Contenu du cours
Quiz Gratuits — Aperçu Examens Blancs
Ransomware dans un hôpital régional
47Postes de travail chiffrés85 000 USD en BitcoinRançon demandée72 heuresDurée d'indisponibilité estimée sans sauvegarde89 % du personnel administratifEmployés non formés à la cybersécurité

Le Centre Hospitalier de Sainte-Croix est un établissement de santé de taille moyenne opérant avec 1 200 employés et gérant des dossiers patients hautement confidentiels. Un matin, plusieurs infirmières signalent que leurs postes de travail affichent un message demandant une rançon en Bitcoin après avoir tenté d'ouvrir des fichiers médicaux. L'équipe IT découvre que l'infection s'est propagée via une pièce jointe malveillante reçue par email, ouverte par un technicien administratif qui pensait qu'il s'agissait d'un bon de commande légitime.nnL'analyse post-incident révèle que le malware a chiffré l'ensemble des fichiers sur 47 postes de travail connectés au même segment réseau. Aucune solution de filtrage d'emails n'était déployée, et les sauvegardes n'avaient pas été testées depuis plusieurs mois. Le plan de reprise d'activité existait sur papier mais n'avait jamais été exercé par les équipes.nnL'hôpital doit désormais gérer simultanément la crise opérationnelle, la communication avec les autorités sanitaires, et la restauration des systèmes critiques pour maintenir la continuité des soins aux patients. La direction sollicite l'équipe de sécurité pour proposer un plan d'action immédiat et des mesures correctives durables.

  1. Identifiez le type de malware impliqué, le vecteur d'attaque initial utilisé, et expliquez pourquoi la combinaison de ces deux éléments est particulièrement dangereuse dans un contexte hospitalier.

  2. Quelles mesures correctives techniques et administratives l'hôpital doit-il mettre en place pour éviter qu'un incident similaire ne se reproduise ? Classez-les par catégorie de contrôle.

  3. L'hôpital envisage de payer la rançon pour récupérer rapidement ses données. Du point de vue de la sécurité et de la gestion des risques, quelles sont les implications de cette décision, et quelle alternative structurée devrait être privilégiée ?

Accès non autorisé dans une fintech en croissance
8Comptes utilisateurs compromis21 joursDurée de la fenêtre d'exposition non détectée72 heuresDélai de notification réglementaire23Employés du département finance ciblés par phishing

PayFlow est une startup fintech de 320 employés proposant des services de paiement en ligne B2B. Lors d'une revue mensuelle des journaux d'accès, l'administrateur système détecte que plusieurs comptes utilisateurs se sont connectés depuis des adresses IP situées en dehors du pays, à des heures inhabituelles, sans que les employés concernés n'aient déclaré de déplacement. Après investigation, il apparaît que les mots de passe de ces comptes ont été compromis via une campagne de phishing ciblée ayant touché le département finance trois semaines plus tôt.nnL'analyse des logs révèle également que certains de ces comptes compromis ont accédé à des modules de la plateforme normalement réservés aux équipes de développement et aux administrateurs, bien que leurs propriétaires légitimes soient des analystes financiers. Ce surplus de droits d'accès résulte d'une configuration réalisée lors d'une migration de système effectuée six mois auparavant, jamais auditée depuis. Des données de transactions clients ont potentiellement été consultées de manière non autorisée.nnL'entreprise est soumise à des obligations réglementaires strictes (conformité PCI-DSS) et doit notifier ses clients et partenaires dans un délai de 72 heures si une violation de données est confirmée. La direction demande à l'équipe sécurité de qualifier l'incident, d'identifier les failles systémiques, et de proposer un cadre de contrôle pour éviter toute récurrence.

  1. Quels principes de sécurité fondamentaux ont été violés dans cet incident, et comment auraient-ils pu limiter l'impact de la compromission ?

  2. Quels contrôles techniques l'équipe de sécurité doit-elle déployer en priorité pour détecter et prévenir ce type d'accès non autorisé à l'avenir ?

  3. Comment l'entreprise doit-elle gérer la phase de réponse à l'incident, notamment vis-à-vis des obligations réglementaires et de la communication aux parties prenantes ?

Sécurisation physique d'un datacenter gouvernemental
180 000 €Budget sécurisation disponible3 (sur 6 mois)Incidents de tailgating documentés17 (sur 2 trimestres)Tentatives d'accès hors horaires non alertées4 sur 6 zones critiquesZones d'accès restreint sans second facteur

L'Agence Nationale des Infrastructures Numériques (ANIN) opère un datacenter hébergeant des systèmes d'information sensibles pour plusieurs ministères. Suite à un audit de conformité, plusieurs lacunes de sécurité physique ont été identifiées : des visiteurs ont été observés circulant sans escorte dans des couloirs adjacents à la salle serveur, un technicien de maintenance externe a pu accéder à une zone sécurisée en suivant un employé sans présenter ses accréditations (tailgating), et des câbles de réseau sont accessibles dans des gaines non verrouillées dans les espaces communs.nnParallèlement, l'audit a révélé que le contrôle d'accès principal repose uniquement sur des badges RFID, sans second facteur d'authentification pour les zones les plus sensibles. Les journaux d'accès montrent plusieurs tentatives d'entrée en dehors des horaires autorisés sur les deux derniers trimestres, sans qu'aucune alerte automatique ne soit générée. De plus, des documents imprimés contenant des configurations réseau ont été retrouvés dans une corbeille à papier non sécurisée dans l'espace cafétéria.nnL'agence dispose d'un budget de sécurisation de 180 000 euros pour le prochain exercice fiscal et doit prioriser ses investissements selon une approche de gestion des risques. La direction de la sécurité des systèmes d'information (DSSI) doit présenter un plan d'action documenté couvrant les contrôles physiques, administratifs et techniques.

  1. Identifiez et classifiez les vulnérabilités de sécurité physique et administrative relevées lors de l'audit, en indiquant pour chacune le type de contrôle manquant.

  2. Comment la DSSI doit-elle prioriser l'allocation du budget de 180 000 € selon une approche de gestion des risques, en justifiant les choix par le niveau de menace et l'impact potentiel ?

  3. Quels contrôles administratifs complémentaires l'agence doit-elle mettre en place pour renforcer la culture de sécurité physique auprès de ses employés et prestataires ?

Fuite de données dans une entreprise de e-commerce
2 400 000Clients potentiellement exposés via XSS4 mois (≈ 8 cycles de déploiement)Durée d'exposition de la vulnérabilité XSS3 (service comptabilité)Postes infectés par spyware30 joursDélai de présentation au conseil d'administration

ShopNow est une plateforme e-commerce de taille intermédiaire avec 2,4 millions de clients enregistrés et un catalogue de 180 000 produits. L'équipe de développement utilise un processus d'intégration continue qui déploie des mises à jour applicatives toutes les deux semaines. Lors d'une revue de sécurité trimestrielle, un analyste découvre qu'une vulnérabilité XSS (Cross-Site Scripting) persistante est présente dans le module de commentaires produits depuis environ 4 mois, permettant théoriquement à un attaquant d'injecter des scripts malveillants visibles par tous les visiteurs de la page concernée.nnConcomitamment, l'équipe SOC reçoit des alertes d'un outil de surveillance réseau signalant des transferts de données inhabituels vers des adresses IP externes non répertoriées dans la liste blanche de l'entreprise. L'analyse révèle qu'un script de spyware a été installé sur 3 postes de travail du service comptabilité, probablement via des ports USB non désactivés, collectant silencieusement les frappes clavier et capturant des données bancaires internes. Aucune politique d'utilisation acceptable des supports amovibles n'était en vigueur.nnShopNow traite des données de cartes bancaires et est donc soumise aux exigences PCI-DSS. La direction technique réalise que plusieurs bonnes pratiques de sécurité n'ont pas été suivies lors des cycles de développement récents. Un audit complet de la posture de sécurité est décidé, avec une feuille de route de remédiation à présenter au conseil d'administration dans les 30 jours.

  1. Analysez les deux vecteurs d'attaque distincts identifiés (XSS et spyware via USB), en expliquant leur mécanisme technique, le type de données compromises, et les principes de sécurité violés dans chaque cas.

  2. Quels contrôles techniques l'équipe de développement aurait dû intégrer dans le cycle de développement pour prévenir la vulnérabilité XSS, et comment le SOC aurait-il pu détecter plus tôt l'exfiltration de données par le spyware ?

  3. Comment ShopNow doit-elle structurer sa feuille de route de remédiation sur 30 jours pour répondre aux exigences PCI-DSS et restaurer la confiance des parties prenantes, en intégrant une approche de gestion des risques ?

Migration cloud et contrôle des accès dans un cabinet juridique
125 (100 % des comptes migrés)Utilisateurs avec droits administrateur non révisés6 semainesDélai de migration (sans audit sécurité)12 400 dossiers actifsDossiers clients hébergés dans le cloud0 %Personnel formé à la sécurité cloud au moment de la migration

LegisPro est un cabinet juridique de 85 avocats et 40 membres du personnel administratif, spécialisé dans le droit des affaires et les fusions-acquisitions. Le cabinet vient de migrer l'ensemble de ses dossiers clients vers une plateforme cloud d'un éditeur tiers, remplaçant un serveur on-premise vieillissant. Cette migration a été réalisée en 6 semaines par une équipe de 4 personnes pour respecter une deadline contractuelle, sans qu'un audit de sécurité formel n'ait été conduit avant la mise en production.nnTrois mois après la migration, plusieurs incidents sont signalés : un associé senior constate que son assistant a accès à la totalité des dossiers du cabinet, y compris des dossiers confidentiels d'autres associés pour lesquels il n'a aucune légitimité. Un audit des droits révèle que lors de la migration, tous les utilisateurs ont été provisionnés avec le même niveau d'accès administrateur pour faciliter la transition, sans révision ultérieure. Par ailleurs, un avocat déclare avoir reçu un appel téléphonique d'une personne se présentant comme le support technique de l'éditeur cloud, demandant ses identifiants pour effectuer une maintenance urgente.nnLe cabinet traite des informations couvertes par le secret professionnel et la confidentialité avocat-client. Une violation de ces données pourrait entraîner des sanctions disciplinaires, des poursuites judiciaires et une atteinte irréparable à la réputation. La direction du cabinet mandate un consultant en sécurité pour évaluer la posture de sécurité et proposer un plan de remédiation compatible avec les contraintes opérationnelles d'un cabinet juridique.

  1. Analysez l'incident du vishing ciblant l'avocat et expliquez en quoi la situation post-migration du cabinet crée un contexte particulièrement favorable à ce type d'attaque. Quels contrôles administratifs auraient pu prévenir cette tentative ?

  2. Quelles violations du principe de moindre privilège et de séparation des données ont été commises lors de la migration, et comment un modèle de contrôle d'accès adapté au cabinet juridique devrait-il être structuré ?

  3. Comment le cabinet doit-il sécuriser ses données dans le cloud à long terme, en intégrant les contrôles techniques de protection des données en transit et au repos, et en définissant une politique de gestion des incidents adaptée au secret professionnel ?

Retour en haut