Pour restreindre l'accès aux données de santé uniquement aux médecins travaillant depuis le réseau hospitalier entre 8h et 20h, l'équipe sécurité a implémenté un modèle _____ qui combine des attributs de rôle, de localisation et de plage horaire.
Réponse : ABAC (Attribute-Based Access Control)
Lorsqu'un groupe de sécurité AWS est détecté comme autorisant le port 22 ouvert à l'ensemble d'internet, le mécanisme d'_____ entre immédiatement en action pour restreindre la règle sans attendre l'intervention d'un administrateur.
Réponse : Auto-remediation
Avant de sélectionner un nouveau fournisseur SaaS, l'équipe achats a demandé au prestataire de compléter le _____ afin d'obtenir une vue structurée de ses pratiques de sécurité selon la CCM.
Réponse : CAIQ (Consensus Assessments Initiative Questionnaire)
Pour structurer son programme de conformité cloud, l'équipe sécurité a cartographié ses contrôles existants avec les domaines de la _____ afin d'identifier les lacunes à combler en priorité.
Réponse : CCM (Cloud Controls Matrix)
Afin de satisfaire ses exigences réglementaires, l'organisation a configuré une _____ dans AWS KMS pour chiffrer ses bases de données RDS, lui permettant de révoquer l'accès aux données à tout moment sans dépendre du fournisseur.
Réponse : CMK (Customer-Managed Key)
Suite à l'adoption d'une stratégie multi-cloud, l'entreprise a déployé un outil _____ pour obtenir une visibilité centralisée sur les erreurs de configuration et les violations de politiques réparties entre ses comptes AWS et Azure.
Réponse : CSPM (Cloud Security Posture Management)
C'est le _____ qui a établi les règles de classification indiquant que les fichiers contenant des numéros de carte bancaire doivent obligatoirement être chiffrés au repos et que leur accès doit être journalisé.
Réponse : Data Steward
Lors de l'audit de conformité ISO 27001, les contrôles du domaine _____ de la CCM ont été utilisés pour évaluer si les clés cryptographiques de l'organisation faisaient l'objet d'une rotation régulière et d'une révocation sécurisée.
Réponse : EKM (Encryption & Key Management)
En adoptant le _____, l'équipe réseau peut soumettre toute modification de règle d'entrée ou de sortie à une revue par les pairs via une pull request avant qu'elle ne soit appliquée automatiquement en production.
Réponse : Firewall as Code
Pour éviter que des développeurs déploient des VM avec des configurations par défaut vulnérables, l'équipe plateforme impose l'utilisation d'une _____ approuvée, intégrant déjà les agents de sécurité et les politiques de durcissement CIS Benchmark.
Réponse : Golden Image (Hardened)
En définissant chaque ressource cloud via des fichiers Terraform versionnés dans Git, l'équipe DevSecOps exploite l'_____ pour garantir que tout nouvel environnement de production est identique à celui validé lors des tests de sécurité.
Réponse : IaC (Infrastructure as Code)
Grâce au principe d'_____ appliqué aux nœuds du cluster, toute correction d'un composant compromis consiste à remplacer l'intégralité de l'instance par une nouvelle image de référence plutôt qu'à la patcher en place.
Réponse : Immutabilité (Architecture Cloud-Native)
Pour sécuriser les échanges entre les microservices de paiement et de facturation, l'architecte a configuré le service mesh Istio afin que _____ soit activé, obligeant chaque service à présenter un certificat valide avant toute communication.
Réponse : mTLS (Mutual TLS)
Après une compromission d'un compte administrateur cloud, la direction sécurité a mandaté le déploiement d'une solution _____ pour imposer des sessions à durée limitée, l'enregistrement des commandes et l'approbation systématique des accès root.
Réponse : PAM (Privileged Access Management)
En intégrant le _____ dans le pipeline CI/CD via Open Policy Agent, toute tentative de créer un bucket S3 sans chiffrement activé est automatiquement rejetée avant même que la ressource ne soit provisionnée.
Réponse : Policy as Code
Après deux ans sans révision des droits IAM, l'audit a révélé un phénomène de _____ flagrant : des développeurs ayant changé d'équipe conservaient encore des accès en écriture sur des environnements de production auxquels ils n'avaient plus aucune raison d'accéder.
Réponse : Privilege Creep
Dans l'environnement Kubernetes de l'entreprise, le _____ est utilisé pour attribuer aux membres de l'équipe opérationnelle un rôle prédéfini leur donnant accès aux logs de tous les namespaces, sans possibilité d'affiner les permissions selon le contexte.
Réponse : RBAC (Role-Based Access Control)
Pour permettre aux collaborateurs d'accéder à Salesforce, ServiceNow et AWS depuis leur session Active Directory sans se réauthentifier, le service IT a mis en place une fédération d'identité basée sur _____ entre l'IdP interne et chacune de ces applications.
Réponse : SAML (Security Assertion Markup Language)
Pour renforcer sa capacité de détection et de réponse aux incidents dans ses environnements cloud, l'organisation a aligné ses processus de gestion des alertes sur les contrôles du domaine _____ de la CCM.
Réponse : SEF (Security Incident Management, E-Discovery & Cloud Forensics)
Afin d'éviter qu'un seul ingénieur puisse approuver et déployer lui-même ses propres modifications en production, le processus de release intègre une règle de _____ exigeant qu'une personne différente valide chaque déploiement.
Réponse : Separation of Duties (SoD)
Lors de l'investigation sur une fuite de données survenue dans un environnement PaaS, il est apparu que l'organisation n'avait pas compris le _____ et supposait à tort que le chiffrement des données applicatives était géré par le fournisseur cloud.
Réponse : Shared Responsibility Model
En s'appuyant sur les contrôles du domaine _____ de la CCM, l'équipe conformité a établi un processus formel pour collecter et analyser les attestations SOC 2 de ses sous-traitants cloud avant tout renouvellement de contrat.
Réponse : STA (Supply Chain Management, Transparency & Accountability)
Pour empêcher le déploiement d'images provenant de registres publics non vérifiés, l'équipe plateforme a configuré un _____ qui intercepte chaque requête de création de pod et vérifie que l'image est signée par la chaîne de confiance interne.
Réponse : ValidatingAdmissionWebhook
En appliquant une _____ stricte, l'équipe réseau a placé les serveurs de bases de données dans un sous-réseau privé sans route directe vers internet, isolant ainsi les données sensibles des composants frontend exposés.
Réponse : VPC/VNet Segmentation
L'organisation a décidé d'adopter une architecture _____ dans laquelle chaque requête d'un utilisateur interne vers une application cloud doit être authentifiée, autorisée et journalisée, même lorsqu'elle provient du réseau d'entreprise.
Réponse : Zero Trust