Vous êtes sur la page 1sur 16

Guide de prparation

EXIN Information
Security Foundation
bas sur la norme
ISO/IEC 27002
dition de avril 2013

Copyright 2013 EXIN


All rights reserved. No part of this publication may be published, reproduced, copied
or stored in a data processing system or circulated in any form by print, photo print,
microfilm or any other means without written permission by EXIN.

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

Table de matires
1.
2.
3.
4.

Rsum
Condition de lexamen
Liste des concepts de base
Bibliographie

4
7
12
15

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

1. Rsum
EXIN Information Security Foundation bas sur la norme ISO/IEC 27002 (ISFS.FR)
Sommaire
Les Guides de prparation sont conus pour aider les formateurs laborer des
cours et du matriel didactique qui rpondent aux exigences dEXIN.
Lobjectif principal du Guide de prparation est didentifier les thmes, exigences et
spcifications de lexamen, ainsi que le public vis, afin dappuyer le
dveloppement de nouveaux cours de qualit.
La scurit de l'information est la protection de l'information contre une large gamme
de menaces afin d'assurer la continuit des activits, de minimiser les risques
auxquels elles sont soumises et de maximiser leur rentabilit et les opportunits
qu'elles reprsentent. (Dfinition ISO/IEC 27002)
La scurit de linformation ne cesse de gagner en importance dans le monde des
technologies de linformation. La mondialisation de lconomie entrane un change
croissant dinformations entre les organisations (leurs employs, clients et
fournisseurs) et une augmentation de lutilisation des ordinateurs en rseau et des
appareils informatiques.
Le Code de bonnes pratiques pour la gestion de la scurit de linformation (ISO/IEC
27002 :2005) est une norme internationale largement applique et documente. Il
fournit un cadre l'organisation et la gestion d'un programme de scurit de
l'information. La mise en uvre d'un programme bas sur cette norme soutiendra
grandement toute organisation soucieuse de satisfaire aux exigences de
l'environnement complexe actuel dans lequel elle volue. Il est important pour le
dveloppement personnel de chaque professionnel de la scurit de l'information de
bien comprendre cette norme.
Les modules EXIN sur la scurit de l'information appliquent la dfinition suivante : la
scurit de l'information traite de la dfinition, la mise en uvre, la maintenance, la
conformit et l'valuation d'un ensemble cohrent de mesures de contrle, qui
garantissent la disponibilit, l'intgrit et la confidentialit de la fourniture d'information
(manuelle et automatise).
Dans le module EXIN Information Security Foundation bas sur la norme ISO/IEC
27002 , les concepts de base de la scurit de linformation et leurs relations sont
tests. Ce module a notamment pour vocation de sensibiliser au fait que linformation
est vulnrable et que des mesures sont ncessaires pour la protger.

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

Les thmes de ce module sont les suivants :


Information et scurit : les concepts, la valeur de linformation et limportance
de la fiabilit
Menaces et risques : les concepts de menace et de risque, et la relation entre les
menaces et la fiabilit
Approche et organisation : la politique de scurit et la configuration de la
scurit de linformation incluant les composants de lorganisation de la scurit
et de la gestion des incidents (de scurit) ;
Mesures : limportance des mesures de scurit, notamment physiques, techniques
et organisationnelles
et
Lois et rglementations : leur importance et leur impact

Contexte
Programme de qualification

La Certification EXIN Information Security Foundation bas sur la norme ISO/IEC


27002 sinscrit dans le cadre du programme de qualification EXIN Scurit de
linformation . Ce module est suivi par les Certifications EXIN Information
Security Management Advanced bas sur la norme ISO/IEC 27002 et
EXIN Information Security Management Expert bas sur la norme ISO/IEC
27002 .
Groupe cibl
Lexamen correspondant au module EXIN Information Security Foundation bas sur
la norme ISO/IEC 27002 sadresse tout membre de lorganisation charg du
traitement de linformation. Le module est galement adapt aux entrepreneurs
indpendants qui doivent disposer de connaissances lmentaires en matire de

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

scurit de linformation.
Ce module peut constituer un bon point de dpart pour les nouveaux professionnels de
la scurit de linformation.
Pr requis
Aucun
Type dexamen
Questions choix multiples sur ordinateur
Estimation du temps dtude requis
60 heures
Exercices pratiques
Non applicable
Dure de lexamen
60 minutes
Prcisions sur lexamen
Nombre de questions :
Note de passage :
Accs des documents/notes :
Matriel lectronique autoris :

40
65 % (26 sur 40)
non
non

Exemples de question
Pour vous prparer lexamen, vous pouvez tlcharger un examen type
ladresse : http://www.exin.com.

Formation
Taille du groupe
Le nombre maximum de participants au cours est de 25.
(Cette restriction ne sapplique pas aux formations en ligne ou sur ordinateur. )
Heures de contact
Le nombre minimal dheures pour la formation est 7 et comprend les exercices en
groupe, la prparation lexamen et les courtes pauses. Ne sont pas inclus: les
devoirs en dehors des cours, les dplacements lis la session dexamen, la session
dexamen et les pauses repas.
Formateurs
Une liste de centres de formation accrdits est disponible sur le site dEXIN
ladresse :
http://www.exin.com

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

2. Conditions de lexamen
Les conditions de lexamen sont dtailles dans les spcifications de lexamen. Le
tableau ci-dessous numre les sujets du module (conditions de lexamen). La
pondration des diffrents sujets de lexamen est exprime en pourcentage du
total.
Condition de lexamen

Spcification de lexamen

Pondration
(%)

1 Information et scurit

10
1.1 Le concept dinformation
1.2 Valeur de linformation
1.3 Critres de fiabilit

2,5
2,5
5

2.1 Menaces et risques


2.2 Relations entre les menaces,
les risques et la fiabilit de
linformation

15
15

2 Menaces et risques

30

3 Approche et organisation

10
3.1 Politique de scurit et
organisation de la scurit
3.2 Composantes
3.3 Gestion des incidents

2,5

4.1 Importance des mesures


4.2 Mesures de scurit physiques
4.3 Mesures techniques
4.4 Mesures organisationnelles

10
10
10
10

2,5
5

4 Mesures

40

5 Lois et rglementations

10
5.1 Lois et rglementations

Total

10
100

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

Contenu dtaill et pondration


1.

Information et scurit (10 %)

1.1

Le concept dinformation (2,5 %)


Le/La candidat(e) comprend le concept dinformation.
Le/La candidat(e) est capable de :
1.1.1 Expliquer la diffrence entre une donne et une information
1.1.2 Dcrire le support de stockage qui fait partie de linfrastructure de base

1.2

Valeur de linformation (2,5 %)


Le/La candidat(e) comprend la valeur de linformation pour les organisations.
Le/La candidat(e) est capable de :
1.2.1 Dcrire la valeur des donnes/de linformation pour les organisations
1.2.2 Dcrire comment la valeur des donnes/de linformation peut influencer
les organisations
1.2.3 Expliquer comment les concepts de scurit de linformation appliqus
protgent la valeur des donnes/de linformation

1.3

Critres de fiabilit (5 %)
Le/La candidat(e) connat les critres de fiabilit (confidentialit, intgrit,
disponibilit) de linformation.
Le/La candidat(e) est capable de :
1.3.1 Nommer les critres de fiabilit de linformation
1.3.2 Dcrire les critres de fiabilit de linformation

2.

Menaces et risques (30 %)

2.1

Menaces et risques (15 %)


Le/La candidat(e) comprend les concepts de menace et de risque.
Le/La candidat(e) est capable de :
2.1.1 Expliquer les concepts de menace, de risque et danalyse des risques
2.1.2 Expliquer la relation entre une menace et un risque
2.1.3 Dcrire divers types de menaces
2.1.4 Dcrire divers types de prjudices
2.1.5 Dcrire diverses stratgies de gestion des risques

2.2

Relations entre les menaces, les risques et la fiabilit de linformatio n.


(15 %)
Le/La candidat(e) comprend la relation entre les menaces, les risques et la
fiabilit de linformation.
Le/La candidat(e) est capable de :
2.2.1 Reconnatre des exemples de divers types de menaces
2.2.2 Dcrire les effets des divers types de menaces sur linformation et le
traitement de linformation

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

3.

Approche et organisation (10 %)

3.1

Politique de scurit et organisation de la scurit (2,5 %)


Le/La candidat(e) connat les concepts de politique de scurit et
dorganisation de la scurit.
Le/La candidat(e) est capable de :
3.1.1 Donner un aperu des objectifs et du contenu dune politique de
scurit
3.1.2 Donner un aperu des objectifs et du contenu dune organisation de la
scurit

3.2

Composantes (2,5 %)
Le/La candidat(e) connat les diverses composantes de lorganisation de la
scurit.
Le/La candidat(e) est capable de :
3.2.1 Expliquer limportance dun code de conduite
3.2.2 Expliquer limportance de la proprit
3.2.3 Nommer les rles les plus importants dans lorganisation de la s curit
de linformation

3.3

Gestion des incidents (5 %)


Le/La candidat(e) comprend limportance de la gestion et du processus
descalade des incidents.
Le/La candidat(e) est capable de :
3.3.1 Rsumer la manire dont les incidents de scurit sont signals et
indiquer les informations requises
3.3.2 Donner des exemples dincidents de scurit
3.3.3 Expliquer les consquences de labsence de signalement dincidents
de scurit
3.3.4 Expliquer ce quimplique le processus descalade des incidents (au
niveau fonctionnel et hirarchique)
3.3.5 Dcrire les effets du processus descalade des incidents au sein de
lorganisation
3.3.6 Expliquer ce quest le cycle de vie dun incident

4.

Mesures (40 %)

4.1

Importance des mesures (10 %)


Le/La candidat(e) comprend limportance des mesures de scurit.
Le/La candidat(e) est capable de :
4.1.1 Dcrire diverses faons de structurer ou dorganiser des mesures de
scurit
4.1.2 Donner des exemples pour chaque type de mesure de scurit
4.1.3 Expliquer la relation entre les risques et les mesures de scurit
4.1.4 Expliquer lobjectif de la classification des informations
4.1.5 Dcrire leffet de la classification

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

4.2

Mesures de scurit physiques (10 %)


Le/La candidat(e) connat la procdure dtablissement et dexcution des
mesures de scurit physiques.
Le/La candidat(e) est capable de :
4.2.1 Donner des exemples de mesures de scurit physiques
4.2.2 Dcrire les risques impliqus par des mesures de scurit physiques
insuffisantes

4.3

Mesures techniques (10 %)


Le/La candidat(e) connat la procdure dtablissement et dexcution des
mesures de scurit techniques.
Le/La candidat(e) est capable de :
4.3.1 Donner des exemples de mesures de scurit techniques
4.3.2 Dcrire les risques impliqus par des mesures de scurit techniques
insuffisantes
4.3.3 Comprendre les concepts de cryptographie, de signature numrique et
de certificat
4.3.4 Nommer les trois tapes des oprations bancaires en ligne (PC, site
Internet, paiement)
4.3.5 Nommer divers types de logiciels malveillants
4.3.6 Dcrire les mesures pouvant tre utilises contre les logiciels
malveillants

4.4

Mesures organisationnelles (10 %)


Le/La candidat(e) connat la procdure dtablissement et dexcution des
mesures de scurit organisationnelles.
Le/La candidat(e) est capable de :
4.4.1 Donner des exemples de mesures de scurit organisationnelles
4.4.2 Dcrire les dangers et les risques impliqus par des mesures de
scurit organisationnelles insuffisantes
4.4.3 Dcrire les mesures de scurit daccs, telles que la sparation des
tches et lutilisation de mots de passe
4.4.4 Dcrire les principes de la gestion de laccs
4.4.5 Dcrire les concepts didentification, dauthentification et dautorisation
4.4.6 Expliquer limportance dune Gestion de la continuit des affaires
correctement tablie pour une organisation
4.4.7 tablir clairement limportance de la pratique dexercices

5.

Lois et rglementations (10 %)

5.1

Lois et rglementations (10 %)


Le/La candidat(e) comprend limportance et leffet des lois et
rglementations.
Le/La candidat(e) est capable de :
5.1.1 Expliquer pourquoi les lois et rglementations sont importantes pour la
fiabilit de linformation
5.1.2 Donner des exemples de lois relatives la scurit de linformation
5.1.3 Donner des exemples de rglementations relatives la scurit de
linformation
5.1.4 Indiquer dventuelles mesures susceptibles dtre prises pour
satisfaire les exigences des lois et rglementations

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

10
10

Commentaire
Les mesures de scurit reprsentent gnralement les premiers aspects auxquels
sont confronts les membres du personnel en matire de scurit de linformation.
Cest pourquoi elles occupent une place centrale au sein du module et
reprsentent le pourcentage le plus lev du rsultat final. Les menaces et les
risques suivent en termes de pourcentage. Enfin, une connaissance de la politique,
de lorganisation et des lois et rglementation en matire de scurit de
linformation est ncessaire pour comprendre limportance des mesures de scurit
de linformation.

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

11
11

3. Liste des concepts de base


Ce chapitre rcapitule lensemble des termes avec lesquels les candidats doivent se
familiariser. Les termes sont classs par thmes.
Franais

Actif

Alimentation sans interruption


(UPS)

Analyse de linformation

Analyse des risques

Analyse des risques qualitative

Analyse des risques quantitative

Architecture de linformation

Audit / Vrification

Authenticit

Authentification

Autorisation

Biomtrie

Canular

Catgorie

Certificat

Classification (classement)

Cl

Code de bonnes pratiques pour la


gestion de la scurit de
linformation (ISO/IEC
27002 :2005)

Code de conduite

Confidentialit

Conformit

Continuit

Contrles

Contrle daccs

Correctif

Correctif(ve)

Crime cyberntique / Cybercrime

Cryptage

Cryptographie

Cycle de vie dun incident

De dtection

Disponibilit

Disposition de remplacement

Donne(s)

Escalade
Escalade fonctionnelle

Escalade hirarchique

English

Asset

Uninterruptible Power Supply


(UPS)

Information analysis

Risk analysis

Qualitative risk analysis

Quantitative risk analysis

Information architecture

Audit

Authenticity

Authentication

Authorization

Biometrics

Hoax

Category

Certificate

Classification (grading)

Key

Code of practice for information


security (ISO/IEC 27002 :2005)

Code of conduct
Confidentiality
Compliance
Continuity
Controls
Access control
Patch
Corrective
Cyber crime
Encryption
Cryptography
Incident cycle
Detective
Availability
Stand-by arrangement
Data
Escalation
Functional escalation
Hierarchical escalation

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

12
12

valuation des risques (Analyse de


dpendance et de vulnrabilit)
Exactitude
Exclusivit
Exhaustivit
Facteur de production
Fentre de maintenance
Fiabilit de linformation
Gestion daccs logique
Gestion de linformation
Gestion de la continuit des
affaires (GCA)
Gestion des risques
Gestion du changement
Hameonnage
Identification
Impact
Incident de scurit
Information(s)
Infrastructure
Infrastructure cls publiques
(ICP)
Ingnierie sociale
Intgrit
Interfrence
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Logiciel espion
Logiciel malveillant
Lois sur la criminalit informatique
Lois sur la protection des donnes
personnelles
Lois sur les documents publics
Lois sur les droits dauteur
Menace
Mesure de scurit
Non-rpudiation
Organisation de la scurit
Pare-feu personnel
Piratage informatique
Plan de continuit des affaires
(PCA)
Plan de reprise aprs sinistre
Politique de scurit
Politique du bureau rang
Pourriel
Prcision
Prjudice
Prjudice direct
Prjudice indirect
Prventif(ve)
Priorit
Programme malveillant furtif

Risk assessment (Dependency &


Vulnerability analysis)
Correctness
Exclusivity
Completeness
Production factor
Maintenance door
Reliability of information
Logical access management
Information management
Business Continuity Management
(BCM)
Risk management
Change Management
Phishing
Identification
Impact
Security incident
Information
Infrastructure
Public Key Infrastructure (PKI)

Social engineering
Integrity
Interference
ISO/IEC 27001:2005
ISO/IEC 27002:2005
Spyware
Malware
Computer criminality legislation
Personal data protection legislation

Public records legislation


Copyright legislation
Threat
Security measure
Non-repudiation
Security Organization
Personal firewall
Hacking
Business Continuity Plan (BCP)

Disaster Recovery Plan (DRP)


Security Policy
Clear desk policy
Spam
Precision
Damage
Direct damage
Indirect damage
Preventive
Priority
Rootkit

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

13
13

Programme troyen
Rapidit dexcution
Rducteur(trice)
Rglementations de scurit pour
le gouvernement
Rpressif(ve)
Rseau priv virtuel (RPV)
Rseau zombie
Respect de la vie prive
Risque
Risque encouru
Risque vit
Risque neutre
Robustesse
Sauvegarde
Sparation des tches
Signature numrique
Sinistre
Stratgie de gestion des risques
Support de donnes
Systme dinformation
Urgence
Validation
Ver
Vrification
Virus
Vulnrabilit

Trojan
Timeliness
Reductive
Security regulations for the
government
Repressive
Virtual Private Network (VPN)
Botnet
Privacy
Risk
Risk bearing
Risk avoiding
Risk neutral
Robustness
Backup
Segregation of duties
Digital signature
Disaster
Risk strategy
Storage medium
Information system
Urgency
Validation
Worm
Verification
Virus
Vulnerability

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

14
14

4. Bibliographie
Bibliographier
A

Hintzbergen, J., Hintzbergen, K., Smulders, A. and Baars, H.


Foundations of Information Security Based on ISO27001 and ISO27002
Van Haren Publishing, 2010
ISBN 978 90 8753 568 1
eBook ISBN 978 90 8753 634 3

Rsum de la bibliographie
Spcification

Literature

1.1

A:

Chapitre 4

1.2

A:

Chapitre 4

1.3

A:

Chapitre 4

2.1

A:

Chapitre 5

2.2

A:

Chapitre 5

3.1

A:

Chapitre 9

3.2

A:

6.2, 6.4, Chapitre 9

3.3

A:

Chapitre 6

4.1

A:

Chapitre 5, Chapitre 6

4.2

A:

Chapitre 7

4.3

A:

Chapitres 8, 10

4.4

A:

Chapitres 9, 10

5.1

A:

Chapitre 11

Guide de Prparation EXIN Information Security Foundation based on ISO/IEC


27002 (ISFS.FR)

15
15

Contacte EXIN
www.exin.com

Vous aimerez peut-être aussi