Quiz QCM

Quiz C2_S7 Chiffrement, sécurité et hébergement des données de santé

par Mariinepav

Mariinepav

220 joués - il y a 8 ans

QCM 22 QUESTIONS

expert

QCM : Chaque question peut avoir plusieurs bonnes réponses

difficile

Question 1 / 22

Concernant les menaces informatiques :

Les Directions des Systèmes d'Information (DSI) mettent en place des procédures pour les limiter

Notre système informatique peut être contaminé par une chaîne composée de 5 étapes

Notre système informatique peut être contaminé par une chaîne composée de 4 étapes

ARNC

expert

Question 2 / 22

Quelles sont les étapes de la chaîne de contamination ?

L'inception : premier contact, moment où l'attaquant rencontre sa cible

L'intrusion : processus durant lequel l'attaquant pénètre le système

L'infection : étape finale où l'attaque se réalise

L'invasion : moment où le code malveillant est déclenché

expert

Question 3 / 22

Quelles sont les deux étapes clés des stratégies de défenses ?

La restriction de l'accès à certains sites internet pour les navigateurs de l'hôpital limite le risque d'inception

La restriction de l'accès à certains sites internet pour les navigateurs de l'hôpital limite le risque d'intrusion et d'infection

La définition d'une liste restrictive d'applications autorisées limite le risque d'intrusion et d'infection

La définition d'une liste restrictive d'applications autorisées limite le risque d'inception

Quizz.biz est un service gratuit financé principalement par la publicité.

Pour nous soutenir et ne plus voir ce message :

J'autorise les Annonces ou Je deviens Membre Plus

difficile

Question 4 / 22

A propos du malware (code malveillant) :

Le malware est un code développé pour nuire à un système

C'est un ensemble d'entités homogènes et souvent intriquées

Un code malveillant peut combiner plusieurs mécanismes

Il existe une classification exhaustive et consensuelle de ces codes

expert

Question 5 / 22

Cochez les malwares bien associés à l'action qu'ils produisent :

Les exploit : exploitent les failles de sécurité

Les dialer : composent des listes de numéros pour rechercher des cibles

Des injections de codes SQL

Les vers ou worms : programme autoréplicatifs ne nécessitant pas de programme hôte

normal

Question 6 / 22

Les trojan (cheval de Troie) sont des programmes légitimes modifiés pour permettre d'introduire un code malveillant (charge utile).

Vrai

Faux

expert

Question 7 / 22

Quels sont les différents type de trojan ?

Spyware : collectent et transfèrent des informations à l'insu de l'utilisateur

Rootkit : programmes exploitant une fonctionnalité inconnue (mais légitime) d'un système

Backdoor : programmes permettant d'accéder furtivement à un ordinateur

Fork bomb : déni de service reposant sur l'exécution d'un grand nombre de processus de manière à saturer les ressources disponibles d'un ordi

difficile

Question 8 / 22

Un keylogger permet de récupérer les données patients stockées sur un ordinateur. Vr

Vrai

Faux

difficile

Question 9 / 22

Concernant le hacking :

Il est forcément malsain

Il consiste en la recherche et/ou l'exploitation de failles de sécurité informatique

Si un professionnel de santé trouve cette faille il ne doit pas la communiquer sous peine d'être pris pour un hacker

Il doit la communiquer au responsable de la DSI pour qu'il prenne des contre-mesures

expert

Question 10 / 22

Cochez les réponses vraies concernant les métiers de la cybersécurité :

Le panorama des différents métiers de la cybersécurité par l'ANSSI (Agence Nationale de la Sécurité des Système d'Information)

Auditeur ou contrôleur : recherche la conformité d'un système aux référentiels et étudie les vulnérabilités

Post-auditeur : intervient sur sollicitation à la suite d'un audit, d'un incident, d'une intrusion et propose un plan de remédiation

Opérateur : met en œuvre la politique de sécurité de l'information

expert

Question 11 / 22

Cochez les réponses vraies concernant les métiers de la cybersécurité :

La cybersécurité est un ensemble de métiers faisant partie des fonctions premières d'une structure de santé

Les DSI font souvent appel à des professionnels de santé pour ces métiers et se réfèrent à des référentiels de sécurité

Les experts des tests d'intrusion (« hacker éthique ») : pénètrent dans le système d'information (SI) et identifient les diverses techniques des attaquants pour les contrer

ARNC

difficile

Question 12 / 22

Cochez les termes bien associés à leur définition :

Cryptographie : protéger le message

Cryptographie : rompre cette protection

Cryptanalyse : rompre cette protection

Cryptanalyse : protéger le message

expert

Question 13 / 22

A propos du chiffrement :

Consiste à transformer un message incompréhensible en un message clair

Il est réversible

Il permet de s'échanger des informations de manière secrète

Il peut être symétrique (reposant sur une clé de chiffrement), asymétrique (2 clés) ou par clé de session (1 clé tranmise par le biais d'un chiffrement asymétrique)

expert

Question 14 / 22

A propos du hachage :

Il permet de transformer une information de grande taille en information de taille réduite

Il est réversible en théorie

Vise à facilité le travail de hackers éthiques

Transforme une information claire en pseudonyme en concédant une perte de l'information sans garantir l'unicité du pseudonyme

expert

Question 15 / 22

A propos de l'authentification :

Elle se fait par un MDP pour s'assurer de la légitimité de la demande d'accès faite par un utilisateur

La sécurité d'une authentification repose sur le mode de preuve de l'identité de l'utilisateur

Ce mode de preuve est constitué de 3 types de données : ce que l'on connaît (ex : mot de passe), ce que l'on possède (ex : carte à puce), ce que l'on est (ex : empreinte biométrique)

Une authentification est dite simple si la vérification se fait par deux types de preuves

expert

Question 16 / 22

Les bases de données médico-administratives :

Elles regroupent toutes les données de facturation relatives à la consommation de soins

Elles concernent les données hospitalières, de mortalité mais pas des dépenses de ville

Elles permettent de réaliser un pilotage médical du système de santé et d'aider les chercheurs

Le NIR (numéro de sécurité sociale) permet de lier des données de santé avec le registre national des personnes physiques (RNIPP)

difficile

Question 17 / 22

Le NIR est haché pour apparaître dans les bases de données c'est ce qu'on appelle la pseudonymisation.

Vrai

Faux

expert

Question 18 / 22

Quels sont les 3 grands référentiels de sécurité en santé ?

PGSSI-S : Politique générale de Sécurité des Système d'Information de Santé

PSSI-MCAS : Politique de Sécurité des Systèmes d'Information pour les Ministères Chargés des Affaires Sociales

Référentiel de Système National des Données de Santé (SNDS)

Référentiel national des identifications de propriété privée (RNIPP)

expert

Question 19 / 22

Avant la loi de modernisation du système de santé, la procédure d'agrément pour l'hébergement des données de santé comprenait :

Le dépôt d'un dossier auprès de l'ASIP

Dossier d'agrément est composé de 3 parties : administratif et financier / technique / modèles de contrats

Dossier d'agrément est composé de 2 parties : administratif et financier / technique

ARNC

expert

Question 20 / 22

Concernant le médecin de l'hébergeur ...

Sa présence est facultative mais vivement recommandée

Il est lié contractuellement mais n'est pas obligatoirement un salarié de l'entreprise

Il y a un cadre réglementaire sur les missions qui lui sont attribuées

2 missions lui sont attribuées : garantir la confidentialité des données personnelles et vérifier sur demande la cohérence des données personnelles de santé

Quizz.biz est un service gratuit financé principalement par la publicité.

Pour nous soutenir et ne plus voir ce message :

J'autorise les Annonces ou Je deviens Membre Plus

expert

Question 21 / 22

Après la loi de modernisation du système de santé :

Le cadre réglementaire des hébergeurs de données de santé est resté inchangé

Certification : repose sur une démarche d'évaluation de conformité technique par des organismes de certification accrédités par le Comité Français d'Accréditation (COFRAC)

On distingue les hébergeurs d'infrastructures physiques et les hébergeurs inforgéerurs

La procédure de certification se fait en 3 étapes : un audit documentaire, un sur site et un compte rendu à la HAS

expert

Question 22 / 22