Final

Question 1

Qu’est-ce qu’une politique de sécurité?

Answer 1

Elle exprime la stratégie de l’entreprise en matière de sécurité de l’information.

Elle constitue la référence en matière de protection de ses Systèmes d’Information et traduit les exigences de sécurité en règles pragmatiques.

Question 2

_________ est une déclaration formelle
des règles auxquelles doivent se conformer les
personnes recevant un droit d’accès au capital
technologique et informatif d’une entreprise

Answer 2

Une politique de sécurité

Question 3

Quels sont les 4 principes récurrents constituant le fondement de toute politique de sécurité :

Answer 3

• adopter une politique de gestion de risques et de sécurité
• créer une structure en charge d’organiser et de piloter la Gestion de la Sécurité des SI
• installer un cadre organisationnel et juridique nécessaire à la responsabilisation collective et individuelle des utilisateurs du SI
• inventorier et classifier les ressources. Cette démarche doit permettre d’optimiser les processus de sécurisation en insistant sur ses composants les plus critiques

Question 4

Quel est la structure du cadre normatif sectoriel :

Answer 4

1- Stratégique (niveau 1)
2- Tactique (niveau 2, 3 et 4)
3- Opérationnel ( niveau 5)

Question 5

Quelle structure du cadre normatif sectoriel est dans le niveau stratégique ?

Answer 5

La politique

Question 6

Quelles sont les structures du cadre normatif sectoriel dans le niveau tactique?

Answer 6

Cadre de gestion
Les directives
Les guides

Question 7

Quelle est la structure du cadre normatif sectoriel dans le niveau opérationnel

Answer 7

Les procédures

Question 8

Quelles sont les meilleures pratiques pour une politique de sécurité?

Answer 8

• adopter une politique facile à lire
• Adopter une politique au contenu moins variable comparativement au cadre de gestion
• Adopter une politique au contenu relativement concise

Question 9

Niveau 1 : Politique de sécurité

Answer 9

• énonce des principes généraux et fixe des responsabilités à l’endroit de certains intervenants clés
• fait référence à d’autres intervenants et aux instances internes de coordination et de concertation,

Question 10

Niveau 2 : Cadre de gestion de la sécurité de

l’information

Answer 10

• vise à compléter les dispositions de la politique.
• précise l’organisation fonctionnelle en matière de
sécurité de l’information
• décrit les responsabilités de divers intervenants ainsi
que les rôles des comités sectoriels.

Question 11

Niveau 3 : Les directives de la sécurité de l’information visent à préciser, pour un domaine d’application particulier de sécurité de l’information :

Answer 11

• sécurité des locaux et des équipements, échange sécuritaire de l’information, etc.
• les dispositions à respecter aux fins d’assurer la sécurité de l’information.
• les directives portant sur la gestion des accès à l’information,
• les règles à adopter par les utilisateurs des assistants numériques personnels
• la protection des supports amovibles

Question 12

Les directives de la sécurité de l’information sont d’application obligatoire

Answer 12

• vrai

Question 13

Niveau 4 : Les guides de la sécurité visent à faciliter l’application des prescriptions

Answer 13

• de politiques
• de directives
• de normes

sans avoir le caractère contraignant

Question 14

Niveau 5 : Les procédures de la sécurité de l’information

Answer 14

• un ensemble d’étapes à franchir, de moyens à prendre ou de méthodes à suivre dans l’exécution d’une tâche.
• décrit en détail les étapes d’un processus humain ou technologique d’implantation ou d’application d’une mesure de sécurité, qu’elle soit administrative ou technologique.

Question 15

Nommez 3 exemples de procédures :

Answer 15

• les procédures se rapportant à la délivrance ou la révocation des cartes
d’accès,
• les procédures se rapportant à la destruction sécuritaire des documents
administratifs
• les procédures se rapportant à l’attribution des mots de passe.

Question 16

Le cadre légal est constitué :

Answer 16

• de lois, générales ou propres à une organisation,
• de règlements dont les dispositions touchent
spécialement la sécurité de l’information
- la protection des renseignements personnels.

Question 17

Les guides de la sécurité de l’information ne sont pas obligatoire

Answer 17

• vrai

Question 18

Le cadre normatif constitué est composé :

Answer 18

• de la Politique-cadre sur la gouvernance et la gestion des ressources
informationnelles des organisations;
• de la Directive sur la sécurité de l’information,
• du cadre de gestion de la sécurité de l’information,
• du cadre de gestion des risques et des incidents
• de l’approche stratégique triennale;
• de standards
• l’interopérabilité ou l’utilisation intégrale du français dans les technologies de l’information et
des communications;
• des pratiques
• la catégorisation de l’information, l’utilisation sécuritaire des assistants numériques
personnels ou la gestion des incidents.

Question 19

La démarche de réalisation et de mise en œuvre :

Answer 19

1- Étude de contexte
2- Évaluation et révision
3- Validation, approbation et communication

Question 20

Le cadre normatif sectoriel s’appuie sur 2 autres cadres, quels sont-ils?

Answer 20

• cadre légal

- cadre normatif

Question 21

De quoi est composé le cadre légal?

Answer 21

• de lois, générales ou propres à une organisation,
• de règlements dont les dispositions touchent
spécialement la sécurité de l’information et la protection
des renseignements personnels.

Question 22

• La détermination des composantes d’une politique de sécurité de l’information prend appui sur :

Answer 22

• le cadre légal et le cadre réglementaire, gouvernemental et sectoriel;
• les normes et standards de l’industrie;
• la mission de l’organisation et les risques auxquels elle est exposée;
• les priorités d’actions;
• tout autre document pertinent

Question 23

La détermination des composantes de la politique de sécurité prend appui sur :

Answer 23

• le cadre légal réglementaires
• les normes et les standards de l’industrie
• les risques auxquels l’organisation est exposée.

Question 24

Pour l’élaboration de leur politique de sécurité de l’information, les organisations pourront s’appuyer sur un modèle « Politique de sécurité de l’information - modèle générique ». Les principaux éléments à considérer dans le cadre de cette étape sont :

Answer 24

• le contexte d’adoption, lequel mettra l’accent sur la nécessité de renforcer le cadre de gouvernance de la sécurité de l’information de l’organisation, en établissant les conditions générales visant à préserver adéquatement la confidentialité, à garantir l’intégrité et à assurer la disponibilité de l’information;
• la terminologie et les acronymes utilisés;
• les lois, les règlements, les directives, les normes et les standards applicables sur lesquels la politique prendra appui;
• l’objectif visé, notamment l’engagement officiel de la haute direction à soutenir la prise en charge des exigences de sécurité de l’information et à mettre de l’avant les moyens nécessaires à leur réalisation;
• le champ d’application de la politique, notamment toute personne, physique ou morale, ayant accès, sur place ou à l’extérieur des locaux de l’organisation, aux actifs informationnels desquels une organisation a la responsabilité d’assurer la sécurité;
• les énoncés de principes généraux, notamment l’adhésion d’une organisation
aux objectifs stratégiques et son engagement à ce que les solutions retenues correspondent aux pratiques exemplaires en matière de sécurité de l’information, tant sur le plan national que sur le plan international;
• les obligations des acteurs clés en matière de sécurité de l’information, comme le dirigeant d’organisation ou le ROSI, et celles des utilisateurs des actifs informationnels de l’organisation, qu’il s’agisse d’un gestionnaire, d’un employé, d’un partenaire d’affaires, d’un fournisseur ou d’un mandataire agissant pour le compte d’une organisation;
• les sanctions auxquelles s’expose tout utilisateur contrevenant aux dispositions de la politique ou à ses directives d’application.
• De telles sanctions devront être conformes aux dispositions des conventions collectives, des ententes et des contrats.
• Elles peuvent inclure la suspension de privilège, la réprimande, etc.;
• les dispositions finales, notamment son approbation par le dirigeant de l’organisation et sa mise en œuvre par le ROSI, sa date d’entrée en vigueur et ses modalités de révision.

Question 25

• Une fois approuvée, la politique est diffusée, auprès de l’ensemble du personnel de l’organisation, en utilisant les moyens appropriés dont :

Answer 25

• les sites Web (intranet ou extranet);
• les trousses de sensibilisation à la sécurité de l’information;
• les bannières publicitaires sur le site intranet ou extranet;
• les articles dans les memos internes;

Question 26

• La politique de sécurité est …

Answer 26

régulièrement évaluée, notamment en ce qui a trait à la pertinence de ses énoncés à l’égard des nouveaux enjeux de sécurité de l’information.

Question 27

Une fois l’étape d’évaluation terminée, la politique pourra ….

Answer 27

faire l’objet d’une révision qui assurera l’adéquation de ses énoncés aux besoins de l’organisation en matière de sécurité de l’information.

Question 28

Politique de sécurité de l’information -

modèle générique :

Answer 28

1. PRÉAMBULE
2. DÉFINITIONS
3. CADRE LÉGAL ET ADMINISTRATIF
4. OBJECTIF DE LA POLITIQUE
5. CHAMP D’APPLICATION
6. ÉNONCÉS DE PRINCIPES GÉNÉRAUX
   6.1 PROTECTION DE L’INFORMATION
   6.2 PROTECTION DES RENSEIGNEMENTS CONFIDENTIELS
   6.3 SENSIBILISATION ET FORMATION
   6.4 DROIT DE REGARD
7. OBLIGATIONS DES INTERVENANTS CLÉS EN MATIÈRE DE SÉCURITÉ DE
   L’INFORMATION
8. OBLIGATION DES UTILISATEURS
9. SANCTIONS
10. DISPOSITIONS FINALES
    ANNEXE I - DÉCLARATION D’ENGAGEMENT PAR LES UTILISATEURS
    QUANT AU RESPECT DES RÈGLES DE SÉCURITÉ DE L’INFORMATION

Question 29

Définition d’une norme :

Answer 29

« Document établi par consensus et approuvé par un organisme reconnu, qui fournit, pour des usages communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des activités ou leurs résultats garantissant un niveau d’ordre optimal dans un contexte donné. »

Question 30

La norme ISO 17799 est considérée comme un référentiel contribuant à la

Answer 30

• définition d’une politique de sécurité,
• une liste de points de risques à analyser (check list),
• une aide à l’audit de sécurité en vue ou non d’une procédure de certification.

Question 31

Cette norme (ISO 17799) a pour objectif de

Answer 31

« Donner des recommandations pour gérer la sécurité de l’information à l’intention de ceux qui sont responsables de définir, d’implémenter ou de maintenir la sécurité dans leur organisation. Elle est conçue pour constituer une base commune de développement de normes de sécurité
organisationnelle et de pratiques efficaces de gestion de la sécurité, et pour introduire un niveau de confiance dans les relations interentreprises. »

Question 32

Chaque chapitre présente un thème de sécurité et chaque thème expose :

Answer 32

• des objectifs de contrôles et des recommandations sur les mesures de
sécurité à mettre en œuvre
• des contrôles à implémenter.
• des préconisations qui cherchent à garantir

Question 33

Objectif de la phase de définition d’une politique de sécurité :

Answer 33

déterminer les besoins de l’organisation en
faisant un véritable état des lieux du système d’information, puis d’étudier les différents risques et la menace qu’ils représentent afin de mettre en œuvre une politique de sécurité adaptée.

Question 34

Phase de définition :

Answer 34

• L’identification des besoins
• L’analyse des risques
• La définition de la politique de sécurité

Question 35

La phase d’identification des besoins consiste :

Answer 35

à faire l’inventaire du système d’information, notamment pour les éléments suivants :

• Personnes et fonctions ;
• Matériels, serveurs et les services qu’ils délivrent ;
• Cartographie du réseau (plan d’adressage, topologie physique, topologie
logique, etc.) ;
• Liste des noms de domaine de l’entreprise ;
• Infrastructure de communication (routeurs, commutateurs, etc.)
• Données sensibles.

Question 36

L’étape d’analyse des risques consiste :

Answer 36

à répertorier les différents risques encourus, d’estimer leur probabilité et enfin d’étudier leur impact. (estimer le coût des dommages qu’elle causerait)

Question 37

Critères pour sélectionner la méthode de mise au point d’une politique de sécurité :

Answer 37

• Le pays
• La langue
• L’existence des outils
• L’existence d’un club d’utilisateurs
• Qualité de la documentation
• Facilité d’utilisation

Question 38

Qu’est-ce qu’un audit ?

Answer 38

Mission d’examen et de vérification de la conformité (aux règles de droit, de gestion) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise.

Consiste à s’appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en oeuvre, au regard de la politique de sécurité.

Question 39

Qu’est-ce que l’objectif d’un audit?

Answer 39

De vérifier que chaque règle de la politique de sécurité est correctement appliquée
Que l’ensemble des dispositions prises forme un tout cohérent et soient réputées sûres.

Question 40

La planification permet :

Answer 40

• Identifier la durée de la mise en place
• Identifier le chemin critique
• Réduire la durée de la mise en place des contrôles au besoin.

Question 41

Principaux problèmes que peut rencontre un auditeur interne

Answer 41

• mauvaise réputation et image négative
• pression et manque de liberté
• situations répétitives

Question 42

Étapes de mise en place de la norme implique :

Answer 42

• Quoi protéger, pourquoi et de quoi?
• Comment protéger
• Quels sont les risques?

Question 43

Le corps de la norme ISO 17799 indique …

Answer 43

Quoi faire pour sécuriser de l’information (pas comment le faire)

Question 44

Pour déterminer les composantes d’une politique de sécurité , il faut prendre appui sur …

Answer 44

1- Cadre légal et réglementaire
2- les normes et standards de l’industrie
3 - Les risques auxquels l’organisation est exposée

Question 45

Le cadre légal est constitué

Answer 45

• des lois générales
• règlements qui touchent la sécurité de l’information
• règlements sur la protection

Question 46

3 thèmes les plus importants :

Answer 46

• politique de sécurité
• organisation de la sécurité
• gestion des actifs