*Thinking...

> **Considering the Approach**

>

> I've started by mapping out the user's request: tackle each image, decipher the question and options,
then serve up the answer with a succinct explanation. Now I'm figuring out the best strategy to handle
this, starting with iterating through each question image.

>

>

> **Outlining the Workflow**

>

> I'm now detailing the steps needed. First, image iteration. Then, question identification, option
analysis, and answer determination. Next, I'll write explanations, and finally, compile everything neatly.
I'll also use Google Search if needed to check things.

>

>

D'accord, je vais vous aider à répondre à toutes les questions. Commençons par la première et avançons
séquentiellement.

**Question 1:** Un administrateur souhaite créer un document de politique de sécurité pour les
utilisateurs finaux afin de les protéger contre les sites web dangereux et pour les avertir des dangers et
du traitement des e-mails suspects. Quel type d'attaque par malware est évité ?

* Hameçonnage

* Protection contre les logiciels de publicité

* Les attaques DDoS

* Vérification des sources fiables et non fiables

**Analyse et Réponse:**

La question décrit des mesures visant à sensibiliser les utilisateurs aux dangers des sites web et des e-
mails suspects. L'hameçonnage (phishing) est une technique où les attaquants se font passer pour des
entités légitimes afin d'inciter les victimes à divulguer des informations sensibles, souvent via des e-
mails ou des sites web frauduleux. Une politique de sécurité informant les utilisateurs sur ces menaces
aide directement à prévenir les attaques par hameçonnage.

* La "Protection contre les logiciels de publicité" (adware) est pertinente mais l'hameçonnage est une
menace plus directe liée aux e-mails et sites web suspects.

* "Les attaques DDoS" (Distributed Denial of Service) visent à rendre un service indisponible et ne sont
pas directement évitées par la sensibilisation des utilisateurs finaux de cette manière.

* "Vérification des sources fiables et non fiables" est une *pratique* qui aide à éviter l'hameçonnage,
mais l'hameçonnage est le *type d'attaque* évité.

**Réponse correcte:** Hameçonnage

---

**Question 2:** Qu'est-ce qu'une fonction d'un analyseur de protocole ?

* analyser la valeur et le contenu des champs de protocole des paquets capturés

* autoriser ou refuser le trafic en fonction des informations sur les protocoles des couches 3 et 4

* fournir des rapports en temps réel et une analyse à long terme des événements de sécurité

* surveiller les systèmes réseau pour détecter les activités malveillantes ou les violations de politiques

**Analyse et Réponse:**

Un analyseur de protocole (comme Wireshark) capture et décode les paquets réseau, permettant
d'examiner en détail les champs des différents protocoles.
* "autoriser ou refuser le trafic..." décrit la fonction d'un pare-feu.

* "fournir des rapports en temps réel et une analyse à long terme..." décrit une fonction d'un SIEM
(Security Information and Event Management).

* "surveiller les systèmes réseau pour détecter les activités malveillantes..." décrit une fonction d'un
IDS/IPS (Intrusion Detection/Prevention System).

**Réponse correcte:** analyser la valeur et le contenu des champs de protocole des paquets capturés

---

**Question 3:** Quelle technologie peut être utilisée pour protéger l'intégrité des données en transit ?

* authentification mutuelle

* tunnels IPsec

* hacher

* réseaux privés virtuels

**Analyse et Réponse:**

L'intégrité des données garantit que les données n'ont pas été modifiées pendant leur transit. IPsec est
une suite de protocoles qui fournit la sécurité des communications au niveau de la couche IP, y compris
l'authentification, l'intégrité et la confidentialité. Le hachage est une *technique* utilisée pour vérifier
l'intégrité, et IPsec utilise des algorithmes de hachage.

* L'"authentification mutuelle" vérifie l'identité des deux parties, mais ne garantit pas directement
l'intégrité des données après l'authentification.

* Le "hacher" est une méthode, pas une technologie globale de protection en transit comme IPsec.

* Les "réseaux privés virtuels" (VPN) utilisent souvent IPsec (ou d'autres protocoles comme SSL/TLS)
pour créer des tunnels sécurisés, et IPsec est la technologie sous-jacente qui assure ici l'intégrité.
**Réponse correcte:** tunnels IPsec (car ils implémentent des mécanismes de hachage pour l'intégrité)

---

**Question 4:** Un utilisateur souhaite stocker des données là où elles sont accessibles depuis tout
ordinateur connecté à Internet. Quelle technologie de stockage répond aux besoins de l'utilisateur ?

* DAS

* Nuage

* NAS

* RAID

**Analyse et Réponse:**

Le stockage en nuage (Cloud storage) est conçu pour permettre l'accès aux données depuis n'importe
quel endroit disposant d'une connexion Internet.

* "DAS" (Direct Attached Storage) est un stockage directement connecté à un ordinateur (ex: disque
dur interne/externe) et n'est pas nativement accessible depuis n'importe où sur Internet sans
configurations supplémentaires complexes.

* "NAS" (Network Attached Storage) est accessible sur un réseau local, et bien qu'il puisse être
configuré pour un accès distant, le "Nuage" est la solution la plus directe et typique pour l'accessibilité
universelle via Internet.

* "RAID" (Redundant Array of Independent Disks) est une technologie de redondance et/ou de
performance des disques, pas un mode d'accès.

**Réponse correcte:** Nuage

---

**Question 5:** Une entreprise a défini une politique selon laquelle les employés sont tenus de signaler
tout problème de sécurité observé ou soupçonné. Quel type de contrôle l'entreprise a-t-elle mis en
œuvre ?

* contrôles techniques

* contrôles physiques

* contrôles administratifs

* contrôles des incidents

**Analyse et Réponse:**

Les politiques, procédures et directives sont des exemples de contrôles administratifs. Une politique qui
oblige les employés à signaler les problèmes de sécurité est un contrôle administratif.

* Les "contrôles techniques" sont des contrôles implémentés via la technologie (ex: pare-feu,
antivirus).

* Les "contrôles physiques" limitent l'accès physique (ex: serrures, badges).

* "contrôles des incidents" est trop vague ; la politique de signalement fait partie de la *gestion* des
incidents, qui est régie par des contrôles administratifs.

**Réponse correcte:** contrôles administratifs

---

**Question 6:** Une entreprise met en œuvre des exigences de sécurité pour que les télétravailleurs
accèdent au réseau de l'entreprise. Pouvez-vous donner deux exemples de contrôle technique pour la
mise en œuvre ? (Choisissez deux réponses.)
* Activer l'authentification multifactorielle.

* Mettre en œuvre l'utilisation des cartes à puce.

* Demander aux télétravailleurs de vérifier et de valider une politique de contrôle d'accès.

* Déplacer le data center vers le cloud.

* Installer et configurer une appliance VPN.

**Analyse et Réponse:**

Les contrôles techniques sont ceux implémentés par des systèmes technologiques.

* "Activer l'authentification multifactorielle" (MFA) est un contrôle technique car elle repose sur des
systèmes pour vérifier plusieurs formes d'identification.

* "Mettre en œuvre l'utilisation des cartes à puce" est un contrôle technique (car la carte et le lecteur
sont des technologies) et souvent un facteur dans l'MFA.

* "Demander aux télétravailleurs de vérifier et de valider une politique..." est un contrôle administratif.

* "Déplacer le data center vers le cloud" est une décision d'infrastructure stratégique, pas un contrôle
technique spécifique pour l'accès des télétravailleurs (bien que cela puisse impliquer de nouveaux
contrôles techniques).

* "Installer et configurer une appliance VPN" est un contrôle technique.

Les deux options les plus directes et courantes pour sécuriser l'accès des télétravailleurs sont l'MFA et le
VPN. Les cartes à puce peuvent faire partie de l'MFA.

**Réponses correctes:**

* Activer l'authentification multifactorielle.

* Installer et configurer une appliance VPN.

(Note: "Mettre en œuvre l'utilisation des cartes à puce" est aussi un contrôle technique, mais l'MFA est
plus large et le VPN est fondamental pour l'accès distant sécurisé.)

---

**Question 7:** Un technicien réseau est chargé de rechercher et de collecter des informations sur les
récents incidents liés à la cybersécurité. Le technicien décide de commencer par des sites web qui sont
des informations open source (OSINT). Quelles sont les deux déclarations qui décrivent les types de sites
web OSINT ? (Choisissez deux réponses.)

* Elles sont toutes gérées par des organismes publics.

* Ils collectent des informations qui sont accessibles au grand public.

* Leurs opérations sont conformes aux réglementations et aux politiques gouvernementales.

* Ils imposent généralement l'inscription de l'utilisateur et un petit abonnement mensuel.

* La plupart d'entre eux offrent un accès gratuit à leur base de données.

**Analyse et Réponse:**

OSINT (Open Source Intelligence) fait référence à la collecte d'informations à partir de sources publiques
et librement accessibles.

* "Elles sont toutes gérées par des organismes publics." Faux, de nombreuses sources OSINT sont
privées, des blogs, des forums, etc.

* "Ils collectent des informations qui sont accessibles au grand public." Vrai, c'est la définition même de
l'OSINT.

* "Leurs opérations sont conformes aux réglementations et aux politiques gouvernementales." Pas
nécessairement toutes ; la nature "ouverte" ne garantit pas la conformité de la source elle-même, bien
que l'acte de collecte par le technicien doive l'être.

* "Ils imposent généralement l'inscription de l'utilisateur et un petit abonnement mensuel." Faux,

beaucoup sont gratuites. Certaines peuvent avoir des niveaux payants, mais ce n'est pas une
caractéristique générale.
* "La plupart d'entre eux offrent un accès gratuit à leur base de données." Vrai, c'est cohérent avec la
nature "open source" et "accessible au grand public".

**Réponses correctes:**

* Ils collectent des informations qui sont accessibles au grand public.

* La plupart d'entre eux offrent un accès gratuit à leur base de données.

---

**Question 8:** Une entreprise de conseil en cybersécurité aide une entreprise à développer une
politique de cybersécurité pour résoudre certains problèmes et conditions opérationnels qui peuvent
nécessiter des exigences et des instructions plus détaillées. Quel type de politique de cybersécurité
développent-ils ?

* politique spécifique à un problème

* politique générale de gestion de la cybersécurité

* maîtriser la politique de cybersécurité

* politique spécifique au système

**Analyse et Réponse:**

La description indique que la politique vise à résoudre "certains problèmes et conditions opérationnels"
et nécessite des "exigences et des instructions plus détaillées". Cela correspond bien à une politique qui
se concentre sur des enjeux spécifiques.

* Une "politique générale de gestion de la cybersécurité" serait plus large et moins détaillée sur des
problèmes spécifiques.

* "maîtriser la politique de cybersécurité" n'est pas un type de politique standard.

* Une "politique spécifique au système" se concentrerait sur un système informatique particulier (ex:
politique pour le serveur de base de données), alors que la question parle de "problèmes et conditions
opérationnels" qui peuvent être plus larges qu'un seul système.

**Réponse correcte:** politique spécifique à un problème

---

**Question 9:** Un administrateur a reçu une habilitation de sécurité maximale dans une entreprise.
Un jour, l'administrateur constate que certains documents confidentiels ne sont pas accessibles.
L'administrateur demande à l'équipe IT de vérifier le niveau d'habilitation et reçoit la confirmation que
l'habilitation de sécurité supérieure est toujours valide. Pour quelle raison l'administrateur ne peut-il pas
accéder aux documents respectifs ?

* Le certificat PKI a été révoqué.

* La clé PKI de l'utilisateur n'est pas valide.

* Le principe du moindre privilège a été appliqué.

* Les règles du pare-feu sont en conflit avec les droits d'accès de l'utilisateur.

**Analyse et Réponse:**

Même avec une habilitation de sécurité maximale, le principe du moindre privilège dicte que les
utilisateurs ne devraient avoir accès qu'aux informations et ressources strictement nécessaires pour
accomplir leurs tâches. Il est possible que ces documents spécifiques ne relèvent pas des fonctions
actuelles de l'administrateur, même si son niveau d'habilitation général est élevé.

* Si "Le certificat PKI a été révoqué" ou "La clé PKI de l'utilisateur n'est pas valide", cela affecterait
probablement l'accès à plus de ressources, voire l'authentification au système, et l'équipe IT l'aurait
probablement identifié lors de la vérification.

* "Les règles du pare-feu" contrôlent le trafic réseau, pas directement l'accès aux fichiers basé sur les
permissions, sauf si les documents sont sur un segment réseau différent et que le pare-feu bloque cet
accès spécifique, mais le "moindre privilège" est une raison plus fondamentale pour le contrôle d'accès
aux données.

**Réponse correcte:** Le principe du moindre privilège a été appliqué.

---

**Question 10:** L'équipe IT d'une entreprise découvre que certains collaborateurs visitent de
nouveaux sites web jugés inappropriés pour la conduite des activités de l'entreprise. Quelle est la
première action que l'équipe informatique doit entreprendre en ce qui concerne les politiques de
sécurité ?

* Mettez immédiatement à jour la politique d'accès à distance et demandez aux utilisateurs de la

signer.

* Mettez immédiatement à jour la politique d'accès au réseau et demandez-lui de la signer.

* Commencez à jour la politique de gestion des incidents immédiatement et faites-la signer par les
collaborateurs.

* Mettez immédiatement à jour la politique d'utilisation acceptable et faites-la signer par tous les
utilisateurs.

**Analyse et Réponse:**

La visite de sites web inappropriés relève directement de la politique d'utilisation acceptable (PUA), qui
définit ce que les employés peuvent et ne peuvent pas faire avec les ressources informatiques de
l'entreprise.

* La "politique d'accès à distance" concerne la manière dont les utilisateurs se connectent au réseau
depuis l'extérieur.

* La "politique d'accès au réseau" est plus générale et peut inclure des aspects de la PUA, mais la PUA
est plus spécifique à l'utilisation.
* La "politique de gestion des incidents" concerne la réponse aux incidents de sécurité, pas la
prévention de ce type de comportement.

**Réponse correcte:** Mettez immédiatement à jour la politique d'utilisation acceptable et faites-la

signer par tous les utilisateurs. (Idéalement, la politique existante devrait déjà couvrir cela, mais si elle
est jugée insuffisante ou si de nouveaux types de sites sont concernés, une mise à jour et une nouvelle
communication/signature sont appropriées).

---

**Question 11:** Un administrateur réseau remarque que plusieurs points d'accès sans fil de
l'entreprise utilisent le protocole WEP pour le chiffrement et l'authentification. L'administrateur doit
mettre à jour les configurations de chiffrement et d'authentification. Quelle politique de sécurité prend
en charge le processus de mise à jour des configurations des points d'accès ?

* Politique de maintenance du réseau

* Politique d'authentification

* Politique organisationnelle

* Politique d'identification et d'authentification

**Analyse et Réponse:**

La mise à jour des configurations de sécurité des points d'accès, y compris le passage de WEP (obsolète
et non sécurisé) à des protocoles plus robustes comme WPA2/3, relève de la maintenance et de la
sécurisation du réseau.

* Une "Politique de maintenance du réseau" couvrirait les procédures de mise à jour et de maintien en
état sécurisé des équipements réseau.

* Une "Politique d'authentification" ou "Politique d'identification et d'authentification" définirait les

méthodes d'authentification acceptables (par exemple, exiger WPA2-Enterprise avec 802.1X), mais la
*mise en œuvre* de ces changements sur les AP relève de la maintenance.
* Une "Politique organisationnelle" est trop générale.

Bien que la politique d'authentification dicte *quels* protocoles utiliser, la politique qui régit le
*processus de mise à jour* des configurations est plus susceptible d'être la politique de maintenance du
réseau ou une politique de gestion des configurations. Parmi les options, "Politique de maintenance du
réseau" semble la plus appropriée pour le processus de mise à jour.

**Réponse correcte:** Politique de maintenance du réseau (car elle encadre le processus de mise à jour
des configurations pour maintenir la sécurité).

---

**Question 12:** Un hacker utilise une commande ping pour détecter les hôtes sur un réseau. Quel
type d'attaque a lieu ?

* DoS

* Usurpation d'adresse

* Amplification

* ICMP

**Analyse et Réponse:**

La commande `ping` utilise le protocole ICMP (Internet Control Message Protocol) pour envoyer des
messages "echo request" et attendre des "echo reply". L'utilisation de ping pour découvrir des hôtes
actifs est une forme de reconnaissance réseau. Bien que ICMP soit le protocole utilisé, l'action elle-
même est une forme de balayage ou de reconnaissance. Cependant, si l'on considère les options
données :

* "DoS" (Denial of Service) : Un simple ping de détection n'est généralement pas une attaque DoS, sauf
s'il est utilisé de manière abusive (Ping of Death, Ping flood).
* "Usurpation d'adresse" : Le ping ne constitue pas en soi une usurpation d'adresse, bien que l'adresse
source d'un ping puisse être usurpée.

* "Amplification" : Les attaques par amplification (ex: DNS amplification, NTP amplification) utilisent
des protocoles tiers pour amplifier le trafic vers une victime. Un simple ping n'est pas une attaque par
amplification.

* "ICMP" : C'est le protocole utilisé. Parfois, les activités de reconnaissance utilisant ICMP sont
regroupées sous le terme "balayage ICMP" ou "attaques ICMP" dans un sens large si elles sont
malveillantes.

Étant donné les options, et le fait que la question demande "quel type d'attaque", et que le ping est un
outil ICMP, si le contexte est celui d'une reconnaissance non autorisée, cela peut être considéré comme
une étape préliminaire d'une attaque, utilisant le protocole ICMP. Si la question sous-entend une
*attaque* active plutôt qu'une simple reconnaissance, et qu'ICMP est la seule option liée au protocole,
c'est la plus plausible. Un "balayage ICMP" (ICMP sweep) est une technique de reconnaissance.

Si l'on doit choisir parmi ces options, et en supposant que la détection non autorisée est considérée
comme une forme d'action hostile, "ICMP" est le protocole sur lequel l'action se base. Il manque une
option comme "Reconnaissance" ou "Balayage réseau".

**Réponse la plus probable (parmi les options):** ICMP (en tant que catégorie d'actions utilisant ce
protocole à des fins potentiellement hostiles comme la reconnaissance).

---

**Question 13:** Quelle est la représentation la plus comprimée de l'adresse IPv6

2001:0db8:0000:abcd:0000:0000:0000:0001 ?

* 2001:0db8:abcd::0001

* 2001:db8:0:abcd::1

* 2001:db8::abcd:0:1

* 2001:0db8:abcd::1
* 2001:0db8:0000:abcd::1

**Analyse et Réponse:**

Règles de compression IPv6 :

1. Supprimer les zéros non significatifs dans chaque bloc de 16 bits.

2. Utiliser `::` une seule fois pour remplacer la plus longue séquence de blocs de zéros consécutifs (ou
l'une d'elles si plusieurs séquences de même longueur existent).

Adresse originale : `2001:0db8:0000:abcd:0000:0000:0000:0001`

1. Supprimer les zéros non significatifs :

`2001:db8:0:abcd:0:0:0:1`

2. Remplacer la plus longue séquence de zéros :

La séquence `0:0:0` peut être remplacée par `::`.

`2001:db8:0:abcd::1`

Vérifions les options :

* `2001:0db8:abcd::0001` -> Incorrect, `0db8` n'est pas compressé, `0000` avant `abcd` n'est pas
compressé, et `0001` n'est pas compressé. La double abréviation est mal placée.

* `2001:db8:0:abcd::1` -> Correct. `0db8` devient `db8`. `0000` devient `0`. `abcd` reste `abcd`. La
séquence `0000:0000:0000` (qui devient `0:0:0` après la première règle) est remplacée par `::`. `0001`
devient `1`.

* `2001:db8::abcd:0:1` -> Incorrect. La double abréviation `::` remplacerait

`0000:abcd:0000:0000:0000`. Cela ne correspond pas.

* `2001:0db8:abcd::1` -> Incorrect. `0db8` n'est pas compressé. La double abréviation est mal placée.

* `2001:0db8:0000:abcd::1` -> Incorrect. `0db8` et `0000` ne sont pas compressés.

**Réponse correcte:** 2001:db8:0:abcd::1

---

**Question 14:** Quel outil est intégré dans Security Onion et affiche les captures complètes des
paquets à des fins d'analyse ?

* Zeek

* Kibana

* Sguil

* Wireshark

**Analyse et Réponse:**

Security Onion est une distribution Linux pour la surveillance de la sécurité réseau et l'analyse des
menaces.

* **Zeek** (anciennement Bro) est un analyseur de trafic réseau qui génère des journaux détaillés
(métadonnées) sur le trafic, mais pas typiquement l'outil principal pour afficher les *captures
complètes* de paquets de manière interactive (bien qu'il les traite).

* **Kibana** est une plateforme de visualisation de données, souvent utilisée avec Elasticsearch, pour
afficher des journaux et des alertes, pas directement les captures de paquets bruts.

* **Sguil** est une console pour les analystes de sécurité réseau, qui intègre des alertes provenant
d'IDS (comme Snort/Suricata) et permet de pivoter vers des outils d'analyse de paquets. Il peut lancer
des outils pour voir les captures.

* **Wireshark** est l'outil standard pour l'analyse détaillée et l'affichage des captures complètes de
paquets. Security Onion intègre des outils qui permettent d'accéder aux captures de paquets, et
Wireshark (ou Tshark en ligne de commande) est fondamental pour cela. Souvent, des outils comme
Sguil ou Squert permettent de lancer une vue des paquets (parfois via un Wireshark local ou une
interface web qui décode les paquets).
Si la question demande quel outil *affiche les captures complètes des paquets*, Wireshark est le plus
direct. Security Onion effectue la capture de paquets (souvent avec `netsniff-ng`), et ces captures
peuvent être ouvertes et analysées avec Wireshark. Sguil peut fournir un point d'entrée pour accéder à
ces captures associées à une alerte.

Dans le contexte de Security Onion, bien que Sguil soit une console centrale, c'est souvent en pivotant
depuis Sguil (ou des interfaces plus récentes comme Hunt) que l'on accède aux captures de paquets qui
sont ensuite visualisées avec des décodeurs de paquets. Si l'on considère l'outil qui *fait* l'affichage et
l'analyse détaillée des paquets, c'est Wireshark.

Cependant, Sguil est connu pour *faciliter l'accès* aux captures de paquets associées aux alertes.

Recherchons la relation entre Sguil et les captures de paquets dans Security Onion.

La documentation de Security Onion et diverses sources confirment que Sguil est une interface qui
permet d'accéder aux captures de paquets bruts (PCAP). Les utilisateurs peuvent pivoter depuis Sguil
vers des outils comme Wireshark ou NetworkMiner pour une analyse détaillée des paquets. Security
Onion lui-même utilise des outils comme Stenographer ou Suricata pour effectuer la capture de paquets
complète. L'interface PCAP de Security Onion Console (SOC) permet d'accéder à ces captures, et on peut
télécharger le fichier PCAP pour l'ouvrir avec Wireshark.

Bien que Wireshark soit l'outil qui *affiche* et permet l'analyse interactive des paquets, Sguil est
l'interface *intégrée* à Security Onion (dans les versions plus anciennes, ou des consoles similaires dans
les versions plus récentes comme SOC) qui *fournit l'accès* à ces captures en relation avec les alertes.

Si la question porte sur l'outil qui *affiche* les captures pour analyse, Wireshark est la réponse
fonctionnelle. Si elle porte sur l'outil *intégré à Security Onion qui sert de point d'entrée* pour accéder
à ces captures dans le flux de travail d'un analyste, Sguil (ou les interfaces plus récentes de SOC) est
pertinent.

Étant donné les options et le rôle historique de Sguil comme console centrale pour les analystes dans
Security Onion, reliant les alertes aux données de paquets, Sguil est une réponse plausible comme outil
*intégré* qui *facilite l'accès* et la gestion des captures de paquets pour analyse (qui peut ensuite être
faite avec Wireshark). Cependant, des sources indiquent directement que Wireshark est utilisé pour
afficher les captures complètes.

Considérant la formulation "affiche les captures complètes des paquets à des fins d'analyse", Wireshark
est l'outil qui effectue cette action d'affichage et d'analyse détaillée. Sguil est plus une console
d'agrégation d'événements et de pivot.

**Réponse correcte:** Wireshark

---

**Question 15:** Un analyste en cybersécurité examine les alertes de sécurité dans Sguil. Quelles sont
les trois informations incluses dans une alerte pour identifier le périphérique qui génère l'alerte ?
(Choisissez trois propositions.)

* Port source et de destination de couche 4

* Numéro de protocole IP

* Numéro de séquence du segment de la couche 4

* Nom de domaine de l'hôte

* Les adresses IP de la source et de la destination

* Adresse MAC source et destination

**Analyse et Réponse:**

Pour identifier le périphérique *générant* une alerte (c'est-à-dire la source de l'activité suspecte), les
informations clés sont :

* **Les adresses IP de la source et de la destination:** L'adresse IP source est cruciale pour identifier la
machine d'origine.
* **Port source et de destination de couche 4:** Ces ports, en conjonction avec les adresses IP, aident
à identifier le processus ou service spécifique impliqué sur les machines source et destination.

* **Adresse MAC source et destination:** L'adresse MAC source identifie la carte réseau physique de
l'appareil source sur le segment de réseau local.

Les autres options :

* "Numéro de protocole IP": Indique le protocole de transport (TCP, UDP, ICMP), mais pas directement
le périphérique.

* "Numéro de séquence du segment de la couche 4": Utilisé pour le réassemblage des paquets TCP, pas
pour l'identification directe du périphérique dans une alerte.

* "Nom de domaine de l'hôte": Peut être utile, mais les adresses IP sont plus fondamentales et toujours
présentes. La résolution de nom peut ne pas toujours être disponible ou précise.

Pour identifier le périphérique qui *génère* l'alerte (la source de l'activité), l'adresse IP source et
l'adresse MAC source sont primordiales. Les ports aident à contextualiser l'activité.

**Réponses correctes:**

* Les adresses IP de la source et de la destination

* Port source et de destination de couche 4

* Adresse MAC source et destination

(Note : Sguil affiche généralement les IP et les ports. L'accès aux adresses MAC peut dépendre de la
source des données et si le trafic est sur le même segment de réseau local que le capteur).

---

**Question 16:** Reportez-vous à l'illustration. Le pare-feu du routeur sans fil est configuré comme
illustré. Quelle action sera entreprise lorsque des paquets provenant d'Internet et ayant une adresse IP
de destination de 192.168.1.101 sont reçus par le pare-feu ?
(L'illustration montre une configuration de "Port Forwarding" ou "Serveur Virtuel" où le port externe 80
(HTTP) est redirigé vers l'adresse IP interne 192.168.1.101 sur le port 80.)

* Le trafic entrant détecté est transféré vers le port du commutateur où le serveur est connecté.

* Seul le trafic entrant désigné aux ports HTTP est transféré vers le serveur.

* Tous les périphériques du réseau reçoivent le trafic, mais seul le serveur est autorisé à répondre.

* Tout trafic qui ne répond pas aux requêtes provenant du serveur est abandonné.

**Analyse et Réponse:**

La configuration de "Port Forwarding" (redirection de port) illustrée signifie que le trafic arrivant sur
l'interface WAN (Internet) du routeur sur un port externe spécifié (ici, implicitement le port 80 pour
HTTP, car c'est une configuration typique pour un serveur web) sera transféré à une adresse IP et un
port spécifiques sur le réseau local (LAN). L'adresse IP de destination mentionnée est 192.168.1.101.

* "Le trafic entrant détecté est transféré vers le port du commutateur où le serveur est connecté."
C'est une description de bas niveau. Le pare-feu transfère au niveau IP/Port.

* "Seul le trafic entrant désigné aux ports HTTP est transféré vers le serveur." Si la règle de port
forwarding est pour le port 80 (HTTP) vers 192.168.1.101, alors cette affirmation est correcte. L'image
montre typiquement une règle pour un service spécifique (comme HTTP).

* "Tous les périphériques du réseau reçoivent le trafic, mais seul le serveur est autorisé à répondre."
Incorrect. Le port forwarding dirige le trafic vers une machine spécifique.

* "Tout trafic qui ne répond pas aux requêtes provenant du serveur est abandonné." Ceci décrit le
comportement d'un pare-feu avec état (stateful firewall) pour le trafic sortant initié, pas le port
forwarding.

En supposant que la règle de port forwarding est configurée pour le port 80 (HTTP) vers l'IP
192.168.1.101 (ce qui est une interprétation standard d'une telle illustration pour un serveur web), alors
le trafic HTTP entrant sera transféré.

**Réponse correcte:** Seul le trafic entrant désigné aux ports HTTP est transféré vers le serveur. (En
supposant que la règle de redirection de port concerne le port HTTP).
---

**Question 17:** Reportez-vous à l'illustration. À quel type de trafic la politique sera-t-elle appliquée
lorsque le routeur est configuré avec le mappage de classe et le mappage de politiques affichés ?

(L'illustration montre une configuration de type Cisco CBAC ou Zone-Based Firewall.

`class-map type inspect match-all INTERNET-WEB`

`match protocol http`

`match protocol https`

`match access-group 101`

`policy-map type inspect SEC-INT-WEB`

`class type inspect INTERNET-WEB`

`inspect`

`access-list 101 permit tcp 192.168.10.0 0.0.0.255 host 192.168.100.10`

L'ACL 101 autorise le TCP du réseau 192.168.10.0/24 vers l'hôte 192.168.100.10 (le serveur sécurisé).

La class-map `INTERNET-WEB` fait correspondre le trafic HTTP, HTTPS ET ce qui est permis par l'ACL 101.

La policy-map `SEC-INT-WEB` inspecte le trafic correspondant à la class-map `INTERNET-WEB`.)

* tout le trafic qui utilise le protocole HTTP ou provient de la plage d'adresses IP LAN interne.

* uniquement le trafic HTTPS provenant d'une adresse source interne ou externe destinée au serveur
sécurisé.

* tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à l'aide de tout protocole
TCP.

* uniquement le trafic HTTPS provenant de la plage d'adresses IP LAN interne destinée au serveur
sécurisé.

**Analyse et Réponse:**
La `class-map INTERNET-WEB` utilise `match-all`, ce qui signifie que toutes les conditions `match`
doivent être vraies.

Les conditions sont :

1. `match protocol http` OU `match protocol https` (implicitement, car ils sont dans la même class-map,
cela pourrait être interprété comme l'un OU l'autre si la politique est appliquée au trafic sortant et que
l'inspection crée des règles de retour). Cependant, la présence de l'ACL 101 qui spécifie les sources et
destinations TCP rend cela plus complexe.

2. `match access-group 101`: Le trafic doit correspondre à l'ACL 101. L'ACL 101 autorise le TCP du réseau
`192.168.10.0/24` (LAN interne) vers l'hôte `192.168.100.10` (serveur sécurisé).

La politique `SEC-INT-WEB` `inspecte` ce trafic. L'inspection permet le trafic retour correspondant.

La question est "À quel type de trafic la politique sera-t-elle appliquée ?". Cela se réfère au trafic qui sera
*inspecté*.

Le trafic inspecté sera donc :

* TCP (car l'ACL 101 spécifie TCP)

* De `192.168.10.0/24` (LAN interne)

* Vers `192.168.100.10` (serveur sécurisé)

* ET qui est du protocole HTTP ou HTTPS.

Analysons les options :

* "tout le trafic qui utilise le protocole HTTP ou provient de la plage d'adresses IP LAN interne."
Incorrect, car il doit aussi correspondre à l'ACL (destination spécifique) et être HTTP/HTTPS.

* "uniquement le trafic HTTPS provenant d'une adresse source interne ou externe destinée au serveur
sécurisé." Incorrect, car il inclut HTTP et la source est spécifiquement interne (LAN).

* "tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à l'aide de tout protocole
TCP." Incorrect, car il doit aussi être HTTP ou HTTPS.

* "uniquement le trafic HTTPS provenant de la plage d'adresses IP LAN interne destinée au serveur
sécurisé." Incorrect, car il inclut aussi HTTP.
Il semble y avoir une subtilité dans l'interprétation de `match protocol http` et `match protocol https`
avec `match access-group 101` sous `match-all`.

Si la `class-map` est `match-all`, alors le trafic doit être HTTP *et* HTTPS *et* correspondre à l'ACL 101,
ce qui est impossible.

Il est plus probable que `match protocol http` et `match protocol https` soient considérés comme un
"OU" implicite dans ce contexte, ou que la `class-map` soit mal configurée si c'est un `match-all` strict.

Cependant, si l'on suppose une configuration typique où l'on veut inspecter le trafic web (HTTP et
HTTPS) du LAN vers un serveur spécifique :

Le trafic doit provenir du LAN (`192.168.10.0/24`), aller vers le serveur sécurisé (`192.168.100.10`), et
être soit HTTP, soit HTTPS. L'ACL 101 autorise tout TCP de cette source vers cette destination. La `class-
map` filtre ensuite ce trafic pour ne prendre que HTTP et HTTPS.

Donc, la politique s'appliquera au trafic HTTP et HTTPS provenant de `192.168.10.0/24` et destiné à

`192.168.100.10`.

Reconsidérons les options :

* La plus proche serait une combinaison. Aucune option ne dit "trafic HTTP et HTTPS du LAN interne
vers le serveur sécurisé".

Si l'on doit choisir la *meilleure* option :

L'ACL 101 est `permit tcp 192.168.10.0 0.0.0.255 host 192.168.100.10`.

La `class-map` avec `match-all` signifie que le trafic doit être (HTTP OU HTTPS) ET correspondre à l'ACL
101.

Donc, trafic HTTP du LAN interne vers le serveur sécurisé, ET trafic HTTPS du LAN interne vers le serveur
sécurisé.

Voyons l'option : "tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à l'aide de
tout protocole TCP." Cette option ignore le `match protocol http` et `match protocol https`.
Voyons l'option : "uniquement le trafic HTTPS provenant de la plage d'adresses IP LAN interne destinée
au serveur sécurisé." Cette option ignore HTTP.

Il y a une ambiguïté dans la question ou les options. Cependant, si la `class-map` est `INTERNET-WEB` et
qu'elle contient `match protocol http` et `match protocol https`, elle s'appliquera au trafic HTTP et
HTTPS. L'ACL 101 limite ce trafic à celui provenant du LAN interne (192.168.10.0/24) et allant vers le
serveur sécurisé (192.168.100.10).

Si l'on doit choisir la réponse la plus restrictive et correcte parmi les options, et en supposant une erreur
dans les options fournies :

L'option "tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à l'aide de tout
protocole TCP" est ce que l'ACL 101 permet. La `class-map` filtre ensuite cela pour n'inclure que HTTP et
HTTPS.

Donc, la politique s'applique au trafic HTTP et HTTPS du LAN interne (192.168.10.0/24) vers le serveur
sécurisé (192.168.100.10).

Aucune option ne correspond parfaitement.

Cependant, si l'on considère la dernière option : "uniquement le trafic HTTPS provenant de la plage
d'adresses IP LAN interne destinée au serveur sécurisé." C'est partiellement correct (source, destination,
un des protocoles).

L'option "tout le trafic qui utilise le protocole HTTP ou provient de la plage d'adresses IP LAN interne."
est trop large.

Revenons à la logique `match-all`:

Le trafic doit être HTTP.

Le trafic doit être HTTPS.

Le trafic doit correspondre à l'ACL 101.

Ceci est impossible (un paquet ne peut pas être à la fois HTTP et HTTPS).
Il est plus probable que la `class-map` soit de type `match-any` implicitement pour les protocoles, ou
qu'il y ait deux `class-map` (une pour HTTP, une pour HTTPS) regroupées ensuite.

Ou, une `class-map` avec `match protocol tcp` et ensuite l'ACL qui spécifie les ports HTTP/HTTPS (mais
l'ACL ici ne spécifie pas les ports, seulement TCP).

Si l'on suppose que `match protocol http` et `match protocol https` sont des conditions alternatives au
sein de la `class-map` pour le trafic qui correspond déjà à l'ACL 101.

Alors, c'est le trafic TCP du LAN interne vers le serveur sécurisé, qui est soit HTTP, soit HTTPS.

Laquelle des options est la *moins incorrecte* ou la plus proche de l'intention ?

L'option "tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à l'aide de tout
protocole TCP" décrit ce que l'ACL 101 autorise. La `policy-map` inspecte ensuite le sous-ensemble de ce
trafic qui est HTTP ou HTTPS. Donc, la politique est appliquée au trafic HTTP/HTTPS qui est un sous-
ensemble du trafic TCP autorisé par l'ACL.

La question est "À quel type de trafic la politique sera-t-elle appliquée ?" Elle sera appliquée au trafic qui
correspond à la `class-map INTERNET-WEB`.

Ce trafic est HTTP ou HTTPS **ET** correspond à l'ACL 101.

Donc, trafic HTTP du `192.168.10.0/24` vers `192.168.100.10` **OU** trafic HTTPS du `192.168.10.0/24`
vers `192.168.100.10`.

La troisième option est "tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à l'aide
de tout protocole TCP." C'est ce que l'ACL permet. La `class-map` affine cela.

La politique *inspecte* le trafic HTTP/HTTPS. Donc la politique est *appliquée* à ce trafic HTTP/HTTPS.

Considérons l'option choisie dans l'image (la troisième, marquée en bleu clair) : "tout trafic de la plage
d'adresses IP LAN interne vers le serveur sécurisé à l'aide de tout protocole TCP."

Si c'est la bonne réponse, cela signifie que la `class-map` est interprétée différemment, ou que la
question est mal posée. Si la politique `inspect` est appliquée au trafic HTTP/HTTPS, alors la politique est
appliquée à ce trafic spécifique, pas à *tout* le trafic TCP.
Cependant, la `class-map` `INTERNET-WEB` est ce qui est utilisé dans la `policy-map`. Et cette `class-map`
inclut `match protocol http`, `match protocol https`, et `match access-group 101`.

Si la réponse est la troisième, cela implique que les `match protocol` sont ignorés ou que l'ACL 101 est la
seule condition considérée pour l'application de la politique, ce qui contredit la configuration `match-all`
avec les protocoles.

Il y a une forte probabilité que la question ou les options soient imparfaites.

Cependant, si la réponse surlignée est la bonne, cela signifie que la politique `SEC-INT-WEB` s'applique à
tout le trafic défini par l'ACL 101 (TCP du LAN interne vers le serveur sécurisé), et que l'action `inspect`
au sein de cette politique se concentre sur les aspects HTTP/HTTPS de ce trafic. C'est une interprétation
possible mais pas la plus directe de la configuration.

Une interprétation plus standard est que la politique `inspect` s'applique au trafic qui est à la fois
HTTP/HTTPS ET qui correspond à l'ACL 101.

Dans ce cas, aucune des options n'est parfaitement correcte.

L'option la plus proche de "trafic HTTP ou HTTPS du LAN interne vers le serveur sécurisé" n'est pas là.

Si l'on se fie à la réponse surlignée dans l'image (la troisième option): "tout trafic de la plage d'adresses
IP LAN interne vers le serveur sécurisé à l'aide de tout protocole TCP."

Cela signifierait que la `class-map` `INTERNET-WEB` est considérée comme correspondant à tout le trafic
de l'ACL 101, et que les `match protocol http/https` servent à spécifier *quels aspects* de ce trafic sont
inspectés, plutôt que de filtrer le trafic auquel la classe s'applique. C'est une interprétation non standard
d'un `match-all`.

**En supposant que l'option surlignée dans l'image est la bonne réponse attendue :**

**Réponse (selon l'image):** tout trafic de la plage d'adresses IP LAN interne vers le serveur sécurisé à
l'aide de tout protocole TCP.

(Mon analyse initiale suggère que cela devrait être plus spécifique aux protocoles HTTP/HTTPS).

---
**Question 18:** Quels noms sont attribués à une base de données dans laquelle toutes les
transactions de cryptomonnaie sont enregistrées ? Choisissez deux bonnes réponses.

* Feuille de calcul

* Tableau

* Chaîne de blocs

* Grand livre

**Analyse et Réponse:**

La technologie sous-jacente à la plupart des cryptomonnaies pour enregistrer les transactions est la
blockchain. Ce système est un type de grand livre distribué.

* "Feuille de calcul" (Spreadsheet) : Non, c'est un outil de bureautique.

* "Tableau" (Dashboard/Board) : Non, c'est un outil de visualisation ou un tableau physique.

* "Chaîne de blocs" (Blockchain) : Oui, c'est le nom de la technologie de base de données distribuée.

* "Grand livre" (Ledger) : Oui, une blockchain fonctionne comme un grand livre numérique qui
enregistre les transactions.

**Réponses correctes:**

* Chaîne de blocs

* Grand livre

---

**Question 19:** Quel type d'attaque interrompt les services en saturant les périphériques réseau avec
un trafic factice ?
* Menace de type zero-day

* Balayages de ports

* Les attaques DDoS

* Attaque en force

**Analyse et Réponse:**

Saturer les périphériques réseau avec un trafic factice pour interrompre les services est la définition
d'une attaque par déni de service (DoS) ou déni de service distribué (DDoS).

* "Menace de type zero-day" : Exploite une vulnérabilité inconnue, pas nécessairement par saturation.

* "Balayages de ports" : Technique de reconnaissance pour trouver des ports ouverts, pas pour saturer.

* "Les attaques DDoS" (Distributed Denial of Service) : Correspond exactement à la description.

* "Attaque en force" (Brute force attack) : Tente de deviner des mots de passe ou des clés, pas de
saturer le réseau avec du trafic factice.

**Réponse correcte:** Les attaques DDoS

---

**Question 20:** Quelle méthode d'authentification sans fil permet de tirer parti de la vérification
d'identité à l'aide d'un serveur Radius ?

* Ouvrir

* WPA2-Entreprise

* WPA-Personnel

* WEP
**Analyse et Réponse:**

WPA2-Entreprise (et WPA3-Entreprise) utilise la norme IEEE 802.1X pour l'authentification, qui fait
typiquement appel à un serveur RADIUS (Remote Authentication Dial-In User Service) pour vérifier les
informations d'identification des utilisateurs.

* "Ouvrir" : Aucune authentification.

* "WPA2-Entreprise" : Utilise 802.1X et RADIUS.

* "WPA-Personnel" (et WPA2-Personnel) : Utilise une clé pré-partagée (PSK), pas RADIUS.

* "WEP" : Méthode d'authentification et de chiffrement obsolète et non sécurisée, n'utilise pas RADIUS
de cette manière.

**Réponse correcte:** WPA2-Entreprise

---

**Question 21:** Parmi les protocoles suivants, lesquels utilisent la norme de chiffrement avancée
(AES) ? Sélectionnez deux réponses correctes.

* WPA2

* TKIP

* WEP

* WPA

* PAE

**Analyse et Réponse:**

AES (Advanced Encryption Standard) est un algorithme de chiffrement robuste.

* **WPA2:** Obligatoire d'utiliser CCMP, qui est basé sur AES. Donc WPA2 utilise AES.

* **TKIP** (Temporal Key Integrity Protocol): Utilisé par WPA (et optionnellement par WPA2 pour la
rétrocompatibilité). TKIP est une amélioration de WEP mais n'est pas aussi robuste qu'AES. Il encapsule
RC4, pas AES.

* **WEP** (Wired Equivalent Privacy): Utilise RC4, pas AES, et est très peu sécurisé.

* **WPA:** Utilise principalement TKIP. Peut supporter AES dans certains modes (WPA-AES), mais TKIP
était plus courant.

* **PAE** (Port Access Entity): Fait référence à une entité dans le cadre de 802.1X, ce n'est pas un
protocole de chiffrement lui-même.

WPA2 a rendu obligatoire l'utilisation de CCMP, qui est un protocole de chiffrement basé sur AES. WPA3
utilise également AES.

Si la question demande quels protocoles *utilisent* AES, WPA2 est un choix clair.

WPA pouvait utiliser AES (via CCMP) mais TKIP était plus courant.

Considérant les options :

WPA2 utilise AES (via CCMP).

WPA *peut* utiliser AES, mais TKIP est plus associé à WPA.

Recherchons plus précisément.

WPA2 (Wi-Fi Protected Access 2) utilise obligatoirement CCMP, qui est un protocole de chiffrement basé
sur AES. [[1]](https://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-
or-both/)[[2]](https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access)

WPA (Wi-Fi Protected Access), le prédécesseur de WPA2, utilisait principalement TKIP.

[[1]](https://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-or-both/)
[[3]](https://www.cbtnuggets.com/blog/technology/security/what-are-encryption-standards-WPA-
WPA2) Bien que WPA puisse théoriquement être configuré pour utiliser AES (CCMP), ce n'était pas sa
configuration principale ou obligatoire.
[[4]](https://learningnetwork.cisco.com/s/question/0D53i00000Ksnr2CAB/wep-wpa-wpa2-tkip-aes-
ccmp-eap)
Donc, WPA2 utilise AES.

TKIP n'utilise pas AES ; il est basé sur RC4. [[1]](https://www.howtogeek.com/204697/wi-fi-security-

should-you-use-wpa2-aes-wpa2-tkip-or-both/)

WEP utilise RC4 et est obsolète. [[1]](https://www.howtogeek.com/204697/wi-fi-security-should-you-

use-wpa2-aes-wpa2-tkip-or-both/)

Il faut choisir deux protocoles. WPA2 est un choix clair.

Pour la deuxième option, si WPA est listé, il faut être prudent. WPA est principalement associé à TKIP.

Si la question implique que le protocole *lui-même* est AES, c'est une formulation incorrecte. AES est
un *algorithme de chiffrement* utilisé *par* des protocoles.

WPA2 utilise AES.

WPA utilise principalement TKIP, mais peut, dans certaines configurations optionnelles, utiliser AES. [[4]]
(https://learningnetwork.cisco.com/s/question/0D53i00000Ksnr2CAB/wep-wpa-wpa2-tkip-aes-ccmp-
eap) Cependant, l'association forte est WPA2 avec AES, et WPA avec TKIP.

Si les options sont celles données, et qu'il faut en choisir deux qui "utilisent" AES :

1. **WPA2** (utilise AES via CCMP, c'est obligatoire).

2. Si "WPA" est une option et qu'on considère ses capacités optionnelles, il pourrait être un candidat
faible. Mais ce n'est pas son mode principal.

Il n'y a pas d'autre option évidente parmi celles listées (TKIP, WEP, PAE) qui utilise AES.

La question est peut-être formulée pour piéger ou simplifier. WPA2 est la réponse la plus forte.

S'il faut absolument deux réponses, et que WPA est la seule autre option de protocole de sécurité Wi-Fi
listée, ce serait le candidat le plus probable, en admettant que la question se réfère à la *possibilité*
d'utiliser AES.

**Réponses correctes (la plus forte et une possible deuxième si requise):**

1. WPA2

2. WPA (avec la nuance que c'est optionnel et moins courant que TKIP pour WPA, alors que c'est
obligatoire pour WPA2).

Si l'on doit choisir strictement "lesquels utilisent", WPA2 est certain. S'il y a une autre option qui utilise
AES de manière standard, elle serait préférable. En l'absence, et s'il faut deux réponses, WPA est le seul
autre protocole de sécurité Wi-Fi listé qui *peut* utiliser AES.

---

**Question 22:** En raison d'une pandémie, une entreprise décide de laisser ses collaborateurs
travailler à domicile. Quelle technologie de sécurité mettre en œuvre pour garantir la confidentialité des
communications de données entre les collaborateurs et le réseau de l'entreprise ?

* SHA-3

* MD5

* SHA-1

* AES

**Analyse et Réponse:**

Pour garantir la confidentialité des communications, il faut un chiffrement.

* SHA-3, MD5, SHA-1 sont des algorithmes de hachage. Ils assurent l'intégrité et sont utilisés pour
vérifier que les données n'ont pas été modifiées, mais ils ne chiffrent pas les données pour assurer la
confidentialité.

* AES (Advanced Encryption Standard) est un algorithme de chiffrement symétrique utilisé pour assurer
la confidentialité des données. Il est couramment utilisé dans les VPN (Virtual Private Networks) pour
sécuriser les communications entre les télétravailleurs et le réseau de l'entreprise.
Les VPN utilisent souvent AES pour chiffrer le trafic.

**Réponse correcte:** AES

---

**Question 23:** Quelle affirmation décrit une fonction fournie par l'algorithme Diffie-Hellman aux VPN
IPsec ?

* Il permet à deux entités d'établir une clé secrète partagée sur un canal non sécurisé.

* Il permet d'identifier la source des données envoyées via le VPN.

* Il garantit que les données n'ont pas été modifiées entre l'expéditeur et le destinataire.

* Il s'agit d'un algorithme de chiffrement qui permet de s'assurer que les données ne peuvent pas être
interceptées.

**Analyse et Réponse:**

L'algorithme Diffie-Hellman (DH) est un protocole d'échange de clés. Sa fonction principale est de
permettre à deux parties qui n'ont aucune connaissance préalable l'une de l'autre d'établir
conjointement une clé secrète partagée sur un canal de communication non sécurisé. Cette clé partagée
peut ensuite être utilisée pour chiffrer les communications ultérieures.

* "Il permet à deux entités d'établir une clé secrète partagée sur un canal non sécurisé." C'est la
définition exacte de la fonction de Diffie-Hellman.

* "Il permet d'identifier la source des données..." C'est une fonction d'authentification (par exemple,
assurée par des signatures numériques ou des HMAC).

* "Il garantit que les données n'ont pas été modifiées..." C'est une fonction d'intégrité des données (par
exemple, assurée par des HMAC).
* "Il s'agit d'un algorithme de chiffrement..." Diffie-Hellman n'est pas un algorithme de chiffrement en
soi, mais un algorithme d'échange de clés. Les clés générées par DH sont ensuite utilisées par des
algorithmes de chiffrement (comme AES).

**Réponse correcte:** Il permet à deux entités d'établir une clé secrète partagée sur un canal non
sécurisé.

---

**Question 24:** Qu'utilisent les entités PKI pour vérifier la validité d'un certificat numérique ?

* CRL

* S/MIME

* SSL

* X.509

**Analyse et Réponse:**

Pour vérifier la validité d'un certificat numérique, une entité PKI (Public Key Infrastructure) doit s'assurer
qu'il n'a pas été révoqué avant sa date d'expiration.

* **CRL (Certificate Revocation List):** Une liste des certificats qui ont été révoqués par l'Autorité de
Certification (AC) avant leur date d'expiration prévue. Les entités vérifient cette liste. OCSP (Online
Certificate Status Protocol) est une autre méthode pour vérifier l'état de révocation.

* **S/MIME (Secure/Multipurpose Internet Mail Extensions):** Un standard pour le chiffrement et la

signature des e-mails, qui utilise des certificats PKI, mais n'est pas la méthode de vérification de la
validité du certificat lui-même.

* **SSL (Secure Sockets Layer):** Un protocole de sécurité (maintenant obsolète et remplacé par TLS)
qui utilise des certificats PKI pour sécuriser les communications. Ce n'est pas la méthode de vérification
de la validité.
* **X.509:** Le format standard pour les certificats de clé publique. Le certificat lui-même est au
format X.509, mais ce n'est pas ce qui est *utilisé pour vérifier* sa validité (en termes de révocation).

**Réponse correcte:** CRL (et OCSP, bien que non listé, est une alternative moderne).

---

**Question 25:** Quel est l'inconvénient d'une topologie PKI à racine unique ?

* Elle nécessite une administration décentralisée qui peut conduire à plusieurs points de défaillance.

* Elle peut délivrer des certificats non sécurisés aux utilisateurs finaux et à une AC subordonnée.

* Il est difficile de s'adapter à un environnement de grande envergure.

* Elle permet de créer des topologies hiérarchiques et de certification croisée non sécurisées.

**Analyse et Réponse:**

Une topologie PKI à racine unique signifie qu'il y a une seule Autorité de Certification (AC) racine.

* "Elle nécessite une administration décentralisée..." Au contraire, une racine unique tend vers une
administration centralisée au niveau de la racine. Les hiérarchies peuvent avoir une administration
déléguée, mais la racine est unique.

* "Elle peut délivrer des certificats non sécurisés..." La sécurité de la délivrance dépend de la rigueur
des processus de l'AC, pas intrinsèquement de la topologie à racine unique. Une AC racine compromise
est catastrophique.

* "Il est difficile de s'adapter à un environnement de grande envergure." C'est un inconvénient majeur.
Si l'AC racine unique est compromise, toute la PKI est compromise. Gérer un très grand nombre de
certificats et de politiques diverses sous une seule racine peut devenir complexe et moins flexible. Les
hiérarchies avec des AC intermédiaires sont souvent utilisées pour la scalabilité et la gestion déléguée,
mais si la *racine elle-même* est le point central de toute confiance, sa gestion à grande échelle et sa
protection deviennent critiques et complexes. Un autre aspect est que si cette unique AC racine est hors
ligne (ce qui est une bonne pratique de sécurité), l'émission de certificats d'AC subordonnées peut être
retardée.

Un inconvénient majeur d'une PKI à racine unique est que **si l'AC racine est compromise, l'ensemble
de la PKI est compromise.** C'est un point de défaillance unique critique. La gestion de la révocation à
grande échelle peut aussi être un défi. L'adaptation à des besoins organisationnels très diversifiés sous
une seule politique racine peut être difficile.

* "Elle permet de créer des topologies hiérarchiques et de certification croisée non sécurisées." La
topologie elle-même ne rend pas les choses non sécurisées ; c'est la gestion et la politique. Une racine
unique *est* une hiérarchie (potentiellement plate ou avec des intermédiaires). La certification croisée
est plus typique quand il y a plusieurs racines de confiance.

L'option "Il est difficile de s'adapter à un environnement de grande envergure" englobe plusieurs des
défis, y compris la gestion, la flexibilité et l'impact d'une compromission. Si l'AC racine unique doit servir
de nombreuses divisions ou organisations avec des besoins différents, cela devient lourd.

La réponse surlignée dans l'image est "Elle peut délivrer des certificats non sécurisés aux utilisateurs
finaux et à une AC subordonnée." Cela se produirait si l'AC racine elle-même est compromise ou mal
gérée. La compromission de l'AC racine est le risque principal d'une topologie à racine unique. Si elle est
compromise, elle peut effectivement émettre des certificats frauduleux (non sécurisés).

Comparons "difficile de s'adapter à un environnement de grande envergure" et "Elle peut délivrer des
certificats non sécurisés...".

Le fait qu'une compromission de la racine unique ait des conséquences catastrophiques (comme la
délivrance de certificats non sécurisés) est un inconvénient majeur. La difficulté d'adaptation à grande
échelle est aussi un inconvénient.

Si l'AC racine est compromise, elle *peut* délivrer des certificats non sécurisés. C'est la conséquence la
plus grave d'un point de défaillance unique.
**Réponse (selon l'image surlignée):** Elle peut délivrer des certificats non sécurisés aux utilisateurs
finaux et à une AC subordonnée. (Ceci est une conséquence directe de la compromission de l'unique AC
racine, qui est le principal risque de cette topologie).

---

**Question 26:** Un cyberanalyste recherche un outil d'analyse des malwares open source capable de
s'exécuter localement sur le réseau. Quel outil répondrait aux besoins du cyberanalyste ?

* AMP (Protection antimalware)

* Globex Threat Grid

* Bac à sable coucou

* ANY.RUN

**Analyse et Réponse:**

L'exigence clé est "open source" et "s'exécuter localement".

* **AMP (Advanced Malware Protection) de Cisco:** C'est une solution commerciale, pas open source.

* **Threat Grid (maintenant Cisco Secure Malware Analytics):** C'est une solution commerciale
d'analyse de malwares, souvent basée sur le cloud, pas open source pour une exécution locale complète
de la plateforme.

* **Bac à sable Cuckoo (Cuckoo Sandbox):** C'est un système d'analyse de malware automatisé open
source très populaire. Il peut être déployé et exécuté localement.

* **ANY.RUN:** C'est un service de sandbox de malware interactif, principalement basé sur le cloud. Il
existe des options pour des recherches privées, mais la plateforme principale est un service cloud, et pas
typiquement décrite comme un outil open source que l'on déploie localement de la même manière que
Cuckoo.

**Réponse correcte:** Bac à sable coucou

---

**Question 27:** Qu'est-ce qu'une fonctionnalité de la sandbox des programmes malveillants

ANY.RUN ?

* Il s'exécute sur le réseau local et peut analyser plusieurs échantillons de malwares.

* Il s'agit d'un outil de type sandbox en ligne capable de capturer des captures d'écran des éléments
interactifs du malware.

* Il s'agit d'un outil open source qui peut être utilisé pour créer des signatures afin d'empêcher le
fichier malveillant de pénétrer à nouveau sur le réseau.

* Il s'agit d'un outil Cisco capable de suivre la trajectoire des malwares qui ont pénétré sur le réseau et
d'annuler les événements réseau pour obtenir une copie du fichier malveillant téléchargé.

**Analyse et Réponse:**

ANY.RUN est connu pour être un service de sandbox interactif en ligne.

* "Il s'exécute sur le réseau local..." Non, ANY.RUN est principalement un service en ligne.

* "Il s'agit d'un outil de type sandbox en ligne capable de capturer des captures d'écran des éléments
interactifs du malware." Oui, ANY.RUN permet une interaction en temps réel avec le malware dans un
environnement sandboxé et capture l'activité, y compris les interactions et les changements visuels.

* "Il s'agit d'un outil open source..." Non, ANY.RUN est un service commercial, bien qu'il puisse avoir un
niveau d'utilisation gratuit.

* "Il s'agit d'un outil Cisco..." Non, ANY.RUN n'est pas un produit Cisco.

**Réponse correcte:** Il s'agit d'un outil de type sandbox en ligne capable de capturer des captures
d'écran des éléments interactifs du malware.

---
**Question 28:** Une entreprise a besoin d'une solution capable de générer des alertes sur les
malwares qui ont pénétré dans le périmètre du réseau et qui ont infecté les systèmes internes. Quelle
technologie serait une solution appropriée pour l'entreprise ?

* Système de détection d'intrusion dans l'hôte

* Pare-feu à politique basée sur les zones

* Pot de miel

* Bac à sable

**Analyse et Réponse:**

La question porte sur la détection de malwares *ayant infecté les systèmes internes*.

* **Système de détection d'intrusion dans l'hôte (HIDS):** Un HIDS est installé sur un hôte individuel
et surveille son activité (fichiers système, journaux, comportement des processus) pour détecter des
signes d'infection ou de compromission. C'est directement pertinent pour détecter les malwares sur les
systèmes internes.

* **Pare-feu à politique basée sur les zones (Zone-Based Firewall):** Contrôle le trafic entre les
segments du réseau, peut aider à prévenir la propagation, mais ne détecte pas directement une
infection sur un hôte.

* **Pot de miel (Honeypot):** Un système leurre conçu pour attirer les attaquants. Il peut détecter des
tentatives d'attaque, mais pas nécessairement une infection déjà réussie sur un système de production
interne.

* **Bac à sable (Sandbox):** Utilisé pour analyser des fichiers suspects dans un environnement isolé,
typiquement avant qu'ils n'infectent un système ou pour analyser un malware déjà identifié. Il ne
surveille pas en continu les systèmes internes pour de nouvelles infections.

**Réponse correcte:** Système de détection d'intrusion dans l'hôte

---
**Question 29:** Quels sont les moyens les plus efficaces de se défendre contre les logiciels
malveillants ? Sélectionnez deux bonnes réponses.

* Mettre à jour le système d'exploitation et les autres logiciels d'application

* Installer et mettre à jour un logiciel antivirus

* Mettre en œuvre le RAID

* Mettre en œuvre des pare-feu de réseau

* Mettre en place des mots de passe forts

* Mettre en place un VPN

**Analyse et Réponse:**

La défense contre les malwares implique plusieurs couches.

* **Mettre à jour le système d'exploitation et les autres logiciels d'application:** Très efficace. Les
mises à jour corrigent les vulnérabilités que les malwares exploitent.

* **Installer et mettre à jour un logiciel antivirus/antimalware:** Très efficace. Ces logiciels détectent
et suppriment les malwares connus et peuvent utiliser l'heuristique pour les nouveaux.

* "Mettre en œuvre le RAID": Assure la redondance des données, ne protège pas contre l'infection par
malware.

* "Mettre en œuvre des pare-feu de réseau": Bloque le trafic réseau non autorisé, peut empêcher
certains malwares d'entrer ou de communiquer, mais ne protège pas contre toutes les méthodes
d'infection (ex: clé USB). C'est une couche de défense importante, mais les deux premières sont plus
directes contre le malware lui-même.

* "Mettre en place des mots de passe forts": Important pour la sécurité des comptes, empêche l'accès
non autorisé, mais ne protège pas directement contre un fichier malveillant exécuté par un utilisateur
légitime.

* "Mettre en place un VPN": Sécurise les communications, mais ne protège pas contre les malwares si
un fichier malveillant est téléchargé via la connexion VPN.
Les deux moyens les plus directs et universellement recommandés pour la défense contre les malwares
sur les points d'extrémité sont les mises à jour logicielles et un logiciel antimalware.

**Réponses correctes:**

* Mettre à jour le système d'exploitation et les autres logiciels d'application

* Installer et mettre à jour un logiciel antivirus

---

**Question 30:** Un éditeur de logiciels utilise un service de cloud public pour héberger des services de
développement et de déploiement. L'entreprise pèse sur les options de protection contre les violations
de données et la compromission des identifiants de connexion. Quelles sont les deux contre-mesures à
mettre en œuvre ? (Choisissez deux réponses.)

* Mettre en œuvre un processus d'authentification multifactorielle.

* Élaborez et mettez en œuvre des politiques de conformité.

* Utilisez un algorithme de chiffrement avancé.

* Effectuez une sauvegarde quotidienne des données.

* Déployez des services de développement et de déploiement dans plusieurs zones.

* Installez un logiciel de détection des intrusions basé sur l'hôte sur les machines virtuelles dans le
cloud.

**Analyse et Réponse:**

La question se concentre sur la protection contre les violations de données et la compromission des
identifiants de connexion dans un environnement cloud.
* **Mettre en œuvre un processus d'authentification multifactorielle (MFA):** Crucial pour protéger
contre la compromission des identifiants de connexion. Ajoute une couche de sécurité supplémentaire
au-delà du simple mot de passe.

* "Élaborez et mettez en œuvre des politiques de conformité": Important pour la gouvernance globale,
mais pas une contre-mesure technique directe contre les violations de données ou la compromission
d'identifiants.

* **Utilisez un algorithme de chiffrement avancé:** Essentiel pour protéger les données au repos et en
transit contre les violations de données. Si les données sont chiffrées, même si elles sont volées, elles
sont inutilisables sans la clé.

* "Effectuez une sauvegarde quotidienne des données": Important pour la récupération après sinistre,
mais ne prévient pas la violation de données ou la compromission d'identifiants.

* "Déployez des services de développement et de déploiement dans plusieurs zones": Bon pour la
haute disponibilité et la résilience, pas directement pour la protection contre les violations de données
ou la compromission d'identifiants.

* "Installez un logiciel de détection des intrusions basé sur l'hôte (HIDS)...": Utile pour détecter les
activités malveillantes sur les VM, ce qui peut être une conséquence d'une compromission d'identifiants
ou conduire à une violation de données, mais l'MFA et le chiffrement sont des mesures préventives plus
directes pour les menaces spécifiées.

Les deux contre-mesures les plus directes pour les problèmes énoncés sont l'MFA (pour les identifiants)
et le chiffrement (pour les violations de données).

**Réponses correctes:**

* Mettre en œuvre un processus d'authentification multifactorielle.

* Utilisez un algorithme de chiffrement avancé.

(La réponse surlignée dans l'image est la première option. Il en faut une deuxième.)

---
**Question 31:** Un éditeur de logiciels utilise un service de cloud public pour héberger des services de
développement et de déploiement de logiciels. L'entreprise craint que le code logiciel en cours de
développement ne soit divulgué à des concurrents et n'entraîne une perte de propriété intellectuelle.
Quelles sont les deux techniques de codage de sécurité que l'entreprise peut mettre en œuvre pour
résoudre le problème ? (Choisissez deux réponses.)

* validation d'entrée

* camoufler

* obscurcissement

* procédure stockée

* normalisation

**Analyse et Réponse:**

La préoccupation est la divulgation du code source (propriété intellectuelle). Les techniques visent à
rendre le code plus difficile à comprendre ou à copier.

* "validation d'entrée": Technique de sécurité pour prévenir les attaques basées sur des entrées
malveillantes (ex: injection SQL, XSS). Ne protège pas contre la divulgation du code source lui-même.

* "camoufler" (Camouflage): Terme général qui pourrait inclure l'obscurcissement. Rendre quelque
chose difficile à voir ou à comprendre.

* "obscurcissement" (Obfuscation): Consiste à rendre le code source difficile à comprendre pour les
humains (et potentiellement pour la rétro-ingénierie) sans changer sa fonctionnalité. C'est une
technique directe pour protéger la propriété intellectuelle dans le code.

* "procédure stockée": Utilisée dans les bases de données. Non pertinent pour la protection du code
source d'une application en général contre la divulgation.

* "normalisation": Utilisée dans la conception de bases de données pour réduire la redondance. Non
pertinent pour la protection du code source.

L'obscurcissement est une technique clé. "Camoufler" est un synonyme ou un terme plus large qui
englobe l'obscurcissement. Si l'on doit choisir deux techniques distinctes de "codage de sécurité" pour
protéger la propriété intellectuelle :
1. **Obscurcissement:** Rendre le code difficile à lire.

2. D'autres techniques pourraient inclure des mécanismes anti-tamper, le chiffrement de certaines

parties du code (si possible et pertinent pour le langage/plateforme), ou des techniques de
watermarking (marquage numérique) pour tracer les fuites.

Parmi les options données :

* L'obscurcissement est clair.

* "Camoufler" est très similaire. Si ce sont les seules options plausibles, elles sont choisies.

Il est possible que "camoufler" se réfère à des techniques plus larges pour cacher la logique ou les actifs
importants.

**Réponses correctes (parmi les options):**

* camoufler

* obscurcissement

---

**Question 32:** Reportez-vous à l'illustration. Quel type de logiciel est installé sur le système hôte
pour prendre en charge les trois machines virtuelles ?

(L'illustration montre une couche Matériel, puis Système d'exploitation, puis Hyperviseur, puis trois VM
invitées : Windows, Linux, Linux.)

* hyperviseur de type 1

* plate-forme de conteneurs virtuels

* logiciel d'edge computing

* hyperviseur de type 2

**Analyse et Réponse:**

L'illustration montre que l'hyperviseur s'exécute *au-dessus* d'un système d'exploitation hôte, qui lui-
même s'exécute sur le matériel. C'est la définition d'un hyperviseur de type 2 (ou hébergé). Un
hyperviseur de type 1 (ou bare-metal) s'exécute directement sur le matériel.

* "hyperviseur de type 1": S'exécute directement sur le matériel. L'image ne montre pas cela.

* "plate-forme de conteneurs virtuels": Les conteneurs partagent le noyau du système d'exploitation

hôte, ce qui est différent de la virtualisation complète avec des VM invitées ayant leurs propres OS,
comme montré.

* "logiciel d'edge computing": Se réfère à l'emplacement du calcul, pas au type de logiciel de

virtualisation.

* "hyperviseur de type 2": S'exécute comme une application sur un système d'exploitation hôte.
Correspond à l'illustration.

**Réponse correcte:** hyperviseur de type 2

---

**Question 33:** Virtualiser le data center permet aux entreprises de régler deux problématiques
d'ordre commercial et technique. Lesquelles ? (Choisissez deux réponses.)

* alimentation et climatisation

* attaques par virus et logiciels espions

* besoins de matériel serveur

* licence du système d'exploitation

* encombrement matériel
**Analyse et Réponse:**

La virtualisation permet une meilleure utilisation des ressources matérielles, ce qui peut réduire le
nombre de serveurs physiques nécessaires.

* **alimentation et climatisation:** En réduisant le nombre de serveurs physiques grâce à la

consolidation via la virtualisation, les besoins en alimentation et en refroidissement diminuent. C'est un
avantage technique et commercial (réduction des coûts).

* "attaques par virus et logiciels espions": La virtualisation ne résout pas intrinsèquement ce

problème ; les VM peuvent toujours être infectées. Elle peut aider à l'isolation ou à la restauration, mais
ce n'est pas un avantage principal pour *régler* le problème des attaques.

* **besoins de matériel serveur:** La virtualisation permet de consolider plusieurs serveurs virtuels

sur moins de machines physiques, réduisant ainsi les besoins globaux en matériel serveur. C'est un
avantage technique et commercial.

* "licence du système d'exploitation": La virtualisation peut compliquer la gestion des licences.

Certaines licences sont par processeur physique, d'autres par VM. Ce n'est généralement pas une
"problématique réglée" mais plutôt un aspect à gérer.

* **encombrement matériel:** Directement lié à la réduction des besoins en matériel serveur. Moins
de serveurs physiques signifie moins d'espace physique occupé (encombrement).

Les options les plus directes et significatives sont la réduction des besoins en matériel et les économies
associées (alimentation, climatisation, espace).

**Réponses correctes:**

* alimentation et climatisation

* besoins de matériel serveur

(Note: "encombrement matériel" est très lié à "besoins de matériel serveur" et pourrait aussi être
correct. Si l'on doit choisir les deux *plus* distincts, les deux premiers sont bons.)

---
**Question 34:** Un technicien réseau prépare un certain nombre d'ordinateurs portables qui seront
prêts à des collaborateurs en déplacement. Ces collaborateurs ne se connecteront pas au serveur
d'annuaire de l'entreprise lorsqu'ils ne seront pas au bureau. Quel type de logiciel doit être configuré sur
les ordinateurs portables pour filtrer les connexions réseau entrantes et sortantes ?

* Scanner de virus et de malwares

* Système de détection d'intrusion dans l'hôte

* Pare-feu d'hôte

* Pare-feu dynamique IOS

**Analyse et Réponse:**

Le filtrage des connexions réseau entrantes et sortantes sur un ordinateur individuel est la fonction
principale d'un pare-feu d'hôte.

* "Scanner de virus et de malwares": Détecte et supprime les logiciels malveillants, ne filtre pas
activement les connexions réseau en temps réel (bien que certains puissent avoir des modules de
protection web).

* "Système de détection d'intrusion dans l'hôte (HIDS)": Surveille l'activité suspecte sur l'hôte, peut
alerter sur des connexions malveillantes, mais le filtrage actif est la fonction du pare-feu.

* **Pare-feu d'hôte (Host Firewall):** Logiciel s'exécutant sur l'ordinateur portable pour contrôler le
trafic réseau entrant et sortant selon des règles définies. Exemples : Windows Defender Firewall,
iptables sur Linux.

* "Pare-feu dynamique IOS": Se réfère à une fonctionnalité des routeurs Cisco (IOS = Internetwork
Operating System), pas à un logiciel sur un ordinateur portable.

**Réponse correcte:** Pare-feu d'hôte

---
**Question 35:** (Longue description d'un problème réseau où PC-A ne peut pas pinger PC-B, mais
après désactivation du pare-feu Windows Defender sur PC-B, le ping fonctionne et l'application de
gestion sur PC-B peut recevoir des messages syslog. Les deux PC peuvent pinger l'IP VLAN1 du
commutateur.) Quelle action le technicien doit-il effectuer pour corriger le problème signalé sans nuire à
la sécurité du LAN ?

* Laissez le pare-feu Windows Defender sur le PC-B désactivé pour le réseau privé et réactivez-le pour
le réseau public uniquement.

* Désactivez le pare-feu Windows Defender et installez un système de détection d'intrusions basé sur
l'hôte.

* Réactivez le pare-feu pour les deux réseaux et créez une règle de trafic entrant personnalisée sur PC-
B pour autoriser les protocoles souhaités.

* Créez une règle à l'aide d'IPtables pour autoriser le trafic syslog et ICMP provenant d'adresses privées
à entrer dans PC-B.

**Analyse et Réponse:**

Le problème est clairement causé par le pare-feu Windows Defender sur PC-B qui bloque le trafic ICMP
(ping) et syslog. La solution correcte est de reconfigurer le pare-feu pour autoriser spécifiquement ce
trafic nécessaire, plutôt que de le désactiver complètement.

* "Laissez le pare-feu Windows Defender sur le PC-B désactivé pour le réseau privé..." Mauvaise
pratique de sécurité de laisser le pare-feu désactivé.

* "Désactivez le pare-feu Windows Defender et installez un système de détection d'intrusions basé sur
l'hôte." Un HIDS ne remplace pas un pare-feu ; ils ont des fonctions différentes. Désactiver le pare-feu
est une mauvaise idée.

* **Réactivez le pare-feu pour les deux réseaux et créez une règle de trafic entrant personnalisée sur
PC-B pour autoriser les protocoles souhaités.** C'est la bonne approche. Le pare-feu doit rester activé,
et des règles spécifiques doivent être ajoutées pour autoriser le trafic ICMP (pour le ping, si nécessaire
pour le dépannage) et le trafic syslog (UDP port 514 typiquement) provenant des sources appropriées
(comme le commutateur ou PC-A).

* "Créez une règle à l'aide d'IPtables..." IPtables est un pare-feu Linux. PC-B utilise Windows Defender
Firewall.
**Réponse correcte:** Réactivez le pare-feu pour les deux réseaux et créez une règle de trafic entrant
personnalisée sur PC-B pour autoriser les protocoles souhaités.

---

**Question 36:** Un administrateur Linux crée de nouveaux comptes d'utilisateurs à l'aide de la

commande `useradd`. Quels sont les deux fichiers du système qui contiennent les informations du
nouveau compte d'utilisateur ? (Choisissez deux propositions.)

* /etc/passwd

* /etc/utilisateurs

* /etc/shadow

* /etc/utilisateurs/groupes

* /utilisateurs/compte

**Analyse et Réponse:**

Lorsqu'un utilisateur est ajouté sous Linux :

* **/etc/passwd:** Contient les informations de base sur le compte utilisateur, telles que le nom
d'utilisateur, l'UID, le GID, le répertoire personnel, le shell par défaut. Le champ du mot de passe dans ce
fichier est généralement un 'x' indiquant que le mot de passe haché est stocké dans `/etc/shadow`.

* **/etc/shadow:** Contient les informations de mot de passe haché pour les utilisateurs, ainsi que
des informations sur l'expiration du mot de passe.

* `/etc/group` (non listé, mais pertinent) contient les informations sur les groupes.

* Les autres options ne sont pas des fichiers standards pour stocker les informations de compte
utilisateur sous Linux. `/etc/utilisateurs` ou `/etc/utilisateurs/groupes` ou `/utilisateurs/compte` ne sont
pas des emplacements standards.
**Réponses correctes:**

* /etc/passwd

* /etc/shadow

(L'image montre `/etc/utilisateurs` surligné, ce qui est incorrect. Les fichiers standards sont
`/etc/passwd` et `/etc/shadow`.)

---

**Question 37:** Un site web d'e-commerce encourage les utilisateurs à s'authentifier à l'aide des
informations d'identification de leur compte de réseau social. Quel type de solution de sécurité permet
aux utilisateurs d'utiliser les mêmes informations d'identification pour se connecter à plusieurs réseaux
appartenant à différentes entreprises ?

* authentification à deux facteurs

* autorisation de rayon

* infrastructure à clé publique

* gestion fédérée des identités

**Analyse et Réponse:**

L'utilisation des identifiants d'un service (comme un réseau social) pour s'authentifier auprès d'un autre
service (comme un site d'e-commerce) est un exemple de gestion fédérée des identités. Des protocoles
comme OAuth 2.0 ou OpenID Connect sont souvent utilisés.

* "authentification à deux facteurs (2FA)": Méthode d'authentification qui requiert deux types de
vérification, mais ne décrit pas l'utilisation d'identifiants d'un service pour un autre.

* "autorisation de rayon (RADIUS)": Protocole d'authentification, autorisation et comptabilité (AAA)

souvent utilisé pour l'accès réseau, pas typiquement pour ce scénario de connexion web fédérée.
* "infrastructure à clé publique (PKI)": Utilisée pour gérer les certificats numériques pour
l'authentification et le chiffrement, mais ne décrit pas directement le mécanisme de connexion fédérée
décrit.

* **gestion fédérée des identités (Federated Identity Management - FIM):** Permet à un utilisateur
d'utiliser un ensemble d'informations d'identification pour accéder à plusieurs systèmes ou services
différents, souvent gérés par différentes organisations. C'est exactement ce qui est décrit.

**Réponse correcte:** gestion fédérée des identités

---

**Question 38:** Une entreprise fournit un service de traitement des données de transaction pour les
clients. L'entreprise traite les informations sensibles de ses clients. La divulgation illicite des informations
présente un risque grave pour l'entreprise et ses clients. L'équipe de sécurité identifie les menaces en
cas d'envoi accidentel d'informations par e-mail à une personne non autorisée. Quels sont les deux
plans d'action que l'entreprise pourrait mettre en œuvre pour éliminer le risque ? (Choisissez deux
réponses.)

* Déplacez les opérations de l'entreprise vers un cloud privé et exigez que les clients utilisent
également le cloud privé.

* Exigez des collaborateurs qu'ils utilisent une connexion VPN lorsqu'ils envoient des e-mails aux
clients.

* Mettez en œuvre une technologie pour filtrer et bloquer les e-mails contenant des informations
sensibles.

* Mettez en œuvre un pare-feu pour filtrer tous les e-mails envoyés aux clients.

* Mettez en œuvre une politique interdisant aux collaborateurs d'inclure des informations sensibles
dans les e-mails envoyés aux clients.

**Analyse et Réponse:**

Le risque est l'envoi accidentel d'informations sensibles par e-mail. Il faut des mesures pour prévenir
cela.
* "Déplacez les opérations... vers un cloud privé..." Ne résout pas directement le problème de l'envoi
accidentel d'e-mails.

* "Exigez... une connexion VPN lorsqu'ils envoient des e-mails..." Un VPN sécurise la connexion, mais
n'empêche pas d'envoyer des données sensibles à la mauvaise personne ou d'inclure des données
sensibles par erreur.

* **Mettez en œuvre une technologie pour filtrer et bloquer les e-mails contenant des informations
sensibles.** C'est une solution technique directe, souvent appelée DLP (Data Loss Prevention). Elle peut
analyser les e-mails sortants et bloquer ceux qui contiennent des données sensibles identifiées.

* "Mettez en œuvre un pare-feu pour filtrer tous les e-mails..." Les pare-feu filtrent le trafic réseau
basé sur les ports/protocoles/IP, pas typiquement le contenu des e-mails pour des informations
sensibles (c'est le rôle du DLP).

* **Mettez en œuvre une politique interdisant aux collaborateurs d'inclure des informations sensibles
dans les e-mails envoyés aux clients.** C'est un contrôle administratif important. Combiné à la
formation, il réduit le risque d'erreur humaine.

Les deux plans d'action les plus directs et complémentaires sont une solution technique (DLP) et une
politique administrative.

**Réponses correctes:**

* Mettez en œuvre une technologie pour filtrer et bloquer les e-mails contenant des informations
sensibles.

* Mettez en œuvre une politique interdisant aux collaborateurs d'inclure des informations sensibles
dans les e-mails envoyés aux clients.

---

**Question 39:** Un testeur d'intrusion souhaite collecter des informations préliminaires sur les
systèmes, les logiciels, les réseaux ou les personnes sans interagir directement avec la cible ou ses
ressources. Comment s'appelle ce processus ?
* analyser intrusif

* analyser de manière non intrusive

* attaque en force

* analyser des informations

**Analyse et Réponse:**

La collecte d'informations sans interaction directe avec la cible est une caractéristique de la
reconnaissance passive.

* "analyser intrusif": Implique une interaction directe (ex: balayage de ports, tests de vulnérabilité).

* **analyser de manière non intrusive (ou reconnaissance passive):** Collecte d'informations à partir
de sources publiques (OSINT), sans envoyer de paquets à la cible ou interagir avec ses systèmes.
Correspond à la description.

* "attaque en force": Tente de deviner des mots de passe, c'est intrusif.

* "analyser des informations": Trop général.

Le terme le plus précis pour la collecte d'informations sans interaction directe est la reconnaissance
passive ou l'analyse non intrusive.

**Réponse correcte:** analyser de manière non intrusive (La réponse surlignée "attaque en force" est
incorrecte.)

---

**Question 40:** À quoi servent les tests de pénétration ?

* Elle implique le piratage d'un site web, d'un réseau ou d'un serveur avec l'autorisation de l'entreprise
concernée.
* Il est utilisé pour auditer la gestion des correctifs de l'entreprise.

* Il résout les problèmes détectés par un scanner de vulnérabilités.

* Il est utilisé pour analyser passivement les plates-formes d'attaque du système d'exploitation.

**Analyse et Réponse:**

Un test de pénétration (pentest) est une attaque simulée autorisée sur un système informatique pour
évaluer sa sécurité.

* **Elle implique le piratage d'un site web, d'un réseau ou d'un serveur avec l'autorisation de
l'entreprise concernée.** C'est une bonne définition d'un test de pénétration.

* "Il est utilisé pour auditer la gestion des correctifs..." L'audit de la gestion des correctifs est une tâche
distincte, bien que les résultats d'un pentest puissent mettre en évidence des problèmes de correctifs.

* "Il résout les problèmes détectés par un scanner de vulnérabilités." Un pentest identifie les
vulnérabilités (et tente de les exploiter), mais ne les résout pas. La résolution est une étape ultérieure.

* "Il est utilisé pour analyser passivement les plates-formes d'attaque..." L'analyse passive fait partie de
la phase de reconnaissance, mais un pentest est actif et tente d'exploiter les vulnérabilités.

**Réponse correcte:** Elle implique le piratage d'un site web, d'un réseau ou d'un serveur avec
l'autorisation de l'entreprise concernée.

---

**Question 41:** Lorsque vous utilisez un outil d'évaluation des risques CVSS, que devez-vous remplir
en premier pour calculer un score pour le groupe de mesures temporelles ?

* Groupe métrique de base

* Calculatrice CVSS

* Niveau d'échange
* Groupe de mesures environnementales

**Analyse et Réponse:**

Le score CVSS (Common Vulnerability Scoring System) est calculé en plusieurs étapes. Les métriques
temporelles dépendent des métriques de base.

1. **Groupe métrique de base (Base Metrics):** Ces métriques décrivent les caractéristiques
intrinsèques d'une vulnérabilité qui sont constantes dans le temps et les environnements utilisateur.
Elles doivent être remplies en premier.

2. **Groupe de mesures temporelles (Temporal Metrics):** Ces métriques reflètent les caractéristiques
d'une vulnérabilité qui peuvent changer avec le temps mais pas avec les environnements utilisateur (ex:
disponibilité d'un exploit, niveau de correction). Elles sont calculées *après* les métriques de base.

3. **Groupe de mesures environnementales (Environmental Metrics):** Ces métriques permettent à

une organisation d'adapter le score CVSS à son environnement spécifique. Elles sont calculées en
dernier.

Pour calculer le score des mesures temporelles, il faut d'abord avoir le score de base.

* "Calculatrice CVSS": C'est l'outil, pas ce que l'on remplit.

* "Niveau d'échange": Ce n'est pas un terme standard pour un groupe de métriques CVSS. "Exploit
Code Maturity" (maturité du code d'exploitation) est une métrique temporelle.

* "Groupe de mesures environnementales": Est calculé après les métriques temporelles.

**Réponse correcte:** Groupe métrique de base

---

**Question 42:** Faites correspondre les critères de la métrique d'exploitabilité du groupe de

métriques de base avec sa description.
(Les descriptions sont A, B, C, D. Les options de métriques sont Complexité de l'attaque, Vecteur
d'attaque, Interaction avec les utilisateurs, Étendue.)

* **UN (A):** Cette mesure exprime la présence ou l'absence de l'exigence d'une interaction de
l'utilisateur pour qu'un exploit soit réussi.

* Correspond à **Interaction avec les utilisateurs (User Interaction - UI)**.

* **B:** Cette mesure indique si plusieurs autorités doivent être impliquées dans un exploit.

* Ceci ne correspond pas directement à une métrique d'exploitabilité CVSS standard du groupe de
base. Les métriques de base sont : Vecteur d'Attaque (AV), Complexité de l'Attaque (AC), Privilèges
Requis (PR), Interaction Utilisateur (UI), Portée (S - Scope), Confidentialité (C), Intégrité (I), Disponibilité
(A). "Plusieurs autorités" pourrait se rapprocher de "Privilèges Requis" si cela signifie des niveaux
d'autorisation élevés, ou de "Complexité de l'Attaque" si cela implique de contourner plusieurs
mécanismes de contrôle. Cependant, la formulation est inhabituelle.

* L'image montre que l'option sélectionnée pour C est "Vecteur d'attaque".

* **C:** Il s'agit d'une mesure qui reflète la proximité de l'acteur de la menace avec le composant
vulnérable.

* Correspond à **Vecteur d'attaque (Attack Vector - AV)**. (Ex: Réseau, Adjacent, Local, Physique).

* L'image montre que l'option sélectionnée pour C est "Vecteur d'attaque".

* **D:** Il s'agit d'une mesure qui exprime le nombre de composants, logiciels, matériels ou réseaux,
qui échappent au contrôle de l'attaquant et qui doivent être présents pour qu'une vulnérabilité puisse
être exploitée avec succès.

* Correspond à **Complexité de l'attaque (Attack Complexity - AC)**.

Les options à choisir sont : Complexité de l'attaque, Vecteur d'attaque, Interaction avec les utilisateurs,
Étendue (Scope - S).

Faisons les correspondances :

* **A (Interaction utilisateur requise):** Interaction avec les utilisateurs (UI)

* **C (Proximité de l'acteur):** Vecteur d'attaque (AV)

* **D (Nombre de composants hors contrôle de l'attaquant):** Complexité de l'attaque (AC)

Il reste "Étendue (Scope - S)" et la description B.

* **Étendue (Scope - S):** Indique si une vulnérabilité exploitée dans un composant peut affecter des
ressources au-delà de son périmètre de sécurité.

La description **B** "Cette mesure indique si plusieurs autorités doivent être impliquées dans un
exploit" ne correspond pas bien à "Étendue". Elle pourrait vaguement se rapporter à "Privilèges Requis
(PR)" (non listé dans les options de correspondance) ou à une "Complexité d'Attaque" élevée si ces
"autorités" sont des mécanismes de sécurité à contourner.

Si l'on se fie aux options données pour la sélection (Complexité de l'attaque, Vecteur d'attaque,
Interaction avec les utilisateurs, Étendue) et aux descriptions A, C, D qui correspondent bien :

* A -> Interaction avec les utilisateurs

* C -> Vecteur d'attaque

* D -> Complexité de l'attaque

Il reste la description B et la métrique "Étendue". Elles ne correspondent pas. Il y a probablement une

erreur dans la question ou les options fournies pour B.

---

**Question 43:** L'équipe de sécurité informatique d'une entreprise est chargée de l'évaluation des
menaces de cybersécurité et de la gestion des risques. Quel service Cisco faciliterait cette tâche en
fournissant des informations sur les ensembles de règles de détection des incidents de sécurité pour les
outils de sécurité réseau Snort.org, ClamAV et SpamCop ?
* AIS

* MITRE

* FireEye

* Talos

**Analyse et Réponse:**

La question porte sur un service Cisco qui fournit des informations sur les règles de détection pour
Snort, ClamAV, etc.

* "AIS (Automated Indicator Sharing)": Un standard pour le partage d'indicateurs de cybermenaces, pas
un service Cisco spécifique fournissant des règles.

* "MITRE": Une organisation à but non lucratif qui gère des FFRDC, connue pour ATT&CK, CVE, etc. Pas
un service Cisco.

* "FireEye": Une entreprise de cybersécurité (maintenant partie de Trellix), pas un service Cisco.

* **Talos (Cisco Talos Intelligence Group):** C'est l'organisation de renseignement sur les menaces de
Cisco. Talos fournit des informations sur les menaces, des règles pour Snort (Snort est maintenant
propriété de Cisco), des signatures pour ClamAV (ClamAV a été développé par Sourcefire, acquis par
Cisco), et des informations sur les menaces de spam. C'est le service Cisco qui correspond le mieux.

**Réponse correcte:** Talos

---

**Question 44:** Un technicien en cybersécurité configure un pot de miel dans une DMZ distincte du
réseau d'entreprise. Quel est l'objectif ?

* pour collecter les signatures de virus afin de mettre à jour la base de données des signatures antivirus

* pour mettre en place une piste d'audit des hackers qui accèdent à la plateforme
* attirer les acteurs de la menace afin de recueillir des informations sur les attaques qui peuvent
ensuite être partagées avec les abonnés de la plateforme de renseignement sur les menaces

* pour collecter les signatures des malwares afin de corriger la surface d'exposition aux attaques

**Analyse et Réponse:**

Les honeypots sont des systèmes leurres conçus pour attirer les attaquants et étudier leurs méthodes.

* "pour collecter les signatures de virus afin de mettre à jour la base de données des signatures
antivirus": Bien que l'analyse des malwares capturés puisse conduire à de nouvelles signatures, ce n'est
pas l'objectif *principal* ou direct de la configuration d'un honeypot.

* "pour mettre en place une piste d'audit des hackers qui accèdent à la plateforme": Oui, un honeypot
enregistre les activités des attaquants, ce qui constitue une piste d'audit.

* **attirer les acteurs de la menace afin de recueillir des informations sur les attaques qui peuvent
ensuite être partagées avec les abonnés de la plateforme de renseignement sur les menaces:** C'est un
objectif majeur des honeypots, en particulier ceux utilisés pour la recherche sur les menaces. Les
informations recueillies (TTPs des attaquants, malwares utilisés) sont très précieuses.

* "pour collecter les signatures des malwares afin de corriger la surface d'exposition aux attaques":
Similaire au premier point. La correction de la surface d'exposition se fait par d'autres moyens (patching,
configuration sécurisée), bien que les informations du honeypot puissent informer ces efforts.

L'option la plus complète et stratégique est de recueillir des renseignements sur les menaces. La "piste
d'audit" est un composant de cela.

**Réponse correcte:** attirer les acteurs de la menace afin de recueillir des informations sur les
attaques qui peuvent ensuite être partagées avec les abonnés de la plateforme de renseignement sur les
menaces

---

**Question 45:** Quelle procédure doit être évitée dans le cadre d'une expertise judiciaire en
informatique ?
* Faire une copie du disque dur.

* Sécuriser l'accès physique à l'ordinateur qui fait l'objet de l'enquête.

* Redémarrer le système concerné à l'arrivée.

* Récupérer les fichiers supprimés.

**Analyse et Réponse:**

En informatique légale (digital forensics), la préservation de la preuve originale est cruciale.

* "Faire une copie du disque dur": C'est une étape essentielle. On travaille sur une copie bit à bit
(image forensique), pas sur l'original.

* "Sécuriser l'accès physique...": Essentiel pour maintenir la chaîne de possession et l'intégrité de la

preuve.

* **Redémarrer le système concerné à l'arrivée:** À ÉVITER. Redémarrer un système peut détruire des
preuves volatiles importantes stockées en mémoire vive (RAM), modifier des horodatages de fichiers, et
permettre à des malwares de s'effacer ou de se cacher. L'analyse de la mémoire vive (live forensics) est
souvent effectuée avant d'éteindre un système.

* "Récupérer les fichiers supprimés": C'est une technique courante en informatique légale, effectuée
sur l'image forensique.

**Réponse correcte:** Redémarrer le système concerné à l'arrivée.

---

**Question 46:** Les procédures médico-légales doivent être suivies à la lettre pour garantir l'intégrité
des données obtenues lors d'une enquête. Lorsque vous effectuez des copies de données à partir d'une
machine en cours d'examen, quelles opérations suivantes doivent être effectuées pour s'assurer qu'il
s'agit d'un double exact ?
* Effectuer un contrôle de redondance cyclique à l'aide d'une somme de contrôle ou d'un algorithme
de hachage.

* Modifier les attributs des données pour les rendre en lecture seule.

* Ouvrez les fichiers sur le support d'origine et comparez - les données copiées.

* Ne rien faire - le logiciel d'imagerie produit toujours une image précise.

**Analyse et Réponse:**

Pour vérifier qu'une copie (image forensique) est un double exact de l'original, on utilise des fonctions
de hachage cryptographique.

* **Effectuer un contrôle de redondance cyclique à l'aide d'une somme de contrôle ou d'un algorithme
de hachage.** Plus précisément, des algorithmes de hachage cryptographique (comme MD5, SHA-1,
SHA-256) sont utilisés. On calcule le hachage de la source originale et le hachage de la copie. S'ils
correspondent, la copie est considérée comme exacte. Un CRC est moins robuste qu'un hachage
cryptographique pour des fins forensiques.

* "Modifier les attributs des données pour les rendre en lecture seule." Cela se fait sur la copie pour
éviter des modifications accidentelles, mais ne vérifie pas l'exactitude de la copie. L'utilisation d'un
bloqueur en écriture sur la source originale est aussi une pratique courante.

* "Ouvrez les fichiers sur le support d'origine et comparez..." Non pratique et potentiellement altérant
pour une grande quantité de données. Le hachage est la méthode standard.

* "Ne rien faire - le logiciel d'imagerie produit toujours une image précise." On ne fait jamais confiance
aveuglément ; la vérification est une étape cruciale du processus forensique.

**Réponse correcte:** Effectuer un contrôle de redondance cyclique à l'aide d'une somme de contrôle
ou d'un algorithme de hachage. (Idéalement, "algorithme de hachage cryptographique").

---

**Question 47:** Une équipe de cybersécurité doit enquêter sur plusieurs incidents. À quelle étape du
cycle de vie de réponse aux incidents du NIST les outils et les ressources nécessaires à cette enquête
sont-ils acquis et déployés ?
* le confinement, l'éradication et la récupération

* détection et analyse

* activités post-incidents

* préparation

**Analyse et Réponse:**

Le cycle de vie de la réponse aux incidents du NIST comprend plusieurs phases. L'acquisition et le
déploiement des outils et ressources nécessaires se font *avant* qu'un incident ne se produise.

* "le confinement, l'éradication et la récupération": Phase où l'on gère un incident actif.

* "détection et analyse": Phase où l'on identifie et analyse un incident.

* "activités post-incidents": Phase après la résolution, pour tirer des leçons et améliorer.

* **préparation:** C'est la phase où l'organisation se prépare à gérer les incidents. Cela inclut la mise
en place de politiques, de procédures, la formation du personnel, et l'acquisition et le déploiement des
outils et ressources nécessaires (par exemple, logiciels forensiques, systèmes de détection, plans de
communication).

**Réponse correcte:** préparation

---

**Question 48:** À quelle phase du cycle de vie de réponse aux incidents du NIST les vulnérabilités qui
ont été exploitées par le hacker sont-elles corrigées et corrigées ?

* Détection et analyse

* Activités après incident

* Préparation

* Confinement, éradication et rétablissement des systèmes

**Analyse et Réponse:**

La correction des vulnérabilités exploitées fait partie de l'élimination de la cause racine de l'incident.

* "Détection et analyse": On identifie et comprend l'incident.

* "Activités après incident": On tire des leçons et on améliore. La correction des vulnérabilités peut être
identifiée comme une leçon apprise ici, mais l'action de corriger se fait avant.

* "Préparation": On se prépare aux incidents futurs.

* **Confinement, éradication et rétablissement des systèmes:**

* **Confinement:** Limiter la portée de l'incident.

* **Éradication:** Éliminer la cause de l'incident, ce qui inclut la correction des vulnérabilités

exploitées pour s'assurer que l'attaquant ne peut pas réutiliser la même voie d'accès.

* **Rétablissement:** Restaurer les systèmes en état de fonctionnement normal.

La correction des vulnérabilités exploitées est une partie clé de la phase d'éradication.

**Réponse correcte:** Confinement, éradication et rétablissement des systèmes (spécifiquement

l'éradication).

---

**Question 49:** Parmi les exercices suivants, lequel est le plus simple à utiliser pour entraîner les
collaborateurs et tester le plan de reprise après sinistre d'une entreprise ?

* Tests fonctionnels
* Exercice sur table

* Une simulation

* Un exercice opérationnel complet

**Analyse et Réponse:**

Il s'agit de trouver l'exercice le *plus simple*.

* "Tests fonctionnels": Testent des composants spécifiques du plan, peuvent varier en complexité.

* **Exercice sur table (Tabletop exercise):** C'est une discussion guidée où les participants parcourent
un scénario de sinistre et leurs rôles et responsabilités selon le plan. C'est généralement le moins
coûteux, le moins perturbateur et le plus simple à organiser, ce qui le rend bon pour la formation initiale
et le test de la compréhension du plan.

* "Une simulation": Implique de simuler un sinistre dans un environnement de test, plus complexe
qu'un exercice sur table.

* "Un exercice opérationnel complet (Full operational exercise)": Le plus complexe et le plus coûteux,
implique une simulation réelle du sinistre avec mobilisation des équipes et des ressources comme si
c'était réel.

**Réponse correcte:** Exercice sur table

---

**Question 50:** Quel est un exemple de plan de continuité de l'activité ?

* S'assurer que les systèmes critiques sont en ligne pendant un sinistre

* Identifier et analyser les événements potentiels qui peuvent avoir un impact négatif sur les
ressources d'une entreprise

* Identification des processus, des ressources et des relations stratégiques entre les systèmes en se
concentrant sur les conséquences d'une interruption des fonctions stratégiques de l'entreprise
* Transfert des systèmes critiques à un autre emplacement pendant la réparation de l'installation
d'origine

**Analyse et Réponse:**

Un plan de continuité de l'activité (PCA ou BCP en anglais) vise à assurer que les fonctions critiques de
l'entreprise peuvent continuer pendant et après un sinistre.

* "S'assurer que les systèmes critiques sont en ligne pendant un sinistre": C'est un *objectif* du PCA,
ou une partie d'un plan de reprise après sinistre (PRA/DRP) qui soutient le PCA.

* "Identifier et analyser les événements potentiels qui peuvent avoir un impact négatif sur les
ressources d'une entreprise": C'est une partie de l'analyse d'impact sur l'activité (BIA) et de l'évaluation
des risques, qui sont des *entrées* pour développer un PCA.

* **Identification des processus, des ressources et des relations stratégiques entre les systèmes en se
concentrant sur les conséquences d'une interruption des fonctions stratégiques de l'entreprise:** C'est
une description d'une Analyse d'Impact sur l'Activité (BIA - Business Impact Analysis), qui est une
composante essentielle et un exemple d'activité dans le cadre de la planification de la continuité
d'activité. Le PCA lui-même est le document qui décrit *comment* maintenir les opérations.

* "Transfert des systèmes critiques à un autre emplacement...": C'est une stratégie de reprise après
sinistre (DR), qui fait partie de la continuité d'activité.

La question demande un *exemple de plan de continuité de l'activité*. Les options décrivent plutôt des
objectifs, des activités de planification ou des stratégies.

Cependant, si l'on considère ce qui est le plus proche d'un *élément constitutif majeur* d'un PCA :

L'option 3 décrit l'Analyse d'Impact sur l'Activité (BIA). Un PCA est le document qui décrit comment
l'entreprise va maintenir ou reprendre ses fonctions critiques identifiées par la BIA.

Un exemple de PCA serait "Le plan pour maintenir les opérations de service client à 80% de capacité
dans les 4 heures suivant une indisponibilité du site principal, en utilisant le site de secours X et le
personnel travaillant à distance."
Parmi les options données, celle qui se rapproche le plus d'une *activité fondamentale de planification*
menant à un PCA est la troisième. Cependant, ce n'est pas un "plan" en soi, mais une analyse.

Si la question est mal formulée et demande un *aspect* de la planification de la continuité :

L'option qui décrit une activité de planification clé est : "Identification des processus, des ressources et
des relations stratégiques entre les systèmes en se concentrant sur les conséquences d'une interruption
des fonctions stratégiques de l'entreprise."

Si l'on cherche une action concrète qui serait *dans* un plan :

"Transfert des systèmes critiques à un autre emplacement pendant la réparation de l'installation

d'origine" est une action de reprise.

"S'assurer que les systèmes critiques sont en ligne pendant un sinistre" est un objectif.

La question est ambiguë. Cependant, la troisième option décrit l'analyse qui sous-tend le plan. La
quatrième option décrit une stratégie qui serait *dans* le plan.

Si l'on interprète "exemple de plan" comme "exemple d'élément d'un plan" ou "exemple d'activité de
planification", la troisième option est une activité clé (BIA). La quatrième est une stratégie de reprise.

La réponse surlignée dans l'image est la troisième. Cela suggère que la question est interprétée comme
"Quel est un exemple d'élément clé dans l'élaboration d'un plan de continuité d'activité ?"

**Réponse (selon l'image surlignée):** Identification des processus, des ressources et des relations
stratégiques entre les systèmes en se concentrant sur les conséquences d'une interruption des fonctions
stratégiques de l'entreprise.

---

C'est fait pour toutes les questions visibles ! J'espère que ces analyses et réponses vous seront utiles.
---

Learn more:

1. [Wi-Fi Security: Should You Use WPA2-AES, WPA2-TKIP, or Both? - How-To

Geek](https://www.howtogeek.com/204697/wi-fi-security-should-you-use-wpa2-aes-wpa2-tkip-or-
both/)

2. [Wi-Fi Protected Access - Wikipedia](https://en.wikipedia.org/wiki/Wi-Fi_Protected_Access)

3. [What are Encryption Standards? WPA & WPA2 - CBT

Nuggets](https://www.cbtnuggets.com/blog/technology/security/what-are-encryption-standards-WPA-
WPA2)

4. [WEP, WPA, WPA2, TKIP, AES, CCMP, EAP. - Cisco Learning

Network](https://learningnetwork.cisco.com/s/question/0D53i00000Ksnr2CAB/wep-wpa-wpa2-tkip-
aes-ccmp-eap)