CBK #1 – Question n°01
Le DSI d’une entreprise souhaite recevoir un contrat par email de la part d’un de ses fournisseurs et lui demande que le contrat soit signé électroniquement. En demandant...
CBK #1 – Question n°02
Le terme « threat agent » qui signifie littéralement agent de menace est souvent traduit en français par source de risque ou source de menace. Cependant, beaucoup de personnes...
CBK #1 – Question n°03
Afin de protéger son centre de données contre une éventuelle intrusion physique, une entreprise a déployé un ensemble de caméras de vidéo-surveillance tout autour du périmètre....
CBK #1 – Question n°04
Pour se prémunir contre les attaques par rançongiciels (ransomware), le RSSI d’une entreprise a décidé de renforcer ses procédures de sauvegarde. Dans la terminologie utilisée...
CBK #1 – Question n°05
Depuis la première loi américaine promulguée en 1984 pour lutter contre la cybercriminalité, les Etats-Unis se sont dotés d’un important arsenal juridique destiné à lutter contre...
CBK #1 – Question n°06
Selon la norme ISO/IEC 27005, quelle activité ne fait pas partie du processus d’appréciation du risque (Risk assessment) ? [A] Etudier des scénarii de compromission des actifs...
CBK #1 – Question n°07
Que peut-on dire à propos de la norme ISO/IEC 27002:2022 ? [A] C’est une norme d’exigences pour la mise en œuvre et la gestion d’un système de management de la sécurité de...
CBK #1 – Question n°08
Quel référentiel américain permet d’attester un niveau de conformité pour la sécurité de données sensibles (comme les données de santé) ? [A] HIPAA [B] HITECH [C] HITRUST CSF [D]...
CBK #1 – Question n°09
Quel est l’impact potentiel d’une attaque de type Ransomware sur les actifs de la victime ? [A] Intégrité [B] Disponibilité [C] Intégrité et disponibilité [D] Confidentialité,...
CBK #1 – Question n°10
Dans le jargon américain et selon le CBK de l’(ISC)2, quelle est la différence entre un CISO (Chief Information Security Officer) et un CSO (Chief Security Officer) ? [A] Il n’y...
CBK #2 – Question n°01
Votre entreprise a entamé un processus de certification ISO 27001 et le Directeur Général vous a désigné responsable de la mise en œuvre du SMSI (ISMS Lead Implementer). Après...
CBK #2 – Question n°02
La DSI de votre entreprise vous sollicite car elle a identifié plusieurs usages de services Cloud non approuvés (shadow IT) de la part des employés. En tant que RSSI, vous...
CBK #2 – Question n°03
Lorsque le vendeur d’une solution IT décide d’abandonner le développement d’un produit, il fixe une date à partir de laquelle son système ou logiciel ne recevra plus de mises à...
CBK #2 – Question n°04
La société Labosoft est un éditeur logiciel Allemand. Ses clients sont des laboratoires d’analyse médicales (allemands et français) qui utilisent son logiciel pour traiter des...
CBK #2 – Question n°05
Une agence gouvernementale américaine gérait des données classifiées SECRET depuis plus de 8 ans. Sur décision gouvernementale, ces données ne sont désormais plus sensibles et...
CBK #2 – Question n°06
Quel est le principal objectif de la classification des informations ? [A] Identifier les menaces sur les données les plus critiques [B] Protéger les informations sensibles avec...
CBK #2 – Question n°07
Votre entreprise vient d'effectuer un inventaire de ses actifs. En tant que DRH, vous êtes désigné comme délégué à la protection des données (DPO) et propriétaire des données...
CBK #2 – Question n°08
Votre entreprise souhaite externaliser plusieurs applications chez un fournisseur de service Cloud en mode IaaS. En tant que RSSI vous êtes chargé de vérifier l’éligibilité du...
CBK #2 – Question n°09
Quel est le niveau de classification approprié pour des données gouvernementales ou militaires US pour lesquelles une divulgation non autorisée pourrait causer des dommages à la...
CBK #3 – Question n°01
Vous êtes en train de concevoir un protocole de communication permettant d’échanger des trames de 1024 bits. Afin d’assurer le contrôle d’intégrité, vous avez prévu de réserver...
CBK #3 – Question n°02
Dans le cadre d’une procédure de « hardening » de vos sites Web, vous envisagez l’acquisition de modules de sécurité matériel (HSM). Ces dispositifs auront pour objectif la...
CBK #3 – Question n°03
Vous venez de télécharger Keepass un gestionnaire de mots de passe open-source et vous souhaitez vérifier que le programme reçu est bien l'original développé par Dominik Reichl....
CBK #3 – Question n°04
Développé par Kenneth Biba en 1977, le modèle de sécurité Biba décrit des règles de contrôle d'accès afin de garantir : [A] La confidentialité [B] L'intégrité [C] La...
CBK #3 – Question n°05
Contrairement à un ordinateur classique, un ordinateur quantique effectue des calculs en utilisant les lois de la physique quantique et notamment la loi dite de superposition des...
CBK #3 – Question n°06
Le minage est un procédé par lequel de nouveaux bitcoins sont mis en circulation par la validation d’un bloc de transactions. Pour cela, les mineurs doivent effectuer...
CBK #3 – Question n°07
En cryptographie et notamment pour le chiffrement symétrique, on utilise parfois un vecteur d'initialisation (IV). Parmi les affirmations suivantes concernant l'IV, laquelle est...
CBK #3 – Question n°08
Certaines attaques exploitent le décalage temporel entre le moment où une application vérifie la valeur d’une variable et le moment où elle l’exploite. On parle alors d’une «race...
CBK #3 – Question n°09
Deux équipements administrables via https doivent communiquer entre eux de façon sécurisée via un chiffrement symétrique. Pour cela, vous devez paramétrer une clé pré-partagée...
CBK #4 – Question n°01
Parmi les protocoles de sécurité réseau suivants, lequel ne permet pas d’assurer la confidentialité des données en transit ? [A] SSL v2 [B] TLS v1.3 [C] IPsec mode AH [D] IPsec...
CBK #4 – Question n°02
Selon la FEVAD, le chiffre du e-commerce en France a dépassé les 130 milliards d’euros en 2021 avec plus de 2 milliards de transactions réalisées. Toutes ces transactions sont...
CBK #4 – Question n°03
Vous venez d’être embauché en tant que CPSO (Chief Product Security Officer) par une société qui commercialise une large gamme de produits IoT destinée au monde médical. Votre...
CBK #4 – Question n°04
OSPF (Open Shortest Path First) est un protocole de routage intérieur (IRP) c'est à dire intra système autonome (AS). Il utilise une base de données permettant aux routeurs...
CBK #4 – Question n°05
Un administrateur réseau a défini le sous réseau 194.100.100.0/28. Sur ce réseau, un équipement reçoit sur une de ses interfaces un datagramme IP à destination de l’adresse...
CBK #4 – Question n°06
Parmi les propositions suivantes, laquelle n’est pas une technique d’attaque spécifique aux réseaux WiFi ? [A] Evil Twin [B] Sinkholing [C] Jamming [D] Disassociation Questions...
CBK #4 – Question n°07
Le « pharming » est une technique d’attaque qui consiste à exploiter des vulnérabilités du service DNS afin de rediriger les utilisateurs vers des sites frauduleux. Il s’agit...
CBK #4 – Question n°08
Parmi les configurations suivantes, laquelle propose la meilleure protection contre les attaques sur l’authentification par force brute hors-ligne sur un réseau Wi-Fi ? [A] WPA2...
CBK #4 – Question n°09
Quel est le principal protocole utilisé pour assurer la communication entre les systèmes d'acquisition de données et les équipements de contrôle dans les réseaux industriels dans...
CBK #5 – Question n°01
Edward travaille pour la NSA, agence gouvernementale particulièrement attentive à tout ce qui concerne la confidentialité compte tenu de la sensibilité des informations qu’elle...
CBK #5 – Question n°02
Dans sa délibération n°2017-190 en date du 22 juin 2017, la CNIL considère que les mots de passe ne doivent jamais être stockés en clair. Elle recommande que tout mot de passe...
CBK #5 – Question n°03
Un attaquant a réussi à compromettre un poste client et a récupéré l’empreinte cryptographique correspondant au mot de passe de l’utilisateur dans Active Directory. Il exploite...
CBK #5 – Question n°04
Un utilisateur souhaite s’authentifier sur un forum Internet. Après avoir saisi un identifiant et un mot de passe valides, le navigateur de l’utilisateur reçoit la réponse http...
CBK #5 – Question n°05
HTTP étant un protocole sans état (staleless), la gestion des sessions utilisateurs est toujours un sujet important en matière de sécurité des applications Web. Parmi les...
CBK #5 – Question n°06
Quelle affirmation est inexacte à propos de SAML dans un contexte de fédération d’identités et d'authentification unique (SSO) ? [A] Le fournisseur de service (SP) prend en...
CBK #5 – Question n°07
Votre entreprise souhaite mettre en production une application Web de e-commerce avec une approche marketing innovante. En effet, le service marketing souhaite que les offres...
CBK #5 – Question n°08
En matière de contrôle d’accès, comment appelle-t-on la structure qui indique, pour un sujet donné, les permissions qui lui sont accordées sur différents objets ? [A] Matrice de...
CBK #5 – Question n°09
Quelles sont les recommandations du NIST concernant la fréquence de changement des mots de passe ? [A] Aucun changement automatique. On ne change qu’en cas de compromission ou de...
CBK #6 – Question n°01
Afin d’offrir à ses clients la garantie d’un service sécurisé, un fournisseur SaaS peut faire appel à un cabinet d’audit pour obtenir une attestation relative aux dispositifs de...
CBK #6 – Question n°02
Votre entreprise a entamé un processus de certification ISO 27001 depuis bientôt un an et s’apprête désormais à faire auditer son SMSI par un organisme de certification...
CBK #6 – Question n°03
Une des activités les plus importantes pour un RSSI est de s’assurer que les mesures de sécurité sont correctement mises en œuvre, qu’elles fonctionnent comme prévu et qu’elles...
CBK #6 – Question n°04
Le 8 avril 2014, une important faille de sécurité dénommée Heartbleed (CVE-2014-0160) était dévoilée. Elle concernait la sécurité SSL/TLS et impactait un très grand nombre de...
CBK #6 – Question n°05
CVSS (Common Vulnerability Scoring System) est un système d'évaluation standardisé de la criticité des vulnérabilités logicielles selon des critères objectifs et mesurables. Dans...
CBK #6 – Question n°06
Quelle affirmation à propos de la NVD (National Vulnerability Database) est inexacte ? [A] Elle est gérée par la CISA (Cybersecurity and Infrastructure Security Agency) [B] Elle...
CBK #6 – Question n°07
Quel est le meilleur système pour noter les faiblesses des logiciels en tenant compte du contexte de l’organisme, ses exigences et son domaine d'activité ? [A] CWE [B] CVSS [C]...
CBK #6 – Question n°08
Quelle affirmation à propos des CVE (Common Vulnerabilities and Exposures) est inexacte ? [A] Le programme CVE de MITRE consiste à enregistrer et publier sur le site...
CBK #6 – Question n°09
Lors d’une attaque en ransomware, un cybercriminel a réussi à obtenir un accès initial sur un poste utilisateur via une opération de spear phishing. L’attaquant souhaite...
CBK #7 – Question n°01
Un éditeur de solutions de Cybersécurité vient de lancer un nouveau produit capable de détecter des actions malveillantes dans les systèmes d’information des entreprises. Ce...
CBK #7 – Question n°02
Un utilisateur de votre entreprise a reçu un email avec en pièce jointe un programme exécutable. Ce programme a été signalé comme malveillant et placé en quarantaine par votre...
CBK #7 – Question n°03
En tant que RSSI d’un fournisseur SaaS, vous avez mis en place un programme de réponse aux incidents de sécurité. Le service Cloud de votre entreprise subit actuellement une...
CBK #7 – Question n°04
Afin de détecter d’éventuelles vulnérabilités dans les systèmes ou applications, il est courant d’utiliser des outils spécialisés appelés scanners de vulnérabilités. Dans quelle...
CBK #7 – Question n°05
Quel modèle de maturité adresse spécifiquement les problématiques de sécurité dans le cycle de développement des applications (SDLC) ? [A] BSIMM [B] CMMI [C] NIST RMF [D] NIST...
CBK #7 – Question n°06
Votre entreprise souhaite mettre en œuvre un plan de réponse à incident. En tant que RSSI, la direction générale vous demande d’étudier ce projet. Quels sont les 2 documents de...
CBK #7 – Question n°07
Comment s’appelle la base de connaissances américaine disponible sous forme d’une matrice qui recense les tactiques, techniques et procédures (TTP) utilisées par les...
CBK #7 – Question n°08
En matière de sauvegarde, il existe de nombreuses façons de gérer et d’optimiser les bandes. Parmi les propositions suivantes, laquelle n’est pas une stratégie de rotation des...
CBK #7 – Question n°09
En tant que concepteur d’une solution de cybersécurité, vous avez intégré l’Intelligence Artificielle (IA) dans votre produit afin d’améliorer la détection des attaques. Hélas,...
CBK #8 – Question n°01
Votre entreprise a développé une application de e-commerce et en tant que « Security Champion » vous avez sensibilisé toute l’équipe de développement à la sécurité applicative....
CBK #8 – Question n°02
Votre entreprise a développé une application bancaire. Afin de tester et de débuguer l’application, un développeur a créé un point d’entrée accessible à distance via une API. Si...
CBK #8 – Question n°03
Vous travaillez chez CloudNumSec un important fournisseur de service Cloud qui héberge des données sensibles ou réglementées comme des données financières ou des données à...
CBK #8 – Question n°04
Scrum est l'une des pratiques Agile les plus connues de nos jours. Parmi les affirmations suivantes, laquelle est inexacte à propos de Scrum ? [A] Scrum est un framework...
CBK #8 – Question n°05
Votre entreprise vient de mettre en production une application de e-commerce dans laquelle les utilisateurs peuvent enregistrer leurs informations bancaires afin de faciliter de...
CBK #8 – Question n°06
En octobre 2018 et mars 2019, deux Boeing 737 MAX se sont écrasés entrainant des centaines de morts. Après de nombreuses investigations, le logiciel anti-décrochage développé...
CBK #8 – Question n°07
Votre entreprise a mis en production une application de e-commerce qui s’appuie sur une base de données relationnelle (SGBDR). Dans cette base, un table appelée CLIENTS contient...
CBK #8 – Question n°08
Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces réalisée par le Security Champion de l’entreprise a permis...
CBK #8 – Question n°09
Votre entreprise a développé une application de e-commerce. Dès la phase de conception, une modélisation des menaces a permis d’identifier un scénario selon lequel un attaquant...
