Def certif

Question 1

Niveau de risque

Answer 1

Niveau de risque = Probabilité + Impact

Question 2

Sécurité adéquate

Answer 2

Sécurité proportionnelle au risque et à l’ampleur du préjudice résultant de la perte, de l’utilisation abusive ou de
l’accès non autorisé ou de la modification des informations.

Question 3

Contrôles administratifs

Answer 3

Contrôles mis en œuvre par le biais de politiques et de procédures. Les exemples incluent les processus de contrôle d’accès et le fait
d’exiger plusieurs personnes pour effectuer une opération spécifique. Dans les environnements modernes, les contrôles
administratifs sont souvent appliqués conjointement avec des contrôles physiques et/ou techniques, comme une politique d’octroi
d’accès pour les nouveaux utilisateurs qui nécessite une connexion et l’approbation du responsable du recrutement.

Question 4

Intelligence artificielle

Answer 4

La capacité des ordinateurs et des robots à simuler l’intelligence et le comportement humains.

Question 5

Actif

Answer 5

Tout ce qui a de la valeur et qui appartient à une organisation. Les actifs comprennent à la fois des éléments corporels tels que
les systèmes d’information et la propriété physique et des actifs incorporels tels que la propriété intellectuelle

Question 6

Authentification

Answer 6

Processus de contrôle d’accès validant que l’identité revendiquée par un utilisateur ou une entité est connue du
système, en comparant un (monofacteur ou SFA) ou plusieurs (authentification multifacteur ou MFA) facteurs
d’identification.

Question 7

Autorisation

Answer 7

Autorisation
Droit ou autorisation accordé à une entité système pour accéder à une ressource système. NIST 800-82
Rév.2

Question 8

Disponibilité

Answer 8

Garantir un accès rapide et fiable aux informations et leur utilisation par les utilisateurs autorisés.

Question 9

Référence

Answer 9

Niveau de sécurité documenté le plus bas autorisé par une norme ou une organisation.

Question 10

Biométrique

Answer 10

Caractéristiques biologiques d’un individu, telles que les empreintes digitales, la géométrie de la main, la voix ou les motifs de
l’iris.

Question 11

Bot

Answer 11

Code malveillant qui agit comme un « robot » télécommandé pour un attaquant, avec d’autres capacités de cheval
de Troie et de ver.

Question 12

Informations classifiées ou sensibles

Answer 12

Informations qui ont été déterminées comme nécessitant une protection contre toute divulgation non autorisée et qui sont
marquées pour indiquer leur statut classifié et leur niveau de classification lorsqu’elles sont sous forme documentaire.

Question 13

Confidentialité

Answer 13

La caractéristique des données ou des informations lorsqu’elles ne sont pas mises à disposition ou divulguées à des personnes
ou à des processus non autorisés. NIST800-66

Question 14

Criticité

Answer 14

Mesure du degré auquel une organisation dépend de l’information ou du système d’information pour
le succès d’une mission ou d’une fonction commerciale. NIST SP 800-60 Vol. 1, Rév. 1

Question 15

Intégrité des données

Answer 15

Propriété selon laquelle les données n’ont pas été modifiées de manière non autorisée. L’intégrité des données couvre les
données stockées, pendant le traitement et pendant le transit. Source : NIST SP 800-27 Rév. A

Question 16

Chiffrement

Answer 16

Le processus et l’acte de convertir le message de son texte brut en texte chiffré. Parfois, on parle également de
chiffrement. Les deux termes sont parfois utilisés de manière interchangeable dans la littérature et ont des
significations similaires.

Question 17

Règlement Général sur la Protection des Données (RGPD)

Answer 17

En 2016, l’Union européenne a adopté une législation complète qui traite de la vie privée, la considérant
comme un droit humain individuel.

Question 18

Gouvernance

Answer 18

Le processus de gestion d’une organisation ; comprend généralement tous les aspects de la façon dont les décisions sont
prises pour cette organisation, tels que les politiques, les rôles et les procédures que l’organisation utilise pour prendre ces
décisions.

Question 19

Loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA)

Answer 19

Cette loi fédérale américaine constitue la réglementation la plus importante en matière d’information sur les soins de santé aux
États-Unis. Il ordonne l’adoption de normes nationales pour les transactions électroniques de soins de santé tout en protégeant la
confidentialité des informations de santé des individus. D’autres dispositions portent sur la réduction de la fraude, la protection des
personnes bénéficiant d’une assurance maladie et un large éventail d’autres activités liées aux soins de santé. HNE. 1996.

Question 20

Impact

Answer 20

L’ampleur du préjudice qui pourrait être causé par l’exercice d’une vulnérabilité par une menace.

Question 21

Risque de sécurité des informations

Answer 21

Les impacts négatifs potentiels sur les opérations d’une organisation (y compris sa mission, ses fonctions, son image et
sa réputation), ses actifs, ses individus, d’autres organisations et même la nation, qui résultent de la possibilité d’accès,
d’utilisation, de divulgation, de perturbation, de modification ou de destruction non autorisés d’informations et/ou de
systèmes d’information.

Question 22

Institut d’ingénieurs en électricité et électronique

Answer 22

L’IEEE est une organisation professionnelle qui établit des normes pour les télécommunications, l’ingénierie
informatique et des disciplines similaires

Question 23

Intégrité

Answer 23

Propriété des informations par lesquelles elles sont enregistrées, utilisées et conservées de manière à garantir leur
exhaustivité, leur exactitude, leur cohérence interne et leur utilité pour un objectif déclaré.

Question 24

Organisation internationale de normes (ISO)

Answer 24

L’ISO élabore des normes internationales volontaires en collaboration avec ses partenaires en normalisation
internationale, la Commission électrotechnique internationale (CEI) et l’Union internationale des
télécommunications (UIT), notamment dans le domaine des technologies de l’information et de la
communication.

Question 25

Groupe de travail sur l’ingénierie Internet (IETF)

Answer 25

L’organisation de normalisation Internet, composée de concepteurs de réseaux, d’opérateurs, de fournisseurs et de
chercheurs, qui définit les normes de protocole (par exemple, IP, TCP, DNS) par le biais d’un processus de collaboration et
de consensus. Source : NIST SP 1800-16B

Question 26

Probabilité

Answer 26

La probabilité qu’une vulnérabilité potentielle puisse être exercée dans le cadre de l’environnement de
menace associé.

Question 27

La probabilité d’occurrence

Answer 27

Facteur pondéré basé sur une analyse subjective de la probabilité qu’une menace donnée soit capable d’exploiter une
vulnérabilité ou un ensemble de vulnérabilités donné.

Question 28

Authentification multifacteur

Answer 28

Utiliser au moins deux instances distinctes des trois facteurs d’authentification (quelque chose que vous connaissez, quelque
chose que vous avez, quelque chose que vous êtes) pour la vérification de l’identité

Question 29

Instituts nationaux des normes et de la technologie (NIST)

Answer 29

Le NIST fait partie du département américain du Commerce et s’occupe de l’infrastructure de mesure dans le cadre des
efforts scientifiques et technologiques du gouvernement fédéral américain. Le NIST établit des normes dans un certain
nombre de domaines, notamment la sécurité de l’information au sein du centre de ressources sur la sécurité informatique
des divisions de sécurité informatique

Question 30

Non-répudiation

Answer 30

L’incapacité de refuser d’entreprendre une action telle que créer des informations, approuver des informations
et envoyer ou recevoir un message.

Question 31

Informations personnellement identifiables (PII)

Answer 31

Le National Institute of Standards and Technology, connu sous le nom de NIST, dans sa publication spéciale 800-122 définit
les informations personnelles comme « toute information sur un individu conservée par une agence, y compris (1) toute
information pouvant être utilisée pour distinguer ou retracer l’identité d’un individu. , tels que le nom, le numéro de sécurité
sociale, la date et le lieu de naissance, le nom de jeune fille de la mère ou les enregistrements biométriques ; et (2) toute
autre information liée ou pouvant être liée à un individu, telle que des informations médicales, éducatives, financières et
professionnelles.

Question 32

Contrôles physiques

Answer 32

Contrôles mis en œuvre via un mécanisme tangible. Les exemples incluent les murs, les clôtures, les gardes, les serrures, etc.
Dans les organisations modernes, de nombreux systèmes de contrôle physique sont liés à des systèmes techniques/logiques, tels
que les lecteurs de badges connectés aux serrures des portes.

Question 33

Confidentialité

Answer 33

Le droit d’un individu de contrôler la diffusion d’informations le concernant

Question 34

Probabilité

Answer 34

Chances, ou probabilité, qu’une menace donnée soit capable d’exploiter une vulnérabilité donnée ou un
ensemble de vulnérabilités. Source : NIST SP 800-30 Rév. 1

Question 35

Informations de santé protégées (PHI)

Answer 35

Informations concernant l’état de santé, la fourniture de soins de santé ou le paiement des soins de santé, tels que
définis dans la loi HIPAA (Health Insurance Portability and Accountability Act).

Question 36

Analyse qualitative des risques

Answer 36

Méthode d’analyse des risques basée sur l’attribution d’un descripteur tel que faible, moyen ou élevé.
Source : NISTIR 8286

Question 37

Analyse quantitative des risques

Answer 37

Méthode d’analyse des risques dans laquelle des valeurs numériques sont attribuées à la fois à l’impact et à la probabilité sur la
base de probabilités statistiques et d’une évaluation monétarisée de la perte ou du gain. Source : NISTIR 8286

Question 38

Risque

Answer 38

Un événement possible qui peut avoir un impact négatif sur l’organisation.

Question 39

Acceptation du risque

Answer 39

Déterminer que les avantages potentiels d’une fonction commerciale l’emportent sur l’impact/la probabilité du
risque possible et exécuter cette fonction commerciale sans autre action.

Question 40

L’évaluation des risques

Answer 40

Le processus d’identification et d’analyse des risques pour les opérations organisationnelles (y compris la mission, les
fonctions, l’image ou la réputation), les actifs organisationnels, les individus et d’autres organisations. L’analyse effectuée
dans le cadre de la gestion des risques qui intègre des analyses de menaces et de vulnérabilités et prend en compte les
atténuations fournies par les contrôles de sécurité planifiés ou en place.

Question 41

Évitement des risques

Answer 41

Déterminer que l’impact et/ou la probabilité d’un risque spécifique est trop important pour être compensé par les
avantages potentiels et ne pas exécuter une certaine fonction commerciale en raison de cette détermination

Question 42

Gestion des risques

Answer 42

Processus d’identification, d’évaluation et de contrôle des menaces, y compris toutes les phases du contexte (ou cadre) du risque,
de l’évaluation des risques, du traitement des risques et de la surveillance des risques

Question 43

Cadre de gestion des risques

Answer 43

Une approche structurée utilisée pour superviser et gérer les risques d’une entreprise. Source : CNSSI 4009

Question 44

Atténuation des risques

Answer 44

Mettre en place des contrôles de sécurité pour réduire l’impact possible et/ou la probabilité d’un risque spécifique.

Question 45

Tolérance au risque

Answer 45

Le niveau de risque qu’une entité est prête à assumer afin d’atteindre un résultat potentiel souhaité. Source : NIST SP 800-32.
Le seuil de risque, l’appétit pour le risque et le risque acceptable sont également des termes utilisés comme synonymes de
tolérance au risque.

Question 46

Transfert de risque

Answer 46

Payer une partie externe pour qu’elle accepte l’impact financier d’un risque donné.

Question 47

Traitement des risques

Answer 47

La détermination de la meilleure façon de faire face à un risque identifié.

Question 48

Contrôles de sécurité

Answer 48

Contrôles de gestion, opérationnels et techniques (c’est-à-dire sauvegardes ou contre-mesures) prescrits
pour un système d’information afin de protéger la confidentialité, l’intégrité et la disponibilité du système et
de ses informations. Source : FIPS PUB 199

Question 49

Sensibilité

Answer 49

Mesure de l’importance accordée à l’information par son propriétaire, dans le but d’indiquer son
besoin de protection. Source : NIST SP 800-60 Vol 1 Rév. 1

Question 50

Authentification à facteur unique

Answer 50

Utilisation d’un seul des trois facteurs disponibles (quelque chose que vous connaissez, quelque chose que vous possédez,
quelque chose que vous êtes) pour réaliser le processus d’authentification demandé.

Question 51

État
L’état dans lequel se trouve une entité à un moment donné.

Answer 51

L’état dans lequel se trouve une entité à un moment donné.

Question 52

Intégrité du système

Answer 52

Qualité qu’un système possède lorsqu’il remplit sa fonction prévue de manière intacte, sans
manipulation non autorisée du système, qu’elle soit intentionnelle ou accidentelle. Source : NIST SP
800-27 Rév. A

Question 53

Contrôles techniques

Answer 53

Contrôles de sécurité (c’est-à-dire mesures de protection ou contre-mesures) pour un système d’information qui sont
principalement mis en œuvre et exécutés par le système d’information au moyen de mécanismes contenus dans les
composants matériels, logiciels ou micrologiciels du système.

Question 54

Menace

Answer 54

Toute circonstance ou événement susceptible d’avoir un impact négatif sur les opérations de l’organisation (y compris
la mission, les fonctions, l’image ou la réputation), les actifs de l’organisation, les individus, d’autres organisations ou la
nation via un système d’information via un accès non autorisé, une destruction, une divulgation, une modification
d’informations et/ ou un refus de service. Source : NIST SP 800-30 Rév. 1

Question 55

Acteur menaçant

Answer 55

Un individu ou un groupe qui tente d’exploiter des vulnérabilités pour provoquer ou forcer une menace à se produire.

Question 56

Vecteur de menace

Answer 56

Moyens par lesquels un acteur menaçant atteint ses objectifs.

Question 57

Jeton

Answer 57

Objet physique qu’un utilisateur possède et contrôle et qui est utilisé pour authentifier l’identité de l’utilisateur.
NISTIR 7711

Question 58

Vulnérabilité

Answer 58

Faiblesse d’un système d’information, des procédures de sécurité du système, des contrôles internes ou de la mise en
œuvre qui pourrait être exploitée par une source de menace. Source : NIST SP 800-30 Rév. 1