et responsabilités de la gouvernance ?

Answer 140

• Prioriser les calendriers d’analyses de sécurité.
• Réception des rapports d’analyse de sécurité.
• Enregistrer les recommandations dans le registre des recommandations
de sécurité.
• Négocier avec les commanditaires ou les propriétaires des actifs
informationnels les prochaines étapes à suivre selon les niveaux de
risque.
• Informer la sécurité TI des décisions prises.
• Faire les suivis des exceptions à la politique.
• Au besoin ; voir au processus d’acceptation de risque ou escalader au
comité de direction de l’entreprise.

Question 141

Quels sont les rôles et responsabilités du commanditaire ou propriétaire de l’actif informationnel

Answer 141

• Faciliter la logistique des sessions d’analyse de sécurité et assure la
coordination avec les différents intervenants et participants (ressources
TI, fournisseurs de service, gestionnaire de projet, etc.).
• Faire les suivis sur les requêtes d’information et de validation provenant
de l’analyste de sécurité.
• Recevoir et valider le rapport d’analyse de sécurité lors de la réception.
• Mettre en place les contrôles et les recommandations de sécurité. Faire
les suivis des exceptions à la politique.
• Au besoin ; voir au processus d’acceptation de risque ou escalader au
comité de direction de l’entreprise.

Question 142

Quels sont les 3 niveaux de risques ?

Answer 142

• Risque Faible: Représente peu de risque à la confidentialité, à l’intégrité et à
la disponibilité des systèmes et de l’information. Le service ou le projet peut
donc passer à la prochaine étape ou en mode de production sans autres
mesures.
• Risque Moyen: Représente des inquiétudes à la confidentialité, à l’intégrité et
à la disponibilité des systèmes et de l’information. Le service ou le projet peut
donc passer à la prochaine étape ou en mode de production avec un plan de
remédiation qui réduira le niveau de risque à faible dans les 3 à 6 mois
suivants la prochaine étape.
• Risque Élevé: Représente un danger imminent à la confidentialité, à
l’intégrité et à la disponibilité des systèmes et de l’information. Le service
ou le projet ne peut passer à la prochaine étape ou en mode de
production sans avoir complété un plan de remédiation qui réduira le
niveau de risque à moyen ou à faible.

Question 143

Donnez des exemples de situations qui pourraient influencer les niveaux de risque en entreprise.

Answer 143

• Contrôle de sécurité manquant qui pourrait compromettre la
confidentialité, l’intégrité et la disponibilité des actifs informationnels
confidentiels (ex.: Pas d’encryption, paramètres de sécurité inexistants,
etc.).
• Défaillance dans la gestion des accès, des privilèges et des ségrégations
des tâches.
• État de non-conformité à la politique de sécurité de l’entreprise et des
normes obligatoires (Ex.: Utilisation de protocoles proscrits Telnet, FTP).
• Incapacité de produire les preuves exigées durant l’analyse de sécurité.

Question 144

Quelles sont les 8 étapes de gestion des incidents de sécurité ?

Answer 144

1. Préparation
2. Création de l’équipe de gestion des incidents
3. Détection et évaluation
4. Procédure d’escalade
5. Procédure de confinement
6. Éradication
7. Retour à la normale
8. Suivis et rapports

Question 145

Définition de la Cybersécurité

Answer 145

La cybersécurité est un ensemble de lois, de politiques, d’outils, de dispositifs de sécurité,
des bonnes pratiques, des méthodes de gestion de risque, de formation et de
sensibilisation pour protéger les personnes, les actifs informationnels/opérationnels et
le matériel informatique contre les attaques, les intrusions, les fuites d’informations, les
fraudes et les atteintes à la vie privée.

Question 146

Deux (2) catégories de cybercriminalité *:

Answer 146

1. Infractions où la technologie est la cible – actes criminels qui ciblent des ordinateurs et d’autres technologies de l’information, comme ceux qui concernent l’utilisation non
   autorisée d’ordinateurs ou les méfaits concernant des données.
2. Infractions où la technologie est l’instrument – actes criminels commis à l’aide d’Internet ou de technologies de l’information, comme la fraude, le vol d’identité, la violation de propriété intellectuelle, le blanchiment d’argent, le trafic de drogues, la traite de personnes, les activités du crime organisé, l’exploitation sexuelle des enfants
   ou la cyberintimidation.

Question 147

Exemples d’obligations et exigences des lois:

Answer 147

• Les entreprises doivent obligatoirement mettre des contrôles de sécurité pour
protéger les renseignements personnels de leurs employés et de leurs clients.
• Les entreprises doivent informer les individus lorsque leurs informations
personnelles ont été compromises pouvant causer des préjudices.
• Les entreprises doivent informer leurs employés lorsque leurs informations
personnelles sont hébergées à l’extérieure de leurs pays (applicable au Canada et E-U).
• La non-conformité à certaines lois peut entrainer des accusations au criminel (ex: SOX aux CFOs) et des amendes très salées (ex: RGPD/GDPR= 4% du revenu global de l’entreprise).
• La loi RGPD et la loi 64 au Québec exigent des registres de consentement lors de la collecte de renseignements personnels.

Question 148

Nommez Quelques menaces connues et leur description

Answer 148

DDOS
TROJAN
SNIFFING
SPOOFING
RANSOMWARE
SPYWARE
WORMS
PHISHING

Question 149

Espionnage industriel (Suite):
Trois (3) méthodes de prévention:

Answer 149

1. Moyens technologiques:
   * Chiffrement des informations recettes (cours # 9)
   * Limiter les accès (Gestion des identités - cours # 7)
   * Segmentations réseautiques (cours # 6)
   * Blocage des signaux radio (WiFi et cellulaire)
   * DLP (Data Lost Prevention)
2. Moyens Politiques:
   * Inventaire des propriétés intellectuelles
   * Entente de non-divulgation (NDA)
   * Accompagnement des visiteurs
   * Interdiction d’appareils photo et cellulaires (ex: dans les usines)
3. Moyens Physiques:
   * Séparation physique des équipements.
   * Caméras
   * Systèmes d’alarme
   * Fouilles du personnel (exceptionnel)

Question 150

Règle générale, il y a trois (3) niveaux de sévérité de risque dans les entreprises
soit :

Answer 150

Risque Faible : Représente peu de risque à la confidentialité, à l’intégrité et
à la disponibilité des systèmes et des informations.

Risque Moyen : Représente des inquiétudes à l’égard de la confidentialité,
de l’intégrité et de la disponibilité des systèmes et des informations.

Risque Élevé : Représente un danger imminent à l’égard de la
confidentialité, de l’intégrité et de la disponibilité des systèmes et des
informations.

Question 151

Le cadre de la politique est structuré en quatre types de documents:

Answer 151

1. La Politique: Un document qui traite différents domaines en matière de
   sécurité informatique et qui a pour but de véhiculer les décisions prises par
   l’entreprise dans le respect des normes de conformité légales et spécifiques
   (ISO, SOX, PCI, etc.). La politique répond à la question ‘‘Que veut-on faire?’’
2. Les Pratiques ou les Directives: Est un ensemble de documents qui donnent
   des lignes directrices, des exigences et parfois des prescriptions afin de
   supporter les domaines de la politique de sécurité informatique. Les pratiques
   contribuent à l’établissement des standards qui doivent être conformes aux
   normes de conformité légales et spécifiques. La pratique répond à la question
   ‘‘Comment va-t-on le faire?’’
3. Les Standards: Sont des listes de normes techniques ou des mesures
   référentielles publiées par des organismes nationaux et internationaux de
   standardisation (Ex.: ISO, IEC). Les standards répond à la question ‘‘Avec quoi
   va-t-on le faire?’’
4. Les Procédures: Sont des documents techniques qui détaillent des processus
   et les méthodes nécessaires pour la mise en place et le maintien des exigences
   de sécurité prescrits dans les pratiques et les standards de la politique de
   sécurité informatique.

Question 152

• Trois (3) types de changements applicables au cadre de la politique:

Answer 152

1. Clarification: L’ajout des détails techniques ou explicatifs d’un contrôle ou
   d’un énoncé existant qui aurait généré des questionnements.
2. Modification: D’un contrôle existant ou d’un énoncé ou une règle. Il s’agit
   d’un ajustement pour refléter les réalités de l’entreprise ou resserré ou
   retirer un contrôle.
3. Ajout: D’un nouveau contrôle ou d’une nouvelle règle de conformité.

Question 153

Nommez un exemple de conformité

Answer 153

La norme PCI-DSS

Question 154

La majorité des entreprises qui utilisent les protocoles d’internet TCP/IP (IPv4,
IPv6) pour communiquer ont établi des réseaux privés d’entreprise pour les
6 raisons suivantes:

Answer 154

1. Séparer les réseaux publics (internet) du réseau de l’entreprise.
2. Contrôler les accès au réseau de l’entreprise.
3. Contrôler le trafic entrant et sortant (In bound et Out bound)
4. Permettre une ségrégation par segment réseautique
5. Assurer une disponibilité et une performance optimale pour les
   télécommunications de l’entreprise
6. Sécuriser l’ensemble du réseau (impossible de sécuriser l’internet)

Question 155

Quelques vulnérabilités réseautiques :

Answer 155

Sniffing
DDOS
ARP/DNS Spoofing

Question 156

Moyens préventifs de protection réseautiques:

Answer 156

• Chiffrement (encryption): Le chiffrement des transmissions filaires et sans-fils
ainsi que du data en sauvegarde (data at rest) est une excellente stratégie de
protection des informations. Si un pirate s’infiltre dans un réseau, il ne pourra
pas lire les données sans les clés des chiffrements.
• Segmentation réseautique: La segmentation réseautique peut rendre les
données inaccessibles aux pirates informatiques. Segmenter les données
sensibles classifiées confidentielles tels les renseignements personnels (RH) ou
des finances est une bonne stratégie de protection des informations. Si le
réseau des invités est compromis, les pirates n’auront pas accès aux autres
segments réseautiques.
• Les authentifications: Les authentifications réduisent les risques d’usurpation
d’identité ou d’adresses MAC (spoofing). Utilisez des protocoles qui forcent
des authentifications sécuritaires (chiffrées) ou des authentifications fortes à
doubles facteurs.
• Surveillance réseautique (monitoring): Une surveillance réseautique
constante est un moyen de prévention d’intrusion et de piratage reconnu.
L’utilisation de systèmes de protection tels les NIDS et les NIPS (Network
Intrusion Detection/Prevention) sont des moyens efficaces.

Question 157

Exemples d’infrastructure réseautique dans les grandes entreprises:

Answer 157

• Centres de données
• Hybride avec infonuagique (¨Cloud¨)

Question 158

Catégories des services infonuagiques:

Answer 158

Software as a Service (SaaS) Est un logiciel de service qui demeure dans le cloud
tel une suite de bureautique. Ex.: Office365, Google
Apps, Salesforce, etc.
Plateforme as a Service (PaaS) Une plateforme logiciel développée dans le cloud tel
un serveur d’application web dans le cloud. Ex.:
Microsoft Azure, Google App Engine, etc.
Infrastructure as a Service (IaaS) Fournisseur d’infrastructure cloud, hébergement des
systèmes informatiques, des serveurs, VM, etc. Ex.:
IBM, Microsoft, Amazone, Google, etc.
Data as a Service (DaaS) Service d’hébergement de data dans le cloud. Ex.:
OneDrive, DropBox, iCloud, Google Docs, etc.

Question 159

Processus d’authentification:

Answer 159

• Identification : Processus qui permet de connaître l’identité d’une entité
ou d’un utilisateur. Il s’agit principalement des codes d’utilisateurs (Qui
vous êtes).
• Authentification : Consiste à vérifier l’identité d’une entité ou d’un
utilisateur afin d’autoriser l’accès à des ressources ou à des actifs
informationnels. Il s’agit principalement des mots de passe (Ce que vous
savez).
• Authentification Simple : L’authentification repose sur un seul élément
ou un seul facteur (l’utilisateur indique son mot de passe).
• Authentification Forte : L’authentification repose sur deux éléments ou
deux facteurs et plus (mot de passe + ce que l’utilisateur possède ; jeton,
biométrie, carte intelligente, etc.).
• Authentification Unique : Méthode permettant aux utilisateurs de
procéder qu’à une seule authentification pour accéder à plusieurs
systèmes ou applications informatiques. (SSO ¨Single Sign On¨)

Question 160

Deux (2) types d’occurrences de sécurité:

Answer 160

1. Évènement de sécurité: Les évènements de sécurité sont causés par des
   pannes de systèmes ou par des bris d’équipement. Ces défaillances
   peuvent être causées par l’usure normale des équipements (ex: le bris
   d’un disque dur d’un serveur) ou par une cause ou une force externe
   (ex: l’inondation d’une salle de serveur, un incendie, etc.). Il n’y a pas
   d’implication humaine dans la cause d’un évènement de sécurité.
2. Incident de sécurité: Les incidents de sécurité sont causés par un
   humain soit par un geste volontaire ou involontaire ou par une erreur.
   Les incidents de sécurité peuvent être de nature technique ou éthique.
   Les incidents de sécurité peuvent devenir viraux et demandent des
   mesures défensives et des connaissances techniques avancées. Les
   incidents de nature éthique (vols d’équipement informatique,
   divulgation volontaire d’information confidentielle) doivent être traités
   au cas par cas et peuvent exiger la participation des ressources
   humaines, des services juridiques, du groupe responsable des enquêtes
   internes de l’entreprise et, dans certaines circonstances, doivent être
   transmis aux autorités policières.

Question 161

Voici des exemples d’occurrences qui requièrent le déclenchement de gestion d’incident :

Answer 161

• Intrusion de système: Toute intrusion ou tentative d’intrusion (hacking)
intentionnelle ou non intentionnelle par un utilisateur non autorisé au
réseau interne de l’entreprise.
• Perte ou vol d’équipement: Contenant des informations classifiées
confidentielles ou usage interne.
• Endommagement de site Web: Transformation non autorisée d’un site
Web de l’entreprise (gribouillages, fausses informations)
• Injection de code malicieux: Toutes infections de code malicieux tels les
virus, les vers informatiques, les chevaux de Troie, rançongiciel, etc.
• Déni de service (DDoS): Émission de multiples requêtes provenant de
sources internes ou externes ayant une incidence sur la performance et
la disponibilité des systèmes et du réseau interne de l’entreprise.
• Protection d’infrastructure critique: Toute activité non planifiée ou
erreur qui a un effet négatif sur les infrastructures critiques qui n’ont pas
suivi les procédures de gestion de changement.
• Utilisation non autorisée: Toute utilisation non autorisée de système ou
de ressources réseautiques qui ont un effet négatif sur la performance et
la disponibilité.
• Compromission d’information: Toute divulgation non autorisée
d’information classifiée confidentielle ou interne.
• Bris ou panne d’équipement: Toute panne ou tout bris d’équipement
ayant une incidence sur la performance et la disponibilité des systèmes
ou du réseau interne de l’entreprise.
• Évènement majeur: Menaçant l’intégrité et la disponibilité des systèmes
et des actifs informationnels, Ex: incendie, inondation, accident causant
des pertes d’équipement.