Contenu du cours
Quiz Gratuits — Aperçu Examens Blancs
Migration SaaS d'un hôpital régional et conformité RGPD
85 000Nombre de dossiers patients concernés72 heuresDélai réglementaire de notification d'une violation (RGPD)45 000 €Budget alloué à l'évaluation de conformité du prestataire36 moisDurée du contrat SaaS envisagé

Un hôpital régional de taille moyenne, employant 1 200 personnels soignants et administratifs, décide de migrer ses systèmes de gestion des dossiers patients vers une solution SaaS hébergée chez un prestataire cloud international. La direction des systèmes d'information (DSI) est chargée d'évaluer la conformité du prestataire retenu, d'assurer la protection des données personnelles de santé et de définir les exigences de sécurité minimales que le fournisseur devra satisfaire avant la signature du contrat. L'hôpital traite quotidiennement des données de santé considérées comme des données sensibles au sens du RGPD. Une violation de données pourrait exposer l'établissement à des sanctions réglementaires sévères, ainsi qu'à une atteinte majeure à la confidentialité des patients. Le responsable sécurité (CISO) doit également s'assurer que la solution respecte le principe de souveraineté des données, notamment en raison de l'hébergement potentiel dans des datacenters situés hors de l'Union Européenne. Parallèlement, le prestataire SaaS propose une architecture multi-tenant partagée entre plusieurs établissements de santé. L'hôpital doit évaluer les risques associés à cette configuration et vérifier que les contrôles du fournisseur sont non seulement documentés mais effectivement opérationnels sur une période représentative.

  1. Quelle certification SOC le CISO doit-il exiger du prestataire SaaS pour obtenir la meilleure assurance possible sur la protection des données de santé, et pourquoi cette certification est-elle supérieure aux autres options SOC disponibles ?

  2. Le prestataire héberge ses données dans des datacenters situés aux États-Unis. Quel concept de sécurité cloud le CISO doit-il invoquer pour justifier un risque de conformité, et quelles sont les implications concrètes pour l'hôpital ?

  3. En cas de violation de données affectant les dossiers patients, quelle est l'obligation réglementaire de l'hôpital selon le RGPD et quelles responsabilités incombent respectivement au prestataire SaaS et à l'hôpital en tant que responsable du traitement ?

Programme de continuité d'activité d'un groupe bancaire après une cyberattaque
18 heuresDurée d'indisponibilité lors de l'incident ransomware4 heuresRPO contractuel avec les clients grands comptes850 000 €Budget de refonte du programme BCM47Nombre d'agences distantes dont les actifs étaient absents de la BIA

Un groupe bancaire régional, opérant dans cinq pays européens avec un effectif de 3 500 employés, a subi une attaque par ransomware qui a chiffré une partie significative de ses serveurs de production. L'incident a provoqué une indisponibilité totale de ses applications de gestion des comptes clients pendant 18 heures. À l'issue de la crise, la direction générale mandate le CISO pour réviser l'ensemble du programme de Business Continuity Management (BCM) et renforcer les capacités de reprise. L'équipe sécurité constate que la Business Impact Analysis (BIA) existante n'avait pas été mise à jour depuis trois ans et que les actifs physiques hébergés dans les agences distantes, notamment les équipements de stockage locaux et les fournitures critiques, n'avaient pas été intégrés dans le périmètre de l'analyse. Par ailleurs, les objectifs de reprise (RTO et RPO) définis contractuellement avec les clients grands comptes ne correspondent plus à la réalité des capacités techniques actuelles. La direction souhaite également s'assurer que le plan de continuité suit un cadre reconnu et que la phase d'implémentation des nouvelles mesures est rigoureusement pilotée selon le modèle Plan-Do-Check-Act (PDCA). Le budget alloué à la refonte du BCM et au renforcement des sauvegardes est significatif mais contraint, ce qui impose des choix technologiques arbitrés par le rapport coût/efficacité.

  1. La BIA existante ne couvrait pas les actifs physiques des agences distantes. Quel type d'actifs physiques auraient dû être inclus dans cette analyse, et pourquoi leur absence constitue-t-elle une lacune critique dans le cadre du BCM ?

  2. Le groupe bancaire souhaite piloter la mise en œuvre des nouvelles mesures BCM selon le modèle PDCA. Que recouvre concrètement la phase 'Do' de ce modèle dans le contexte d'un programme de Business Continuity Management, et comment doit-elle être distinguée des autres phases ?

  3. Pour répondre au RPO contractuel de 4 heures, quelle solution de sauvegarde et quel niveau RAID le CISO doit-il recommander pour les serveurs SAN critiques du groupe, en justifiant les choix au regard des contraintes budgétaires ?

Déploiement d'une PKI interne dans une entreprise industrielle
9 500Nombre de certificats numériques à déployer (employés + devices)320 000 €Budget total du projet PKI2 ansDurée de validité maximale des certificats employés12Nombre de sites industriels couverts

Un groupe industriel spécialisé dans la fabrication de composants aéronautiques emploie 6 000 personnes réparties sur 12 sites de production en Europe. Face à la multiplication des accès distants et aux exigences croissantes de ses clients (notamment des donneurs d'ordres soumis aux réglementations de défense), la DSI décide de déployer une infrastructure à clés publiques (PKI) interne pour sécuriser les échanges électroniques, authentifier les devices sur le réseau et garantir la non-répudiation des documents contractuels signés numériquement. Le projet est piloté par le responsable sécurité, qui doit concevoir l'architecture de l'autorité de certification (CA) interne, définir le mode de stockage des clés privées et choisir les mécanismes cryptographiques appropriés pour chaque usage. Le groupe traite des données techniques sensibles soumises à des réglementations d'export (dont la réglementation Wassenaar pour certains composants à double usage), ce qui renforce les exigences en matière d'intégrité et de traçabilité des échanges. Le projet doit également couvrir l'authentification mutuelle des équipements industriels sur les réseaux OT (Operational Technology), où la compromission d'un seul device pourrait entraîner une interruption de production. Le budget total alloué intègre l'acquisition de matériel cryptographique dédié et la formation des équipes IT sur les nouveaux processus de gestion du cycle de vie des certificats.

  1. Le CISO doit choisir la solution de stockage des clés privées de l'autorité de certification racine. Pourquoi un module TPM (Trusted Platform Module) est-il préférable à une solution de stockage physique sécurisé classique ou à un fichier chiffré, dans ce contexte industriel à haute criticité ?

  2. Le groupe souhaite garantir la non-répudiation des documents contractuels signés numériquement par ses employés. Quel type de cryptographie est requis pour assurer cette propriété, et quel mécanisme précis permet de vérifier l'authenticité d'un document signé ?

  3. Pour l'authentification mutuelle des équipements industriels sur les réseaux OT, le CISO envisage d'utiliser des certificats numériques plutôt que des mots de passe partagés. Pourquoi cette approche est-elle supérieure, et quel algorithme cryptographique doit-il éviter pour sécuriser les échanges réseau entre devices, en justifiant ce choix ?

Évaluation des risques fournisseurs dans une chaîne d'approvisionnement technologique
78Nombre de fournisseurs actifs dans le périmètre d'évaluation23Fournisseurs traitant des données sensibles clients8 500 €Coût estimé d'un audit de conformité par fournisseur6 moisDélai de mise en conformité accordé aux fournisseurs non conformes

Une entreprise de services numériques (ESN) comptant 2 200 employés et opérant pour le compte de clients dans les secteurs de la santé, de la finance et du secteur public, doit répondre à une nouvelle exigence contractuelle de ses clients : démontrer que l'ensemble de ses fournisseurs technologiques respecte un standard de cybersécurité minimal avant qu'un contrat puisse leur être attribué. Le responsable des achats et le CISO collaborent pour développer ce baseline cybersecurity standard. L'ESN s'appuie sur 78 fournisseurs actifs, dont 23 traitent des données sensibles de clients finaux. Le processus d'évaluation doit être structuré, reproductible et s'inscrire dans le cadre du programme de gestion des risques de l'organisation. La direction souhaite également intégrer une dimension éthique dans la sélection des partenaires, notamment en ce qui concerne la gestion des incidents et la transparence sur les violations de données. Par ailleurs, un des fournisseurs clés a récemment été victime d'un incident de sécurité majeur impliquant la compromission de ses équipements réseau, ce qui a alerté l'équipe sécurité de l'ESN sur la nécessité de définir des scénarios de risque prioritaires dans le cadre de l'évaluation. L'ESN envisage également d'appliquer le principe de Risk Management pour arbitrer les investissements de sécurité entre les différents fournisseurs en fonction de leur niveau de risque résiduel.

  1. Le CISO doit définir la forme que doit prendre le baseline cybersecurity standard destiné aux fournisseurs. Doit-il être exprimé en termes généraux, en terminologie métier ou en exigences techniques ? Justifiez ce choix en tenant compte des objectifs d'applicabilité et de vérifiabilité du standard.

  2. L'incident de sécurité chez un fournisseur clé, impliquant la compromission d'équipements réseau, est identifié comme le scénario de risque le plus critique. Pourquoi la perte de contrôle des équipements réseau représente-t-elle un risque supérieur à d'autres types d'incidents, et comment le principe de Risk Management doit-il guider la priorisation des fournisseurs à auditer en priorité ?

  3. Un ancien employé d'un fournisseur contacte le CISO de l'ESN pour obtenir une copie de la politique de gestion des incidents de l'ESN, en invoquant un intérêt légitime. Quelle doit être la réponse du CISO, et quelles considérations éthiques et de sécurité doivent guider cette décision ?

Sécurisation d'une infrastructure de développement agile dans le secteur financier
3 à 5 fois par semaineFréquence de déploiement en production500 000Nombre d'utilisateurs cibles de l'application au lancement8 semainesDurée du sprint de développement du MVP34 %Pourcentage de la base de code ayant fait l'objet d'une revue de sécurité formelle

Une fintech spécialisée dans les solutions de crédit en ligne emploie 350 développeurs et ingénieurs répartis entre trois équipes travaillant selon des méthodologies agile. L'organisation vient de lancer un programme ambitieux de développement d'une application mobile destinée à des millions de clients particuliers pour la souscription de lignes de crédit. Dans ce cadre, une évaluation de sécurité du Minimum Viable Product (MVP) a été commandée avant le déploiement en production. L'équipe de développement pratique le DevOps et déploie des mises à jour plusieurs fois par semaine via un pipeline d'intégration continue (CI/CD). Le responsable sécurité constate que si les tests fonctionnels sont systématiques, les revues de code de sécurité sont réalisées de manière irrégulière et que la classification des données manipulées par l'application n'a pas été formalisée. Par ailleurs, la fintech envisage de déléguer la majeure partie des responsabilités de cybersécurité à son fournisseur cloud en migrant vers un modèle PaaS (Platform as a Service). L'application traite des données personnelles financières couvertes par le RGPD et des données comportementales des utilisateurs utilisées pour les algorithmes de scoring de crédit. La direction technique souhaite également mettre en place un système de journalisation robuste pour répondre aux exigences des auditeurs et des régulateurs bancaires, tout en s'assurant que les journaux produits sont d'une qualité suffisante pour soutenir les investigations en cas d'incident.

  1. Lors de l'évaluation du MVP de l'application de crédit, quelle est l'activité de sécurité la plus importante que le security analyst doit vérifier en priorité, et pourquoi cette activité est-elle particulièrement critique dans le contexte d'une application financière développée en mode agile ?

  2. La fintech envisage de migrer vers un modèle PaaS pour déléguer au maximum les responsabilités de cybersécurité au fournisseur cloud. Quelle est la limite fondamentale de cette approche dans le modèle de responsabilité partagée, et quelles responsabilités de sécurité la fintech ne pourra jamais déléguer, quelle que soit l'option cloud choisie ?

  3. Les auditeurs bancaires exigent que les journaux d'activité de l'application soient d'une qualité suffisante pour soutenir les investigations. Quels sont les deux critères les plus importants que le responsable sécurité doit vérifier pour s'assurer que le système de journalisation répond à ces exigences, et quelle mesure technique garantit que les anciens journaux ne seront pas écrasés ?

Retour en haut