1. Concernant la gouvernance de la sécurité, laquelle des affirmations suivantes est correcte :
A. La gouvernance de la sécurité garantit que l'activité demandée ou l'accès au sujet est réalisable compte tenu des droits et privilèges accordés à l'identité authentifiée.
B. La gouvernance de la sécurité consiste à améliorer l’efficacité. Les éléments similaires sont placés dans des groupes, des classes ou des rôles et, en tant que collection, se voient attribuer des contrôles de sécurité, des restrictions et des autorisations.
C. La gouvernance de la sécurité est un ensemble de documents documentant les meilleures pratiques en matière de sécurité informatique. Il précise les objectifs et les exigences en matière de contrôles de sécurité et encourage la mise en correspondance des idées de sécurité informatique avec les objectifs de l'entreprise.
D. La gouvernance de la sécurité vise à cartographier tous les processus et infrastructures de sécurité au sein d'une organisation par rapport aux connaissances et aux informations obtenues auprès de sources externes.
Bonne réponse : D
Examinez les implications de la gouvernance de la sécurité :
1. La gouvernance de la sécurité est un ensemble de pratiques liées au soutien, à l’évaluation, à la définition et à la direction des efforts de sécurité d’une organisation.
2. Optimal – dirigeant du conseil d'administration, plus petit – PDG ou RSSI
3. La gouvernance de la sécurité vise à cartographier tous les processus et infrastructures de sécurité au sein d'une organisation par rapport aux connaissances et aux informations obtenues auprès de sources externes.
2. Une organisation est dans une période d’expansion commerciale et subit un grand nombre de fusions et d’acquisitions. Les organisations sont préoccupées par les risques associés à ces activités. Parmi les éléments suivants, lesquels sont des exemples de ces risques :
A. Divulgation inappropriée d’informations
B. Améliorer la conformité du personnel
C. Perte de données
D. Arrêt
E. Entrez pour comprendre les motivations des attaques internes
F. Ne pas obtenir un retour sur investissement adéquat
Bonne réponse :ACDF
Examiner les processus organisationnels, ceux relatifs aux acquisitions, aux cessions et aux comités de gouvernance.
1. Fusions et acquisitions-
2. Cession d'actifs, réduction d'actifs et réduction d'effectifs - purification des actifs pour éviter les fuites de données, la suppression et la destruction des supports de stockage, et pour les employés, entretiens de sortie
3. Principes COBIT :
A. Adopter une méthode d’analyse holistique
B. Adopter un système de gouvernance de bout en bout
C. Créer de la valeur pour les parties prenantes
D. Maintenir l'authenticité et la responsabilité
E. Système de gouvernance dynamique
Bonne réponse : ABCE
Examiner les principes COBIT
4. La déclaration correcte concernant la diligence raisonnable et la diligence raisonnable est :
A. La diligence raisonnable est l'élaboration de plans, de stratégies et de procédures pour protéger les intérêts de l'organisation.
B. La diligence raisonnable est le développement d'un cadre de sécurité formel qui protège les politiques, normes, lignes de base, lignes directrices et procédures de sécurité.
C. La diligence raisonnable est l’application continue d’un cadre de sécurité à l’infrastructure informatique de l’organisation.
D. La diligence raisonnable est la pratique des activités qui maintiennent un travail sûr
E. La diligence raisonnable, c'est savoir quoi faire et élaborer un plan pour cela
F. La diligence requise consiste à prendre la bonne action au bon moment
Battez-vous pour la réponse : AD
Les salles d’examen doivent être inspectées avec soin et diligence raisonnable.
5. Base de référence - définit le niveau minimum de sécurité que chaque système de l'organisation doit respecter
Politique - Un document qui définit l'étendue de la sécurité requise par une organisation, discute des actifs qui doivent être protégés et du degré de protection nécessaire qu'une solution de sécurité doit fournir.
Normes - définissent les exigences obligatoires pour la cohérence du matériel, des logiciels, de la technologie et des méthodes de contrôle de sécurité
Procédure - Un document de mise en œuvre distribué détaillé qui décrit les actions spécifiques requises pour mettre en œuvre un mécanisme, un contrôle ou une solution de sécurité spécifique.
Conseils : fournit des conseils sur la manière de mettre en œuvre les exigences de sécurité et constitue un guide pratique destiné aux professionnels de la sécurité et aux utilisateurs.
7. L'équipe de développement travaille sur un nouveau projet. Dès les premières étapes du développement, l'équipe prend en compte les vulnérabilités, les menaces et les risques de la solution et intègre des protections pour éviter des conséquences imprévues. C’est le genre de concept de modélisation des menaces :
A. Chasse aux menaces
B. Approche proactive
C. Méthodes qualitatives
D. Approche contradictoire
Bonne réponse : B
Approche proactive de modélisation des menaces, également appelée approche défensive
Une approche réactive ou accusatoire est la modélisation des menaces après la création et le déploiement du produit, également connue sous le nom de chasse aux menaces.
Les méthodes qualitatives sont des méthodes d'évaluation des risques
8. L’employeur de C lui a demandé de procéder à un examen documentaire des politiques et procédures du fournisseur tiers. C a découvert un problème avec le fournisseur : la communication n'était pas cryptée et une authentification multifacteur était requise. Comment C a-t-il répondu :
A. Rédiger un rapport et le soumettre au PDG
B. Annuler l’ATO du fournisseur
C. Demander aux fournisseurs de revoir leurs conditions et exigences
D. Demander aux fournisseurs de signer un NDA
9. Laquelle des propositions suivantes constitue une approche de modélisation des menaces centrée sur le risque, qui cherche à sélectionner ou à développer des contre-mesures en fonction de la valeur de l'actif protégé :
A. VAST
B.SD3C
C. PÂTES
D. FOULÉE
Bonne réponse : C
Le processus de simulation d'attaque et d'analyse des menaces PASTA est une approche axée sur les risques conçue pour sélectionner ou développer des mesures de protection adaptées à la valeur des actifs à protéger.
Menaces visuelles, agiles et simples VAST est un concept de modélisation des menaces qui intègre la gestion des menaces et des risques dans des environnements de programmation agiles de manière évolutive.
SD3 C utilisé par Microsoft, sécurisé par conception, sécurisé par défaut, déploiement et communication sécurisés, cycle de vie de développement sécurisé SDL
STRIDE est un système de classification des menaces développé par Microsoft
10. L'étape suivante de la modélisation des menaces consiste à effectuer une analyse de réduction, également appelée profilage de l'application, du système ou de l'environnement. Parmi les éléments suivants, lesquels sont des éléments clés à identifier lors de la décomposition :
A. Correctif ou mise à jour de version
B. Limites de confiance
C. Chemin du flux de données
D. Utilisation du code source ouvert et fermé
E. Point d'entrée
F. Opérations privilégiées
G. Déclaration de sécurité et détails de la méthode
Bonne réponse : BCEFG
Cinq concepts clés de la décomposition : limites de confiance, chemins de flux de données, points d'entrée, opérations privilégiées et détails des revendications et méthodes de sécurité
11. Termes associés à la défense en profondeur : stratification, classification, partitionnement, division de domaine, isolement, îlot, segmentation, structure en treillis, anneau de protection
Wondershare EdrawMind
