QUESTIONS

1. Une application existante de gestion est migrée vers une nouvelle application. Parmi les
intervenants suivants, lequel est PRINCIPALEMENT responsable de l’examen et de l’a
confirmation de l’exactitude et de l’exhaustivité des données avant le lancement en ligne ?
A. L’auditeur SI
B. L’administrateur de la base de données
C. Le manager du projet
D. Le propriétaire des données

2. Le directeur informatique d’une entreprise a approuvé l’installation d’un point d’accès

de réseau sans fil local (WLAN) dans une salle de conférence pour une équipe de
consultants afin qu’ils puissent accéder à internet depuis leurs ordinateurs portables. La
MEILLEURE façon de protéger les serveurs de l’entreprises d’accès non-autorisés est
de s’assurer que :
A. Le cryptage soit activé au point d’accès
B. Le réseau de la salle de conférence soit sur un réseau local virtuel (VLAN)
C. Les signatures antivirus et les niveaux de correctifs soient à jour sur les ordinateurs
portables des consultants
D. Les noms d’utilisateurs par défaut soient désactivés et que des mots de passe forts
soient installés sur les serveurs de l’entreprise.

3. Un auditeur SI découvre que les appareils connectés au réseau n’ont pas été inclus dans
le diagramme réseau qui a été utilisé pour préparer l’audit. Le Dirigeant Principal de
l’Information explique que le diagramme est en cours d’actualisation et attend
l’approbation final. L’auditeur SI doit D’ABORD :
A. Etendre le champ de l’audit SI afin d’inclure les appareils qui ne sont pas sur le
diagramme réseau
B. Evaluer l’impact des appareils non-documentés sur le champ de l’audit
C. Noter une défaillance du contrôle car le diagramme réseau n’a pas été approuvé
D. Planifier des audits de suivi des appareils non-documentés

4. Dans une petite entreprise, les développeurs peuvent effectuer des changements
d’urgence directement durant la production. Parmi les choix suivants lequel est le
MEILLEUR afin de contrôler le risque dans cette situation ?
A. Approuver et documenter le changement durant le prochain jour ouvré
B. Limiter l’accès des développeurs à la production à des horaires précis
C. Obtenir une seconde approbation avant la production
D. Désactiver l’option du compilateur dans la machine de production

5. En examinant l’infrastructure informatique, un auditeur SI remarque que des ressources

de stockage sont constamment ajoutées. L’auditeur SI devrait :
A. Recommander l’usage du miroitage de disque
B. Examiner la pertinence du stockage hors-site
C. Examiner le processus de gestion de capacité
D. Recommander l’utilisation d’un algorithme de compression
6. Lors d’un audit de conformité d’une petite banque, l’auditeur SI remarques que les
fonctions informatique et comptabilité sont effectuées par le même utilisateur du système
financier. Parmi les examens suivants effectués par le superviseur de l’utilisateur, lequel
représente le MEILLEUR contrôle compensatoire ?
A. Des pistes d’audit montrant la date et l’heure de la transaction
B. Un rapport journalier avec la totalité des chiffres et des montants en dollars de chaque
transaction
C. Une administration du compte utilisateur
D. Des dossiers de connexion à l’ordinateur montrant les transactions individuelles

7. De la perspective du contrôle, l’objectif PRIMAIRE de classifier des actifs informationnels

est :
A. D’établir des consignes pour les contrôles de niveau d’accès à tous les actifs
informationnels
B. De s’assurer que des contrôles d’accès soient attribués à tous les actifs informationnels
C. D’assister le management et les auditeurs dans l’évaluation du risque
D. D’identifier quels actifs doivent être assurés contre les pertes

8. Pour aider le management à accomplir l’alignement business et informatique, un

auditeur SI doit recommander l’usage :
A. De Control Self-Assessments (CSAs)
B. D’un Business Impact Alanysis(BIA)
C. D’un IT BalancedScorecard (BSC)
D. D’un Business ProcessReengineering (BPR)

9. En effectuant l’évaluation d’un risque en sécurité informatique, l’auditeur SI a demandé

au responsable sécurité informatique de participer un séminaire d’identification du risque
avec les utilisateurs et les représentants de l’unité commerciale. Quelle est la PLUS
importante recommandation que l’auditeur SI doit faire pour obtenir de bons résultats et
éviter des conflits plus tard ?
A. S’assurer que l’évaluation du risque en sécurité informatique a un champ clairement
défini
B. Demander au responsable sécurité informatique d’approuver chaque note du risque
durant le séminaire
C. Suggérer que le responsable sécurité informatique accepte le risque et la note de l’unité
commerciale
D. Sélectionner seulement un risque communément accepté avec la plus haute note

10. Parmi les choix suivants lequel définit le MIEUX l’objectif d’un auditeur SI discutant des
résultats de l’audit avec l’entité contrôlée ?
A. Communiquer les résultats de l’audit à l’entité contrôlée
B. Développer des délais d’implémentation des recommandations suggérées
C. Confirmer les résultats, et proposer des actions correctives
D. Identifier les contrôles compensatoires au risque identifié
11. En examinant les stratégies de sécurité informatique, un auditeur SI évalues le MIEUX
si la stratégie est en cohérence avec les objectifs commerciaux des entreprises en
déterminant si la sécurité informatique :
A. A tout le personnel et l’équipement nécessaire
B. Ses plans sont cohérent avec la stratégie du management
C. Utilise son équipement et son personnel de manière efficiente et efficace
D. A la capacité d’excès suffisante pour répondre à des directions changeantes.

12. Parmi les choix suivants, quelles stratégies de conversion de système et de données
fournit la PLUS GRANDE redondance ?
A. Coupe directe
B. Etude pilote
C. Approche progressive
D. Calcul parallèle

13. Parmi les options suivantes, quelle technique de filtrage antispam serait la MIEUX pour
empêcher un e-mail valide, de taille variable contenant un mot-clé spam très lourd d’être
identifié comme spam ?
A. Heuristique (réglementé)
B. Basée sur la signature
C. Recherche de motifs
D. Bayésienne (statistique)

14. La raison PRIMAIRE qu’a un auditeur SI d’effectuer un test fonctionnel pendant la

phase préliminaire d’un audit est de :
A. Comprendre le processus commercial
B. Obéir aux standards des audits
C. Identifier les faiblesses du contrôle
D. Prévoir un test substantif

15. Un auditeur SI découvre que le Dirigeant Principal de l’Information d’un organisme

utilise un modem à haut débit sans fil utilisant la technologie GSM. Le modem est utilisé
pour connecter l’ordinateur portable du Dirigeant au VPN quand il est en dehors de son
bureau. L’auditeur SI doit :
A. Ne rien faire car les critères de sécurité de la technologie GSM sont pertinents
B. Recommander que le Dirigeant arrête d’utiliser son ordinateur portable jusqu’à ce que le
cryptage soit activé
C. S’assurer que le filtrage des adresses MAC soit activé sur le réseau afin que les
utilisateurs sans fil non-autorisés ne puissent pas se connecter
D. Suggérer qu’une authentification à deux facteurs soit utilisé sur le lien sans-fil pour
empêcher les connexions non-autorisées.
16. Parmi les options suivantes, lequel est la MEILLEURE façon pour un auditeur SI de
déterminer l’efficacité du programme de sensibilisation et de formation à la sécurité ?
A. Examiner le programme de formation à la sécurité
B. Demander à l’administrateur sécurité
C. Questionner un échantillon d’employés
D. Examiner les rappels sécurité faits aux employés

17. Après la fusion de deux organismes, plusieurs applications auto-développées déjà

existantes des deux entreprises doivent être remplacées par une nouvelle plateforme
commune. Parmi les choix suivants, lequel représente le PLUS GRAND risque ?
A. Le management de projets et le signalement de progrès sont combinés dans un bureau
de management de projet dirigé par des consultants extérieurs
B. L’effort de remplacement est composé de différents projets indépendants sans intégrer
l’affectation des ressources dans une approche de management portfolio
C. Les ressources de chaque organisme sont affectées inefficacement alors qu’ils se
familiarisent avec les systèmes existants de l’autre entreprise
D. La nouvelle plateforme forcera les zones commerciales de chaque organisme à changer
leur processus de travail, ce qui se traduira par des besoins de formation importants.

18. Un auditeur SI découvre que certains disques durs dont l’entreprise s’est débarrassée
n’ont pas été nettoyés de façon à s’assurer que les données ne puissent être récupérées.
De plus, l’entreprise ne possède pas de politique écrite concernant la destruction de
données. L’auditeur SI doit D’ABORD :
A. Elaborer un résultat d’audit, et en discuter avec l’auditeur responsable
B. Déterminer la sensibilité des informations sur les disques durs
C. Discuter avec le manager sécurité informatique de la meilleure technique de destruction
des données
D. Développer une politique de destruction des données appropriée pour l’entreprise

19. Durant un examen post-implémentation d’une entreprise de système de gestion de

ressources, un auditeur SI est le PLUS susceptible de :
A. Examiner la configuration du contrôle d’accès
B. Evaluer le test des interfaces
C. Examiner la documentation détaillée de la conception
D. Evaluer le test du système

20. Un auditeur SI teste un accès employé à un large système financier, et il sélectionne un

échantillon de l’actuelle liste d’employés fournie par l’entité contrôlée. Parmi les options
suivantes, quelle preuve est la PLUS fiable pour aider au test ?
A. Une feuille de calcul fournie par l’administrateur du système
B. Les documents d’accès des Ressources Humaines (RH) signées par les managers des
employés
C. Une liste des comptes avec les niveaux d’accès générés par le système
D. Des observations effectuées sur le site sur la présence d’un administrateur du système
21. Un auditeur SI doit recommander l’usage d’un logiciel de contrôle de bibliothèques
pour garantir que :
A. Les changements de programmes ont été autorisées
B. Seulement les programmes intensivement testés sont sortis
C. Les programmes modifiés sont automatiquement envoyés en production
D. La source et l’intégrité du code d’exécution sont maintenus

22. En évaluant les projets de développement d’applications contre le CMM

(CapacityMaturity Model), un auditeur SI doit être capable de vérifier que :
A. Des produits fiables sont garantis
B. L’efficacité des programmeurs est améliorée
C. Des critères de sécurité sont établis
D. Des processus de logiciels prévisibles

23. Parmi les choix suivants, lequel est un indicateur de l’efficacité d’une équipe de
réponse aux incidents de sécurité informatique ?
A. L’impact financier par incident de sécurité
B. Le nombre de vulnérabilités de sécurité corrigées
C. Le pourcentage d’applications commerciales protégées
D. Le nombre de tests de pénétrations réussis

24. Pour s’assurer qu’un organisme se plie aux critères de confidentialité, un auditeur SI
doit D’ABORD examiner :
A. L’infrastructure informatique
B. Les politiques standards et procédures organisationnels
C. Les critères légaux et régulateurs
D. L’adhérence aux politiques standards et procédures organisationnels

25. Un auditeur SI examine le risque et les contrôles du système de virements d’une

banque. Pour s’assurer que le risque financier de la banque est correctement considéré,
l’auditeur SI sera le plus susceptible d’examiner :
A. Les accès privilégiés au système de virements
B. Les procédures de virement
C. Les contrôles de monitoring des fraudes
D. Les vérifications d’antécédents des employés

26. Parmi les choix suivants, quel est le PLUS GAND risque pour l’efficacité des contrôles
des systèmes d’application ?
A. L’élimination des étapes de traitement manuel
B. Des manuels de procédure inadéquats
C. Une collusion entre les employés
D. Des problèmes non-résolus de respect du règlement
27. Parmi les choix suivants, quel est le contrôle le PLUS efficace pour restreindre l’accès
aux sites internet non-autorisés dans un organisme ?
A. Routage sortant du trafic internet par un serveur proxy de filtrage de contenu
B. Routage entrant du trafic internet par un serveur proxy inversé
C. Implanter un pare-feu avec les règles d’accès appropriées
D. Déployer des utilitaires logiciels clients qui bloquent les contenus inappropriés

28. Si une base de données est récupérée en utilisant des images d’avant le vidage, où le
processus devrait démarrer après une interruption ?
A. Avant la dernière transaction
B. Après la dernière transaction
C. Depuis la première transaction après le dernier checkpoint
D. Depuis la dernière transaction avant le dernier checkpoint

29. Une action corrective a été effectuée par l’entité auditée immédiatement après
l’identification d’un résultat tangible. L’auditeur doit :
A. Inclure le résultat dans le rapport final, car l’auditeur SI se doit de fournir un rapport
contenant tous les résultats
B. Ne pas inclure le résultat dans le rapport final, car le management a résolu le problème
C. Ne pas inclure le résultat dans le rapport final, car l’action corrective peut être vérifiée
par l’auditeur SI durant l’audit
D. Incluse le résultat dans la réunion de fin de l’audit seulement pour en discuter

30. Un auditeur SI remarque que des rapports sur la profitabilité produit produits par les
départements financiers et marketing d’un organisme donnent des résultats différents.
Une investigation plus poussée révèle que la définition produit utilisée par les deux
départements est différente. Que doit recommander l’auditeur SI ?
A. L’utilisation d’acceptation des utilisateurs (UAT) pour tous les rapports avant leur
délivrance à la production
B. La mise en place de pratiques de gouvernance des données organisationnelles
C. L’utilisation d’outils logiciels standards pour le développement des rapports
D. L’approbation du management sur les critères des nouveaux rapports

31. Parmi les choix suivants, quel est la considération d’audit SI la PLUS importante quand
un organisme sous-traite le système d’évaluation du crédit client à un fournisseur de
service tiers ? Le fournisseur :
A. Répond ou dépasse les normes de sécurité de l’industrie
B. Accepte d’être soumis à des examens externes de sécurité
C. A une bonne réputation sur le marché sur l’expérience et le service
D. Suit les politiques de sécurité de l’organisme

32. A la fin d’un projet de développement de système, un examen post-projet devrait

inclure :
A. L’évaluation des risques qui peuvent conduire à une interruption après la production
B. L’identification des leçons apprises qui peuvent être applicables à de futurs projets
C. La vérification du bon fonctionnement des contrôles dans le système livré
D. L’assurance que les données tests ont été supprimées
33. Pour déterminer si les changements non-autorisées ont respecté le code de
fabrication, la MEILLEURE procédure d’audit est :
A. D’examiner les relevés du système de contrôle des changements et de les suivre en aval
aux dossiers de code objet
B. Examiner les permissions de contrôle d’accès opérant dans les bibliothèques de
programme de production
C. Examiner le code objet pour trouver des exemples de changement et les suivre en amont
jusqu’aux relevés de contrôle des changements
D. Examiner les désignations de changements approuvés établis dans le système de
contrôle des changements

34. Parmi les choix suivants, lequel est un risque d’implantation dans le processus des
systèmes d’aide à la décision (DSSs) ?
A. Contrôle du management
B. Dimensions semi-structurées
C. L’incapacité de spécifier le but et l’utilisation de motifs
D. Changements dans les processus de décision

35. Parmi les choix suivants, lequel est le MEILLEUR moyen de garantir une
authentification d’utilisateur à deux facteurs ?
A. Une carte à puce requérant le numéro d’identification personnel de l’utilisateur (PIN)
B. Un identifiant d’utilisateur et un mot de passe
C. Un scanner oculaire plus un scanner d’empreinte
D. Une carte magnétique requérant le PIN de l’utilisateur

36. Durant un audit, un auditeur SI remarque que le plan de continuité des activités de
l’organisme (BCP) n’est pas adéquat au niveau de la confidentialité des informations lors
d’un processus de reprise. L’auditeur SI devrait recommander que le plan soit modifié afin
d’inclure :
A. Le niveau requis de la sécurité des informations quand les procédures de reprise des
activités sont initiées
B. Les rôles et responsabilités de la sécurité des informations dans la structure de gestion
de la crise
C. Les critères des ressources de la sécurité des informations
D. Un changement des procédures de gestion pour la sécurité des informations qui
pourraient impacter les dispositifs de continuité opérationnelle

37. Parmi les choix suivants, lequel est la méthode la PLUS efficace quant à la gestion de la
propagation d’un ver réseau qui exploite la vulnérabilité dans un protocole ?
A. Installer le correctif de sécurité pour la vulnérabilité du vendeur
B. Bloquer le trafic du protocole dans le pare-feu périmétrique
C. Bloquer le trafic du protocole entre les secteurs du réseau interne
D. Arrêter le service jusqu’à ce qu’un correctif de sécurité approprié soit installé
38. Un auditeur SI doit utiliser un échantillon statistique et non un échantillon subjectif
(non-statistique) quand :
A. La probabilité d’erreur doit être objectivement quantifié
B. L’auditeur souhaite éviter le risque d’échantillonnage
C. Le logiciel d’audit généralisé n’est pas disponible
D. Le taux d’erreur tolérable ne peut être déterminé

39. Durant la phase de test d’un projet de développement d’application l’auditeur SI doit
examiner :
A. Les spécifications du design et de la conception
B. Le contrat vendeur
C. Les rapports d’erreur
D. Les demandes de changement de programme

40. Après avoir examiné les processus commerciaux, un grand organisme déploie une
nouvelle application web basée sur la technologie Voice-over IP (VoIP). Parmi les choix
suivants, quelle est l’approche la PLUS appropriée pour implanter un contrôle d’accès qui
facilitera la gestion de la sécurité pour l’application web VoIP ?
A. Un contrôle d’accès très précis
B. Un contrôle d’accès basé sur des rôles (RBAC)
C. Des listes de contrôle d’accès
D. Un contrôle d’accès réseau/service

41. Pour optimiser le plan de continuité des activités d’un organisme (BCP), un auditeur SI
doit recommander la menée d’une analyse de l’impact commercial (BIA) afin de
déterminer :
A. Les processus commerciaux qui génèrent le plus de value financière pour l’organisme et,
ainsi, qui doivent être récupérés les premiers
B. Les priorités et ordre de la récupération pour assurer la concordance avec la stratégie
commerciale de l’organisation
C. Les processus commerciaux qui doivent être récupérés après un désastre pour garantir la
survie de l’organisme
D. Les priorités et ordre de la récupération qui comprendra le plus grand nombre de
système dans le temps le plus court

42. Une charte d’audit doit :

A. Être dynamique et changer souvent pour s’aligner avec la nature changeante de la
technologie et le métier d’audit
B. Etablir clairement les objectifs de l’audit pour, et la délégation de, l’autorité pour la
maintenance et l’examen des contrôles internes
C. Documenter les procédures d’audit prévues pour atteindre les objectifs planifiés de
l’audit
D. Définir l’autorité générale, la portée et les responsabilités de la fonction de l’audit
43. Le PREMIER but d’un audit informatique judiciaire est :
A. De participer aux enquêtes liées aux fraudes des entreprises
B. La collection systématique et l’analyse de preuves après une irrégularité du système
C. D’évaluer l’exactitude des déclarations financières d’un organisme
D. De préserver les preuves d’activité criminelle

44. Le PREMIER objectif d’effectuer un examen post-incident est qu’il offre l’opportunité :
A. D’améliorer les procédures internes de contrôle
B. De renforcer le réseau pour de bonnes pratiques de l’industrie
C. De surligner l’importance de la gestion de réponse d’incident au management
D. D’améliorer la sensibilisation des employés au processus de réponse d’incidents

45. En examinant les procédures d’élimination des ordinateurs, parmi les choix suivants
quel est la PLUS GRANDE préoccupation de l’auditeur SI ?
A. Les disques durs sont écrasés plusieurs fois au niveau du secteur mais pas reformatés
avant de quitter l’organisme
B. Tous les documents et dossiers sur les disques durs sont supprimés séparément, et les
disques durs sont formatés avant de quitter l’organisme
C. Les disques durs sont rendus illisibles par la perforation d’un trou à travers les plaques à
des endroits spécifiques avant de quitter l’organisme
D. Le transport des disques durs est escorté par le personnel interne de sécurité jusqu’à
une entreprise de recyclage de métaux proche, où les disques durs sont enregistrés et
broyés

46. Parmi les choix suivants, lequel est une caractéristique de gestion limitée dans le
temps ?
A. Pas approprié pour un développement rapide ou prototype d’application (RAD)
B. Elimine le besoin d’un processus de qualité
C. Prévoie les dépassements de coût et les retards de livraison
D. Sépare le test du system et d’acceptation de l’utilisateur

47. Un manager d’un projet qui devrait être fini dans 18 mois annonce que le projet est
une position financière saine car, après six mois, seulement un sixième du budget a été
dépensé. L’auditeur SI doit D’ABORD déterminer :
A. Quelle proportion de progrès contre le planning a été achevée
B. Si le budget du projet peut être réduit
C. Si la date butoir du projet peut être avancée
D. Si les économies du projet peuvent être utilisées pour élargir le champ du projet

48. Parmi les choix suivants, quel contrôle est le MEILLEUR moyen de s’assurer que les
données dans un dossier n’ont pas été changées durant une transmission ?
A. Une vérification de raisonnabilité
B. Des bits de parité
C. Des values de hachage
D. Des chiffres de contrôle
49. Par quoi un auditeur SI examinant un nouveau contrat de sous-traitance avec un
fournisseur de services doit être le PLUS préoccupé si cela était absent ?
A. Une clause assurant un fournisseur de service « droit à l’audit »
B. Une clause définissant des paiements de pénalité pour performances pauvres
C. Un rapport de base prédéfini du niveau de service
D. Une clause à propos de la limitation de fiabilité du fournisseur

50. Le PLUS GRAND avantage d’utiliser des services web pour l’échange d’informations
entre deux systèmes est :
A. Des communications sécurisées
B. Une meilleure performance
C. Des interfaces efficaces
D. Une documentation améliorée