CBK #1 – Question n°01

Le DSI d’une entreprise souhaite recevoir un contrat par email de la part d’un de ses fournisseurs et lui demande que le contrat soit signé électroniquement. En demandant...

CBK #1 – Question n°02

Le terme « threat agent » qui signifie littéralement agent de menace est souvent traduit en français par source de risque ou source de menace. Cependant, beaucoup de personnes...

CBK #1 – Question n°03

Afin de protéger son centre de données contre une éventuelle intrusion physique, une entreprise a déployé un ensemble de caméras de vidéo-surveillance tout autour du périmètre....

CBK #1 – Question n°04

Pour se prémunir contre les attaques par rançongiciels (ransomware), le RSSI d’une entreprise a décidé de renforcer ses procédures de sauvegarde. Dans la terminologie utilisée...

CBK #1 – Question n°05

Depuis la première loi américaine promulguée en 1984 pour lutter contre la cybercriminalité, les Etats-Unis se sont dotés d’un important arsenal juridique destiné à lutter contre...

CBK #1 – Question n°06

Selon la norme ISO/IEC 27005, quelle activité ne fait pas partie du processus d’appréciation du risque (Risk assessment) ? [A] Etudier des scénarii de compromission des actifs...

CBK #1 – Question n°07

Que peut-on dire à propos de la norme ISO/IEC 27002:2022 ? [A] C’est une norme d’exigences pour la mise en œuvre et la gestion d’un système de management de la sécurité de...

CBK #1 – Question n°08

Quel référentiel américain permet d’attester un niveau de conformité pour la sécurité de données sensibles (comme les données de santé) ? [A] HIPAA [B] HITECH [C] HITRUST CSF [D]...

CBK #1 – Question n°09

Quel est l’impact potentiel d’une attaque de type Ransomware sur les actifs de la victime ? [A] Intégrité [B] Disponibilité [C] Intégrité et disponibilité [D] Confidentialité,...

CBK #1 – Question n°10

Dans le jargon américain et selon le CBK de l’(ISC)2, quelle est la différence entre un CISO (Chief Information Security Officer) et un CSO (Chief Security Officer) ? [A] Il n’y...

CBK #1 – Question n°11

Quelle loi fédérale des États-Unis promulguée en 1987 a officiellement attribué à la NSA la responsabilité de définir les normes de sécurité pour les systèmes classifiés et...

CBK #2 – Question n°01

Votre entreprise a entamé un processus de certification ISO 27001 et le Directeur Général vous a désigné responsable de la mise en œuvre du SMSI (ISMS Lead Implementer). Après...

CBK #2 – Question n°02

La DSI de votre entreprise vous sollicite car elle a identifié plusieurs usages de services Cloud non approuvés (shadow IT) de la part des employés. En tant que RSSI, vous...

CBK #2 – Question n°03

Lorsque le vendeur d’une solution IT décide d’abandonner le développement d’un produit, il fixe une date à partir de laquelle son système ou logiciel ne recevra plus de mises à...

CBK #2 – Question n°04

La société Labosoft est un éditeur logiciel Allemand. Ses clients sont des laboratoires d’analyse médicales (allemands et français) qui utilisent son logiciel pour traiter des...

CBK #2 – Question n°05

Une agence gouvernementale américaine gérait des données classifiées SECRET depuis plus de 8 ans. Sur décision gouvernementale, ces données ne sont désormais plus sensibles et...

CBK #2 – Question n°06

Quel est le principal objectif de la classification des informations ? [A] Identifier les menaces sur les données les plus critiques [B] Protéger les informations sensibles avec...

CBK #2 – Question n°07

Votre entreprise vient d'effectuer un inventaire de ses actifs. En tant que DRH, vous êtes désigné comme délégué à la protection des données (DPO) et propriétaire des données...

CBK #2 – Question n°08

Votre entreprise souhaite externaliser plusieurs applications chez un fournisseur de service Cloud en mode IaaS. En tant que RSSI vous êtes chargé de vérifier l’éligibilité du...

CBK #2 – Question n°09

Quel est le niveau de classification approprié pour des données gouvernementales ou militaires US pour lesquelles une divulgation non autorisée pourrait causer des dommages à la...

CBK #2 – Question n°10

Lorsqu’un employé quitte une entreprise, il y a toujours un risque qu’il puisse encore avoir accès à des informations confidentielles. Quelle mesure de sécurité vous semble la...

CBK #2 – Question n°11

Pour quelle raison, un organisme doit-t-il définir une politique de conservation des données (data retention policy) ? [A] Pour se prémunir de toute défaillance de son système...

CBK #3 – Question n°01

Vous êtes en train de concevoir un protocole de communication permettant d’échanger des trames de 1024 bits. Afin d’assurer le contrôle d’intégrité, vous avez prévu de réserver...

CBK #3 – Question n°02

Dans le cadre d’une procédure de « hardening » de vos sites Web, vous envisagez l’acquisition de modules de sécurité matériel (HSM). Ces dispositifs auront pour objectif la...

CBK #3 – Question n°03

Vous venez de télécharger Keepass un gestionnaire de mots de passe open-source et vous souhaitez vérifier que le programme reçu est bien l'original développé par Dominik Reichl....

CBK #3 – Question n°04

Développé par Kenneth Biba en 1977, le modèle de sécurité Biba décrit des règles de contrôle d'accès afin de garantir : [A] La confidentialité [B] L'intégrité [C] La...

CBK #3 – Question n°05

Contrairement à un ordinateur classique, un ordinateur quantique effectue des calculs en utilisant les lois de la physique quantique et notamment la loi dite de superposition des...

CBK #3 – Question n°06

Le minage est un procédé par lequel de nouveaux bitcoins sont mis en circulation par la validation d’un bloc de transactions. Pour cela, les mineurs doivent effectuer...

CBK #3 – Question n°07

En cryptographie et notamment pour le chiffrement symétrique, on utilise parfois un vecteur d'initialisation (IV). Parmi les affirmations suivantes concernant l'IV, laquelle est...

CBK #3 – Question n°08

Certaines attaques exploitent le décalage temporel entre le moment où une application vérifie la valeur d’une variable et le moment où elle l’exploite. On parle alors d’une «race...

CBK #3 – Question n°09

Deux équipements administrables via https doivent communiquer entre eux de façon sécurisée via un chiffrement symétrique. Pour cela, vous devez paramétrer une clé pré-partagée...

CBK #3 – Question n°10

Parmi les propositions suivantes, laquelle rentre dans la catégorie de la cryptographie asymétrique ? [A] ChaCha20 [B] Elgamal [C] Keccak [D] Camellia Questions et réponses...

CBK #3 – Question n°11

Lorsque l’on stocke les mots de passe d’un utilisateur dans un annuaire ou une base de données, il est fortement recommandé d’utiliser une fonction cryptographique non...

CBK #4 – Question n°01

Parmi les protocoles de sécurité réseau suivants, lequel ne permet pas d’assurer la confidentialité des données en transit ? [A] SSL v2 [B] TLS v1.3 [C] IPsec mode AH [D] IPsec...

CBK #4 – Question n°02

Selon la FEVAD, le chiffre du e-commerce en France a dépassé les 130 milliards d’euros en 2021 avec plus de 2 milliards de transactions réalisées. Toutes ces transactions sont...

CBK #4 – Question n°03

Vous venez d’être embauché en tant que CPSO (Chief Product Security Officer) par une société qui commercialise une large gamme de produits IoT destinée au monde médical. Votre...

CBK #4 – Question n°04

OSPF (Open Shortest Path First) est un protocole de routage intérieur (IRP) c'est à dire intra système autonome (AS). Il utilise une base de données permettant aux routeurs...

CBK #4 – Question n°05

Un administrateur réseau a défini le sous réseau 194.100.100.0/28. Sur ce réseau, un équipement reçoit sur une de ses interfaces un datagramme IP à destination de l’adresse...

CBK #4 – Question n°06

Parmi les propositions suivantes, laquelle n’est pas une technique d’attaque spécifique aux réseaux WiFi ? [A] Evil Twin [B] Sinkholing [C] Jamming [D] Disassociation Questions...

CBK #4 – Question n°07

Le « pharming » est une technique d’attaque qui consiste à exploiter des vulnérabilités du service DNS afin de rediriger les utilisateurs vers des sites frauduleux. Il s’agit...

CBK #4 – Question n°08

Parmi les configurations suivantes, laquelle propose la meilleure protection contre les attaques sur l’authentification par force brute hors-ligne sur un réseau Wi-Fi ? [A] WPA2...

CBK #4 – Question n°09

Quel est le principal protocole utilisé pour assurer la communication entre les systèmes d'acquisition de données et les équipements de contrôle dans les réseaux industriels dans...

CBK #4 – Question n°10

Des utilisateurs signalent à votre support technique qu’un de vos sites Web sur Internet n’est plus accessible. Parmi les outils suivants, lequel sera le plus utile pour...

CBK #5 – Question n°01

Edward travaille pour la NSA, agence gouvernementale particulièrement attentive à tout ce qui concerne la confidentialité compte tenu de la sensibilité des informations qu’elle...

CBK #5 – Question n°02

Dans sa délibération n°2017-190 en date du 22 juin 2017, la CNIL considère que les mots de passe ne doivent jamais être stockés en clair. Elle recommande que tout mot de passe...

CBK #5 – Question n°03

Un attaquant a réussi à compromettre un poste client et a récupéré l’empreinte cryptographique correspondant au mot de passe de l’utilisateur dans Active Directory. Il exploite...

CBK #5 – Question n°04

Un utilisateur souhaite s’authentifier sur un forum Internet. Après avoir saisi un identifiant et un mot de passe valides, le navigateur de l’utilisateur reçoit la réponse http...

CBK #5 – Question n°05

HTTP étant un protocole sans état (staleless), la gestion des sessions utilisateurs est toujours un sujet important en matière de sécurité des applications Web. Parmi les...

CBK #5 – Question n°06

Quelle affirmation est inexacte à propos de SAML dans un contexte de fédération d’identités et d'authentification unique (SSO) ? [A] Le fournisseur de service (SP) prend en...

CBK #5 – Question n°07

Votre entreprise souhaite mettre en production une application Web de e-commerce avec une approche marketing innovante. En effet, le service marketing souhaite que les offres...

CBK #5 – Question n°08

En matière de contrôle d’accès, comment appelle-t-on la structure qui indique, pour un sujet donné, les permissions qui lui sont accordées sur différents objets ? [A] Matrice de...

CBK #5 – Question n°09

Quelles sont les recommandations du NIST concernant la fréquence de changement des mots de passe ? [A] Aucun changement automatique. On ne change qu’en cas de compromission ou de...

CBK #5 – Question n°10

Parmi les propositions suivantes, laquelle décrit correctement le fonctionnement de Kerberos ? [A] L'utilisateur saisit un identifiant et un mot de passe sur un poste client. Le...

CBK #6 – Question n°01

Afin d’offrir à ses clients la garantie d’un service sécurisé, un fournisseur SaaS peut faire appel à un cabinet d’audit pour obtenir une attestation relative aux dispositifs de...

CBK #6 – Question n°02

Votre entreprise a entamé un processus de certification ISO 27001 depuis bientôt un an et s’apprête désormais à faire auditer son SMSI par un organisme de certification...

CBK #6 – Question n°03

Une des activités les plus importantes pour un RSSI est de s’assurer que les mesures de sécurité sont correctement mises en œuvre, qu’elles fonctionnent comme prévu et qu’elles...

CBK #6 – Question n°04

Le 8 avril 2014, une important faille de sécurité dénommée Heartbleed (CVE-2014-0160) était dévoilée. Elle concernait la sécurité SSL/TLS et impactait un très grand nombre de...

CBK #6 – Question n°05

CVSS (Common Vulnerability Scoring System) est un système d'évaluation standardisé de la criticité des vulnérabilités logicielles selon des critères objectifs et mesurables. Dans...

CBK #6 – Question n°06

Quelle affirmation à propos de la NVD (National Vulnerability Database) est inexacte ? [A] Elle est gérée par la CISA (Cybersecurity and Infrastructure Security Agency) [B] Elle...

CBK #6 – Question n°07

Quel est le meilleur système pour noter les faiblesses des logiciels en tenant compte du contexte de l’organisme, ses exigences et son domaine d'activité ? [A] CWE [B] CVSS [C]...

CBK #6 – Question n°08

Quelle affirmation à propos des CVE (Common Vulnerabilities and Exposures) est inexacte ? [A] Le programme CVE de MITRE consiste à enregistrer et publier sur le site...

CBK #6 – Question n°09

Lors d’une attaque en ransomware, un cybercriminel a réussi à obtenir un accès initial sur un poste utilisateur via une opération de spear phishing. L’attaquant souhaite...

CBK #6 – Question n°10

Quelle est la seule affirmation exacte à propos des audits de sécurité ? [A] Les audits de première partie ont généralement peu de valeur pour améliorer la sécurité de...

CBK #7 – Question n°01

Un éditeur de solutions de Cybersécurité vient de lancer un nouveau produit capable de détecter des actions malveillantes dans les systèmes d’information des entreprises. Ce...

CBK #7 – Question n°02

Un utilisateur de votre entreprise a reçu un email avec en pièce jointe un programme exécutable. Ce programme a été signalé comme malveillant et placé en quarantaine par votre...

CBK #7 – Question n°03

En tant que RSSI d’un fournisseur SaaS, vous avez mis en place un programme de réponse aux incidents de sécurité. Le service Cloud de votre entreprise subit actuellement une...

CBK #7 – Question n°04

Afin de détecter d’éventuelles vulnérabilités dans les systèmes ou applications, il est courant d’utiliser des outils spécialisés appelés scanners de vulnérabilités. Dans quelle...

CBK #7 – Question n°05

Quel modèle de maturité adresse spécifiquement les problématiques de sécurité dans le cycle de développement des applications (SDLC) ? [A] BSIMM [B] CMMI [C] NIST RMF [D] NIST...

CBK #7 – Question n°06

Votre entreprise souhaite mettre en œuvre un plan de réponse à incident. En tant que RSSI, la direction générale vous demande d’étudier ce projet. Quels sont les 2 documents de...

CBK #7 – Question n°07

Comment s’appelle la base de connaissances américaine disponible sous forme d’une matrice qui recense les tactiques, techniques et procédures (TTP) utilisées par les...

CBK #7 – Question n°08

En matière de sauvegarde, il existe de nombreuses façons de gérer et d’optimiser les bandes. Parmi les propositions suivantes, laquelle n’est pas une stratégie de rotation des...

CBK #7 – Question n°09

En tant que concepteur d’une solution de cybersécurité, vous avez intégré l’Intelligence Artificielle (IA) dans votre produit afin d’améliorer la détection des attaques. Hélas,...

CBK #7 – Question n°10

En matière de continuité d’activité, le délai de rétablissement fixé (Recovery Time Objective ou RTO) et la durée maximale d’interruption acceptable (Maximum Tolerable Downtime...

CBK #8 – Question n°01

Votre entreprise a développé une application de e-commerce et en tant que « Security Champion » vous avez sensibilisé toute l’équipe de développement à la sécurité applicative....

CBK #8 – Question n°02

Votre entreprise a développé une application bancaire. Afin de tester et de débuguer l’application, un développeur a créé un point d’entrée accessible à distance via une API. Si...

CBK #8 – Question n°03

Vous travaillez chez CloudNumSec un important fournisseur de service Cloud qui héberge des données sensibles ou réglementées comme des données financières ou des données à...

CBK #8 – Question n°04

Scrum est l'une des pratiques Agile les plus connues de nos jours. Parmi les affirmations suivantes, laquelle est inexacte à propos de Scrum ? [A] Scrum est un framework...

CBK #8 – Question n°05

Votre entreprise vient de mettre  en production une application de e-commerce dans laquelle les utilisateurs peuvent enregistrer leurs informations bancaires afin de faciliter de...

CBK #8 – Question n°06

En octobre 2018 et mars 2019, deux Boeing 737 MAX se sont écrasés entrainant des centaines de morts. Après de nombreuses investigations, le logiciel anti-décrochage développé...

CBK #8 – Question n°07

Votre entreprise a mis en production une application de e-commerce qui s’appuie sur une base de données relationnelle (SGBDR). Dans cette base, un table appelée CLIENTS contient...

CBK #8 – Question n°08

Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis...

CBK #8 – Question n°09

Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces a permis d’identifier un scénario selon lequel un attaquant...