Préparez-vous pour l’examen CISSP avec un quiz gratuit en ligne
Le CISSP est une certification reconnue mondialement par l’International Information System Security Certification Consortium, également connu sous le nom de (ISC)². Cette certification est devenue une condition préalable à de nombreuses carrières dans le domaine de la sécurité de l’information. Le CISSP couvre huit grands domaines, de sorte qu’il n’est pas surprenant que la préparation à le passer peut devenir une expérience stressante et qui prend beaucoup de temps.
Pour vous aider à évaluer le niveau de votre préparation, nous avons élaboré une série de questions de test CISSP et les avons rassemblées en un examen en ligne gratuit. Ces questions types du CISSP couvrent les concepts clés dans chacun des huit domaines inclus dans l’examen du CISSP :
- Sécurité et gestion des risques
- Sécurité des actifs
- Ingénierie de la sécurité
- Sécurité des communications et des réseaux
- Gestion des identités et des accès
- Tests de sécurité et d’évaluation
- Opérations de sécurité
- Sécurité du développement logiciel
Après avoir répondu à chaque question, vous verrez la bonne réponse et le raisonnement qui la sous-tend, ce qui vous permettra d’améliorer vos connaissances et d’être mieux préparé à répondre aux questions de l’examen du CISSP.
Passer cet examen pratique du CISSP est une excellente occasion d’identifier les lacunes dans vos connaissances dans chaque domaine pour pouvoir affiner votre stratégie d’étude et vous présenter le jour de l’examen en répondant avec confiance aux questions réelles de l’examen du CISSP.
Domaine 1 : Sécurité et gestion des risques
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Cette section couvre les concepts de confidentialité, d’intégrité et de disponibilité, les principes de gouvernance de la sécurité, la conformité, les questions juridiques et réglementaires, l’éthique professionnelle, les politiques de sécurité, les normes, les procédures et les lignes directrices.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous êtes consultant en sécurité. Une grande entreprise cliente vous engage pour s’assurer que ses opérations de sécurité suivent les cadres de contrôle standard de l’industrie. Pour ce projet, le client veut que vous vous concentriez sur des solutions technologiques qui décourageront les activités malveillantes. Sur quel type de cadre de contrôle devez-vous vous concentrer ?
Exact
Explication : Les cadres de dissuasion sont liés à la technologie et utilisés pour décourager les activités malveillantes. Par exemple, un système de prévention des intrusions ou un pare-feu serait approprié dans ce cadre.
Il existe trois autres cadres de contrôle primaire. Un cadre préventif permet d’établir des politiques de sécurité et d’assurer la sécurité et la sensibilisation à la formation de sécurité. Un cadre de détection est axé sur la recherche d’activités non autorisées dans votre environnement après un incident de sécurité. Un cadre correctif met l’accent sur les activités visant à récupérer votre environnement après un incident de sécurité. Il n’y a pas de cadre d’évaluation.Inexact
Explication : Les cadres de dissuasion sont liés à la technologie et utilisés pour décourager les activités malveillantes. Par exemple, un système de prévention des intrusions ou un pare-feu serait approprié dans ce cadre.
Il existe trois autres cadres de contrôle primaire. Un cadre préventif permet d’établir des politiques de sécurité et d’assurer la sécurité et la sensibilisation à la formation de sécurité. Un cadre de détection est axé sur la recherche d’activités non autorisées dans votre environnement après un incident de sécurité. Un cadre correctif met l’accent sur les activités visant à récupérer votre environnement après un incident de sécurité. Il n’y a pas de cadre d’évaluation. -
Question 2 sur 3
2. Question
Vous effectuez une analyse de risque pour un fournisseur d’accès Internet (FAI) qui compte des milliers de clients sur son réseau à haut débit. Au cours des cinq dernières années, certains clients ont été compromis ou ont subi des atteintes à la protection des données. Le FAI dispose d’une grande quantité de données de surveillance et d’enregistrement pour tous les clients. Vous devez déterminer les chances que d’autres clients subissent un incident de sécurité sur la base de ces données. Quel type d’approche utilisez-vous pour analyser les risques ?
Exact
Explication : Vous avez le choix entre trois méthodes d’analyse des risques : qualitative (qui utilise une matrice d’analyse des risques), quantitative (qui utilise de l’argent ou des mesures pour calculer) ou hybride (une combinaison de qualitatif et quantitatif mais pas un choix de réponse dans ce scénario). Comme le fournisseur d’accès Internet dispose de données de surveillance et d’enregistrement, vous devriez utiliser une approche quantitative ; cela vous aidera à quantifier les chances que d’autres clients soient exposés à un risque de sécurité.
STRIDE est utilisé pour la modélisation des menaces. Une approche de marché est utilisée pour l’évaluation des actifs. Une analyse de réduction tente d’éliminer les analyses en double et est liée à la modélisation de la menace.Inexact
Explication : Vous avez le choix entre trois méthodes d’analyse des risques : qualitative (qui utilise une matrice d’analyse des risques), quantitative (qui utilise de l’argent ou des mesures pour calculer) ou hybride (une combinaison de qualitatif et quantitatif mais pas un choix de réponse dans ce scénario). Comme le fournisseur d’accès Internet dispose de données de surveillance et d’enregistrement, vous devriez utiliser une approche quantitative ; cela vous aidera à quantifier les chances que d’autres clients soient exposés à un risque de sécurité.
STRIDE est utilisé pour la modélisation des menaces. Une approche de marché est utilisée pour l’évaluation des actifs. Une analyse de réduction tente d’éliminer les analyses en double et est liée à la modélisation de la menace. -
Question 3 sur 3
3. Question
Vous travaillez sur un projet de continuité d’activité pour une entreprise qui génère chaque jour une grande quantité de contenu à utiliser dans les réseaux sociaux. Votre équipe définit 4 heures comme la perte de données maximale tolérable lors d’un événement de reprise après sinistre ou interruption d’activité. Dans quelle partie du plan de continuité d’activité devez-vous documenter cela ?
Exact
Explication : Le RTO établit le temps maximum de panne de l’organisation (ou combien de temps il faut pour récupérer), le RPO établit la perte de données maximum tolérable, le MTD couvre le temps d’arrêt maximum tolérable, et MDT n’est qu’une phrase inventée pour vous déstabiliser Dans ce scénario, en mettant l’accent sur la perte de données, la bonne réponse est RPO.
Inexact
Explication : Le RTO établit le temps maximum de panne de l’organisation (ou combien de temps il faut pour récupérer), le RPO établit la perte de données maximum tolérable, le MTD couvre le temps d’arrêt maximum tolérable, et MDT n’est qu’une phrase inventée pour vous déstabiliser Dans ce scénario, en mettant l’accent sur la perte de données, la bonne réponse est RPO.
Domaine 2 : Sécurité des actifs
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Lorsque nous pensons aux actifs, certaines personnes ne considèrent que les actifs physiques, tels que les bâtiments, les terrains et les ordinateurs. Mais la sécurité des actifs pour l’examen du CISSP se concentre sur les actifs virtuels tels que la propriété intellectuelle et les données.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous effectuez un audit de sécurité pour un client. Au cours de l’audit, vous constatez que plusieurs utilisateurs ont accès aux données sans passer par un processus formel d’autorisation d’accès. Dans le cadre de l’assainissement, vous recommandez l’établissement d’un processus officiel d’approbation de l’accès. Quelles fonctions devez-vous énumérer pour approuver les politiques qui dictent quels utilisateurs peuvent avoir accès aux données ?
Exact
Explication : Chaque propriétaire de données est responsable de l’approbation de l’accès aux données qui lui appartiennent. Cela se fait généralement par l’approbation des politiques d’accès aux données qui sont ensuite mises en œuvre par l’équipe d’exploitation. Dans le cadre d’un processus officiel d’approbation de l’accès aux données, le propriétaire des données doit être la personne responsable en dernier ressort de l’accès aux données.
Inexact
Explication : Chaque propriétaire de données est responsable de l’approbation de l’accès aux données qui lui appartiennent. Cela se fait généralement par l’approbation des politiques d’accès aux données qui sont ensuite mises en œuvre par l’équipe d’exploitation. Dans le cadre d’un processus officiel d’approbation de l’accès aux données, le propriétaire des données doit être la personne responsable en dernier ressort de l’accès aux données.
-
Question 2 sur 3
2. Question
Votre organisation a pour objectif de maximiser la protection des données administratives. Vous devez recommander 3 méthodes pour minimiser la rémanence des données dans l’organisation. Laquelle des 3 méthodes suivantes devez-vous recommander ?
Exact
Explication : Lorsque vous effectuez une suppression typique du système d’exploitation, les données restent sur le support, mais l’espace sur le support est marqué comme disponible. Ainsi, les données sont souvent récupérables. Il existe 3 méthodes établies pour empêcher la récupération des données : écrasement des données (parfois appelé « effacement sécurisé » ou « essuyage »), démagnétisation par aimants et destruction physique.
Le formatage d’un volume ne rend pas les données irrécupérables, et le chiffrement des données non plus (si quelqu’un avait la clé de déchiffrement, les données sont en danger).Inexact
Explication : Lorsque vous effectuez une suppression typique du système d’exploitation, les données restent sur le support, mais l’espace sur le support est marqué comme disponible. Ainsi, les données sont souvent récupérables. Il existe 3 méthodes établies pour empêcher la récupération des données : écrasement des données (parfois appelé « effacement sécurisé » ou « essuyage »), démagnétisation par aimants et destruction physique.
Le formatage d’un volume ne rend pas les données irrécupérables, et le chiffrement des données non plus (si quelqu’un avait la clé de déchiffrement, les données sont en danger). -
Question 3 sur 3
3. Question
Vous vous préparez à créer un environnement de Cloud hybride pour votre organisation. Trois fournisseurs présentent leur solution proposée. Quelle méthodologie votre équipe doit-elle utiliser pour choisir la meilleure solution ?
Exact
Explication : Dans ce scénario, votre objectif est d’évaluer les solutions présentées, et non les fournisseurs, de sorte que vous devrons utiliser un processus de sélection des normes. Cela permettra à l’équipe de choisir la solution qui correspond le mieux aux besoins de l’organisation. Bien que le processus de sélection d’un fournisseur fasse partie de l’engagement avec lui, ce scénario exige spécifiquement l’évaluation des solutions.
Inexact
Explication : Dans ce scénario, votre objectif est d’évaluer les solutions présentées, et non les fournisseurs, de sorte que vous devrons utiliser un processus de sélection des normes. Cela permettra à l’équipe de choisir la solution qui correspond le mieux aux besoins de l’organisation. Bien que le processus de sélection d’un fournisseur fasse partie de l’engagement avec lui, ce scénario exige spécifiquement l’évaluation des solutions.
Domaine 3 : Ingénierie de la sécurité
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Ce domaine est plus technique que certains autres. Si vous travaillez déjà dans le secteur de l’ingénierie de sécurité, vous avez un avantage dans ce domaine. Si ce n’est pas le cas, allouez-vous du temps supplémentaire pour vous assurer que vous comprenez bien les sujets. Notez que certains des concepts de ce domaine sont de nature fondamentale, vous en trouverez donc des aspects dans les autres domaines.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous êtes un consultant en sécurité chargé d’examiner le modèle de sécurité d’une entreprise. Le modèle actuel présente les caractéristiques suivantes :
Il établit une confidentialité telle que les personnes ne peuvent pas lire les accès confidentiels classés à un niveau supérieur à leur habilitation.
Il interdit aux utilisateurs ayant une autorisation spécifique d’écrire des données dans un document avec un niveau d’autorisation inférieur.
Vous notez que le modèle actuel ne tient pas compte des personnes ayant un faible niveau d’autorisation, depuis la rédaction des données jusqu’à un document classifié à un niveau supérieur à leur autorisation. Vous devez mettre en œuvre un modèle pour atténuer ce problème. Sur lequel des principes de sécurité suivants le nouveau modèle devrait-il mettre l’accent ?Exact
Explication : Dans ce scénario, le modèle existant mettait l’accent sur la confidentialité. Pour compléter le modèle et atteindre l’objectif de prévention de la » rédaction « , il faut compléter le modèle existant par un modèle qui met l’accent sur l’intégrité (comme Biba). En mettant l’accent sur l’intégrité, vous vous assurerez que vous n’avez pas « écrire » (ou « lire vers le bas » non plus, bien que ce ne soit pas une exigence dans ce scénario).
Inexact
Explication : Dans ce scénario, le modèle existant mettait l’accent sur la confidentialité. Pour compléter le modèle et atteindre l’objectif de prévention de la » rédaction « , il faut compléter le modèle existant par un modèle qui met l’accent sur l’intégrité (comme Biba). En mettant l’accent sur l’intégrité, vous vous assurerez que vous n’avez pas « écrire » (ou « lire vers le bas » non plus, bien que ce ne soit pas une exigence dans ce scénario).
-
Question 2 sur 3
2. Question
Vous documentez les tentatives d’attaques sur les systèmes informatiques de votre entreprise. Le principal type d’attaque était les attaques par injection. Quelle définition utilisez-vous pour décrire une crise d’injection ?
Exact
Explication : Une attaque par injection fournit une entrée invalide à une application ou à une page Web. L’objectif est de créer cette entrée de sorte qu’un interpréteur en arrière-plan exécute une action qui n’est pas prévue par l’entreprise (comme l’exécution de commandes administratives) ou plante le système. Les attaques par injection sont avancées et couramment utilisées, il est donc important d’en être conscient et de savoir comment s’en protéger.
Inexact
Explication : Une attaque par injection fournit une entrée invalide à une application ou à une page Web. L’objectif est de créer cette entrée de sorte qu’un interpréteur en arrière-plan exécute une action qui n’est pas prévue par l’entreprise (comme l’exécution de commandes administratives) ou plante le système. Les attaques par injection sont avancées et couramment utilisées, il est donc important d’en être conscient et de savoir comment s’en protéger.
-
Question 3 sur 3
3. Question
Vous concevez une infrastructure à clé publique pour votre entrepris. Celle-ci a établi les exigences suivantes pour l’ICP :
– Maximiser la sécurité de l’architecture ICP
– Maximiser la flexibilité de l’architecture ICP
Vous devez choisir un modèle d’ICP pour répondre aux exigences. Quel modèle choisir ?Exact
Explication : Lors de la conception d’une ICP, gardez à l’esprit les principes de sécurité de base – plus il y a de niveaux, plus il y a de sécurité et de souplesse. Bien sûr, avoir plus de niveaux signifie aussi plus de coûts et de complexité. Dans ce scénario, pour maximiser la sécurité et la souplesse, vous devez utiliser une hiérarchie à trois niveaux, les CA racine et les CA de politique étant hors ligne. Les CA hors ligne renforcent la sécurité. Les niveaux multiples, en particulier avec l’utilisation de CA politique, augmentent la souplesse parce que vous pouvez révoquer une section de la hiérarchie sans affecter l’autre (par exemple, lorsque l’une des CA émettrices a une clé compromise).
Inexact
Explication : Lors de la conception d’une ICP, gardez à l’esprit les principes de sécurité de base – plus il y a de niveaux, plus il y a de sécurité et de souplesse. Bien sûr, avoir plus de niveaux signifie aussi plus de coûts et de complexité. Dans ce scénario, pour maximiser la sécurité et la souplesse, vous devez utiliser une hiérarchie à trois niveaux, les CA racine et les CA de politique étant hors ligne. Les CA hors ligne renforcent la sécurité. Les niveaux multiples, en particulier avec l’utilisation de CA politique, augmentent la souplesse parce que vous pouvez révoquer une section de la hiérarchie sans affecter l’autre (par exemple, lorsque l’une des CA émettrices a une clé compromise).
Domaine 4 : Communications et sécurité réseau
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Le travail en réseau peut être l’un des sujets les plus complexes de l’examen CISSP. Si vous avez la chance d’avoir une expérience réseau, vous ne trouverez pas ce domaine difficile. Cependant, si votre expérience du travail en réseau n’est pas très étendue, passez plus de temps dans cette section et envisagez de plonger profondément dans des sujets que vous n’avez toujours pas compris après avoir parcouru cette section.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous êtes en train de dépanner certaines anomalies de communication réseau sur votre réseau. Vous remarquez que certaines communications ne prennent pas l’itinéraire prévu ou le plus efficace pour se rendre à destination. Quelle couche du modèle OSI devez-vous dépanner ?
Exact
Explication : Dans ce scénario, l’information indique que le problème se situe au niveau du routage de la communication réseau. Le routage se produit à la couche 3 du modèle OSI. La couche 3 est généralement gérée par un routeur ou la composante de routage d’un périphérique réseau.
Inexact
Explication : Dans ce scénario, l’information indique que le problème se situe au niveau du routage de la communication réseau. Le routage se produit à la couche 3 du modèle OSI. La couche 3 est généralement gérée par un routeur ou la composante de routage d’un périphérique réseau.
-
Question 2 sur 3
2. Question
Un réseau sans fil a un point d’accès unique et deux clients. Un client se trouve du côté sud de l’immeuble, en bordure du réseau. L’autre client se trouve du côté nord de l’immeuble, également vers le bord du réseau. Les clients sont trop éloignés les uns des autres pour se voir. Dans ce scénario, quelle technologie peut être utilisée pour éviter les collisions ?
Exact
Explication : Dans ce scénario, l’évitement des collisions est utilisé. Les réseaux sans fil utilisent l’évitement des collisions pour résoudre le problème décrit dans le scénario (connu sous le nom de » problème de nœud caché « ).
Inexact
Explication : Dans ce scénario, l’évitement des collisions est utilisé. Les réseaux sans fil utilisent l’évitement des collisions pour résoudre le problème décrit dans le scénario (connu sous le nom de » problème de nœud caché « ).
-
Question 3 sur 3
3. Question
Votre entreprise utilise le protocole VoIP pour les appels téléphoniques internes. Vous déployez un nouveau système de détection d’intrusion et devez capturer le trafic lié aux appels téléphoniques internes uniquement. Quel protocole devez-vous capturer ?
Exact
Explication : SIP est un protocole de communication utilisé pour les communications multimédias telles que les appels vocaux internes. Dans ce scénario, vous devez capturer le trafic SIP pour vous assurer que vous ne capturez que le trafic lié aux appels téléphoniques.
Inexact
Explication : SIP est un protocole de communication utilisé pour les communications multimédias telles que les appels vocaux internes. Dans ce scénario, vous devez capturer le trafic SIP pour vous assurer que vous ne capturez que le trafic lié aux appels téléphoniques.
Domaine 5 : Gestion des identités et des accès
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Cette section couvre les technologies et concepts relatifs à l’authentification et à l’autorisation, par exemple, les noms d’utilisateur, les mots de passe et les répertoires. Bien qu’il ne s’agisse pas d’un vaste domaine, il s’agit d’un domaine technique qui comporte de nombreux détails importants liés à la conception et à la mise en œuvre des technologies.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous mettez en œuvre une solution d’authentification multifactorielle. Dans le cadre de la conception, vous capturez les trois facteurs d’authentification. Que sont-ils ?
Exact
Explication : Les trois facteurs sont des éléments que vous connaissez (comme un mot de passe), quelque chose que vous avez (comme une carte à puce ou une application d’authentification) et quelque chose qui vous est personnel (comme une empreinte digitale ou une rétine). L’utilisation de méthodes provenant de facteurs multiples pour l’authentification améliore la sécurité et atténue le risque de vol ou de piratage de mot de passe.
Inexact
Explication : Les trois facteurs sont des éléments que vous connaissez (comme un mot de passe), quelque chose que vous avez (comme une carte à puce ou une application d’authentification) et quelque chose qui vous est personnel (comme une empreinte digitale ou une rétine). L’utilisation de méthodes provenant de facteurs multiples pour l’authentification améliore la sécurité et atténue le risque de vol ou de piratage de mot de passe.
-
Question 2 sur 3
2. Question
Votre entreprise étend rapidement son empreinte dans le Cloud public, en particulier avec l’Infrastructure en tant que Service (IaaaS), et souhaite mettre à jour sa solution d’authentification pour permettre aux utilisateurs d’être authentifiés dans les services du Cloud qui restent à préciser. L’entreprise émet les exigences suivantes :
– Minimiser l’infrastructure nécessaire à l’authentification.
– Mettre la solution en œuvre rapidement
– Minimiser les frais généraux de gestion de la solution.
Vous devez choisir la solution d’authentification de l’entreprise. Quelle solution choisir ?Exact
Explication : Avec l’expansion rapide vers le Cloud et le type de services inconnu dans le Cloud, un service d’identité basé dans le Cloud, en particulier celui de votre fournisseur de Cloud public, est le meilleur choix. Ces services sont compatibles avec les solutions IaaaS, SaaS et PaaS. Bien qu’un service d’identité tiers puisse gérer le SaaS, il ne sera pas aussi performant dans les scénarios non-SaaaS. Une solution d’identité fédérée est également limitée à certains scénarios d’authentification et nécessite plus de temps à mettre en œuvre et plus de travail pour la gérer.
Inexact
Explication : Avec l’expansion rapide vers le Cloud et le type de services inconnu dans le Cloud, un service d’identité basé dans le Cloud, en particulier celui de votre fournisseur de Cloud public, est le meilleur choix. Ces services sont compatibles avec les solutions IaaaS, SaaS et PaaS. Bien qu’un service d’identité tiers puisse gérer le SaaS, il ne sera pas aussi performant dans les scénarios non-SaaaS. Une solution d’identité fédérée est également limitée à certains scénarios d’authentification et nécessite plus de temps à mettre en œuvre et plus de travail pour la gérer.
-
Question 3 sur 3
3. Question
Un utilisateur signale qu’il ne peut pas accéder à un dossier partagé. Vous analysez et vous trouvez les informations suivantes :
Ni l’utilisateur ni aucun groupe dont l’utilisateur est membre n’a obtenu les droits d’accès au dossier.
D’autres utilisateurs et groupes se sont vu accorder des droits d’accès au dossier.
Un autre informaticien de votre équipe précise qu’il a récemment mis à jour les permissions sur le dossier.
Selon les informations contenues dans ce scénario, quel type de contrôle d’accès est utilisé ?Exact
Explication : Étant donné que vous avez constaté que des utilisateurs individuels se voyaient accorder des permissions et qu’un administrateur informatique avait modifié manuellement les permissions sur le dossier, le DAC est en cours d’utilisation. RBAC utilise des rôles, et le contrôle d’accès basé sur des règles repose sur les règles et les attributs d’utilisateurs, donc vous ne trouverez pas d’utilisateurs individuels configurés avec des permissions sur le dossier avec l’un ou l’autre de ces éléments. Le MAC est basé sur les niveaux d’autorisation, de sorte que, encore une fois, les utilisateurs ne se voient pas accorder d’autorisation individuelles sur un dossier ; mais c’est un groupe qui est utilisé pour chaque autorisation.
Inexact
Explication : Étant donné que vous avez constaté que des utilisateurs individuels se voyaient accorder des permissions et qu’un administrateur informatique avait modifié manuellement les permissions sur le dossier, le DAC est en cours d’utilisation. RBAC utilise des rôles, et le contrôle d’accès basé sur des règles repose sur les règles et les attributs d’utilisateurs, donc vous ne trouverez pas d’utilisateurs individuels configurés avec des permissions sur le dossier avec l’un ou l’autre de ces éléments. Le MAC est basé sur les niveaux d’autorisation, de sorte que, encore une fois, les utilisateurs ne se voient pas accorder d’autorisation individuelles sur un dossier ; mais c’est un groupe qui est utilisé pour chaque autorisation.
Domaine 6 : Évaluation et vérification de la sécurité
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Cette section couvre les évaluations et les audits, ainsi que toutes les technologies et techniques que vous devrez connaître pour les réaliser.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Votre entreprise a récemment mis en place une version préliminaire d’une nouvelle application de messagerie électronique. L’entreprise souhaite effectuer des vérifications par rapport à l’application et a émis les exigences suivantes :
– Les testeurs doivent tester tous les aspects de l’application de messagerie électronique.
– Les testeurs ne doivent avoir aucune connaissance du nouvel environnement e-mail.
Quel type d’essai devez-vous utiliser pour répondre aux exigences de l’entreprise ?Exact
Explication : Dans les tests de boîte noire, les testeurs n’ont aucune connaissance du système qu’ils vérifient.
Inexact
Explication : Dans les tests de boîte noire, les testeurs n’ont aucune connaissance du système qu’ils vérifient.
-
Question 2 sur 3
2. Question
Vous travaillez avec votre entreprise pour valider les stratégies d’évaluation et d’audit. L’objectif immédiat est de s’assurer que tous les auditeurs suivent les processus et procédures définis par les politiques d’audit de l’entreprise. Quel type de vérification devez-vous utiliser pour ce scénario ?
Exact
Explication : Les tests effectués par des tiers visent particulièrement à s’assurer que les autres vérificateurs (internes et externes) suivent correctement vos politiques et vos procédures.
Inexact
Explication : Les tests effectués par des tiers visent particulièrement à s’assurer que les autres vérificateurs (internes et externes) suivent correctement vos politiques et vos procédures.
-
Question 3 sur 3
3. Question
Votre entreprise prévoit d’effectuer des tests de contrôle de sécurité. Les exigences suivantes ont été établies :
L’équipe doit essayer de contourner les contrôles dans les systèmes.
L’équipe peut utiliser des méthodes techniques ou non techniques pour tenter de contourner les contrôles.
Quel type d’essai devez-vous effectuer pour répondre aux exigences ?Exact
Explication : Dans une vérification d’intrusion, les équipes tentent de contourner les contrôles, qu’ils soient techniques ou non techniques.
Inexact
Explication : Dans une vérification d’intrusion, les équipes tentent de contourner les contrôles, qu’ils soient techniques ou non techniques.
Domaine 7 : Sécurité des opérations
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Ce domaine se concentre sur les tâches quotidiennes de sécurisation de votre environnement. Si vous occupez un poste à l’extérieur des opérations (p. ex. en ingénierie ou en architecture), vous devez consacrer plus de temps à cette section pour vous familiariser avec l’information. Vous remarquerez davantage de sections » pratiques » dans ce domaine, spécifiquement axées sur la façon de faire les choses plutôt que sur les considérations de conception ou de planification que l’on retrouve dans les domaines précédents.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous effectuez l’analyse d’un ordinateur compromis. Vous vous rendez compte que l’ordinateur avait tous les correctifs de sécurité connus appliqués avant d’être compromis. Lesquels des deux énoncés suivants sont probablement vrais au sujet de cet incident ?
Exact
Explication : Lorsqu’une vulnérabilité existe mais qu’il n’y a pas de correctif pour y remédier, il s’agit d’une vulnérabilité zéro jour. Lorsqu’un code d’exploitation existe pour tirer parti d’une vulnérabilité de type » zéro-jour « , on parle d’exploit de type » zéro-jour « . Dans ce scénario, parce que l’ordinateur était à jour sur les correctifs, nous pouvons conclure qu’il y avait une vulnérabilité zéro-jour et un exploit zéro-jour.
Inexact
Explication : Lorsqu’une vulnérabilité existe mais qu’il n’y a pas de correctif pour y remédier, il s’agit d’une vulnérabilité zéro jour. Lorsqu’un code d’exploitation existe pour tirer parti d’une vulnérabilité de type » zéro-jour « , on parle d’exploit de type » zéro-jour « . Dans ce scénario, parce que l’ordinateur était à jour sur les correctifs, nous pouvons conclure qu’il y avait une vulnérabilité zéro-jour et un exploit zéro-jour.
-
Question 2 sur 3
2. Question
Vous enquêtez sur le mauvais rendement du système téléphonique d’une entreprise. L’entreprise utilise des téléphones IP et signale que dans certains scénarios, comme lorsqu’il y a une forte utilisation, la qualité de l’appel diminue et il y a parfois des retards ou des atténuations. Vous devez maximiser les performances du système téléphonique. Quelle technologie utiliser ?
Exact
Explication : La qualité de service fournit un service prioritaire pour une application ou un type de communication spécifique. Dans ce scénario, la qualité des appels est affectée par d’autres services sur le réseau. En donnant la priorité à la communication réseau pour les téléphones IP, vous pouvez maximiser leurs performances (bien que cela puisse avoir un impact sur autre chose).
Inexact
Explication : La qualité de service fournit un service prioritaire pour une application ou un type de communication spécifique. Dans ce scénario, la qualité des appels est affectée par d’autres services sur le réseau. En donnant la priorité à la communication réseau pour les téléphones IP, vous pouvez maximiser leurs performances (bien que cela puisse avoir un impact sur autre chose).
-
Question 3 sur 3
3. Question
Vous préparez votre entreprise à la reprise après sinistre. L’entreprise émet les exigences suivantes pour les tests de reprise après sinistre :
– L’entreprise doit avoir la capacité de restaurer et de récupérer dans un autre centre de données.
– Les opérations de restauration et de récupération ne doivent pas avoir d’impact sur votre centre de données.
– Les équipes informatiques doivent effectuer des étapes de récupération pendant les tests.
Quel type de récupération devez-vous utiliser pour répondre aux besoins de l’entreprise ?Exact
Explication : La première exigence clé de ce scénario est que le centre de données ne doit pas être affecté par les tests. Ceci élimine les tests d’interruption partielle et d’interruption complète car ceux-ci ont un impact sur le centre de données. L’autre exigence clé est que les équipes informatiques doivent effectuer la récupération par étapes. Cette exigence élimine les essais par simulation parce qu’ils impliquent de naviguer dans les plans, mais sans effectuer d’opérations de récupération.
Inexact
Explication : La première exigence clé de ce scénario est que le centre de données ne doit pas être affecté par les tests. Ceci élimine les tests d’interruption partielle et d’interruption complète car ceux-ci ont un impact sur le centre de données. L’autre exigence clé est que les équipes informatiques doivent effectuer la récupération par étapes. Cette exigence élimine les essais par simulation parce qu’ils impliquent de naviguer dans les plans, mais sans effectuer d’opérations de récupération.
Domaine 8 : Sécurité du développement de logiciel
Résumé-Quiz
0 questions correctes sur 3
Questions:
- 1
- 2
- 3
Information
Ce domaine se concentre sur la gestion des risques et de la sécurité du développement de logiciels. La sécurité doit être au centre du cycle de vie du développement, et non un ajout ou une réflexion après coup du processus. La méthodologie de développement et le cycle de vie peuvent avoir un effet très important sur la façon dont la sécurité est pensée et mise en œuvre dans votre entreprise. La méthodologie est également liée à l’environnement pour lequel le logiciel est en cours de développement. Les organisations devraient s’assurer que l’accès aux dépôts de codes est limité afin de protéger leur investissement dans le développement de logiciels. L’accès et la protection doivent faire l’objet d’audits réguliers. Vous devez également prendre en considération le processus d’acquisition d’un cycle de vie de développement, que ce soit d’une autre entreprise ou d’un projet de développement déjà en cours.
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 3 répondues correctement
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- Répondu
- Examiner
-
Question 1 sur 3
1. Question
Vous êtes responsable du développement de logiciels et vous démarrez un nouveau projet de développement. Vous voulez centrer le processus de développement autour des témoignages d’utilisateurs. Le processus de développement doit être efficace et comporter de multiples itérations au fur et à mesure que les changements et les exigences sont découverts. Quelle méthodologie de développement utiliser ?
Exact
Explication : Le développement agile met l’accent sur l’efficacité et les itérations pendant le processus de développement. Agile se concentre sur les histoires d’utilisateurs pour travailler tout au long du processus de développement.
Inexact
Explication : Le développement agile met l’accent sur l’efficacité et les itérations pendant le processus de développement. Agile se concentre sur les histoires d’utilisateurs pour travailler tout au long du processus de développement.
-
Question 2 sur 3
2. Question
Vous en êtes aux premières étapes du cycle de développement et vous créez les exigences en matière de conception. L’application contiendra plusieurs formulaires qui permettront aux utilisateurs d’entrer des informations à sauvegarder dans une base de données. Les formulaires doivent exiger des utilisateurs qu’ils soumettent jusqu’à 200 caractères alphanumériques, mais doivent empêcher certaines chaînes de caractères. Que devez-vous faire sur les champs de texte ?
Exact
Explication : Les champs de texte avec lesquels les utilisateurs interagissent doivent être validés pour s’assurer que la limite de caractères n’a pas été dépassée et qu’aucun caractère spécial susceptible de provoquer des incohérences dans la base de données n’est utilisé.
Inexact
Explication : Les champs de texte avec lesquels les utilisateurs interagissent doivent être validés pour s’assurer que la limite de caractères n’a pas été dépassée et qu’aucun caractère spécial susceptible de provoquer des incohérences dans la base de données n’est utilisé.
-
Question 3 sur 3
3. Question
Vous envisagez de créer une application d’intelligence artificielle basée sur des contraintes et un objectif final. Quel langage de génération devriez-vous utiliser pour le processus de développement ?
Exact
Explication : Les langues de génération 5 sont associées à l’intelligence artificielle. Les contraintes de l’application et de son objectif sont définies, puis le programme apprend davantage par lui-même pour atteindre l’objectif.
Inexact
Explication : Les langues de génération 5 sont associées à l’intelligence artificielle. Les contraintes de l’application et de son objectif sont définies, puis le programme apprend davantage par lui-même pour atteindre l’objectif.
Nous espérons que nos questions gratuites d’entraînement vous ont aidé à obtenir votre certification CISSP. N’hésitez pas à partager vos commentaires et suggestions dans la section commentaires ci-dessous. Meilleurs vœux pour l’examen !
Veuillez noter que la réussite de ces examens pratiques ne garantit pas la réussite de l’examen de certification du CISSP, qui contient 100-150 questions et dure 3 heures, mais cela devrait vous donner une bonne indication de votre état de préparation à cet examen.
