Questions d'entraînement — PCSE

Question 1

Une équipe DevOps utilise Cloud KMS pour chiffrer des secrets applicatifs stockés dans Secret Manager. Un audit révèle qu'un ancien employé disposait du rôle roles/cloudkms.cryptoKeyEncrypterDecrypter sur le KeyRing de production. Son compte a été désactivé, mais l'équipe sécurité veut s'assurer que toutes les données chiffrées avec la version de clé potentiellement compromise soient rechiffrées. Quelle séquence d'actions devez-vous effectuer ?

Answer

A. Supprimer la clé compromise, créer une nouvelle clé, puis rechiffrer manuellement toutes les données.

Answer

B. Effectuer une rotation de la clé pour créer une nouvelle version primaire, puis utiliser la commande 'gcloud kms keys versions disable' sur l'ancienne version et lancer un rechiffrement des données avec la nouvelle version primaire.

Answer

C. Révoquer le rôle IAM de l'ancien employé et considérer que les données sont automatiquement protégées puisque le compte est désactivé.

Answer

D. Modifier la clé existante pour passer du protection level SOFTWARE au protection level HSM, ce qui invalide automatiquement les anciennes versions.

Question 2

Votre entreprise opère un service de streaming vidéo sur Google Cloud. L'infrastructure utilise Cloud CDN avec un Global External Application Load Balancer et Cloud Armor. Pendant un événement majeur en direct, vous observez une attaque DDoS Layer 7 sophistiquée qui utilise des requêtes HTTP GET apparemment légitimes avec des patterns de navigation réalistes, contournant les règles de rate limiting classiques. Cloud Armor Adaptive Protection a détecté l'anomalie et propose une signature d'attaque. Quelle est la procédure correcte pour déployer la règle de mitigation suggérée par Adaptive Protection ?

Answer

A. Adaptive Protection déploie automatiquement la règle de mitigation suggérée en production dès que le score de confiance dépasse 80%, sans intervention de l'opérateur.

Answer

B. Examiner le finding d'Adaptive Protection dans la console Cloud Armor, vérifier la signature d'attaque proposée et le trafic impacté estimé, déployer la règle suggérée en mode preview d'abord, valider dans les logs qu'elle cible correctement le trafic malveillant, puis basculer en mode enforcement.

Answer

C. Copier la signature d'attaque depuis le finding d'Adaptive Protection et créer manuellement une règle Cloud Armor deny(502) avec l'expression fournie, en la plaçant à la priorité la plus haute (priorité 0).

Answer

D. Activer le mode 'auto-deploy' d'Adaptive Protection qui bloque instantanément toute anomalie détectée en utilisant des règles temporaires avec une durée de vie de 24 heures.

Question 3

Votre entreprise utilise Google Cloud et doit garantir que toutes les modifications apportées aux stratégies IAM sont enregistrées de manière immuable et ne peuvent pas être désactivées par un administrateur de projet. Vous devez également exporter ces logs vers un bucket Cloud Storage dans un projet séparé pour une conservation à long terme. Quelle combinaison d'actions devez-vous effectuer ?

Answer

A. Activer les Data Access audit logs au niveau du projet, puis créer un sink d'exportation vers Cloud Storage dans le même projet.

Answer

B. Utiliser les Admin Activity audit logs (activés par défaut et non désactivables) et créer un aggregated sink au niveau de l'organisation vers un bucket Cloud Storage dans un projet dédié à la sécurité.

Answer

C. Activer les Admin Activity audit logs manuellement au niveau de l'organisation, puis configurer un sink de logs au niveau du projet vers BigQuery.

Answer

D. Créer une Cloud Function déclenchée par Pub/Sub pour copier les logs d'activité admin vers un bucket Cloud Storage dans le même projet.

Question 4

Votre organisation souhaite implémenter le chiffrement au niveau des colonnes (column-level encryption) dans BigQuery pour protéger les données PII (Personally Identifiable Information). Différents groupes d'analystes doivent avoir accès à différents sous-ensembles de colonnes déchiffrées. Quelle approche est la plus adaptée dans l'écosystème Google Cloud ?

Answer

A. Utiliser les fonctions AEAD (Authenticated Encryption with Associated Data) de BigQuery avec des keyset gérés dans Cloud KMS, en combinant avec des wrapped keys différentes par groupe d'accès et les rôles IAM appropriés sur les clés KMS

Answer

B. Chiffrer les données côté application avant l'insertion dans BigQuery et distribuer les clés de déchiffrement manuellement à chaque groupe d'analystes par email sécurisé

Answer

C. Utiliser uniquement les Column-level Security Policies de BigQuery avec des tags pour masquer les colonnes sans chiffrement réel des données

Answer

D. Créer une vue BigQuery séparée pour chaque groupe d'analystes et appliquer des règles VPC Service Controls pour restreindre l'accès réseau aux vues

Question 5

Vous êtes architecte sécurité pour une banque qui utilise Google Cloud. Vous devez configurer un périmètre VPC Service Controls pour protéger des données sensibles stockées dans Cloud Storage et BigQuery. Des analystes externes, utilisant des identités Google gérées par leur propre organisation, doivent pouvoir exécuter des requêtes BigQuery sur des vues autorisées, mais ne doivent en aucun cas pouvoir copier les données vers leurs propres projets. Quelle combinaison de configurations devez-vous mettre en place ?

Answer

A. Créer un périmètre avec les services BigQuery et Cloud Storage restreints, puis configurer une ingress rule autorisant les identités externes à accéder uniquement à BigQuery avec la méthode bigquery.jobs.create.

Answer

B. Créer un périmètre avec uniquement BigQuery comme service restreint, puis ajouter les identités externes comme membres IAM avec le rôle roles/bigquery.dataViewer.

Answer

C. Créer un périmètre avec les services BigQuery et Cloud Storage restreints, configurer une ingress rule pour les identités externes, et ajouter une egress rule autorisant la copie vers les projets externes.

Answer

D. Créer un périmètre sans aucun service restreint et utiliser uniquement les rôles IAM pour contrôler l'accès des analystes externes aux vues BigQuery autorisées.

Examen PCSE — PCSE — Google Professional Cloud Security Engineer

À propos de l'examen PCSE

Comment se préparer à l'examen PCSE ?

5 exemples de questions — PCSE

Encore 55 questions dans l'examen complet

📖 Préparez-vous avec nos guides

Commencer l'examen PCSE complet