ObjectifCyber

Examen Blanc — CompTIA Security+ SY0-701

Simulez les conditions réelles de l'examen. 30 questions couvrant les 5 domaines. Visez 80% pour être prêt.

30Questions
45 minTemps conseillé
80%Score cible
5Domaines couverts

Domaine 1 — Concepts Généraux de Sécurité (12%)

1. Un utilisateur reçoit un email urgentissime de son "PDG" demandant un virement immédiat. Quel principe d'ingénierie sociale est exploité ? D1 — Concepts

L'email exploite simultanément l'URGENCE ("immédiat") et l'AUTORITÉ (PDG). C'est une attaque BEC (Business Email Compromise). Le fait que ça soit "urgentissime" empêche la victime de prendre le temps de vérifier. Contremesure : procédures de validation des virements (appel téléphonique de confirmation).

2. Quelle catégorie de contrôle de sécurité est représentée par un pare-feu réseau ? D1 — Concepts

Pare-feu = contrôle TECHNIQUE (logiciel/matériel) PRÉVENTIF (bloque le trafic avant qu'il cause un incident). Catégories : technique/managérial/opérationnel/physique. Types : préventif/détectif/correctif/dissuasif/compensant/directif.

3. La "non-répudiation" garantit que : D1 — Concepts

Non-répudiation = impossibilité de nier avoir effectué une action. Assurée par les signatures numériques (clé privée unique = seul l'expéditeur peut signer). C'est la 4ème propriété de la triade CIA étendue, en plus de Confidentialité, Intégrité, Disponibilité.

4. Un utilisateur signale que son navigateur redirige systématiquement vers de faux sites bancaires même après avoir tapé l'URL correcte. Quelle attaque est la plus probable ? D2 — Menaces

DNS Poisoning = injection de faux enregistrements DNS. Même si l'utilisateur tape la bonne URL, le DNS résolu renvoie vers la mauvaise IP. Diffère du phishing (qui utilise des URL fausses). Contre-mesures : DNSSEC (signatures DNS), HSTS (le navigateur force HTTPS et rejette les redirections).

5. Quelle caractéristique distingue un ver (worm) d'un virus ? D2 — Menaces

Ver = auto-propagation réseau SANS action humaine (WannaCry exploite EternalBlue pour se propager automatiquement). Virus = s'attache à un fichier hôte, nécessite que l'utilisateur exécute le fichier infecté. Le ver ne nécessite pas d'hôte — il est autonome.

6. Un attaquant exploite un formulaire web en insérant ' OR '1'='1. Quel type d'attaque est-ce ? D2 — Menaces

' OR '1'='1 est le payload SQLi classique. Il modifie la logique de la requête SQL pour que la condition soit toujours vraie. Contre-mesures : requêtes préparées (parameterized queries), validation/échappement des entrées. Les requêtes préparées séparent le code SQL des données — un payload SQLi devient des données inoffensives.

7. Quelle technologie permet de détecter les attaques zero-day que les signatures ne connaissent pas encore ? D2 — Menaces

Détection par signature = efficace uniquement contre les menaces connues. Zero-day = menace inconnue sans signature. Solution : détection comportementale (surveille les comportements anormaux : pics d'activité, connexions inhabituelles, exfiltration de données) ou heuristique (modèles d'attaques connus même sans signature exacte). XDR/EDR utilisent cette approche.

8. Quelle architecture réseau sépare les serveurs accessibles depuis internet des serveurs internes ? D3 — Architecture

DMZ = zone réseau intermédiaire entre internet et le réseau interne. Les serveurs publics (web, mail, DNS) sont dans la DMZ. Le réseau interne (AD, BDD, ERP) est derrière un second pare-feu. Si un serveur DMZ est compromis, l'attaquant ne peut pas atteindre directement les serveurs internes.

9. WPA3 améliore WPA2 notamment grâce à : D3 — Architecture

WPA3 = SAE (Dragonfly handshake) remplace PSK de WPA2. SAE offre : forward secrecy (chaque session a une clé unique), protection contre les attaques offline par dictionnaire (même si quelqu'un capture la négociation et le hash, il ne peut pas bruteforcer hors ligne). WPA3 Enterprise ajoute des suites 192 bits.

10. Dans un modèle Zero Trust, l'accès est accordé sur la base de : D3 — Architecture

Zero Trust = "never trust, always verify". Même les utilisateurs sur le réseau interne ne sont pas automatiquement de confiance. Chaque accès est évalué : identité (MFA), état du device (MDM compliance), contexte (heure, lieu), comportement (anomalies). L'accès est accordé au minimum nécessaire et ré-évalué continuellement.

11. Un analyste SOC reçoit une alerte SIEM indiquant 10 000 tentatives de connexion RDP échouées depuis une même IP en 5 minutes. Quel type d'attaque est le plus probable ? D4 — Opérations

10 000 tentatives RDP depuis une même IP = brute force RDP. RDP (port 3389) est fréquemment ciblé. Contre-mesures : compte lockout policy (bloquer après N tentatives), fail2ban/blocage IP automatique, VPN pour exposer RDP (ne pas l'exposer directement sur internet), MFA pour RDP, changement de port (sécurité par obscurité limitée).

12. PAM (Privileged Access Management) permet de : D4 — Opérations

PAM = gestion des accès à privilèges. Fonctionnalités : Vaulting (mots de passe stockés dans un coffre-fort, jamais connus des utilisateurs), JIT (Just-In-Time, accès accordé uniquement quand nécessaire), enregistrement de sessions (audit complet des actions), dual control (deux personnes pour approuver). Protège contre les administrateurs malveillants.

13. Quelle est la PREMIÈRE action recommandée lors de la découverte d'un système infecté par un ransomware actif ? D4 — Opérations

CONFINEMENT AVANT TOUT. Isoler du réseau empêche la propagation latérale. Éteindre = perdre la RAM (clés de déchiffrement possibles, état de l'attaque). Scan AV = inutile si le ransomware est déjà actif. Payer ne garantit pas la récupération des données et finance les criminels. L'isolation préserve les preuves ET stoppe la propagation.

14. Quelle technique de pen testing permet de tester les systèmes sans aucune connaissance préalable de l'architecture interne ? D4 — Opérations

Black Box = testeur sans information préalable (comme un attaquant externe). White Box = information complète (code source, architecture, credentials). Gray Box = information partielle (compte utilisateur, documentation partielle). Black Box est le plus réaliste mais le moins efficace par temps de test (beaucoup de temps en reconnaissance).

15. Un administrateur doit s'assurer que les sauvegardes peuvent être restaurées. Quelle action est la plus importante ? D4 — Opérations

Sauvegardes non testées = sauvegardes inutiles. De nombreuses organisations ont découvert lors d'un incident que leurs sauvegardes étaient corrompues ou incomplètes. Best practice : tester la restauration régulièrement (mensuel/trimestriel), dans un environnement isolé. Seule une restauration réussie prouve que la sauvegarde fonctionne.

16. L'authentification SAML (Security Assertion Markup Language) est utilisée pour : D4 — Opérations

SAML = standard XML pour l'échange d'assertions d'authentification entre IdP (Identity Provider, ex: Azure AD) et SP (Service Provider, ex: Salesforce, Office 365). Utilisateur se connecte une fois à l'IdP → assertions SAML transmises aux SP → accès sans re-saisir ses credentials. Standard dominant dans l'entreprise (vs OAuth/OIDC pour le web grand public).

17. Le principe du "moindre privilège" stipule que : D4 — Opérations

Least Privilege = minimiser la surface d'attaque. Un développeur n'a pas besoin d'accès au système de paie. Un serveur web n'a pas besoin d'un accès root à la BDD — uniquement SELECT/INSERT sur les tables nécessaires. Si ce compte est compromis, l'impact est limité. Application : RBAC, PAM, comptes de service dédiés avec permissions minimales.

18. RADIUS et TACACS+ sont tous deux utilisés pour l'authentification réseau. Quelle est leur différence principale ? D4 — Opérations

TACACS+ (Cisco propriétaire) : TCP 49, chiffrement total du payload, sépare Authentication/Authorization/Accounting. Préféré pour la gestion des accès aux équipements réseau (routeurs, switches). RADIUS (standard ouvert) : UDP 1812/1813, chiffre uniquement le mot de passe, combine souvent A+A. Préféré pour l'authentification des utilisateurs finaux (VPN, Wi-Fi 802.1X).

19. Une organisation pharmaceutique doit implémenter des contrôles de sécurité pour protéger les données des essais cliniques. Quel framework est le plus adapté ? D5 — GRC

Pharmaceutique + données essais cliniques + USA = GxP (réglementation FDA) + potentiellement HIPAA si données de patients. PCI-DSS = cartes de paiement. SOX = rapports financiers sociétés cotées. GLBA = institutions financières. La sélection du framework approprié dépend de l'industrie et des données traitées.

20. Quelle métrique quantitative exprime la perte financière annuelle attendue due à une menace spécifique ? D5 — GRC

ALE = SLE × ARO. ALE = perte financière ANNUELLE attendue. SLE = perte si l'incident se produit UNE FOIS. ARO = fréquence annuelle de l'incident. Ex: Serveur (AV=100k€), incendie possible une fois tous les 10 ans (ARO=0.1), impact total si incendie (EF=100%) → SLE=100k€ → ALE=100k€ × 0.1 = 10k€/an. Base pour justifier l'investissement en contrôles.

21. Le GDPR impose une notification à l'autorité de contrôle en cas de violation de données personnelles dans : D5 — GRC

GDPR Article 33 = 72 heures maximum pour notifier l'autorité de contrôle (CNIL en France) à compter du moment où l'organisation a connaissance de la violation. Si impossible dans ce délai : notification tardive avec justification. Les personnes affectées (Article 34) sont notifiées uniquement si le risque est élevé pour leurs droits et libertés.

22. La différence entre "appétit au risque" et "tolérance au risque" est : D5 — GRC

Risk Appetite = décision stratégique de la direction (ex: "nous sommes une startup innovante, nous acceptons plus de risques pour aller vite"). Risk Tolerance = variation opérationnelle acceptable autour de l'appétit (ex: "nous tolérons un RTO de 4h max, pas plus"). Risk Capacity = maximum absorbable avant faillite. Les trois concepts sont liés mais distincts.

23. Un Hot Site en continuité d'activité est différent d'un Warm Site car : D5 — GRC

Hot Site = équipements opérationnels + données synchronisées en temps réel. RTO = minutes. Coûteux. Pour systèmes critiques (banques, hôpitaux). Warm Site = équipements partiels + sauvegardes récentes. RTO = heures à jours. Intermédiaire. Cold Site = infrastructure de base uniquement. RTO = semaines. Moins cher. Le choix dépend du RTO/RPO requis.

24. Quelle solution permet à une organisation de détecter quand des données confidentielles sont copiées sur une clé USB non autorisée ? Mixte

DLP Endpoint = agent installé sur les postes qui surveille les copies vers supports amovibles (USB, disques externes), emails sortants, uploads vers cloud. Il peut alerter, bloquer ou chiffrer automatiquement. IPS/NGFW = contrôle réseau (ne voit pas les copies vers USB locaux). SIEM = agrégation de logs (peut recevoir les alertes DLP mais ne les génère pas).

25. L'objectif principal d'un honeypot est de : Mixte

Honeypot = système leurre délibérément vulnérable. Toute interaction avec un honeypot est suspecte (aucun utilisateur légitime ne devrait y accéder). Permet : détection précoce d'attaques, étude des TTPs des attaquants, retard (l'attaquant perd du temps sur le leurre). Low interaction = service émulé. High interaction = vrai système exposé (plus de données, plus de risques).

26. Quelle couche OSI est principalement concernée par le chiffrement TLS/HTTPS ? Mixte

TLS opère à la couche 6 (Présentation) du modèle OSI — elle transforme les données de l'application en format chiffré. En pratique TLS fonctionne entre la couche 4 et 7. Note : la couche 7 voit HTTPS comme protocole, mais le chiffrement est couche 6. Sur l'examen CompTIA, la réponse attendue est souvent "couche 5-6" ou "Session/Présentation".

27. Un NGFW (Next Generation Firewall) diffère d'un pare-feu stateful classique principalement par : Mixte

Stateful firewall = inspecte l'état des connexions TCP (couches 3-4). NGFW = tout ce que fait le stateful + inspection couche 7 (Deep Packet Inspection), identification des applications (pas juste les ports), contrôle par utilisateur, IPS intégré, inspection TLS (déchiffre, inspecte, rechiffre), filtrage d'URL, réputation des IPs.

28. Un certificat numérique signé par une CA publiquement reconnue garantit : Mixte

Un certificat numérique = lien signé entre une clé publique et une identité. La CA vérifie que le demandeur contrôle bien le domaine (DV) ou existe en tant qu'organisation (OV/EV). Le certificat ne garantit PAS que le site est sécurisé (un site malveillant peut avoir un certificat DV). HTTPS = chiffrement du transport, pas validation de la légitimité du contenu.

29. Quelle technique permet de stocker des mots de passe de façon sécurisée résistant aux rainbow tables ? Mixte

AES-256 = chiffrement (réversible avec la clé). SHA-256 = hash rapide (pas conçu pour les mots de passe, vulnérable aux rainbow tables). Base64 = encodage, pas sécurité. bcrypt/Argon2 + salt : salt unique rend les rainbow tables inutiles (le même mot de passe → hashes différents), algorithme lent rend le brute force impraticable même avec un GPU.

30. Après un incident de sécurité majeur, quelle activité de la phase "Post-Incident" est la plus critique pour éviter la récidive ? Mixte

Root Cause Analysis (RCA) = identifier POURQUOI l'incident a eu lieu (pas juste ce qui s'est passé). Sans RCA : on corrige le symptôme, pas la cause. Avec RCA : on corrige la vulnérabilité sous-jacente, améliore les détections, met à jour les playbooks, ajuste la formation. C'est le moteur de l'amélioration continue du programme de sécurité.