External Auditing in Information Security

30 Questions

Selon le guide d'audit de la sécurité des systèmes d'information (DGSSI), combien de classes d'exigences sont définies pour un prestataire d'audit ?

7 classes

Quelle est la classe d'exigences qui définit la responsabilité d'un prestataire d'audit ?

Exigences relatives à la responsabilité du prestataire d'audit

Quelle classe d'exigences adresse les exigences de confidentialité relatives aux données sensibles de l'organisation auditée ?

Exigences relatives à la protection des données de l'organisme audité

Quelle classe d'exigences définit les conditions dans lesquelles un prestataire peut sous-traiter une partie de l'audit ?

Exigences relatives à la sous-traitance

Quelle classe d'exigences présente les règles relatives à l'éthique professionnelle que le prestataire d'audit doit respecter ?

Exigences relatives à la déontologie du prestataire d'audit

Quelle classe d'exigences détaille les exigences relatives à la compétence de l'équipe d'audit chargée de la conduite d'audit ?

Exigences relatives à la gestion des ressources humaines du prestataire d'audit

Quel est l'objectif principal de réaliser des tests d'intrusion?

Exploiter les vulnérabilités et tester l'exécution des scénarios d'attaque

Quelle est la principale différence entre le scan de vulnérabilité et le test d'intrusion?

Le test d'intrusion permet d'essayer d'exploiter les vulnérabilités

Quelle est la méthode de test qui consiste à tester un système sans accès aux informations sur celui-ci?

Test en boîte noire

Que fait un pentester lorsqu'il réalise un test de boîte noire?

Il adopte la méthode qu'un pirate utiliserait pour tenter de s'introduire dans le système.

Quelle information détient un testeur effectuant un test en boîte blanche?

Le nom de l'entreprise

Qu'est-ce que le test de la boîte blanche permet de vérifier?

La structure interne d'une application

Quel est le principal objectif d'un audit de sécurité ?

Analyser la conformité du système d'information aux exigences des normes

Quelle est la première phase d'un audit de sécurité ?

Pré-audit

Que fait-on lors de la phase de pré-audit ?

On définit le périmètre de l'audit et les sites à analyser

Quelle est la dernière phase d'un audit de sécurité ?

Rédaction du rapport d'audit

Que fait-on lors de la phase de test d'intrusion ?

On tente de détecter les failles de sécurité du système

Quelle est l'importance de la phase de pré-audit ?

C'est la phase la plus importante car elle détermine le cadre de l'audit

Quelle qualité personnelle un auditeur doit-il avoir selon la norme ISO 19011 et la DGSSI?

Intégrité

Quelle qualité personnelle implique d'être capable d'envisager des idées ou des points de vue différents?

Diplomatie

Quelle qualité personnelle implique d'être capable de discuter des sujets sensibles?

Diplomatie

Quelle qualité personnelle implique d'être activement attentif?

Sens de l'observation

Quelle qualité personnelle implique d'être apte à résoudre facilement les différentes situations?

Perspicacité

Quelle qualité personnelle implique de pouvoir transmettre ses idées et recommandations de manière simple et compréhensible?

Pédagogie

Quel type de test d'intrusion permet au pentester de connaître toutes les informations sur le système d'information?

Test de la boîte blanche

Quelle méthode de test combine des éléments de test de boîte noire et de boîte blanche?

Test de la boîte grise

Quel est l'objectif principal du test de la boîte noire?

Analyser le système d'information du point de vue d'un attaquant

Quelle méthode fournit le programme d'assurance logicielle le plus complet selon le texte?