04 27005RM en ExF V4.8 20141215EL

Formation
Certified ISO 27005 Risk Manager
EXERCICES
Cahier d’exercices
© PECB
Exercice 1 : Mythes et réalités – Gestion du risque

Pour chacun des énoncés suivants, veuillez déterminer si vous croyez qu’il est vrai ou faux
et justifiez votre réponse :
1. Les organismes sont exposés à plus de risques aujourd’hui qu’il y a 25 ans

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
2.Un risque ne peut pas exister sans menace

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
3.On peut prévoir la plupart des risques

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
4.Le risque est avant tout une question de perception

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
5.Il est possible d’éliminer complètement un risque.

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
2
© PECB
6. Un bon gestionnaire sait prendre des risques.
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
7. Une analyse de risque est toujours subjective.

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
8. Une analyse quantitative des risques fournit des résultats plus pertinents qu’une analyse
qualitative.
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
9. La culture du risque admet le droit à l’erreur.

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
3
© PECB
Exercice 2 : Management du risque

Veuillez décrire quels sont les trois plus importants avantages du management des risques
en sécurité de l’information et veuillez également décrire comment ces avantages s’alignent
avec le management du risque de l’entreprise.
Avantage 1) ..............................................................................................................................
..................................................................................................................................................
Comment l’avantage s’aligne avec le management du risque d’entreprise ? ...........................
..................................................................................................................................................
..................................................................................................................................................
Avantage 2)...............................................................................................................................
..................................................................................................................................................
Comment l’avantage s’aligne avec le management du risque d’entreprise ?............................
..................................................................................................................................................
..................................................................................................................................................
Avantage 3)...............................................................................................................................
..................................................................................................................................................
Comment l’avantage s’aligne avec le management du risque d’entreprise ?............................
..................................................................................................................................................
..................................................................................................................................................
4
© PECB
Exercice 3 : Ressources
Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont

soudainement préoccupés par les aspects de contrôle et de sécurité, d’autant plus qu’il y a
eu quelques incidents de sécurité dernièrement. Les dirigeants de l’entreprise hésitent
toutefois à implémenter un programme de management du risque car ils n’en connaissent
pas les coûts. Veuillez identifier les ressources (financières, matérielles, humaines…) dont
Voyage Extrême aurait besoin pour effectuer un exercice de management des risques.
Veuillez évaluer plusieurs options pour l’entreprise avec les couts associés.
1) Ressources financières.........................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
2) Ressources matérielles.........................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
3) Ressources humaines...........................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
5
© PECB
Exercice 4 : Etablir le contexte
Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont

soudainement préoccupés par les aspects de contrôle et de sécurité, d’autant plus qu’il y a
eu quelques incidents de sécurité dernièrement. Comme ils vous connaissent bien et qu’ils
savent que vous êtes des experts en gestion du risque, ils vous confient la mission de leur
préparer une gestion du risque afin de les aider à mieux comprendre leur situation actuelle et
à identifier les mesures de sécurité qui pourraient l’améliorer.
La première étape de votre mandat est d’établir le contexte de la gestion des risques. Le
président ne sait pas trop comment il devrait formuler ses objectifs et ses critères en matière
d’évaluation du risque. Cela lui semble du jargon de spécialistes. Il veut que vous lui
proposiez une version qu’il approuvera.
Selon l’information contenue dans l’étude de cas, veuillez :
 Proposer les objectifs de la gestion du risque de Voyage Extrême ;
 Proposer les critères d’évaluation du risque ;
 Identifier les sources des exigences de conformité pour cette organisation.
1) Principaux objectifs pour la gestion des risques de Voyage Extrême

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
2) Critères d’évaluation du risque

.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
3) Sources des exigences
6
© PECB
Source d’exigence 1 : ......................................................................................................................

Enjeux : ..........................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................

Enjeux : ..........................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................

Enjeux : ..........................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
7
© PECB
Exercice 5 : Identification des actifs

Quels seraient selon vous les 4 actifs les plus importants pour l’entreprise Voyage Extrême ?
Expliquez pourquoi il s’agit des actifs ayant le plus de valeur pour l'organisme. Veuillez
également identifier s’il s’agit d’actifs primaires ou d’actifs de support.
Actif 1 : ............................................................................................................................................
.......................................................................................................... Actif principal  actif de soutien 
Explication : .......................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
Actif 2 : ............................................................................................................................................
Explication : .......................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
Actif 3 : ............................................................................................................................................
Explication : .......................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
Actif 4 : ............................................................................................................................................
Explication : .......................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
8
© PECB
Exercice 6) Scénarios de risque
Veuillez identifier au moins deux scénarios de menaces et de vulnérabilités associés aux
actifs suivants et indiquer les impacts potentiels et si les risques affecteraient la
confidentialité, l’intégrité et/ou la disponibilité.
Complétez la matrice de risque et préparez-vous à discuter vos réponses après l’exercice.
9
Actif 1 : Processus de comptabilité
Scénario Impacts
risque Menace Vulnérabilité C I D
#1
© PECB
Actif 1 : Processus de comptabilité

Scénario Impacts
#2
Exercice 6 : Scénarios de risque
11
© PECB
Actif 2 : Informations personnelles des clients

Scénario Impacts
#1
#2
12
© PECB
Actif 3 : L’équipe des guides touristiques

Scénario Impacts
#1
13
© PECB
Actif 3 : L’équipe des guides touristiques

Scénario Impacts
#2
14
Exercice 7 : Évaluation quantitative du risque
1) Des données d’une valeur de 25000 dollars sont stockées sur le serveur Z. Lors de l’analyse
des menaces et vulnérabilités, on a estimé qu’un virus endommagerait 80% des données
stockées sur le serveur Z. On estime une chance sur 10 par année la probabilité que le serveur Z
soit infecté par un virus. Calculez la Perte Unique Anticipée et la Perte Annuelle Anticipée.
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
2) Calculer la valeur d’une mesure de contrôle pour une pompe à eau d’un coût total (installation
plus entretien) de 1000$ réduisant la perte annuelle de 6000$ à 4000$.
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
© PECB
3) L'organisme envisage de changer les clés USB de ses employés pour des clés USB à
protection biométrique. Sachant que la valeur moyenne des informations stockées sur une clé
USB est de 2000$ et que l'organisme a un niveau d’acceptation du risque de 1000$, quel est le
facteur d’exposition minimum pour que la mesure de contrôle soit valable ?
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
4) Une mesure de sécurité est rentable jusqu’à ce que sa valeur soit égale a zéro. Sachant
qu’une mesure de sécurité visant à protéger l’accès coute 5000$ et que la nouvelle perte après
mise en œuvre de la mesure de sécurité est de 5000$, calculez la valeur minimale de l’actif à
protéger pour que la mesure soit rentable. Le facteur d’exposition et le taux annuel d’occurrence
sont égaux à 10%.
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
16
© PECB
Exercice 8 : Options de traitement du risque

Suite à l’analyse de risque, vous avez identifié que 0,5% des transactions électroniques (chiffre
d’affaires de 10 millions) effectués par cartes de crédit sur le site Web de Voyage Extrême sont
de nature frauduleuse et que 70% de ces transactions proviennent de 6 pays.
La direction de Voyage Extrême veut prendre une décision pour le traitement de risque. Veuillez
lui préparer un sommaire exécutif expliquant les 4 choix d’options possibles pour traiter ce risque
et les actions à entreprendre si cette option est choisie.
Option 1 :
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
Option 2 :
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
.........................................................................................................................................................
17
© PECB
Option 3 :
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
Option 4 :
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
…………………………………………………………………………………………………………………
18
© PECB
Exercice 9 : Feuille de travail du risque de l’actif informationnel
Le formateur divisera la classe en quelques petits groupes. Pour chaque groupe, sélectionner un
actif d’information critique de l’étude de cas et veuillez remplir la feuille de travail 10 - Feuille de
travail du risque de l’actif informationnel.
Durée de l’exercice : 30 minutes

Commentaires : 15 minutes
Commentaires du professeur : .............................................................................................

..................................................................................................................................................
..................................................................................................................................................
..................................................................................................................................................
19
© PECB
Allegro - Worksheet 10 FEUILLE DE TRAVAIL DU RISQUE DE L’ACTIF INFORMATIONNEL

Actif
Risque de l’actif informationnel
Menace informationnel
Domaine de
préoccupation
(1) Acteur
Qui va exploiter le domaine de
préoccupation ou de menace?
(2) Moyen
Comment l’acteur va faire ceci ? Que
vont-ils faire ?
(3) Motif
Quelle est la raison de l’acteur pour
faire ceci ?
(4) Résultat  Divulgation  Destruction
Quel seront les effets qui résulteront
sur l’actif informationnel ?  Modification  Interruption
(5) Exigences de sécurité
De quelle façon les exigences de
sécurité de l’actif informationnel seront
violées ?
(6) Probabilité  Ele
Quelle est la vraisemblance pur que ce  Moyenne  Faible
scenario de menace se produise ? vé
(7) Conséquences (8) gravité
Quelles sont les conséquences pour une organisation Quel est le niveau de gravite de ces
ou un propriétaire de l’actif informationnel à la suite des conséquences pour l’organisation ou le
résultats et des violations des exigences de sécurité ? propriétaire de l’actif par le domaine
d’impact ?
Domaine
Valeur Score
d’impact
Réputation &
confiance du client
Finances
Productivité
Santé & sécurité
Amendes &
poursuites légales
Domaine d’impact
défini par
l’utilisateur
Score du risque relatif
20

04 27005RM en ExF V4.8 20141215EL

Transféré par

Informations du document

Description :

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

04 27005RM en ExF V4.8 20141215EL

Titre original :

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Formation

Certified ISO 27005 Risk Manager

Exercice 1 : Mythes et réalités – Gestion du risque

1. Les organismes sont exposés à plus de risques aujourd’hui qu’il y a 25 ans

2.Un risque ne peut pas exister sans menace

3.On peut prévoir la plupart des risques

4.Le risque est avant tout une question de perception

5.Il est possible d’éliminer complètement un risque.

7. Une analyse de risque est toujours subjective.

9. La culture du risque admet le droit à l’erreur.

Exercice 2 : Management du risque

Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont

Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont

1) Principaux objectifs pour la gestion des risques de Voyage Extrême

2) Critères d’évaluation du risque

3) Sources des exigences

Source d’exigence 1 : ......................................................................................................................

Source d’exigence 2 : ......................................................................................................................

Source d’exigence 3 : ......................................................................................................................

Exercice 5 : Identification des actifs

.......................................................................................................... Actif principal  actif de soutien 

.......................................................................................................... Actif principal  actif de soutien 

.......................................................................................................... Actif principal  actif de soutien 

.......................................................................................................... Actif principal  actif de soutien 

Complétez la matrice de risque et préparez-vous à discuter vos réponses après l’exercice.

Actif 1 : Processus de comptabilité

Exercice 6 : Scénarios de risque

Actif 2 : Informations personnelles des clients

Actif 3 : L’équipe des guides touristiques

Actif 3 : L’équipe des guides touristiques

Exercice 8 : Options de traitement du risque

Exercice 9 : Feuille de travail du risque de l’actif informationnel

Durée de l’exercice : 30 minutes

Commentaires du professeur : .............................................................................................

Allegro - Worksheet 10 FEUILLE DE TRAVAIL DU RISQUE DE L’ACTIF INFORMATIONNEL

Santé & sécurité

Score du risque relatif

Centres d'intérêt liés

Vous aimerez peut-être aussi