AccueilCertificationsPCSE › Questions gratuites

Questions gratuites PCSE — Google Professional Cloud Security Engineer

Téléchargez gratuitement 60 questions d'entraînement pour la certification PCSE proposée par Google. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.

Caractéristiques de l'examen blanc

Code de certificationPCSE
ÉditeurGoogle
Nombre de questions60
TypeQCM avec 4 réponses possibles
Niveauprofessional
CatégorieSecurity
Prix100% gratuit

Aperçu de 8 questions représentatives

Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement PCSE. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.

Question 1
Une organisation financière souhaite permettre à un partenaire externe d'accéder à une API Cloud Storage protégée par un VPC Service Controls perimeter, uniquement depuis une plage d'adresses IP spécifique et uniquement pendant les heures ouvrables. Le partenaire utilise son propre projet Google Cloud en dehors du périmètre. Quelle combinaison de configurations devez-vous mettre en place ?
  1. A. Créer une ingress rule dans le périmètre avec une condition basée sur l'identité du compte de service du partenaire, et configurer une Cloud Armor policy pour restreindre les plages IP et les horaires.
  2. B. Créer un access level dans Access Context Manager combinant des conditions IP-based et time-based, puis configurer une ingress rule dans le périmètre référençant cet access level pour autoriser l'accès du partenaire au service Cloud Storage.
  3. C. Ajouter le projet du partenaire dans le périmètre existant et créer une egress rule conditionnelle avec restriction IP et temporelle pour contrôler l'accès.
  4. D. Configurer un VPC Service Controls bridge entre le périmètre de l'organisation et le projet du partenaire, puis appliquer des conditions IP et temporelles via des firewall rules VPC.
Question 2
Votre entreprise migre vers Google Cloud et souhaite appliquer le principe du moindre privilège. Un développeur doit pouvoir déployer des Cloud Functions et consulter les logs associés, mais ne doit pas pouvoir modifier les règles de pare-feu ni accéder aux données de production dans Cloud Storage. Quelle approche IAM est la plus appropriée ?
  1. A. Attribuer le rôle roles/editor au niveau du projet pour simplifier la gestion des accès.
  2. B. Créer un custom role combinant les permissions cloudfunctions.functions.deploy, cloudfunctions.functions.get, logging.logEntries.list et logging.logs.list, puis l'attribuer au développeur au niveau du projet.
  3. C. Attribuer les rôles prédéfinis roles/cloudfunctions.developer et roles/logging.viewer au niveau du projet.
  4. D. Attribuer le rôle roles/owner au niveau du folder contenant le projet de développement.
Question 3
Un développeur quitte votre entreprise. Il était propriétaire d'un compte de service ([email protected]) utilisé par un pipeline de données critique en production. Ce compte de service possède des clés JSON actives et est référencé dans des bindings IAM sur plusieurs projets. Quelle séquence d'actions prioritaires devez-vous exécuter pour sécuriser l'environnement sans interrompre le pipeline ?
  1. A. Supprimer immédiatement le compte de service, recréer un nouveau compte de service avec les mêmes permissions, mettre à jour le pipeline
  2. B. Révoquer les clés JSON existantes du compte de service, générer de nouvelles clés, mettre à jour la configuration du pipeline, puis retirer les rôles IAM du développeur sur tous les projets
  3. C. Désactiver le compte de service, retirer les accès IAM du développeur, puis analyser l'utilisation du compte de service avant de procéder à une rotation des clés
  4. D. Retirer les rôles IAM du développeur, activer la fédération d'identité de charge de travail (Workload Identity Federation) pour remplacer les clés JSON, puis supprimer les anciennes clés
Question 4
En tant que Cloud Security Engineer, vous configurez Cloud Armor Adaptive Protection pour votre application e-commerce. Après activation, Adaptive Protection génère une alerte avec un confidence score de 0.85 et vous propose une règle suggérée. Votre directeur technique vous demande d'expliquer le fonctionnement et de recommander la meilleure approche de déploiement. Que recommandez-vous ?
  1. A. Déployer immédiatement la règle suggérée en mode deny (403) car le confidence score de 0.85 est suffisamment élevé pour bloquer automatiquement le trafic
  2. B. Déployer la règle suggérée en mode preview d'abord pour évaluer l'impact, analyser les logs dans Cloud Logging, puis basculer en mode deny après validation que le trafic légitime n'est pas affecté
  3. C. Ignorer l'alerte car un confidence score inférieur à 0.95 indique un taux de faux positifs trop élevé pour prendre action
  4. D. Configurer Adaptive Protection pour appliquer automatiquement toutes les règles suggérées avec un confidence score supérieur à 0.80 sans intervention humaine
Question 5
Votre entreprise héberge une application web critique sur Google Cloud derrière un Global External Application Load Balancer. Vous constatez une augmentation soudaine du trafic provenant de plusieurs pays où vous n'avez aucun client. Le trafic cible spécifiquement l'endpoint /api/login avec des requêtes POST massives. Quelle combinaison d'actions Cloud Armor est la plus appropriée pour atténuer cette attaque tout en maintenant le service pour les utilisateurs légitimes ?
  1. A. Créer une security policy avec une règle basée sur l'expression evaluatePreconfiguredExpr('xss-v33-stable') et l'attacher au backend service concerné.
  2. B. Créer une security policy avec une règle de rate limiting (throttle) ciblant le chemin /api/login, combinée à une règle géographique (origin.region_code) pour bloquer le trafic des pays non pertinents.
  3. C. Activer Cloud CDN sur le backend service pour mettre en cache les réponses de l'endpoint /api/login et absorber le trafic excédentaire.
  4. D. Configurer une règle Cloud Armor utilisant uniquement l'adaptive protection pour détecter et bloquer automatiquement tout le trafic anormal sans intervention manuelle.
Question 6
Votre entreprise migre ses applications vers Google Cloud et doit protéger à la fois des applications hébergées sur Google Cloud (derrière un Global External Application Load Balancer) et des applications on-premises exposées via un reverse proxy externe. Vous devez centraliser la protection DDoS et WAF. Quelle fonctionnalité Cloud Armor permet de protéger les workloads externes à Google Cloud ?
  1. A. Configurer Cloud Armor avec des Internet NEGs (Network Endpoint Groups) comme backend services du load balancer, permettant de proxy le trafic vers les endpoints on-premises tout en appliquant les security policies Cloud Armor
  2. B. Installer l'agent Cloud Armor on-premises sur chaque serveur pour qu'il communique avec le control plane Cloud Armor dans Google Cloud
  3. C. Configurer un Cloud VPN entre le réseau on-premises et Google Cloud puis appliquer Cloud Armor sur le trafic du tunnel VPN
  4. D. Utiliser Cloud Armor Standalone Mode qui permet d'appliquer des security policies sans load balancer en utilisant uniquement les APIs Cloud Armor
Question 7
Votre organisation opère une plateforme SaaS multi-tenant sur Google Cloud. Chaque tenant dispose de son propre sous-domaine (tenant1.example.com, tenant2.example.com). Vous utilisez un Global External Application Load Balancer unique avec Cloud Armor. Vous devez appliquer des politiques de sécurité différentes par tenant, avec des règles WAF spécifiques à chaque client. Quelle architecture Cloud Armor est recommandée ?
  1. A. Créer une seule security policy Cloud Armor avec des règles utilisant des conditions sur le header Host pour différencier les tenants
  2. B. Créer des security policies Cloud Armor distinctes et les attacher à des backend services différents, chaque backend service correspondant à un tenant via des URL maps
  3. C. Déployer un Global External Application Load Balancer séparé pour chaque tenant avec sa propre security policy Cloud Armor
  4. D. Utiliser Cloud Armor Edge Security Policies attachées au forwarding rule unique et filtrer par SNI (Server Name Indication)
Question 8
Un auditeur de sécurité examine votre organisation Google Cloud et constate qu'un ancien employé, parti il y a 3 mois, dispose toujours d'un binding IAM roles/bigquery.admin sur un projet contenant des données clients sensibles. L'identité Google Workspace de cet employé a été suspendue le jour de son départ. Quelle affirmation est correcte concernant la posture de sécurité actuelle et quelle action corrective prioritaire recommandez-vous ?
  1. A. Le risque est nul car la suspension du compte Workspace empêche toute authentification. Aucune action n'est requise.
  2. B. Le binding IAM orphelin représente un risque si le compte Workspace est réactivé par erreur. Il faut supprimer le binding IAM et auditer tous les projets avec IAM Recommender pour détecter d'autres bindings orphelins.
  3. C. Le binding IAM orphelin génère des coûts BigQuery supplémentaires même si le compte est suspendu. Il faut le supprimer pour réduire les coûts.
  4. D. Le risque principal est que l'ancien employé puisse utiliser une clé API pour contourner la suspension Workspace et accéder à BigQuery avec ses anciens privilèges.

Accédez aux 60 questions complètes gratuitement

Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.

Lancer l'examen blanc PCSE →

Pourquoi s'entraîner avec Certifexpress ?