Close Menu
Subscribe

Examen Checkpoint: Évaluation de la vulnérabilité et gestion des risques réponses

Updated:Aucun commentaire Gestion des Cybermenaces

Examen Checkpoint: Évaluation de la vulnérabilité et gestion des risques Réponses

1. Dans le cadre de la politique RH d’une entreprise, une personne peut choisir de ne pas partager des informations avec des tiers autres que l’employeur. Quelle loi protège la confidentialité des données personnelles partagées ?

  • FIRPA
  • PCI
  • SOX
  • GLBA

Explication : La loi GLBA (Gramm-Leach-Bliley Act) contient des dispositions pour les individus et fournit des méthodes de retrait afin de restreindre la transmission d’informations à des entreprises tierces.

2. Quel type de menaces est atténué en formant les utilisateurs aux questions de sécurité et en liant cette sensibilisation aux bilans de performances ?

  • menaces associées aux appareils
  • menaces associées aux utilisateurs
  • menaces associées au cloud
  • menaces physiques

Explication : Les domaines de la cybersécurité fournissent un cadre pour l’évaluation et la mise en œuvre des contrôles visant à protéger les actifs d’une entreprise. Chaque domaine dispose de contre-mesures diverses pour gérer les menaces.

3. Une entreprise a connu plusieurs incidents impliquant des utilisateurs qui téléchargeaient des logiciels non autorisés via des sites web non autorisés et des clés USB personnelles. Le DSI souhaite mettre en place un plan pour gérer les menaces provenant des utilisateurs. Quelles sont les trois mesures à mettre en place pour gérer ce type de menaces ? (Choisissez trois réponses.)

  • Mettre en place des mesures disciplinaires.
  • Désactiver les lecteurs CD et les ports USB.
  • Modifier les clients légers.
  • Fournir une formation de sensibilisation aux questions de sécurité.
  • Utiliser le filtrage du contenu.
  • Surveiller toutes les activités des utilisateurs.

Explication : Les utilisateurs n’ont souvent pas conscience des conséquences de leurs actions. C’est pourquoi il faut les former à une bonne utilisation de leur ordinateur. Les menaces peuvent être réduites en mettant en œuvre différentes pratiques techniques et non techniques.

4. Quelle catégorie de cadre pour l’embauche de collaborateurs inclut l’examen et l’évaluation ultra spécialisés des informations de cybersécurité entrantes afin de déterminer si elles sont utiles ?

  • Analyser
  • Provisionner en toute sécurité
  • Protéger et défendre
  • Surveiller et développer

Explication : La catégorie « Analyser » du cadre pour l’embauche de collaborateurs inclut les domaines de spécialité assurant l’examen et l’évaluation ultra spécialisés des informations de cybersécurité entrantes afin de déterminer si elles sont utiles.

5. Une attaque se produit dans une entreprise qui traite les informations des cartes de crédit. Quelle loi propre au secteur régit la protection des cartes de crédit ?

  • SOX
  • GLBA
  • ECPA
  • PCI DSS

Explication : La Norme PCIDSS (Norme de sécurité des données de l’industrie des cartes de paiement) encadre la protection des données de carte de crédit dans les transactions bancaires et commerciales.

6. Un professionnel de la sécurité est chargé d’effectuer une analyse de l’état actuel du réseau d’une entreprise. Quel outil le professionnel de la sécurité doit-il utiliser pour analyser le réseau uniquement afin d’identifier les risques de sécurité ?

  • scanner de vulnérabilités
  • analyseur de paquets
  • malware
  • test d’intrusion

Explication : Les scanners de vulnérabilité sont souvent utilisés pour rechercher les vulnérabilités suivantes :

  • Utilisation de mots de passe par défaut ou des mots de passe communs
  • Correctifs manquants
  • Ports ouverts
  • Mauvaise configuration des systèmes d’exploitation et des logiciels
  • Adresses IP actives

7. Quelles informations l’outil de gestion de la sécurité du réseau SIEM fournit-il aux administrateurs réseau ?

  • détection des ports TCP et UDP ouverts
  • évaluation des configurations de sécurité du système
  • des rapports en temps réel et une analyse à long terme des événements liés à la sécurité.
  • une carte des systèmes et des services réseau

Explication : Le système SIEM, qui combine des produits de gestion des informations de sécurité et de gestion des événements liés à la sécurité, est utilisé pour l’analyse judiciaire et fournit des rapports en temps réel sur les événements liés à la sécurité.

8. Quel type de test de sécurité du réseau peut détecter et faire un rapport des modifications effectuées sur des systèmes de réseau ?

  • tests de pénétration
  • analyse de vulnérabilité
  • analyse de réseau
  • vérification de l’intégrité

Explication : Il existe de nombreux tests de sécurité qui peuvent être utilisés pour évaluer un réseau. Les tests de pénétration sont utilisés pour déterminer les conséquences possibles d’attaques réussies sur le réseau. La vérification de l’intégrité est utilisée pour détecter et signaler les modifications apportées aux systèmes. L’analyse de vulnérabilité est utilisée pour trouver les faiblesses et les erreurs de configuration sur les systèmes de réseau. L’analyse de réseau est utilisée pour détecter les ressources disponibles sur le réseau.

9. Quel outil de test du réseau un administrateur utiliserait-il pour évaluer et valider les configurations système par rapport aux politiques de sécurité et aux normes de conformité ?

  • L0phtcrack
  • Nessus
  • Metasploit
  • Tripwire

Explication : Il existe divers outils de sécurité du réseau disponibles pour les tests et l’évaluation de la sécurité du réseau. L0phtcrack peut être utilisé pour effectuer la vérification et la récupération de mot de passe. Nessus peut analyser les systèmes pour détecter les vulnérabilités des logiciels. Metasploit est utilisé pour les tests de pénétration et le développement de la signature IDS. Tripwire est utilisé pour évaluer si les périphériques du réseau sont conformes aux politiques de sécurité du réseau.

10. Quel type de test de sécurité du réseau utilise des simulations d’attaques pour déterminer la faisabilité d’une attaque ainsi que les conséquences possibles si l’attaque se produit ?

  • analyse de vulnérabilité
  • analyse de réseau
  • tests de pénétration
  • vérification de l’intégrité

Explication : De nombreux tests sont utilisés par les spécialistes de la sécurité pour évaluer l’état d’un système. On trouve notamment les produits suivants :

  • des tests de pénétration pour déterminer la faisabilité des attaques
  • analyse du réseau pour rechercher et identifier les ports TCP ouverts
  • vérification de l’intégrité pour détecter les modifications apportées au système
  • analyse des vulnérabilités pour détecter les faiblesses potentielles des systèmes

11. Quelle déclaration décrit le Échange automatisé fiable d’informations sur les indicateurs (TAXII)?

  • Il s’agit d’un ensemble de spécifications pour l’échange d’informations sur les cybermenaces entre les entreprises
  • Il s’agit d’une attaque à l’aide d’un moteur sans signature qui a recours à une analyse des attaques avec état pour détecter les menaces de type «zero-day».
  • Il s’agit d’une base de données dynamique de vulnérabilités en temps réel.
  • Il s’agit d’ une spécification pour un protocole de couche application qui permet de communiquer des données d’informations sur les CTI via HTTPS.

Explication : TAXII (Échange automatisé fiable d’informations sur les indicateurs) est une spécification pour un protocole de couche application qui permet de communiquer des données d’informations sur les CTI via HTTPS. TAXII est conçu pour prendre en charge STIX (Expression structurée des informations sur les menaces).

12. Quelle organisation définit des identificateurs uniques de la CVE pour les vulnérabilités de sécurité de l’information connues afin de faciliter le partage de données?

  • MITRE
  • DHS
  • Cisco Talos
  • FireEye

Explication : Le gouvernement des États-Unis a parrainé MITRE Corporation pour créer et gérer un catalogue des menaces de sécurité connues appelé Vulnérabilités et expositions courantes (CVE). La base de données CVE fait office de dictionnaire des noms communs (c.-à-d., identificateurs CVE) pour définir les vulnérabilités de cybersécurité connues.

13. Comment AIS traite-t-il une menace nouvellement découverte?

  • en créant des stratégies d’intervention contre la nouvelle menace
  • en conseillant au gouvernement fédéral des États-Unis de publier des stratégies internes d’intervention
  • en atténuant l’attaque avec des mécanismes de défense de réponse active
  • en permettant l’échange en temps réel d’indicateurs de cybermenace avec le gouvernement fédéral des États-Unis et le secteur privé

Explication : L’AIS réagit à une nouvelle menace dès qu’elle est reconnue en la partageant immédiatement avec le gouvernement fédéral américain et le secteur privé pour les aider à protéger leurs réseaux contre cette menace particulière.

14. Lors de la création d’un profil de réseau pour une entreprise, quel élément décrit la période entre le démarrage d’un flux de données et son interruption ?

  • durée de la session
  • débit total
  • convergence du protocole de routage
  • bande passante de la connexion Internet

Explication : Un profil de réseau doit comprendre certains éléments importants, notamment :

  • Débit total – la quantité de données passant d’une source donnée à une destination donnée dans une période de temps donnée.
  • Durée de la session – le temps entre l’établissement d’un flux de données et sa fin.
  • Ports utilisés – une liste de processus TCP ou UDP disponibles pour accepter des données.
  • Espace d’adressage des biens essentiels – les adresses IP ou l’emplacement logique des systèmes ou des données essentiels.

15. Quelles sont les trois métriques d’impact figurant dans le groupe de mesures de base CVSS 3.0 ? Citez-en trois.

  • confidentialité
  • vecteur d’attaque
  • exploit
  • intégrité
  • disponibilité
  • niveau de résolution

Explication : Le système CVSS (Système commun de notation des vulnérabilités) est un cadre ouvert standard et indépendant du fournisseur, utilisé pour évaluer les risques d’une vulnérabilité à l’aide de diverses métriques. Le système CVSS utilise trois groupes de métriques pour évaluer une vulnérabilité : le groupe de métriques de base, le groupe de métriques temporelles et le groupe de métriques environnementales. Le groupe de métriques de base se compose de deux catégories de métriques : exploitabilité et impact. Les métriques d’impact sont ancrées dans les domaines suivants : confidentialité, intégrité et disponibilité.

16. Quelles sont les étapes du cycle de vie de la gestion de la vulnérabilité?

  • identifier, protéger, détecter, répondre, récupérer
  • détecter, analyser, récupérer, répondre
  • planifier, faire, agir, vérifier
  • découvrir, hiérarchiser les actifs, évaluer, signaler, corriger, vérifier

Explication : Voici les six étapes du cycle de vie de gestion des vulnérabilités:

  • Découvrir
  • Hiérarchiser les actifs
  • Évaluation
  • Rapport
  • Correction
  • Vérification

17. S’agissant de la gestion d’un risque identifié, quelle stratégie a pour but de réduire le risque en prenant des mesures visant à minimiser les vulnérabilités ?

  • réduction des risques
  • conservation des risques
  • évitement des risques
  • partage des risques

Explication : Il existe quatre stratégies potentielles pour répondre à des risques identifiés:

  • Éviter les risques – Cesser d’effectuer les activités qui créent des risques.
  • Réduction du risque – Diminuer le risque en prenant des mesures pour réduire la vulnérabilité.
  • Partage des risques – Transférer une partie des risques à d’autres parties.
  • Rétention du risque – Accepter le risque et ses conséquences.

18. Quelle étape du cycle de vie de gestion des vulnérabilités établit un profil de risque de base afin d’éliminer les risques selon le niveau d’importance des ressources, les menaces de vulnérabilité et la classification des ressources ?

  • hiérarchisation des ressources
  • évaluation
  • vérification
  • détection

Explication : Voici les étapes du cycle de vie de gestion des vulnérabilités:

  • Détection : inventorier toutes les ressources du réseau et identifier les détails de l’hôte, y compris les systèmes d’exploitation et les services ouverts, afin d’identifier les vulnérabilités
  • Hiérarchisation des ressources: classer les ressources dans des groupes ou unités organisationnelles, et assigner une valeur commerciale aux groupes de ressources selon leur niveau d’importance pour le bon fonctionnement de l’entreprise
  • Évaluation: établir un profil de risque de base afin d’éliminer les risques selon le niveau d’importance des ressources, les menaces de vulnérabilité et la classification des ressources
  • Rapport : mesurer le niveau de risque commercial associé aux ressources en fonction des stratégies de sécurité. Documentez un plan de sécurité, surveillez les activités suspectes et décrivez les vulnérabilités connues.
  • Résolution des problèmes: hiérarchiser les vulnérabilités selon le niveau de risque pour l’entreprise et les corriger par ordre d’importance
  • Vérification: vérifier que les menaces ont été éliminées par le biais d’audits de suivi

19. Un analyste de la sécurité étudie une cyberattaque qui a commencé par compromettre un système de fichiers à l’aide d’une vulnérabilité dans une application logicielle personnalisée. L’attaque semble maintenant affecter des systèmes de fichiers supplémentaires sous le contrôle d’une autre autorité de sécurité. Quel score métrique d’exploitabilité de base CVSS v3.0 est augmenté par cette caractéristique d’attaque ?

  • intervention de l’utilisateur
  • complexité de l’attaque
  • privilèges requis
  • étendue

Explication : La mesure d’étendue est affectée par une vulnérabilité exploitée qui peut affecter des ressources au-delà des privilèges autorisés du composant vulnérable ou qui sont gérées par une autre autorité de sécurité.

20. Dans quelle situation un contrôle de détection est-il justifié ?

  • lorsque l’entreprise doit réparer des dégâts
  • lorsque l’entreprise ne peut pas utiliser un chien de garde, auquel cas il est nécessaire d’envisager une alternative
  • après que l’entreprise a subi une attaque afin de tout restaurer à l’état normal
  • lorsque l’entreprise doit rechercher une activité interdite

Explication : Le contrôle d’accès interdit aux intrus d’accéder aux données sensibles et aux réseaux. Il existe différentes technologies pour implémenter des stratégies de contrôle d’accès efficaces.

21. Quelle stratégie de réduction des risques inclut l’externalisation des services et la souscription d’une assurance ?

  • acceptation
  • réduction
  • évitement
  • transfert

Explication : Une stratégie de réduction des risques permet de diminuer l’exposition d’une entreprise aux menaces et aux vulnérabilités en transférant, en acceptant, en évitant ou en prenant des mesures pour réduire les risques.

22. L’équipe est en train d’effectuer une analyse des risques sur les services de bases de données. Les informations recueillies comprennent la valeur initiale de ces actifs, les menaces pesant sur ces actifs et l’impact de ces menaces. Quel type d’analyse des risques l’équipe effectue-t-elle en calculant les pertes annuelles attendues ?

  • analyse des pertes
  • analyse de protection
  • analyse quantitative
  • analyse qualitative

Explication : On recourt à l’analyse des risques qualitative et quantitative pour identifier et hiérarchiser les menaces qui visent l’entreprise.

23. Pourquoi une entreprise effectuerait-elle une analyse quantitative des risques liés à la sécurité du réseau ?

  • afin que la direction dispose de la documentation sur le nombre d’attaques de sécurité qui se sont produites au cours d’une période donnée
  • afin que l’entreprise connaisse les principales failles de sécurité du réseau
  • afin que l’entreprise puisse concentrer ses ressources là où elles sont le plus nécessaires.
  • afin que la direction puisse déterminer le nombre de périphériques réseau nécessaires pour inspecter, analyser et protéger les ressources de l’entreprise.

Explication : L’analyse quantitative des risques répertorie les principales menaces, attribue une valeur de coût à chaque menace si elle s’est réellement produite et classe la liste de la plus coûteuse à la moins coûteuse. Cette liste de priorités permet à la direction de déterminer où appliquer les ressources actuelles à la ou aux menaces qui coûteraient le plus cher à l’entreprise. L’analyse quantitative des risques est basée sur le coût, mais ce dernier ne doit pas être le seul critère appliqué lorsque, par exemple, l’évaluation d’un système qui assure ou implique la sécurité nationale.

24. Quelles sont les deux valeurs requises pour calculer les pertes annuelles attendues ? (Choisissez deux réponses.)

  • facteur d’exposition
  • taux annuel d’occurrence
  • valeur quantitative de perte
  • valeur des ressources
  • facteur de fréquence
  • perte attendue unique

Explication : La perte attendue unique, le taux annuel d’occurrence et la perte attendue annuelle sont utilisées dans le cadre d’une analyse des risques quantitative

25. Dans l’analyse quantitative des risques, quel terme est utilisé pour représenter le degré de destruction qui se produirait si un événement se produisait ?

  • taux d’occurrence annualisé
  • facteur d’exposition
  • espérance de perte annualisée
  • perte attendue unique

Explication : Parmi les formules utilisées dans l’analyse quantitative des risques, le facteur d’exposition est utilisé pour estimer le degré de destruction qui pourrait se produire suite à un événement tel qu’une inondation ou une erreur de saisie de données.

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires