La certification CompTIA Security+ en bref
CompTIA Security+ est une certification mondialement reconnue qui valide les compétences et les connaissances fondamentales requises pour exécuter des fonctions de sécurité essentielles. Elle est indépendante des fournisseurs et non spécifique à un rôle, elle convient donc parfaitement à un large éventail d’organisations, quelles que soient les technologies utilisées. Après avoir obtenu cette certification, de nombreux professionnels passent des examens spécifiques aux fournisseurs, tels que ceux de VMWare, Cisco ou Microsoft.
CompTIA renouvelle généralement son examen Security+ tous les trois ans. La version actuelle, SY0-501, a été publiée le 4 octobre 2017. Elle fait suite à la version SYO-401, publiée en mai 2014. Les changements apportés aux objectifs de l’examen CompTIA comprennent la suppression du segment Sécurité réseau, mais le test couvre toujours l’installation et la configuration des composants réseau, la mise en œuvre d’une architecture réseau sécurisée et d’autres domaines liés à la sécurité réseau.
L’obtention de la certification CompTIA exige une préparation minutieuse. Les six objectifs (domaines) de l’examen CompTIA Security+ sy0-501 sont :
- Menaces, attaques et vulnérabilités
- Technologies et outils
- Architecture et conception
- Gestion des identités et des accès
- Gestion des risques
- Chiffrement et ICP
Les principales compétences mesurées par l’examen comprennent l’identification des menaces de sécurité, le choix des techniques appropriées pour la gestion des cyber-risques et l’identification et l’analyse des attaques courantes (comme l’ingénierie sociale, les logiciels malveillants, les attaques applicatives et sans fil).
Pour obtenir la certification Comptia Security+ sy0-501, il n’est pas nécessaire de suivre de cours au préalable. Cependant, CompTIA recommande un minimum de deux ans d’expérience en administration informatique axée sur la sécurité. Il est également judicieux de passer des tests de préparation à sy0-501 et de consulter des interviews, des ressources et des vidéos pertinentes.
Test gratuit de préparation à l’examen sy0-501
Pour vous aider à évaluer votre état de préparation, nous avons mis au point un test gratuit de préparation à l’examen Security+. Sous forme de QCM, il s’agit d’une version simulée de l’examen CompTIA Security+ proposé par CompTIA. Grâce à ce test Security+, vous pouvez évaluer vos connaissances sur tous les domaines de l’examen.
Êtes-vous prêt à répondre aux 30 questions ?
Les questions de préparation à CompTIA Security+ présentées ici sont destinées à être utilisées après avoir lu le Guide de préparation à l’examen de certification CompTIA Security+. Si vous ne savez pas répondre à plus de 70 % des questions, consultez de nouveau le guide et étudiez les rubriques correspondant aux questions auxquelles vous avez échoué.
Domaine 1
Résumé-Quiz
0 questions correctes sur 5
Questions:
- 1
- 2
- 3
- 4
- 5
Information
Menaces, attaques et vulnérabilités
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 5 répondues correctement
Votre temps:
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- Répondu
- Examiner
-
Question 1 sur 5
1. Question
Vous enquêtez sur un logiciel malveillant installé sur un ordinateur portable. Ce logiciel malveillant présente les caractéristiques suivantes :
- Il bloque l’accès à certaines données utilisateur.
- Il a chiffré certaines données utilisateur.
- Un intrus demande une compensation pour vous rendre l’accès aux données.
De quel type de logiciel malveillant s’agit-il ?
Exact
Puisqu’un paiement est demandé, vous pouvez être sûr qu’il s’agit d’un type de rançongiciel (ransomware). Comme il a chiffré une partie des données, ce logiciel malveillant est appelé crypto-verrouilleur.
Inexact
Puisqu’un paiement est demandé, vous pouvez être sûr qu’il s’agit d’un type de rançongiciel (ransomware). Comme il a chiffré une partie des données, ce logiciel malveillant est appelé crypto-verrouilleur.
-
Question 2 sur 5
2. Question
Un assistant de direction vous signale un appel téléphonique suspect. Vous lui demandez de décrire cet appel plus en détail et il vous fournit les informations suivantes :
- L’interlocuteur prétend faire partie du service informatique.
- L’interlocuteur prétend que l’ordinateur de l’assistant de direction est infecté par un virus.
- L’interlocuteur demande l’accès à l’ordinateur de l’assistant de direction pour supprimer le virus.
- L’interlocuteur demande un accès immédiat en raison de la nature virulente du virus.
L’assistant de direction a pensé que cet appel était suspect car il provenait de l’extérieur de l’entreprise et il n’avait jamais entendu parler de cette personne auparavant. Quel type d’attaque s’est déroulée et quelle technique l’attaquant a-t-il utilisée pour essayer d’accéder à l’ordinateur ?
Exact
Une attaque d’hameçonnage par téléphone s’appelle « vishing » en anglais (pour VoIP phishing). Lorsqu’un attaquant tente de persuader une victime avec empressement, l’objectif est de l’inquiéter ou de l’effrayer afin qu’elle agisse rapidement (par exemple en donnant accès à son ordinateur). Dans ce scénario, l’attaquant a insisté sur le caractère virulent du virus dans l’espoir que l’assistant de direction lui accorderait rapidement l’accès à sa machine.
Inexact
Une attaque d’hameçonnage par téléphone s’appelle « vishing » en anglais (pour VoIP phishing). Lorsqu’un attaquant tente de persuader une victime avec empressement, l’objectif est de l’inquiéter ou de l’effrayer afin qu’elle agisse rapidement (par exemple en donnant accès à son ordinateur). Dans ce scénario, l’attaquant a insisté sur le caractère virulent du virus dans l’espoir que l’assistant de direction lui accorderait rapidement l’accès à sa machine.
-
Question 3 sur 5
3. Question
L’un de vos clients a récemment signalé que leur site Web avait été attaqué. Dans le cadre de cette attaque, le site Web a été dégradé et un message de soutien à un parti politique y a été ajouté. Lequel des acteurs menaçants suivants est probablement responsable ?
Exact
Le site Web ayant été dégradé avec un message politique, un hacktiviste (cybermilitant) est probablement responsable de l’attaque.
Inexact
Le site Web ayant été dégradé avec un message politique, un hacktiviste (cybermilitant) est probablement responsable de l’attaque.
-
Question 4 sur 5
4. Question
Votre entreprise prévoit de demander à une société tierce d’effectuer des tests d’intrusion sur son environnement informatique. Votre entreprise a établi les directives suivantes pour ces tests :
- La société tierce ne recevra aucune information sur l’environnement informatique.
- Aucun accès à l’environnement informatique ne sera accordé à la société tierce.
Quel type de tests d’intrusion devez-vous demander ?
Exact
Pour un test de boîte noire, la société tierce doit s’appuyer sur des sources d’information et des ressources publiques.
Inexact
Pour un test de boîte noire, la société tierce doit s’appuyer sur des sources d’information et des ressources publiques.
-
Question 5 sur 5
5. Question
Un client vous a demandé de tester la robustesse de leurs mots de passe utilisateur. Il vous fournit un ordinateur sécurisé et isolé de tout réseau, ainsi que les valeurs de hachage des mots de passe. Vous devez tenter de cracker les mots de passe en utilisant les valeurs de hachage. La vitesse est le facteur déterminant, car le client envisage de réinitialiser les mots de passe dans toute l’entreprise. Laquelle des technologies suivantes devez-vous utiliser pour votre attaque ?
Exact
Parmi les choix proposés, les tables arc-en-ciel constituent la méthode d’attaque la plus rapide et efficace sur les valeurs de hachage de mots de passe. Comme ces tables sont précalculées, elles offrent d’excellentes performances, en particulier pour les attaques sur les valeurs de hachage des mots de passe.
Inexact
Parmi les choix proposés, les tables arc-en-ciel constituent la méthode d’attaque la plus rapide et efficace sur les valeurs de hachage de mots de passe. Comme ces tables sont précalculées, elles offrent d’excellentes performances, en particulier pour les attaques sur les valeurs de hachage des mots de passe.
Domaine 2
Résumé-Quiz
0 questions correctes sur 5
Questions:
- 1
- 2
- 3
- 4
- 5
Information
Technologies et outils
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 5 répondues correctement
Votre temps:
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- Répondu
- Examiner
-
Question 1 sur 5
1. Question
Vous vous préparez à mettre en service deux serveurs Web qui hébergeront tous deux le même site Web et le même contenu. Le site Web est composé d’une seule page, qui affiche simplement la température de l’air dans le centre de données de l’entreprise. Vous choisissez de déployer un répartiteur de charge, pour que les deux serveurs soient actifs. Pour ce scénario, vous devez implémenter l’algorithme d’ordonnancement de répartition de charge le plus simple. Quel algorithme d’ordonnancement devez-vous implémenter ?
Exact
Dans ce scénario, les seuls choix valables pour l’algorithme d’ordonnancement sont Affinité et Round-robin. Pour les scénarios simples de répartition de charge, vous devez utiliser Round-robin, qui est facile à déployer et à maintenir. Affinité est utile lorsque les utilisateurs doivent communiquer avec un seul serveur Web (par exemple lors d’un achat en ligne).
Inexact
Dans ce scénario, les seuls choix valables pour l’algorithme d’ordonnancement sont Affinité et Round-robin. Pour les scénarios simples de répartition de charge, vous devez utiliser Round-robin, qui est facile à déployer et à maintenir. Affinité est utile lorsque les utilisateurs doivent communiquer avec un seul serveur Web (par exemple lors d’un achat en ligne).
-
Question 2 sur 5
2. Question
Vous cherchez à résoudre un problème de communication entre un client et un serveur. Une application Web du serveur utilise le port 80. Le client n’arrive pas à se connecter à l’application Web. Vous vérifiez que le client dispose d’une connectivité réseau avec le serveur en lançant un ping du client vers le serveur. Vous examinez le serveur et remarquez que le service du serveur Web est en cours d’exécution. Vous devez à présent valider le port écouté par l’application Web. Lequel de ces outils devez-vous utiliser ?
Exact
Dans ce scénario, vous devez examiner les ports d’écoute du serveur. Vous devez utiliser l’outil Netstat pour répertorier tous les ports d’écoute. Vous pouvez éventuellement examiner la configuration du serveur Web pour rechercher le port configuré, mais ce n’est pas l’une des réponses indiquées.
Inexact
Dans ce scénario, vous devez examiner les ports d’écoute du serveur. Vous devez utiliser l’outil Netstat pour répertorier tous les ports d’écoute. Vous pouvez éventuellement examiner la configuration du serveur Web pour rechercher le port configuré, mais ce n’est pas l’une des réponses indiquées.
-
Question 3 sur 5
3. Question
Un client se prépare à déployer une nouvelle application Web qui sera principalement utilisée par le public via Internet. Cette application Web utilisera HTTPS pour sécuriser les connexions des utilisateurs. On vous demande de revoir la configuration de l’environnement. Vous découvrez les aspects suivants :
- L’ICP interne du client a émis le certificat pour l’application Web.
- Le certificat utilisé pour l’application Web est de type générique.
D’après vos constatations, lequel des résultats suivants est le plus susceptible de se produire pour les utilisateurs publics ?
Exact
Le certificat sera signalé comme non fiable, car c’est l’ICP interne qui a émis le certificat, mais l’application Web est utilisée par le public via Internet et le public n’a pas confiance en votre ICP interne. Il existe des scénarios dans lesquels on fait confiance à une ICP interne pour un usage public, mais ce n’est pas spécifié dans ce scénario. Le certificat générique, bien qu’il ne soit pas recommandé pour ce scénario, ne causera aucun des problèmes mentionnés.
Inexact
Le certificat sera signalé comme non fiable, car c’est l’ICP interne qui a émis le certificat, mais l’application Web est utilisée par le public via Internet et le public n’a pas confiance en votre ICP interne. Il existe des scénarios dans lesquels on fait confiance à une ICP interne pour un usage public, mais ce n’est pas spécifié dans ce scénario. Le certificat générique, bien qu’il ne soit pas recommandé pour ce scénario, ne causera aucun des problèmes mentionnés.
-
Question 4 sur 5
4. Question
Vous configurez une solution de gestion des appareils mobiles qui sera utilisée dans votre entreprise. La direction n’a qu’une exigence immédiate : empêcher les utilisateurs de contourner les app stores Apple et Android pour installer des applications. Que devez-vous faire ?
Exact
Le téléchargement latéral consiste à installer des applications qui ne proviennent pas des app stores. De nombreuses organisations préfèrent bloquer ce type de téléchargement en raison du risque élevé que des programmes malveillants soient contenus dans les applications non issues de boutiques officielles.
Inexact
Le téléchargement latéral consiste à installer des applications qui ne proviennent pas des app stores. De nombreuses organisations préfèrent bloquer ce type de téléchargement en raison du risque élevé que des programmes malveillants soient contenus dans les applications non issues de boutiques officielles.
-
Question 5 sur 5
5. Question
Vous implémentez une solution de partage de fichiers sécurisé dans votre entreprise. Cette solution permettra aux utilisateurs de partager des fichiers avec d’autres. La direction émet une exigence principale : le partage de fichiers doit se faire par SSH. Quel protocole devez-vous implémenter ?
Exact
SFTP utilise SSH pour le transfert de fichiers. FTPS est un protocole de transfert de fichiers, mais qui utilise FTP plutôt que SSH. Les deux autres protocoles ne sont pas conçus pour le partage de fichiers : S/MIME sert à la communication par e-mail et SRTP à la sécurisation des communications sur un réseau téléphonique ou de communication.
Inexact
SFTP utilise SSH pour le transfert de fichiers. FTPS est un protocole de transfert de fichiers, mais qui utilise FTP plutôt que SSH. Les deux autres protocoles ne sont pas conçus pour le partage de fichiers : S/MIME sert à la communication par e-mail et SRTP à la sécurisation des communications sur un réseau téléphonique ou de communication.
Domaine 3
Résumé-Quiz
0 questions correctes sur 5
Questions:
- 1
- 2
- 3
- 4
- 5
Information
Architecture et conception
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 5 répondues correctement
Votre temps:
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- Répondu
- Examiner
-
Question 1 sur 5
1. Question
Vous implémentez une ferme de serveurs pour la distribution de logiciels. Cette ferme de serveurs a pour objectif principal de fournir les fichiers d’installation de votre entreprise à vos clients ou prospects via des installateurs de versions d’essai. Le logiciel sera ainsi accessible à tous sur Internet. L’entreprise a formulé les exigences suivantes :
- L’implémentation de la distribution de logiciels ne doit pas permettre d’accéder aux ressources internes de l’entreprise.
- L’implémentation de la distribution de logiciels doit maximiser la sécurité.
Vous devez mettre en service la ferme de serveurs en utilisant une technologie ou une zone satisfaisant ces exigences. Que devez-vous faire ?
Exact
Dans ce scénario, vous devez faire en sorte que tout utilisateur d’Internet puisse accéder à votre système de distribution de logiciels. La DMZ (zone démilitarisée) permet cela. La deuxième exigence consiste à maximiser la sécurité. La DMZ, un réseau segmenté à la périphérie de votre réseau, satisfait également à cette exigence. Un ordinateur ou un réseau isolé maximiserait également la sécurité, mais les utilisateurs ne pourraient pas accéder au système de distribution des logiciels. Un extranet est comme une DMZ, mais il est destiné aux vendeurs, partenaires et fournisseurs, et non au grand public.
Inexact
Dans ce scénario, vous devez faire en sorte que tout utilisateur d’Internet puisse accéder à votre système de distribution de logiciels. La DMZ (zone démilitarisée) permet cela. La deuxième exigence consiste à maximiser la sécurité. La DMZ, un réseau segmenté à la périphérie de votre réseau, satisfait également à cette exigence. Un ordinateur ou un réseau isolé maximiserait également la sécurité, mais les utilisateurs ne pourraient pas accéder au système de distribution des logiciels. Un extranet est comme une DMZ, mais il est destiné aux vendeurs, partenaires et fournisseurs, et non au grand public.
-
Question 2 sur 5
2. Question
Vous déployez un proxy de transfert. Ce proxy mettra en cache des contenus de l’intranet et d’Internet afin d’accélérer les requêtes Web des utilisateurs. Vous souhaitez maintenir une configuration simple et maximiser la sécurité. Vous devez décider quelle zone réseau utiliser pour les serveurs proxy. Quelle zone choisissez-vous ?
Exact
Le proxy va mettre en cache des contenus de l’intranet et d’Internet. S’il est déployé sur l’intranet, il aura facilement accès aux deux. S’il était déployé hors de l’intranet, le fait d’autoriser les communications depuis la DMZ (ou ailleurs) vers l’intranet pourrait ouvrir des vecteurs d’attaque et aboutir à une configuration complexe.
Inexact
Le proxy va mettre en cache des contenus de l’intranet et d’Internet. S’il est déployé sur l’intranet, il aura facilement accès aux deux. S’il était déployé hors de l’intranet, le fait d’autoriser les communications depuis la DMZ (ou ailleurs) vers l’intranet pourrait ouvrir des vecteurs d’attaque et aboutir à une configuration complexe.
-
Question 3 sur 5
3. Question
Vous commandez des serveurs pour un client qui a besoin d’une sécurité élevée. Vous prévoyez d’utiliser des disques durs chiffrés et un processus de démarrage sécurisé sur tous les serveurs. Vous choisissez d’utiliser une puce matérielle sur la carte mère pour faciliter l’utilisation des disques durs chiffrés et le processus de démarrage sécurisé. Lequel des composants suivants devez-vous commander pour chaque serveur ?
Exact
Un module de plateforme sécurisée (TPM) est une puce matérielle sur une carte mère, qui permet des opérations de chiffrement pour des tâches telles que le démarrage sécurisé et le chiffrement de disque. Une boîte noire transactionnelle (HSM) fournit des clés de chiffrement à d’autres services, par exemple à une ICP ou à un service Web.
Inexact
Un module de plateforme sécurisée (TPM) est une puce matérielle sur une carte mère, qui permet des opérations de chiffrement pour des tâches telles que le démarrage sécurisé et le chiffrement de disque. Une boîte noire transactionnelle (HSM) fournit des clés de chiffrement à d’autres services, par exemple à une ICP ou à un service Web.
-
Question 4 sur 5
4. Question
Vous avez récemment été embauché par une petite entreprise qui commence à développer des logiciels en interne et qui souhaite s’assurer que ses environnements informatiques sont compatibles avec un cycle de développement sûr. Cette entreprise vous demande de lui proposer une liste des environnements qui permettraient de soutenir ses efforts de développement, ainsi que l’ordre dans lequel elle doit utiliser ces environnements relativement aux versions logicielles. Laquelle des options suivantes devez-vous recommander ?
Exact
Un environnement de développement convient pour élaborer un code. Puis, vous déployez le code dans un environnement de tests qui ressemble à votre environnement de production. Ensuite, vous le déployez dans un environnement de pré-production qui ressemble le plus possible à votre environnement de production. Enfin, vous le déployez dans votre environnement de production.
Inexact
Un environnement de développement convient pour élaborer un code. Puis, vous déployez le code dans un environnement de tests qui ressemble à votre environnement de production. Ensuite, vous le déployez dans un environnement de pré-production qui ressemble le plus possible à votre environnement de production. Enfin, vous le déployez dans votre environnement de production.
-
Question 5 sur 5
5. Question
Votre nouvelle application Web recueille des données auprès des utilisateurs, ceux-ci remplissent un formulaire et le soumettent. Vous stockez les données dans une base de données. Quelques mois plus tard, vous examinez les données et découvrez que certaines informations ne sont pas stockées de manière cohérente. Par exemple, certains numéros de téléphone sont enregistrés avec des tirets (213-555-4321), d’autres avec des points (213.555.4321) et d’autres encore différemment, par exemple (213)555-4321. D’autres données, comme le nom des villes, sont incohérentes. Par exemple, certains utilisateurs ont utilisé « Saint-Brieuc », d’autres « St Brieuc » et d’autres encore « Saint Brieuc ». Vous devez trouver un moyen d’assurer la cohérence des données. Lesquelles des méthodes suivantes pouvez-vous utiliser ? (Sélectionnez deux réponses.)
Exact
Vous pouvez utiliser la validation des entrées pour vous assurer que les données sont saisies dans un format spécifique. Vous pouvez, par exemple, demander aux utilisateurs de sélectionner un nom de ville dans un menu déroulant et d’entrer des numéros de téléphone sans tirets. Alternativement, vous pouvez utiliser la normalisation pour corriger les données ultérieurement.
Inexact
Vous pouvez utiliser la validation des entrées pour vous assurer que les données sont saisies dans un format spécifique. Vous pouvez, par exemple, demander aux utilisateurs de sélectionner un nom de ville dans un menu déroulant et d’entrer des numéros de téléphone sans tirets. Alternativement, vous pouvez utiliser la normalisation pour corriger les données ultérieurement.
Domaine 4
Résumé-Quiz
0 questions correctes sur 5
Questions:
- 1
- 2
- 3
- 4
- 5
Information
Gestion des identités et des accès
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 5 répondues correctement
Votre temps:
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- Répondu
- Examiner
-
Question 1 sur 5
1. Question
Vous intégrez votre fournisseur d’identité (IdP) sur site avec un service Cloud. Le service Cloud permet une authentification fédérée. Lesquels des protocoles suivants pouvez-vous utiliser pour cette intégration ? (Sélectionnez-en deux.)
Exact
SAML est une option de fédération avec un service Cloud ; il existe depuis longtemps et est largement pris en charge. OpenID Connect constitue une autre option ; il est plus récent que SAML et gagne du terrain dans le secteur. LDAP et Kerberos sont des protocoles utilisés pour l’authentification sur site et l’intégration d’annuaires ; ils ne sont pas adaptés à l’authentification par Internet.
Inexact
SAML est une option de fédération avec un service Cloud ; il existe depuis longtemps et est largement pris en charge. OpenID Connect constitue une autre option ; il est plus récent que SAML et gagne du terrain dans le secteur. LDAP et Kerberos sont des protocoles utilisés pour l’authentification sur site et l’intégration d’annuaires ; ils ne sont pas adaptés à l’authentification par Internet.
-
Question 2 sur 5
2. Question
Vous cherchez à résoudre un problème d’authentification d’utilisateur. L’utilisateur déclare qu’il essaie de se connecter à un portail Cloud. Le portail lui propose un second facteur d’authentification. L’entreprise utilise le protocole TOTP pour une authentification multifactorielle. Cependant, l’utilisateur signale que lorsqu’il entre son mot de passe TOTP, celui-ci n’est pas accepté. Parmi les raisons suivantes, laquelle peut en être la cause ?
Exact
Dans ce scénario, le mot de passe unique a expiré. Il est possible que l’utilisateur ne le saisisse pas assez rapidement ou qu’il le fasse trop tard. Comme l’utilisateur est invité à procéder à l’authentification multifactorielle, l’authentification initiale (via SSO ou authentification manuelle) est fonctionnelle.
Inexact
Dans ce scénario, le mot de passe unique a expiré. Il est possible que l’utilisateur ne le saisisse pas assez rapidement ou qu’il le fasse trop tard. Comme l’utilisateur est invité à procéder à l’authentification multifactorielle, l’authentification initiale (via SSO ou authentification manuelle) est fonctionnelle.
-
Question 3 sur 5
3. Question
Vous actualisez la configuration des comptes d’utilisateur de votre entreprise. Vous devez faire en sorte que la connexion d’un utilisateur soit interdite si 10 tentatives avec un mauvais mot de passe ont été tentées sur son compte d’utilisateur, même si le 11e essai est le bon. Laquelle des technologies suivantes devez-vous implémenter ?
Exact
Le verrouillage de compte empêche l’utilisation d’un compte après un nombre spécifié de tentatives avec un mauvais mot de passe. Le compte doit alors être déverrouillé avant de pouvoir être utilisé à nouveau. Certaines organisations déverrouillent automatiquement le compte après une certaine période de temps.
Inexact
Le verrouillage de compte empêche l’utilisation d’un compte après un nombre spécifié de tentatives avec un mauvais mot de passe. Le compte doit alors être déverrouillé avant de pouvoir être utilisé à nouveau. Certaines organisations déverrouillent automatiquement le compte après une certaine période de temps.
-
Question 4 sur 5
4. Question
Une équipe applicative est en train d’intégrer son application à votre service d’annuaire sur site. L’application nécessite un compte d’utilisateur qui sera utilisé pour rechercher des objets dans le répertoire et exécuter des tâches automatisées. Une politique de sécurité de l’entreprise exige de recourir au principe du moindre privilège. Quel type de compte devez-vous choisir ?
Exact
Un compte de service est un compte exécuté en tant que service (souvent en arrière-plan), il exécute des tâches (par exemple des tâches planifiées) et d’autres fonctions non humaines, répondant ainsi aux besoins de l’équipe applicative. Un compte partagé est commun à plusieurs utilisateurs. Un compte invité est un compte temporaire qui dispose souvent d’un accès limité ou inexistant. Un compte privilégié est utilisé par les administrateurs informatiques, mais il offre souvent trop d’accès pour être utilisé comme compte de service (car il ne respecterait pas le principe du moindre privilège).
Inexact
Un compte de service est un compte exécuté en tant que service (souvent en arrière-plan), il exécute des tâches (par exemple des tâches planifiées) et d’autres fonctions non humaines, répondant ainsi aux besoins de l’équipe applicative. Un compte partagé est commun à plusieurs utilisateurs. Un compte invité est un compte temporaire qui dispose souvent d’un accès limité ou inexistant. Un compte privilégié est utilisé par les administrateurs informatiques, mais il offre souvent trop d’accès pour être utilisé comme compte de service (car il ne respecterait pas le principe du moindre privilège).
-
Question 5 sur 5
5. Question
Votre entreprise prévoit de passer à l’authentification par certificat pour ses ordinateurs clients. Les ordinateurs clients appartiennent à l’entreprise et fonctionnent sous Windows 10. Vous devez implémenter une technologie d’authentification par certificat adaptée à ce scénario. Quelle technologie devez-vous implémenter ?
Exact
Parmi les réponses proposées, une seule est une solution d’authentification par certificat adaptée aux ordinateurs clients et à l’informatique grand public. Les cartes à puce sont compatibles avec les ordinateurs clients, elles permettent l’authentification des utilisateurs et répondent aux exigences de ce scénario.
Inexact
Parmi les réponses proposées, une seule est une solution d’authentification par certificat adaptée aux ordinateurs clients et à l’informatique grand public. Les cartes à puce sont compatibles avec les ordinateurs clients, elles permettent l’authentification des utilisateurs et répondent aux exigences de ce scénario.
Domaine 5
Résumé-Quiz
0 questions correctes sur 5
Questions:
- 1
- 2
- 3
- 4
- 5
Information
Gestion des risques
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 5 répondues correctement
Votre temps:
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- 5
- Répondu
- Examiner
-
Question 1 sur 5
1. Question
Votre entreprise examine les sauvegardes de ses données essentielles. Elle constate que certaines données n’ont pas été sauvegardées. Pourtant, une politique d’entreprise en vigueur exige que toutes les données soient sauvegardées. Vous devez sauvegarder ces données. Parmi les personnes suivantes, qui doit s’occuper de la sauvegarde ?
Exact
Le consignataire des données est responsable des opérations courantes de gestion des données, y compris les sauvegardes. Dans ce scénario, le consignataire des données doit sauvegarder les données, tandis que le propriétaire des données doit définir les exigences relatives à ces données.
Inexact
Le consignataire des données est responsable des opérations courantes de gestion des données, y compris les sauvegardes. Dans ce scénario, le consignataire des données doit sauvegarder les données, tandis que le propriétaire des données doit définir les exigences relatives à ces données.
-
Question 2 sur 5
2. Question
Votre entreprise a mis en place un contrôle pour les comptes d’utilisateur partagés : Ces comptes ne peuvent être utilisés que pour se connecter à des ordinateurs de formation. Cependant, votre service d’annuaire est soumis à une limitation : seuls 32 ordinateurs peuvent être ajoutés au contrôle. Récemment, le laboratoire de formation a reçu des ordinateurs supplémentaires et dispose à présent de 100 machines. Vous devez utiliser un autre type de contrôle pour les comptes d’utilisateur partagés. Quel type de contrôle devez-vous utiliser ?
Exact
Un contrôle compensateur est un contrôle alternatif que vous pouvez utiliser lorsqu’un contrôle principal n’est pas possible (par exemple si le coût est prohibitif ou en cas d’impossibilité technique). Dans ce scénario, le contrôle principal n’est plus possible et un contrôle compensateur est nécessaire.
Inexact
Un contrôle compensateur est un contrôle alternatif que vous pouvez utiliser lorsqu’un contrôle principal n’est pas possible (par exemple si le coût est prohibitif ou en cas d’impossibilité technique). Dans ce scénario, le contrôle principal n’est plus possible et un contrôle compensateur est nécessaire.
-
Question 3 sur 5
3. Question
Vous préparez une évaluation des risques pour un client. Le client a posé les conditions suivantes pour cette évaluation :
- L’évaluation doit être objective.
- L’évaluation doit faire état des coûts financiers et/ou des implications de chaque risque.
Quelle approche d’évaluation des risques devez-vous utiliser ?
Exact
Dans ce scénario, il vous faut une analyse objective (plutôt que subjective). L’approche quantitative est objective, en termes de chiffres et de coûts. Une approche qualitative est subjective, moins précise et sujette au jugement. SLE et ALE ne sont pas des approches d’évaluation des risques.
Inexact
Dans ce scénario, il vous faut une analyse objective (plutôt que subjective). L’approche quantitative est objective, en termes de chiffres et de coûts. Une approche qualitative est subjective, moins précise et sujette au jugement. SLE et ALE ne sont pas des approches d’évaluation des risques.
-
Question 4 sur 5
4. Question
Vous aidez votre entreprise dans le cadre de son projet de continuité des opérations et de reprise après sinistre. L’entreprise a récemment décidé que la perte de données maximale autorisée était de 4 heures. Vous rédigez la documentation du projet. Comment devez-vous documenter la perte maximale de données ?
Exact
Le RPO représente la perte de données maximale autorisée, en termes de temps. Le RTO est la durée maximale autorisée pour restaurer les systèmes en panne.
Inexact
Le RPO représente la perte de données maximale autorisée, en termes de temps. Le RTO est la durée maximale autorisée pour restaurer les systèmes en panne.
-
Question 5 sur 5
5. Question
Votre entreprise lance un projet de renforcement de la confidentialité de ses données. La direction a identifié la première tâche : trouver les systèmes qui contiennent des informations confidentielles. Laquelle des mesures suivantes devez-vous prendre pour accomplir la première tâche ?
Exact
Une évaluation du seuil de confidentialité est spécialement conçue pour trouver les systèmes qui contiennent des renseignements personnels. Après une évaluation de seuil, il est courant de procéder à une évaluation d’impact sur la vie privée.
Inexact
Une évaluation du seuil de confidentialité est spécialement conçue pour trouver les systèmes qui contiennent des renseignements personnels. Après une évaluation de seuil, il est courant de procéder à une évaluation d’impact sur la vie privée.
Domaine 6
Résumé-Quiz
0 questions correctes sur 4
Questions:
- 1
- 2
- 3
- 4
Information
Chiffrement et ICP
Vous avez déjà rempli le questionnaire avant. Par conséquent, vous ne pouvez pas recommencer.
Quiz is loading...
You must sign in or sign up to start the quiz.
Vous devez finir le quiz suivant, avant de commencer celui-ci :
Résultats
0 questions sur 4 répondues correctement
Votre temps:
Temps écoulé
Vous avez atteint 0 points sur 0 , (0)
Categories
- Not categorized 0%
- 1
- 2
- 3
- 4
- Répondu
- Examiner
-
Question 1 sur 4
1. Question
Vous évaluez des algorithmes de chiffrement pour un client. Ce client souhaite spécifiquement un chiffrement utilisant des secrets partagés. Vous devez recommander un algorithme de chiffrement répondant à cette exigence. Quel algorithme devez-vous recommander ?
Exact
Un algorithme à clé symétrique requiert un secret partagé. Chaque partie communiquante connaît le secret partagé, ce qui permet le chiffrement et le déchiffrement. Les autres algorithmes proposés n’utilisent pas de clé partagée.
Inexact
Un algorithme à clé symétrique requiert un secret partagé. Chaque partie communiquante connaît le secret partagé, ce qui permet le chiffrement et le déchiffrement. Les autres algorithmes proposés n’utilisent pas de clé partagée.
-
Question 2 sur 4
2. Question
Votre entreprise se prépare à déployer une nouvelle infrastructure à clé publique (ICP) à deux niveaux. L’équipe de sécurité exige que l’implémentation dispose d’une autorité de certification racine hors ligne. Vous devez déployer d’autres serveurs pour faire en sorte que les certificats puissent être déployés sur les clients. Quel type de serveur devez-vous déployer ?
Exact
Dans ce scénario, vous déployez une hiérarchie à deux niveaux. L’autorité de certification racine représente un niveau. L’autre niveau doit être l’autorité de certification intermédiaire ou l’autorité de certification subordonnée. Dans une hiérarchie à deux niveaux, les autorités de certification intermédiaires ou subordonnées exécutent toutes les tâches en ligne de l’ICP, notamment l’émission de certificats.
Inexact
Dans ce scénario, vous déployez une hiérarchie à deux niveaux. L’autorité de certification racine représente un niveau. L’autre niveau doit être l’autorité de certification intermédiaire ou l’autorité de certification subordonnée. Dans une hiérarchie à deux niveaux, les autorités de certification intermédiaires ou subordonnées exécutent toutes les tâches en ligne de l’ICP, notamment l’émission de certificats.
-
Question 3 sur 4
3. Question
Vous déployez un réseau sans fil pour un restaurant, destiné à l’usage des clients. Le service juridique du restaurant exige que les clients du restaurant acceptent les conditions générales du service sans fil du restaurant avant d’être autorisés à utiliser le réseau. Que devez-vous faire ?
Exact
Un portail captif vous permet d’afficher les conditions générales, les règles et autres informations et d’exiger que les invités cliquent sur « J’accepte » avant d’être autorisés à accéder au réseau.
Inexact
Un portail captif vous permet d’afficher les conditions générales, les règles et autres informations et d’exiger que les invités cliquent sur « J’accepte » avant d’être autorisés à accéder au réseau.
-
Question 4 sur 4
4. Question
Vous aidez votre entreprise à améliorer la sécurité d’une base de données de mots de passe. Actuellement, la base de données contient les valeurs de hachage des mots de passe, calculées à partir des mots de passe originaux. L’entreprise souhaite améliorer la façon dont les valeurs de hachage des mots de passe sont stockées dans la base de données. Spécifiquement, l’entreprise souhaite qu’il soit plus difficile de craquer les valeurs de hachage des mots de passe si la base de données des mots de passe venait à être compromise. Que devez-vous faire ?
Exact
L’entreprise stocke actuellement les valeurs de hachage calculées à partir des mots de passe, qui peuvent facilement être craquées si la base de données des mots de passe venait à être compromise. Une valeur salt ajoute des données aléatoires au début du mot de passe avant le hachage, ce qui améliore considérablement la sécurité de la base de données et rend les valeurs de hachage volées plus difficiles à cracker.
Inexact
L’entreprise stocke actuellement les valeurs de hachage calculées à partir des mots de passe, qui peuvent facilement être craquées si la base de données des mots de passe venait à être compromise. Une valeur salt ajoute des données aléatoires au début du mot de passe avant le hachage, ce qui améliore considérablement la sécurité de la base de données et rend les valeurs de hachage volées plus difficiles à cracker.
Conclusion
Nous espérons que nos questions gratuites de préparation à l’examen CompTIA Security+ vous ont été utiles. N’hésitez pas à nous faire part de vos commentaires et suggestions dans la section commentaires ci-dessous. Bonne chance pour l’examen !
Vous souhaitez acquérir plus de crédits infosec ? Apprenez-en plus sur le CISSP et les autres certifications de sécurité.
