Module_01_Ch_06_Sécurité des Systèmes d'Information

Questions and Answers

Quelle est la principale raison pour laquelle les données sont importantes pour les organisations ?

Pour le stockage d'informations

Pour les décisions opérationnelles et stratégiques (correct)

Pour maintenir la sécurité physique

Pour le divertissement

La politique de sécurité ne concerne que les aspects technologiques.

False

Quel type de sécurité doit être mis en œuvre par chaque acteur au sein du système d'information ?

Sécurité informatique (physique et logique)

La sécurisation du système dʼinformation est un enjeu de premier _____

plan

Associez les dimensions de la politique de sécurité à leur description :

Humaine = Règles de sécurité au niveau des utilisateurs Organisationnelle = Structuration des processus de sécurité Technologique = Mise en place d'outils sécurisés Physique = Protection de l'infrastructure matérielle

Quels sont les deux aspects principaux de la sécurité informatique mentionnés ?

Sécurité physique et logique

Chaque acteur au sein du système d'information est exempt des règles de base de la sécurité informatique.

False

Quels types de processus sont mentionnés comme éléments à modéliser dans le cadre du système d'information ?

Modélisation des processus

Pourquoi est-il important de sécuriser un système d'information (SI) ?

Les malveillances peuvent causer des destructions

Le RGPD impose des obligations de sécurité sur les systèmes d'information des entreprises.

True

Quels paramètres représentent les critères de la sécurité d'un SI ?

Disponibilité, intégrité, confidentialité, non-répudiation, imputabilité, traçabilité

Quel est le rôle principal du RSSI ?

Mise en œuvre de la politique de sécurité

Le RSSI est toujours rattaché à la Direction des Systèmes Informatiques (DSI).

False

Quel terme décrit la capacité de reconstituer le flux d'une donnée ou d'un traitement ?

la traçabilité

Quel outil peut assurer la non-répudiation d'une transaction ?

Un certificat numérique

Quelles sont les deux types de plans que le RSSI doit vérifier en relation avec la direction générale ?

Plans de Reprise d'Activité (PRA) et Plans de Continuité d'Activité (PCA)

Le RSSI doit favoriser lʼalerte du personnel auprès de lui en cas de comportements non __________.

appropriés

Un risque est mesuré selon sa ________, qui est liée à la probabilité et à la gravité de l'événement.

criticité

Quelle action le RSSI ne doit pas permettre au personnel ?

Désactiver les mécanismes de sécurité

Associez les éléments suivants avec leurs significations :

Confidentialité = Protéger les informations sensibles Intégrité = Assurer que les données ne sont pas altérées Disponibilité = Garantir l'accès aux informations quand cela est nécessaire Traçabilité = Suivre l'historique des opérations

Associez chaque action du RSSI à sa description correspondante :

Informer = Sensibilisation aux risques Interdire = Désactivation des mécanismes de sécurité Favoriser = Alerte du personnel Élaborer = Charte d'utilisation

Le RSSI doit veiller à l'importance des investissements en sécurité.

True

Le RSSI doit diffuser les _______ pratiques de protection du patrimoine informationnel.

bonnes

Quel est le rôle principal de l'utilisateur dans la sécurité du système d'information (SI) ?

Connaître les enjeux de la sécurité du SI

Posséder un mot de passe complexe garantit toujours la sécurité du système d'information.

False

Quels types d'attaques sollicitent des leviers psychologiques ?

Social engineering et phishing

L'utilisateur doit connaître la __________ pour assurer un bon niveau de sécurité.

charte informatique

Associez chaque acteur aux responsabilités correspondantes dans la sécurité du SI :

Utilisateur = Connaître les enjeux de la sécurité RSSI = Responsable de la sécurité des systèmes Services RH = Garantir l'accessibilité de la charte informatique ANSSI = Promouvoir la sécurité numérique

Quelle est une des bonnes pratiques informatiques recommandées par l'ANSSI ?

Sécuriser son informatique personnelle

L'accessibilité de la charte informatique doit être garantie uniquement lors de l'embauche.

False

Quelle compétence est essentielle pour un utilisateur afin de contribuer à la sécurité du SI ?

Développer des compétences numériques

Quel est l'un des principaux avantages d'un cloud privé par rapport à un cloud public ?

Sécurité et confidentialité supérieures

Le cloud privé ne nécessite aucune gestion ou maintenance de la part du service informatique.

False

Quelle méthode de sauvegarde ne conserve que les données modifiées depuis la dernière sauvegarde complète ?

sauvegarde différentielle

Le ________ dupliquer automatiquement et en temps réel les contenus écrits sur les postes au sein d'un support distinct.

disk mirroring

Qu'est-ce que la solution RAID 1 garantit ?

Continuité des activités lors d’une défaillance d'un disque

Le disk mirroring est un mécanisme de redondance pour la sauvegarde des données.

True

Quelle méthode de sauvegarde est considérée comme la plus longue et coûteuse ?

sauvegarde complète

Associez les types de sauvegarde aux descriptions appropriées :

Sauvegarde complète = Copie de toutes les données Sauvegarde différentielle = Conserve les données modifiées depuis la dernière sauvegarde complète Sauvegarde incrémentale = Conserve les données modifiées depuis la dernière sauvegarde, quelle que soit la méthode Disk mirroring = Duplique automatiquement et en temps réel les données

La sauvegarde incrémentale conserve toutes les données depuis la dernière sauvegarde complète.

False

Qu'est-ce qu'un cloud privé ?

Un cloud d'entreprise

Quelle est la différence principale entre le PCA et le PRA ?

Le PCA organise la poursuite des activités sans interruption, tandis que le PRA concerne le redémarrage après un accident.

Le cloud privé offre un niveau de sécurité et de ______ supérieur au cloud public.

confidentialité

Quel énoncé est vrai concernant le cloud privé ?

Il offre les mêmes dépenses en gestion qu'un datacenter traditionnel.

Le PCA vise à organiser la poursuite des activités sans interruption en cas d'incident.

True

Le PCA utilise un système de ______ pour continuer les processus vitaux of l'entreprise.

miroir

Associez les termes aux descriptions correspondantes :

PCA = Poursuite des activités sans interruption PRA = Redémarrage après accident Cloud privé = Cloud avec sécurité accrue Cloud public = Moins sécurisé que le cloud privé

Study Notes

Table des matières

• Chapitre I: Compétences attendues, savoirs associés (page 3)
• Chapitre II: Enjeux et critères de la sécurité du SI (page 4)
• Chapitre III: Exercice: Quiz (page 8)
• Chapitre IV: Principales menaces et protections (page 9)
• Chapitre V: Exercice : Quiz (page 19)
• Chapitre VI: Responsabilités des acteurs dans la sécurité du SI (page 21)
• Chapitre VII: Exercice: Quiz (page 24)
• Chapitre VIII: Sauvegardes et restauration du SI (page 25)
• Chapitre IX: Auto-évaluation (page 28)
• Chapitre X: L'essentiel (page 29)
• Solutions des exercices (page 29)

Compétences attendues, savoirs associés (Page 3)

• Le programme du DSCG suppose la connaissance du DCG.
• Le numérique est un facteur clé de compétitivité mais aussi une contrainte avec de plus en plus d'obligations.
• La sécurisation des données est essentielle pour les organisations.
• Les données sont une ressource vitale, aussi bien pour la gestion opérationnelle que la stratégie.
• Chaque acteur du SI doit connaître les règles de base informatique (physique et logique), les accès réseaux et internet.
• La politique de sécurité doit être abordée de manière humaine, organisationnelle et technologique.

Enjeux et Critères de la Sécurité du SI (Page 4)

• Les mesures de sécurisation du SI sont complexes et incluent la sécurité physique et logique des infrastructures.
• Les enjeux sont multiples: limiter les impacts financiers et de réputation, respecter la réglementation (RGPD).
• Il est important de prendre en compte la dimension humaine dans la gestion des risques.
• Les outils et processus de protection, sauvegarde et restauration des données sont clés.

Principales Menaces et Protections (Page 9)

• Le risque est évalué en fonction de la probabilité et de la gravité de l'événement.
• Les incidents ont des causes multiples : actions internes (non intentionnelles ou non), attaques intentionnelles etc.
• L'hameçonnage (phishing) est une menace courante.
• Les mesures préventives pour le phishing incluent d'éviter de communiqué des informations personnelles par email ou téléphone, vérifiez l'authenticité des liens et soyez vigilant(e).

Responsabilités des acteurs dans la sécurité du SI (Page 21)

• Le responsable de la sécurité des systèmes d'information (RSSI) est un poste clé dans les grandes structures.
• Le RSSI est responsable de mettre en œuvre la politique de sécurité et de garantir la sécurité des applications et données, de la formation et la sensibilisation du personnel.
• Les plans de reprise d'activité (PRA) et de continuité d'activité (PCA) sont essentiels.
• L'information et la sensibilisation des utilisateurs sont une partie essentielle de la sécurité.

Sauvegardes et restauration du SI (Page 25)

• Les sauvegardes visent à protéger les données et les traitements en cas d'incident.
• La stratégie de sauvegarde 3-2-1 (3 copies des données, 2 supports différents, 1 sauvegarde hors site) est une méthode efficace.
• Plusieurs stratégies de sauvegarde sont utilisables (sauvegarde complète, différentielle, incrémentielle).
• Les sauvegardes sont localisées dans un endroit sécurisé et à distance.

Auto-évaluation (Page 28)

• Une sauvegarde doit être effectuée en interne et à proximité des postes.
• Les sauvegardes doivent être diversifiées et accessibles.

L'essentiel (Page 29)

• Le numérique est un facteur clé de compétitivité et d'obligation.
• La sécurisation du SI est essentielle pour les organisations.
• Le facteur humain est crucial dans la sécurité du système d'information.

Description

Ce quiz aborde les principes fondamentaux de la sécurité des systèmes d'information. Il examine les rôles, les obligations et les enjeux liés à la sécurisation des données au sein des organisations. Testez vos connaissances sur les politiques de sécurité, le RGPD et le rôle du RSSI.