Questions d'entraînement — PCSE

Question 1

Votre organisation déploie une API REST sur Google Cloud accessible uniquement depuis des partenaires B2B identifiés. L'API est exposée via un Global External Application Load Balancer avec Cloud Armor. Vous devez implémenter une politique de sécurité qui autorise uniquement le trafic provenant des plages IP de vos partenaires, tout en appliquant un rate limiting différencié par partenaire. Le partenaire Alpha (plage 203.0.113.0/24) a droit à 1000 requêtes/minute et le partenaire Beta (plage 198.51.100.0/24) a droit à 500 requêtes/minute. Comment structurer votre security policy Cloud Armor ?

Answer

A. Créer une seule security policy avec deux règles throttle : priorité 1000 pour Alpha avec rate_limit_threshold count=1000 interval_sec=60, priorité 2000 pour Beta avec count=500 interval_sec=60, et une règle par défaut deny(403).

Answer

B. Créer deux security policies distinctes, une par partenaire, chacune avec sa propre règle de rate limiting, et attacher les deux policies au même backend service.

Answer

C. Créer une seule security policy avec deux règles allow pour les plages IP des partenaires, puis configurer le rate limiting au niveau du backend service via les paramètres de capacité maximale (max-rate-per-endpoint).

Answer

D. Créer une security policy avec une seule règle throttle combinant les deux plages IP via l'expression request.headers['X-Partner-ID'], en utilisant un header personnalisé pour différencier les partenaires.

Question 2

Une institution financière utilise Google Cloud pour héberger son portail bancaire en ligne. L'architecture inclut un Global External Application Load Balancer avec Cloud Armor. Lors d'un audit de sécurité, l'équipe constate que Cloud Armor Adaptive Protection est activé mais que les alertes générées ne sont pas traitées efficacement. Le RSSI demande une intégration avec le SIEM existant (Chronicle/Google SecOps) pour une corrélation automatisée des événements. Comment configurer l'export des findings de Cloud Armor Adaptive Protection vers Chronicle ?

Answer

A. Configurer un log sink dans Cloud Logging avec un filtre sur resource.type='cloud_armor' pour exporter les logs vers un topic Pub/Sub, puis ingérer ce topic dans Chronicle via un feed dédié.

Answer

B. Activer l'intégration native entre Cloud Armor et Chronicle en ajoutant le flag --enable-chronicle-integration lors de la création de la security policy.

Answer

C. Configurer Cloud Armor pour envoyer les alertes directement à Chronicle via l'API REST de Chronicle en spécifiant l'endpoint d'ingestion dans les paramètres de la security policy.

Answer

D. Exporter les findings de Cloud Armor vers Security Command Center (SCC), puis utiliser l'intégration native SCC-Chronicle pour la corrélation dans le SIEM.

Question 3

Votre équipe de sécurité implémente une architecture de détection des menaces dans Google Cloud utilisant Security Command Center (SCC) Premium et Chronicle. Le CISO exige que toute création de clé de compte de service (service account key) dans les projets de production déclenche automatiquement un ticket d'incident dans le système ITSM de l'entreprise (ServiceNow) avec un niveau de priorité élevé. Quelle architecture répond le mieux à cette exigence avec le minimum de composants personnalisés ?

Answer

A. Activer le détecteur SCC de la catégorie SERVICE_ACCOUNT_KEY_CREATION dans Event Threat Detection, configurer une notification SCC vers un Pub/Sub topic via NotificationConfig, puis déclencher une Cloud Function qui crée le ticket ServiceNow via son API REST.

Answer

B. Créer un Log Sink avec un filtre sur les Admin Activity Audit Logs pour la méthode google.iam.admin.v1.CreateServiceAccountKey, exporter vers un Pub/Sub topic, puis utiliser un Cloud Run service qui consomme les messages et crée les tickets ServiceNow.

Answer

C. Configurer Chronicle avec une règle YARA-L détectant les événements UDM de type CREATE liés aux clés de compte de service, puis utiliser la fonctionnalité Chronicle SOAR playbook pour automatiser la création de tickets ServiceNow.

Answer

D. Utiliser Organization Policy Constraints pour bloquer la création de clés de compte de service (constraints/iam.disableServiceAccountKeyCreation) et configurer Cloud Monitoring pour alerter sur les tentatives bloquées, avec une intégration Monitoring-ServiceNow.

Question 4

Votre entreprise utilise BigQuery et Cloud Storage dans un projet protégé par un périmètre VPC Service Controls. Un data engineer signale qu'il ne peut pas exporter les résultats d'une requête BigQuery vers un bucket Cloud Storage situé dans un autre projet, également protégé par un périmètre VPC Service Controls distinct. Les deux projets appartiennent à la même organisation. Quelle solution permet de résoudre ce problème tout en maintenant le niveau de sécurité le plus élevé ?

Answer

A. Créer une règle de pare-feu VPC autorisant le trafic entre les deux projets sur le port 443.

Answer

B. Configurer un VPC Service Controls bridge entre les deux périmètres pour permettre la communication bidirectionnelle.

Answer

C. Désactiver temporairement le périmètre VPC Service Controls sur le projet de destination pendant l'exportation.

Answer

D. Ajouter les deux projets dans un même périmètre VPC Service Controls unique et supprimer les périmètres individuels.

Question 5

Votre équipe sécurité détecte qu'un compte de service dans le projet 'analytics-prod' possède le rôle roles/owner attribué au niveau de l'organisation depuis 18 mois. Ce compte de service est utilisé par une application interne qui n'a besoin que de lire des données BigQuery et d'écrire dans un bucket Cloud Storage spécifique. Vous devez remédier à cette situation sans interrompre l'application. Quelle approche suivez-vous ?

Answer

A. Utiliser IAM Recommender pour appliquer automatiquement les recommandations de rôles suggérées pour ce compte de service

Answer

B. Consulter Policy Analyzer pour identifier toutes les permissions effectivement utilisées par le compte de service au cours des 90 derniers jours, créer un rôle personnalisé contenant uniquement ces permissions, l'attribuer au niveau des ressources appropriées, puis retirer roles/owner au niveau de l'organisation

Answer

C. Retirer immédiatement roles/owner et attribuer roles/bigquery.dataViewer au niveau de l'organisation et roles/storage.objectCreator au niveau du bucket

Answer

D. Attribuer roles/bigquery.dataViewer et roles/storage.objectCreator au niveau du projet, activer les logs d'audit, attendre 30 jours pour vérifier qu'il n'y a pas d'erreurs de permission, puis retirer roles/owner

Examen PCSE — PCSE — Google Professional Cloud Security Engineer

À propos de l'examen PCSE

Comment se préparer à l'examen PCSE ?

5 exemples de questions — PCSE

Encore 55 questions dans l'examen complet

📖 Préparez-vous avec nos guides

Commencer l'examen PCSE complet