Day 1

Programme du jour 1
Section 1 : Objectifs et structure de la formation

Section 2 : Cadres normatifs et réglementaires
Section 3 : Concepts et définitions du risque
Section 4 : Programme de gestion des risques
Section 5 : Établissement du contexte
© 2019 PECB. Tous droits réservés.

Version 6.0
Numéro de document : 27005RMD1V6.0
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l'autorisation écrite préalable de PECB.
Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2021-12-09
1/121
Jour 1 : Introduction à la norme ISO/IEC 27005 et à la mise en œuvre d'un programme de gestion des
risques
Section 1 : Objectifs et structure de la formation
Section 2 : Cadres normatifs et réglementaires
Section 3 : Concepts et définitions du risque
Section 4 : Programme de gestion des risques
Section 5 : Établissement du contexte
Jour 2 : Évaluation, traitement et acceptation des risques en sécurité de l'information conformément à la
norme ISO/IEC27005
Section 6 : Identification des risques
Section 7 : Analyse des risques
Section 8 : Évaluation des risques
Section 9 : Appréciation des risques à l'aide d'une méthode quantitative
Section 10 : Traitement des risques
Section 11 : Acceptation des risques en sécurité de l'information
Jour 3 : Communication, consultation, surveillance, revue des risques et méthodes d’appréciation des
risques
Section 12 : Communication et concertation relatives aux risques en sécurité de l'information
Section 13 : Surveillance et réexamen des risques en sécurité de l'information
Section 14 : Méthode OCTAVE
Section 15 : Méthode MEHARI
Section 16 : Méthode EBIOS
Section 17 : Méthode harmonisée d'évaluation des menaces et des risques (EMR)
Section 18 : Processus de certification et clôture de la formation
Jour 4 : Examen de certification

2/121
Normes en référence
1.Principales normes :
ISO/IEC 27005:2018, Technologies de l'information – Techniques de sécurité – Gestion des risques liés à
la sécurité de l'information
ISO/IEC 27000:2018, Technologies de l'information – Techniques de sécurité – Systèmes de management
de la sécurité de l'information – Vue d'ensemble et vocabulaire
de la sécurité de l'information – Exigences
ISO/IEC 27002:2013, Technologies de l'information – Techniques de sécurité – Code de bonne pratique
pour le management de la sécurité de l'information
ISO 31000:2018, Management du risque – Lignes directrices
ISO Guide 73:2009, Management du risque – Vocabulaire
IEC 31010:2019, Management du risque – Techniques d'appréciation du risque
2.Autres normes référencées :
ISO 9000:2015, Systèmes de management de la qualité – Principes essentiels et vocabulaire
ISO 9001:2015, Systèmes de management de la qualité – Exigences
ISO/IEC17024:2012, Évaluation de la conformité – Exigences générales pour les organismes de
certification procédant à la certification de personnes
ISO/IEC 20000-1:2018, Technologies de l'information – Gestion des services – Partie 1 : Exigences du
système de management des services
ISO/IEC 20000-2:2019, Technologies de l'information – Gestion des services – Partie 2 : Guide pour
l'application des systèmes de management des services
ISO 22301:2012, Sécurité sociétale – Systèmes de management de la continuité d’activité – Exigences
de la sécurité de l'information – Lignes directrices
ISO 28000:2007, Spécifications relatives aux systèmes de management de la sûreté de la chaîne
d'approvisionnement

3/121
Liste des acronymes
CERT : Computer Emergency Response Team
SGC : Système de gestion de contenu
COSO : Committee of Sponsoring Organizations of the Treadway Commission
FPC : Formation professionnelle continue
GED : Gestion électronique des documents
EDM : Electronic document management system
FISMA : Federal Information Security Management Act
GAAS (Generally Accepted Auditing Standards) : Normes d'audit généralement admises
GLBA : Gramm–Leach–Bliley Act
HIPAA : Health Insurance Portability and Accountability Act
IMS2 : (Integrated Implementation Methodology for Management Systems and Standards) Méthodologie de mise
en œuvre intégrée des systèmes de management et des normes
SMSI : Système de management de la sécurité de l’information
ISO : Organisation internationale de normalisation
ITIL : Information Technology Infrastructure Library
LA Lead Auditor
LI : Lead Implementer
NC : Non-conformité
4/121
NIST : National Institute of Standards and Technology
OCDE : Organisation de coopération et de développement économiques
PCI DSS : Payment Card Industry Data Security Standard
PDCA : Planifier-Déployer-Contrôler-Agir
PECB : Professional Evaluation and Certification Board
ROI (Return on Investment) : Retour sur investissement
ROSI (Return on Security Investment) : Retour sur investissement en sécurité des systèmes d'information
SMS (Service management system) : Système de management des services
SOX : Sarbanes–Oxley Act

5/121
Cette section fournit des informations qui aideront le participant à acquérir une connaissance globale des
objectifs et de la structure de la formation, y compris le processus d'examen et de certification, et plus
d`informations sur PECB.

6/121
Afin de briser la glace, tous les participants se présenteront en mentionnant :
Nom
Fonction
Connaissances et expérience dans les domaines de la gestion des risques et de la sécurité de
l'information
Connaissances et expérience avec d'autres normes (ISO/IEC 27001, ISO/IEC 27005, ISO 31000, etc.)
Objectifs et attentes pour ce cours
Durée de l’activité : 20 minutes

7/121
En cas d'urgence, veuillez noter la localisation des issues de secours.
Entente sur l'horaire du cours et deux pauses (soyez à l'heure).
Réglez votre téléphone portable en mode silencieux. Si vous devez répondre à un appel, veuillez le faire
en dehors de la salle de classe.
Les appareils d’enregistrement sont interdits, car ils peuvent nuire à la libre discussion.
Toutes les séances de formation sont conçues pour encourager chacun à participer et à tirer le meilleur
parti de la formation.
Service client
Afin d’assurer la satisfaction du client et l'amélioration continue, le service client de PECB a mis en place un
système de tickets d’assistance pour traiter les réclamations et les services offerts à nos clients.
Dans un premier temps, nous vous invitons à discuter de la situation avec le formateur. Si nécessaire, n'hésitez
pas à contacter le responsable de l'organisme de formation où vous êtes inscrit. Dans tous les cas, nous restons
à votre disposition pour arbitrer tout litige pouvant survenir entre vous et l'organisme de formation.
Pour envoyer vos commentaires, questions ou réclamations, veuillez ouvrir un ticket d’assistance sur le site Web
de PECB au Centre d'aide PECB (www.pecb.com/help).
Si vous avez des suggestions concernant l'amélioration du matériel de formation PECB, nous aimerions les
connaître. Nous lisons et évaluons les commentaires de nos membres. Vous pouvez le faire directement depuis
notre application KATE ou vous pouvez ouvrir un ticket adressé au département de formation sur le Centre d'aide
PECB. (www.pecb.com/help).
En cas d'insatisfaction à l'égard de la formation (formateur, salle de formation, équipement, etc.), de l'examen ou
des processus de certification, veuillez ouvrir un ticket sous la catégorie «Faire une réclamation» sur le Centre
d'aide PECB (www.pecb.com/help).

8/121
La formation vise à permettre aux candidats d'acquérir ou d'améliorer leurs compétences à gérer un programme
de gestion des risques en sécurité de l'information. D'un point de vue pédagogique, la compétence se compose
des 3 éléments suivants :
1. Connaissance
2. Compétence
3. Comportement (attitude)
Cette formation est axée sur l'acquisition de connaissances liées à la gestion des risques en sécurité de
l'information et non sur l'acquisition d'expertise sur une méthodologie de gestion des risques.
Pour obtenir des connaissances plus approfondies sur les méthodes d’appréciation des risques, il est
recommandé d'assister à un atelier pratique sur une méthode spécifique comme OCTAVE, MEHARI ou EBIOS.

9/121
Cette formation se concentre sur la réalité de la mise en œuvre d'un programme de gestion des risques. L'étude
de cas et les exercices sont utilisés pour simuler des conditions qui sont aussi proches que possible de la réalité
sur le terrain.
Plusieurs exercices permettront au participant de renforcer ses compétences personnelles nécessaires pour agir
avec diligence professionnelle au cours de la mise en œuvre et la gestion d'un programme de gestion des
risques, telles que la capacité de prendre des décisions, le travail d'équipe, l'ouverture d'esprit, etc.

10/121
À l'issue de la formation, les participants auront acquis des connaissances et développé des compétences sur
"Comment" mettre en œuvre un système de management, et pas seulement sur "Pourquoi" le mettre en œuvre
et "Que faire" pendant le processus de mise en œuvre.

11/121
Ce cours repose principalement sur :
Des sessions animées par un formateur, où l'interaction par le biais de questions et de suggestions est
fortement encouragée
L’implication des participants à travers divers exercices interactifs, étude de cas, notes, discussions
(expériences des participants), et ainsi de suite
N'oubliez pas : Ce cours est le vôtre ; vous êtes le principal acteur de son succès.
Les participants sont encouragés à prendre des notes supplémentaires.
Exercices et exemples pratiques sont essentiels au développement des compétences nécessaires pour bien
mettre en œuvre un système de management. Il est donc très important de les faire consciencieusement,
considérant que ces exercices aideront les candidats à se préparer à l'examen final.

12/121
L'objectif de l'examen de certification est de s'assurer que les candidats maîtrisent les concepts et les techniques
de gestion des risques afin d’être en mesure de participer à des projets de gestion des risques. Le comité
d'examen de PECB doit s'assurer que l'élaboration et le caractère adéquat des questions d'examen sont
maintenus en fonction des pratiques professionnelles actuelles.
Tous les domaines de compétence sont couverts par l'examen. Pour lire une description détaillée de chaque
domaine de compétence, veuillez consulter le site Web de PECB.

13/121
La réussite de l'examen n'est pas l’unique prérequis à l'obtention du titre de compétence "PECB Certified
ISO/IEC 27005 Risk Manager". Ce certificat atteste à la fois de la réussite de l'examen et de la validation du
dossier d'expérience professionnelle. Malheureusement, après avoir réussi l'examen, de nombreuses personnes
affirment être qualifiées ISO/IEC Risk Manager, bien qu'ils n'aient pas le niveau d'expérience requis.
L'ensemble des critères et le processus de certification seront expliqués en détail au cours de la dernière
journée de formation.
Un candidat moins expérimenté peut faire une demande de certification «PECB Certified ISO/IEC 27005
Provisional Risk Manager».
Note importante : Les frais de certification sont inclus dans le prix de la formation. Le candidat n'aura donc pas
à payer de frais supplémentaires lorsqu'il présente une demande de certification pour obtenir l'une des
certifications professionnelles : PECB Certified ISO/IEC 27005 Provisional Risk Manager or PECB Certified
ISO/IEC 27005 Risk Manager.

14/121
Après la réussite de l’examen, le candidat dispose d’un délai maximal de trois ans pour soumettre sa demande
en vue de l’obtention d’une des certifications professionnelles reliées au schéma de certification ISO/IEC 27005.
Une fois sa certification accordée, le candidat recevra un avis de PECB et il pourra télécharger le certificat à
partir de son Tableau de bord PECB. Le certificat est valable pour trois ans. Pour maintenir sa certification, le
candidat doit démontrer chaque année qu'il satisfait aux exigences du titre de compétence qui lui a été attribué et
qu'il se conforme au Code de déontologie de PECB. Pour en savoir plus sur la procédure de maintien et de
renouvellement des certificats, veuillez consulter le site Web de PECB. Plus de détails seront fournis à la fin de la
formation.

15/121
Une certification internationalement reconnue peut vous aider à maximiser votre potentiel de carrière et
à atteindre vos objectifs professionnels.
Une certification internationale est une reconnaissance officielle de la compétence d'un individu.
Selon les enquêtes sur les salaires menées au cours des cinq dernières années, les gestionnaires certifiés
gagnent un salaire moyen considérablement plus élevé que leurs homologues non certifiés.

16/121
PECB est un organisme de certification des personnes, des systèmes de management et des produits pour un
large éventail de normes internationales. En tant que fournisseur mondial de formation, d’examen, d’audit et de
certification, PECB offre son expertise dans de nombreux domaines, notamment la sécurité de l’information, les
TI, la continuité d’activité, la gestion des services, le management de la qualité, le management du risque, la
santé, la sécurité et l’environnement.
Nous aidons les professionnels et les organismes à démontrer engagement et compétence en leur
fournissant une formation, une évaluation et une certification de qualité conformément aux exigences de
normes reconnues mondialement. Notre mission est de fournir à nos clients des services complets qui
inspirent confiance, démontrent une reconnaissance et bénéficie à toute la société. PECB est accréditée
par IAS (International Accreditation Service) selon ISO/IEC 17024, ISO/IEC 17021-1 et ISO/IEC 17065.

17/121
L’objectif de PECB, tel qu’inscrit dans son règlement, est de développer et de promouvoir des normes
professionnelles pour la certification et d’administrer des programmes de certification crédibles pour les
personnes qui exercent dans des disciplines impliquant la mise en œuvre et l’audit d'un système de management
conforme. Cet objectif comprend :
1. Établir les exigences minimales nécessaires pour certifier les professionnels, les organismes et les
produits
2. Réviser et vérifier les qualifications des candidats admissibles à une certification professionnelle
3. Élaborer et maintenir des évaluations de certification fiables, valides et à jour
4. Délivrer des certificats aux candidats, organismes et produits qualifiés et maintenir à jour et publier un
registre des titulaires de certificats valides
5. Établir des exigences pour le renouvellement périodique de la certification et déterminer la conformité à
ces exigences
6. S'assurer que les personnes certifiées satisfont aux normes d'éthique et respectent le Code de déontologie
de PECB
7. Représenter ses membres, le cas échéant, dans les questions d'intérêt commun
8. Promouvoir les avantages de la certification aux employeurs, aux fonctionnaires, aux praticiens des
domaines connexes et au grand public

18/121
Certification de systèmes de management :
Alors que les organismes cherchent continuellement des moyens d'obtenir un avantage concurrentiel sur le
marché, avoir un système de management certifié en place est la meilleure solution. Les avantages sont
multiples : amélioration de la qualité des produits et des services, reconnaissance internationale accrue,
réduction des coûts, amélioration de la satisfaction client, etc.
Certification de formations :
Les organismes ou les personnes qui cherchent à faire certifier leur formation (aussi appelés " développeurs de
formation ") doivent se conformer aux exigences du programme de certification de formations établi par PECB.
Certification des applications :
Compte tenu de l’augmentation considérable du nombre d'utilisateurs d’applications logicielles dans le monde,
PECB a développé un programme de certification d’applications logicielles. Ce programme vise à définir les
règles communes, qualitatives et quantitatives, les caractéristiques et les conditions minimales applicables pour
les produits logiciels à respecter par les organisations de développement de logiciels pour évaluer leur
conformité.
Certification des équipes :
PECB offre des certifications d'équipe qui aident les organismes à améliorer l'efficacité et la productivité de leurs
équipes. Les équipes cherchant à obtenir la certification feront l'objet d'une évaluation et d'une appréciation afin
de vérifier la conformité aux exigences et aux critères.
Toutes les certifications mentionnées ci-dessus sont valables pour une période de trois ans. PECB examinera
périodiquement la performance des personnes, des systèmes de management, des équipes, des produits et
applications pour s'assurer qu'ils sont conformes aux exigences et s'assurer que l'amélioration continue est en
place.

19/121
L’Université PECB offre en ligne des programmes de MBA et de certificat d'études supérieures en management
de la continuité d’activité, de la sécurité de l'information, des services informatiques, de la qualité et du risque.
L'objectif de l’Université PECB est de fournir un enseignement supérieur de haute qualité et des services
complets qui inspirent l’amélioration continue, démontrent une reconnaissance et profitent à une organisation,
une communauté, un état et la société dans son ensemble.
Notes importantes :
1. Afin de compléter l’un des programmes de MBA, les candidats doivent accumuler un total de 48 crédits.
Les programmes sont composés de trois ensembles de cours classés par catégorie : cours de base, de
spécialisation et facultatifs - plus la thèse de MBA. Chaque cours des trois catégories mentionnées ci-
dessus vaut trois crédits, tandis que la thèse vaut 12 crédits.
2. Chacun des programmes de certificat d'études supérieures est un programme d'une valeur de douze
crédits Les candidats devront suivre quatre cours qui s'inscrivent dans les domaines respectifs. Si un
candidat décide de poursuivre ses études et d'obtenir un MBA, il peut suivre deux programmes de
certificat d'études supérieures de son choix, combinés au certificat d'études supérieures en administration
des affaires, soumettre sa thèse et obtenir son diplôme.
Les candidats qui détiennent un certificat valide de PECB et qui répondent aux exigences du programme
universitaire qui les intéresse peuvent transférer ces crédits pour obtenir des crédits valides pour le cours
correspondant de l'université. Pour de plus amples informations sur l'Université PECB ou le transfert des crédits
de certification, veuillez contacter university@pecb.com.

20/121
La norme ISO/IEC 17024 fournit un cadre complet pour que les organismes de certification, tels que PECB,
puissent fonctionner de manière cohérente et fiable. La fonction primaire de l'organisme qui procède à la
certification de personnes est de réaliser une évaluation indépendante de l'expérience, des connaissances et des
attitudes démontrées d’un candidat applicables au domaine pour lequel la certification est attribuée.
La norme est conçue pour aider les organismes qui procèdent à la certification des personnes à mener des
évaluations bien planifiées et structurées en utilisant des critères objectifs de compétence et de notation afin
d'assurer l'impartialité des opérations et de réduire les risques de conflits d'intérêts.
La norme internationale ISO/IEC 17024 traite de la structure et de la gouvernance de l'organisme de certification,
des caractéristiques du programme de certification, et des informations qui doivent être mises à la disposition
des candidats.
Note importante :
Seul un organisme de certification accrédité selon la norme ISO/IEC 17024 assure une reconnaissance
internationale. Il est important de valider le statut d'un organisme de certification auprès de l'autorité
d'accréditation associée telle que IAS, ANSI et UKAS. Pour plus d'informations concernant l'accréditation de
PECB, veuillez visiter: www.pecb.com/fr/affiliations.

21/121
22/121
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur la structure de
l'ISO et les normes de systèmes de management, les avantages d’ISO/IEC 27005 et la gestion des risques.

23/121
Principes clés de l'élaboration des normes
1. Les normes ISO répondent à un besoin du marché. ISO élabore uniquement des normes pour
lesquelles il existe une demande du marché, en réponse à des demandes officielles de secteurs industriels
ou d'intervenants (par ex. des groupes de consommateurs). En général, la demande pour une norme est
communiquée aux membres nationaux qui contactent ensuite l'Organisation internationale de
normalisation (ISO).
2. Les normes ISO sont fondées sur l'opinion d'experts mondiaux. Les normes ISO sont élaborées par
divers comités techniques (TC) qui comprennent des experts de toutes les régions du monde. Ces experts
négocient tous les aspects de la norme, y compris don domaine d’application, ses définitions et son
contenu.
3. Les normes ISO sont élaborées par le biais d'un processus faisant appel à de multiples parties
prenantes. Les comités techniques sont composés d'experts de l'industrie concernée, mais aussi
d'associations de consommateurs, d'universitaires, d'ONG et de gouvernements.
4. Les normes ISO sont fondés sur un consensus. L'élaboration des normes ISO repose sur une
approche consensuelle et les commentaires de toutes les parties prenantes sont pris en compte. Tous les
pays membres de l'ISO, quelle que soit la taille ou la force de leur économie, sont sur le même pied
d'égalité en termes d’influence dans l'élaboration de normes.
Pour plus d'informations, veuillez visiter : www.iso.org.

24/121
L'ISO définit une norme comme un document approuvé par un organisme reconnu, élaboré par consensus par
des experts de l'industrie, et qui fournit des recommandations sur la conception, l'utilisation ou la performance de
produits, processus, services, systèmes ou personnes.
Les normes peuvent être élaborées par des organismes de normalisation nationaux, régionaux ou internationaux,
et par des entreprises ou d'autres organismes pour leur propre usage interne. Elles peuvent également être
élaborées par des consortiums économiques soucieux de répondre aux besoins économiques de marchés
spécifiques ou par des organismes gouvernementaux pour soutenir la réglementation.
Les normes internationales peuvent indiquer ce qui DOIT être fait, auquel cas elles sont connues sous le nom de
normes «normatives» ou peuvent indiquer ce qui DEVRAIT, PEUT ou POURRAIT être fait, auquel cas elles sont
nommées normes «informatives». Une norme internationale peut comporter à la fois des parties normatives et
informatives. ISO/IEC 27005 est une norme informative, car elle fournit des conseils pour aider les organismes à
satisfaire aux exigences de la norme ISO/IEC 27001.
Une méthodologie est plutôt orientée vers la recherche d'un résultat. Une méthodologie est un ensemble ordonné
de principes, de règles et d'étapes établissant une manière structurée d'obtenir un résultat souhaité.

25/121
La famille de normes ISO 27000, qui existe depuis 2005, est dédiée à la sécurité de l'information à travers les
systèmes de management de la sécurité de l'information (ISMS). Il existe trois normes «normatives» dans la
série, dont la norme ISO/IEC 27001 est la seule par rapport à laquelle un organisme peut obtenir une
certification. Toutes les autres normes sont des lignes directrices.
Les normes dans la 27000 série sont :
ISO/IEC 27000 : Introduit les concepts de base ainsi que le vocabulaire qui s'applique au développement
de systèmes de management de la sécurité de l'information. Un exemplaire gratuit de ce standard peut
être téléchargé à partir du site Web de l'ISO
ISO/IEC 27001 : Définit les exigences du système de management de la sécurité de l'information (SMSI)
et fournit un ensemble de mesures de sécurité de référence dans son Annexe A
ISO/IEC 27002 (remplace ISO/IEC 17799) : Fournit les objectifs et les lignes directrices de mise en œuvre
des mesures de sécurité de l'information énoncées à l’Annexe A de la norme ISO/IEC 27001. Vise à
répondre aux besoins des organismes de tous types et de toutes tailles
ISO/IEC 27003 : Directives pour la mise en œuvre ou la mise en place d'un SMSI
ISO/IEC 27004 : Méthode pour définir les objectifs de mise en œuvre et les critères d'efficacité de
surveillance, mesurage, analyse et évaluation tout au long du processus
ISO/IEC 27005 : Directives pour la gestion des risques en sécurité de l'information conforme aux
concepts, modèles et processus généraux spécifiés dans ISO/IEC 27001
ISO/IEC 27006 : Exigences pour les organismes qui auditent et certifient les SMSI
ISO/IEC 27007 : Directives pour l'audit des systèmes de management de la sécurité de l'information
ISO/IEC 27008 : Directives à l'intention des auditeurs des contrôles de sécurité de l'information
ISO/IEC 27009 : Exigences pour les rédacteurs de directives de mise en œuvre ISO/IEC 27001
spécifiques à un secteur
ISO/IEC 27011 : Directives pour l'utilisation d'ISO/IEC 27002 dans l'industrie des télécommunications
ISO/IEC 27031 : Directives pour la préparation des technologies de la communication et de l’information
pour la continuité d’activité
ISO 27799: Directives pour l'utilisation d'ISO/IEC 27002 en informatique de la santé

26/121
ISO/IEC 27001 :
Un ensemble d'exigences normatives pour établir, mettre en œuvre, maintenir et améliorer
continuellement un système de management de la sécurité de l'information (SMSI)
Un système de management pour sélectionner les mesures de sécurité adaptées aux besoins de chaque
organisme selon les bonnes pratiques
Un système de management intégré dans le cadre global du risque associé à l'activité de l'organisme
Un processus internationalement reconnu, défini et structuré pour gérer la sécurité de l'information
Une norme internationale qui convient à tous les types d'organisations (entreprises commerciales,
organismes gouvernementaux, organismes sans but lucratif), de toutes tailles, dans toutes les industries

27/121
ISO/IEC 27001, article 0.1 Généralités
La présente Norme internationale a été élaborée pour fournir des exigences en vue de l’établissement, de la mise
en œuvre, de la tenue à jour et de l’amélioration continue d’un système de management de la sécurité de
l’information. L’adoption d’un système de management de la sécurité de l’information relève d’une décision
stratégique de l’organisation. L’établissement et la mise en œuvre d’un système de management de la sécurité de
l’information d’une organisation tiennent compte des besoins et des objectifs de l’organisation, des exigences de
sécurité, des processus organisationnels mis en œuvre, ainsi que de la taille et de la structure de l’organisation.
Tous ces facteurs d’influence sont appelés à évoluer dans le temps.
Le système de management de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité
de l’information en appliquant un processus de gestion des risques et donne aux parties intéressées l’assurance
que les risques sont gérés de manière adéquate.
Il est important que le système de management de la sécurité de l’information fasse partie intégrante des
processus et de la structure de management d’ensemble de l’organisation et que la sécurité de l’information soit
prise en compte dans la conception des processus, des systèmes d’information et des mesures. Il est prévu qu’un
système de management de la sécurité de l’information évolue conformémentaux besoins de l’organisation.
La présente Norme internationale peut être utilisée par les parties internes et externes pour évaluer la capacité de
l’organisation à répondre à ses propres exigences en matière de sécurité de l’information.

28/121
ISO / IEC 27005, article 1 Domaine d’application
Le présent document contient des lignes directrices relatives à la gestion des risques en sécurité de l'information.
Le présent document appuie les concepts généraux énoncés dans l'ISO/IEC 27001; il est conçu pour aider à la
mise en place de la sécurité de l'information basée sur une approche de gestion des risques.
Il est important de connaître les concepts, les modèles, les processus et les terminologies décrites dans l'ISO/IEC
27001 et l'ISO/IEC 27002 afin de bien comprendre le présent document.
Le présent document est applicable à tous types d'organismes (par exemple les entreprises commerciales, les
agences gouvernementales, les organisations à but non lucratif) qui ont l'intention de gérer des risques
susceptibles de compromettre la sécurité des informations de l'organisme.

29/121
Étant donné que la norme ISO/IEC 27005 ne fournit pas de méthodes spécifiques pour la gestion et
l’appréciation des risques en sécurité de l'information, il appartient à chaque organisme de sélectionner ou
d’identifier une méthode qui correspond à leur approche de gestion des risques (en tenant compte du périmètre
d’application de son SMSI, de son contexte de gestion des risques, du secteur industriel, des ressources
disponibles, etc.).
Toute méthode d’appréciation et de gestion des risques qui répond aux critères minimaux d’ISO/IEC
27001 est acceptable, même une méthode développée en interne (sous réserve de l'exigence selon
laquelle un organisme doit démontrer qu'il peut fournir des données comparables et des résultats
reproductibles).

30/121
ISO 13335: Sous le nom de "Lignes directrices pour la gestion de la sécurité des TI (GMIT), cette norme a été
divisée en cinq sections différentes qui définissent un cadre pour la gestion des risques :
ISO 13335-1 : Concepts et modèles pour la gestion de la sécurité des technologies de l'information et des
communications (2004)
ISO 13335-2 : Management et planning de sécurité IT (1997)
ISO 13335-3 : Techniques pour la gestion de sécurité IT (1998)
ISO 13335-4 : Sélection de sauvegardes (2000)
ISO 13335-5 : Guide pour la gestion de la sécurité du réseau (2001)
ISO Guide 73 : Le but de ce guide est de décrire la terminologie relative au management du risque. Il est destiné
à contribuer à la compréhension mutuelle entre les membres de l'ISO et de la CEI, plutôt que de donner des
conseils sur la pratique du management du risque. En tant que tel, il est plutôt un document de référence qui a
été utilisé dans l'élaboration de la norme ISO/IEC 27005.
BS 7799-3 : Fournit des lignes directrices à l'appui des diverses conditions préalables établies par la norme
ISO/IEC 27001 (anciennement BS7799-2) en ce qui concerne tous les aspects du cycle de management du
risque qui sont requis pour mettre en place un système de management de la sécurité de l’information (SMSI).
BSI a publié durant les années 2000 une série de guides pour la mise en œuvre de PD 3002 qui traitait du
management du risque dans le contexte de la certification BS 7799-2.
Séries NIST 800 : Le NIST (National Institute of Standards and Technology) est un organisme américain dont le
mandat consiste à publier des normes nationales en matière de technologie de l'information. Dans les séries 800,
plusieurs normes sont consacrées exclusivement à des sujets impliquant le management du risque : NIST 800-
12, NIST 800-30, NIST 800-60.

31/121
AS/NZS 4360 : La norme de la Nouvelle-Zélande et de l'Australie, intitulée Lignes directrices sur le management
du risque, fournit des lignes directrices pour le management du risque. Elle s'applique à un large éventail
d'activités : organismes privés, publics et gouvernementaux ou même du point de vue d'une organisation de
comté. Le guide HB 231, publié en 2000, a servi de source d'inspiration pour l'élaboration de cette norme.

32/121
Table des matières d'ISO/IEC 27005 :
1.Domaine d'application
2.Références normatives
3.Termes et définitions
4.Structure du présent document
5.Contexte
6.Présentation générale du processus de gestion des risques en sécurité de l'information
7.Établissement du contexte
7.1 Considérations générales
7.2 Critères de base
7.3 Domaine d'application et limites
7.4 Organisme de la gestion des risques en sécurité de l'information
8.Appréciation des risques en sécurité de l'information
8.1 Description générale de l'appréciation des risques en sécurité de l'information
8.2 Identification des risques
8.3 Analyse des risques
8.4 Évaluation des risques
9.Traitement des risques en sécurité de l'information
9.1 Description générale du traitement des risques
9.2 Réduction du risque
9.3 Maintien des risques
9.4 Refus des risques
9.5 Partage des risques

33/121
10.Acceptation des risques en sécurité de l'information
11.Communication et concertation relatives aux risques en sécurité de l'information
12.Surveillance et réexamen des risques en sécurité de l'information
12.1 Surveillance et réexamen des facteurs de risque
12.2 Surveillance, réexamen et amélioration de la gestion des risques
Annexe A Définition du domaine d'application et des limites du processus de gestion des risques en sécurité de
l'information
Annexe B Identification et valorisation des actifs et appréciation des impacts
Annexe C Exemples de menaces types
Annexe D Vulnérabilités et méthodes d'appréciation des vulnérabilités
Annexe E Approches d'appréciation des risques en sécurité de l'information
Annexe F Contraintes liées à la réduction du risque

34/121
En mars 2019, il y a 181 normes ISO publiées sur la sécurité de l'information (comité technique JTC 1/SC 27),
dont les suivantes :
ISO/IEC 9798 : Cette norme spécifie un modèle général incluant les exigences et les contraintes de
l'utilisation des mécanismes d'authentification d'identité. Ces mécanismes sont utilisés pour démontrer
qu'une entité est celle qui est revendiquée. Les détails des différents mécanismes sont expliqués dans
différentes parties de la présente norme.
ISO/IEC 11770 : Cette norme définit un modèle général pour la gestion de clés indépendant de
l'algorithme cryptographique utilisé. Cette norme traite à la fois des touches automatisées et manuelles et
de la séquence d'opérations requise. Toutefois, elle ne fournit pas de détails sur les protocoles
nécessaires pour les opérations.
ISO/IEC 15408 : Cette norme définit les exigences pour l'évaluation des propriétés de sécurité des
produits et systèmes informatiques. Une copie électronique gratuite peut être téléchargée à partir du site
Web de l'ISO. Elle contient les parties suivantes :
Partie 1 : Introduction et modèle général
Partie 2 : Composants fonctionnels de sécurité
Partie 3 : Composants d'assurance de sécurité
ISO/IEC 21827 spécifie le modèle de maturité de capacité pour l'ingénierie de sécurité système (SSE-
CMM®), et décrit les caractéristiques essentielles du processus d'ingénierie de la sécurité d'une
organisation exprimées sous la forme d'une échelle de sophistication et de maturité dans le but d'améliorer
les pratiques de sécurité en ingénierie. ISO 21827 ne prescrit pas un processus particulier ou la séquence,
mais enregistre les pratiques généralement observées dans l'industrie. L'objectif est de faciliter une
augmentation de la maturité des processus d'ingénierie de sécurité au sein de l'organisme.
ISO/IEC 24761 définit la structure et les éléments d'un mécanisme d'authentification à l'aide de la
biométrie dans le cadre du processus de vérification.
ISO/IEC 27033 fournit un aperçu de la sécurité de réseau et des définitions connexes. Elle définit et décrit
les concepts associés à la sécurité de réseau. Les différentes parties de la norme ISO/IEC 27033 traitent
des sujets spécifiques liés à la sécurité de réseau en tant que support pour la mise en œuvre de la norme
ISO/IEC 27001.

35/121
ISO 31000, article 1 Domaine d’application
Le présent document fournit des lignes directrices concernant le management du risque auquel sont confrontés
les organismes. L’application de ces lignes directrices peut être adaptée à tout organisme et à son contexte.
Le présent document fournit une approche générique permettant de gérer toute forme de risque et n’est pas
spécifique à une industrie ou un secteur.
Le présent document peut être utilisé tout au long de la vie de l’organisme et peut être appliqué à toute activité, y
compris la prise de décisions à tous les niveaux.

36/121
ISO 31000, article 5 Cadre organisationnel
5.1 Généralités
La finalité du cadre organisationnel de management du risque est d’aider l’organisme à intégrer le management
du risque dans les activités et les fonctions significatives. L’efficacité du management du risque va dépendre de
son intégration dans la gouvernance de l’organisme, y compris la prise de décisions. Cela nécessite un soutien et
une implication des parties prenantes, en particulier de la direction.
Le développement du cadre organisationnel englobe l’intégration, la conception, la mise en œuvre, l’évaluation et
l’amélioration du management du risque au sein de l’organisme.
Il convient que l’organisme évalue ses pratiques et processus existants de management du risque, identifie les
lacunes et les comble avec le cadre organisationnel.
Il convient que les composantes du cadre organisationnel et la manière dont elles s’articulent soient adaptées aux
besoins de l’organisme.

37/121
38/121
Basée sur le cadre ISO 31000, la norme ISO/IEC 27005 explique en détail comment réaliser l’appréciation et le
traitement des risques dans le contexte de la sécurité de l'information. Il s'agit de la mise en œuvre du cycle
d'amélioration continue PDCA (Plan-Do-Check-Act) pour la gestion des risques comme il est utilisé dans toutes
les normes des systèmes de management. Dans ce cas, il peut être assez facilement relié aux articles
correspondants de la norme ISO/IEC 27001 sur la gestion des risques (articles 6.1.2 et 6.1.3), ce qui aboutit à la
certification de l'organisme.
ISO/IEC 27005, Introduction
Le présent document contient des lignes directrices relatives à la gestion des risques en sécurité de l'information
dans un organisme. Cependant, le présent document ne fournit aucune méthodologie spécifique à la gestion des
risques en sécurité de l'information. Il est du ressort de chaque organisme de définir son approche de la gestion
des risques, en fonction, par exemple, du périmètre d’un système de management de la sécurité de l’information
(SMSI), de ce qui existe dans l'organisme dans le domaine de la gestion des risques, ou encore de son secteur
industriel. Plusieurs méthodologies existantes peuvent être utilisées en cohérence avec le cadre décrit dans le
présent document pour appliquer les exigences du SMSI. Le présent document est fondé sur la méthode
d’identification des risques liés à des actifs, des menaces et des vulnérabilités, qui n’est plus exigée par l’ISO/IEC
27001; il existe d’autres approches qui peuvent être utilisées.
Le présent document ne contient pas de préconisations directes concernant la mise en œuvre des exigences du
SMSI spécifiées dans l’ISO/IEC27001.
Le présent document s'adresse aux responsables et aux personnels concernés par la gestion des risques en
sécurité de l'information au sein d'un organisme et, le cas échéant, aux tiers prenant part à ces activités.

39/121
Exercice 1 : Mythes et réalités - Gestion des risques
Pour chacun des énoncés suivants, indiquez si vous pensez qu'ils sont vrais ou faux et justifiez votre réponse :
1. Les organismes sont davantage exposés aux risques aujourd'hui qu'il y a cinq ans.
2. Un risque ne peut exister sans une menace.
3. La plupart des risques peuvent être prévus.
4. Le risque est principalement une question de perception.
5. Il est possible d'éliminer entièrement le risque.
6. Un bon gestionnaire sait comment prendre des risques.
7. Une analyse de risque est toujours subjective, en fonction de son contexte, des seuils d'acceptation, etc.
8. Une analyse quantitative du risque fournit des résultats plus pertinents qu'une analyse qualitative.
9. La culture de l’appréciation des risques reconnaît le droit à l’erreur.
10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.
Durée de l’exercice: 20 minutes
Commentaires : 15 minutes

40/121
41/121
Cette section fournit des renseignements qui aideront les participants à acquérir des connaissances sur la notion
de risque, sa définition, la perception des risques, les risques en sécurité de l’information, ainsi que les principes
et les avantages du management du risque selon ISO 31000.

42/121
Intuitivement, les gens prennent des décisions importantes, même les plus critiques, sur leur sécurité
personnelle et leur bien-être. Ces décisions peuvent être des situations simples, par exemple de traverser une
rue achalandée, ou des problèmes plus complexes sur la sécurité financière ou sur les soins de santé, et chaque
personne évalue les risques et adopte un plan d'actions. Ces choix sont effectués instantanément, presque
inconsciemment, avec un minimum d'analyse formelle.
Le risque est la possibilité de subir une perte. Il est lié à un événement qui pourrait avoir des conséquences
négatives ou à une situation où une personne pourrait nuire d'une façon ou d'une autre à une organisation.
Comprendre les risques en fonction de la mission de votre organisme est la première étape de la gestion de ces
risques. Après l'identification des risques, la direction de l'organisme doit décider ce qu'il faut faire afin de les
résoudre.
La gestion des risques est le processus continu d'identification des risques et la mise en œuvre des plans pour y
répondre.

43/121
Les événements peuvent avoir un impact négatif, un impact positif ou les deux. On peut simplement avoir une
vision «neutre», comme un scientifique, et constater qu'un événement se produit sans pratiquer d'évaluation de
valeur. Par exemple, un météorologue annonce qu'il y a 80 % de chance de pluie dans la semaine à venir. Ainsi,
le risque de pluie est neutre en soi. C'est un fait donné. Pour l'individu qui veut prendre des vacances, c'est un
événement néfaste. Alors que pour un agriculteur qui attend d'irriguer ses champs, ce sera une opportunité.
Note importante tirée du ISO Guide 73:2009 :
ISO/IEC 27005 et ISO 31000 définissent un effet comme un écart, positif ou négatif, par rapport à ce qui
est attendu.
L'incertitude est l'état, même partiel, de défaut d'information concernant la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Les objectifs peuvent avoir différents aspects (par exemple buts financiers, de santé et de sécurité, ou
environnementaux) et peuvent concerner différents niveaux (niveau stratégique, niveau d’un projet, d’un
produit, d’un processus ou d’un organisme tout entier).

44/121
Probabilité d'un fait dommageable et l'éventualité qu'une menace existe, peut avoir une incidence sur les
objectifs de l'organisme. Un événement considéré comme ayant un impact négatif est un risque qui pourrait
entraver la création de valeur ou détruire la valeur existante d'un organisme.
Un actif est quelque chose qui a une valeur pour l'organisme, notamment : des informations, des logiciels, des
périphériques physiques, des services, des personnes et de leurs qualifications, de leurs compétences et de leur
expérience, les actifs incorporels, etc. Tout ce qui peut exploiter une vulnérabilité peut être une menace, par
conséquent il ne risque pas de nuire ou de détruire un atout.

45/121
46/121
47/121
La première définition scientifique du risque a été donnée en 1738 par le mathématicien Daniel Bernoulli «Le
risque est une attente mathématique d'une fonction de probabilité d'événements.» dans le livre Specimen theoriae
novae de mensura sortis. En termes plus simples, c'est la valeur moyenne des conséquences d'événements
pondérée par leur probabilité. À partir de ce moment, les statisticiens et les scientifiques cherchent à connaître
l'étendue des événements pour prédire leur fréquence.
Tous les modèles de probabilité dans l'analyse de risque peuvent parfois être incertains. Dans certains cas, cette
incertitude est négligeable parce qu'elle est petite. Toutefois, il peut y avoir des cas où l'incertitude au sujet des
probabilités peut réellement avoir un impact.
Les particuliers et les entreprises recherchent des moyens de mieux définir et de prévoir le risque. Par nature, la
plupart des gens ont tendance à éviter de prendre un risque. En général, les gens choisiront de prendre un risque
plus faible avec une certaine attente de résultat, qu'un risque plus élevé avec une vraisemblance plus faible d'un
résultat positif, même si les récompenses peuvent être plus grandes.
Par exemple, supposons que l'on puisse jouer à la loterie A avec un gain garanti de 1 000 $, ou à la loterie B
avec une chance de gagner 2 000 $ avec 0,75 probabilité ou 100 $ avec 0,25 probabilité. La plupart des gens
choisiront la loterie A parce qu'ils n'aiment pas prendre un risque. Cependant, cette décision est rationnelle pour
une personne qui a une aversion majeure pour le risque. Mais, la décision changerait-elle si le montant de gains
à la loterie A tombe à 700 $, 500 $ ou 200 $ ?
Cette dernière question nous amène à introduire le concept de la prime de risque et la notion d'opportunité.

48/121
L'une des difficultés de la gestion des risques est l'incertitude du degré d'exposition; donc, les conséquences
négatives sont souvent incertaines, et notre propre (mauvaise) compréhension de ce risque affecte la probabilité.
Par exemple, la présence d'un panneau routier indiquant une courbe dangereuse est parfois suffisante pour
réduire de façon significative ou même éliminer les accidents survenant sur cette courbe.
De plus, une fois que le risque est atténué, et bien que nous soyons certains qu'il existe des causes réelles de
risque pour l'organisme, il n'est pas clair que le risque réel soit reconnu rétrospectivement s'il n'y a pas eu d'effet
nocif enregistré. Ainsi, dans l'exemple ci-dessus, l'absence d'accident peut conduire à remettre en cause la
raison d’être du panneau de signalisation, voire à suggérer de le supprimer, car «aucun accident n'y survient».
Par conséquent, même si le risque présente des caractéristiques statistiques, une réduction du risque à certains
niveaux peut être trompeuse. Une telle approche peut occulter les déterminants de son occurrence et le contexte
nécessaire pour qu'un risque devienne un incident.

49/121
Comme mentionné précédemment, le risque est généralement défini comme un événement incertain ou une
condition dont la réalisation aurait un impact négatif. En introduisant le concept d’opportunité, il permet aux
entreprises d'identifier des situations ou des événements incertains qui, s’ils se concrétisent, vont avoir des
conséquences positives.
Les organismes devraient examiner attentivement ces scénarios et risques ayant une tendance positive pour
s'assurer qu'ils peuvent tirer pleinement partie des occasions qui se présenteront sans compromettre leur
capacité de remplir leur mission. En tenant compte d'un large éventail d'événements potentiels, la direction peut
améliorer sa capacité à identifier et à exploiter les opportunités de manière proactive.
La gestion des risques offre l'opportunité de répondre efficacement aux risques et opportunités associés aux
incertitudes auxquelles l'organisme est confronté, améliorant ainsi la capacité à créer de la valeur pour
l'organisme.

50/121
Avec une gestion des risques faible, un organisme ne parvient pas à gérer ou à limiter son exposition à ces
risques. Toutefois, la gestion efficace des risques permet de prévoir les risques et d’équilibrer le niveau de risque
acceptable contre les opportunités connexes.

51/121
Les statistiques du tableau ci-dessus montrent le nombre de passagers tués par différents moyens de transport
en 2015 en Grande-Bretagne (Source : Royaume-Uni, Département des Transports).
La perception et l'évaluation d'un risque est quelque chose de très subjectif et même d’irrationnel, lié à la façon
dont une personne perçoit une situation ou la connaissance qu’elle en a. Ainsi, la perception du risque ne
correspond pas toujours à la réalité.
Les risques associés aux différents modes de transport sont un excellent exemple de la différence entre le risque
et la perception de risque. Malgré le fait qu'un voyage par avion est le moyen de transport le plus sûr, de
nombreuses personnes continuent à avoir une perception opposée, pensant que le transport par voiture est plus
sûr. La recherche psychologique tend à expliquer que moins un individu se sent maître d'une situation, plus il
percevra la situation comme risquée. Ainsi, un conducteur dans une voiture peut (parfois) agir dans une situation
d'accident. Dans un avion, il sera un participant sans influence sur le cours des événements.
Dans la sécurité de l'information, l'exemple de la fraude par carte de crédit peut être utilisé. Les statistiques de
Visa montrent qu'environ 2 % des transactions par carte de crédit sont généralement de caractère frauduleux.
Toutefois, seulement 1,25 % des transactions sur Internet sont liés à la fraude. Malgré les faits, tous les
sondages montrent que le public considère les transactions sur Internet comme étant plus à risque que celles
menées en personne dans un magasin.
Nous verrons dans le module sur la communication des risques que le concept de la perception du risque devrait
être pris en compte dans la mise en œuvre du programme de communications.

52/121
ISO/IEC 27002, article 0.2 Exigences liées à la sécurité de l’information
Une organisation doit impérativement identifier ses exigences en matière de sécurité. Ces exigences proviennent
de trois sources principales:
a. l’appréciation du risque propre à l’organisation, prenant en compte sa stratégie et ses objectifs généraux.
L’appréciation du risque permet d’identifier les menaces pesant sur les actifs, d’analyser les vulnérabilités,
de mesurer la vraisemblance des attaques et d’en évaluer l’impact potentiel;
b. les exigences légales, statutaires, réglementaires et contractuelles auxquelles l’organisation et ses
partenaires commerciaux, contractants et prestataires de service, doivent répondre ainsi que leur
environnement socioculturel;
c. l’ensemble de principes, d’objectifs et d’exigences métier en matière de manipulation, de traitement, de
stockage, de communication et d’archivage de l’information que l’organisation s’est constitué pour mener à
bien ses activités.
Il est nécessaire de confronter les ressources mobilisées par la mise en œuvre des mesures avec les dommages
susceptibles de résulter de défaillances de la sécurité en l’absence de ces mesures. Les résultats d’une
appréciation du risque permettent de définir les actions de gestion appropriées et les priorités en matière de
gestion des risques liés à la sécurité de l’information, ainsi que de mettre en œuvre les mesures identifiées
destinées à contrer ces risques.
La norme ISO/CEI 27005 fournit des lignes directrices de gestion du risque lié à la sécurité de l’information, y
compris des conseils sur l’appréciation du risque, le traitement du risque, l’acceptation du risque, la
communication relative au risque, la surveillance du risque et la revue du risque.

53/121
Autres définitions d'ISO/IEC 27000 :
3.6 Authenticité : Propriété selon laquelle une entité est ce qu'elle revendique être
3.48 Non-répudiation : capacité à prouver l'occurrence d'un événement ou d'une action donnée(e) et des entités
qui en sont à l'origine
3.55 Fiabilité : Propriété relative à un comportement et à des résultats prévus et cohérents
3.29 Continuité de la sécurité de l'information : Processus et procédures visant à assurer la continuité des
opérations liées à la sécurité de l'information
3.30 Événement lié à la sécurité de l'information : Occurrence identifiée de l'état d'un système, d'un service ou
d'un réseau indiquant une faille possible dans la politique de sécurité de l'information ou un échec des mesures
de sécurité, ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité
3.31 Incident lié à la sécurité de l'information : un ou plusieurs événements liés à la sécurité de l'information,
indésirables ou inattendus, présentant une probabilité forte de compromettre les opérations liées à l'activité de
l'organisme et de menacer la sécurité de l'information
3.32 Gestion des incidents liés à la sécurité de l’informations : ensemble de processus visant à détecter,
rapporter, apprécier, gérer et résoudre les incidents liés à la sécurité de l'information, ainsi qu'à en tirer des
enseignements
3.34 Communauté de partage d'informations : Groupe d'organismes qui s’accordent de partager des
informations
Note 1 à l'article: Un organisme peut être un individu.
3.35 Système d'information : Ensemble d'applications, services, actifs informationnels ou autres composants
permettant de gérer l'information

54/121
ISO/IEC 27001 est une norme de sécurité de l'information. Cela signifie qu'elle s'applique à la protection de
l'information, quels que soient son type et sa forme, qu'il s'agisse de communication numérique, papier,
électronique ou verbale humain.
L’Annexe A comprend les objectifs de mesures liés à la classification de l'information :
ISO/IEC 27001, Annexe A.8.2 - Classification de l'information
Objectif : S’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance
pour l’organisation.
A.8.2.1 Classification des informations
Mesure : Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique
et de sensibilité au regard d’une divulgation ou modification non autorisée.
A.8.2.2 Marquage des informations
Mesure : Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en
œuvre conformément au plan de classification adopté par l’organisation.
A.8.2.3. Manipulation des actifs
Mesure : Des procédures de traitement de l’information doivent être élaborées et mises en œuvre conformément
au plan de classification de l’information adopté par l’organisation.

55/121
56/121
Un effet est l'impact qu'un risque se manifeste. Il peut être positif ou négatif. C'est une question de perception par
les personnes touchées.
La définition des risques liés à la sécurité de l'information est liée habituellement à ses aspects négatifs associés
à la menace.
Ainsi, la première cible de la sécurité de l'information n'est pas d'accroître les opportunités ou les résultats
positifs, mais de limiter les possibilités de perte.
Note :
Les objectifs peuvent avoir différents aspects (tels que les aspects financiers, la santé et la sécurité, la
sécurité de l'information et les objectifs environnementaux) et peuvent s'appliquer à différents niveaux
(stratégique, organisationnel, projet, produit et processus).
L'incertitude est l'état, même partiel, d'insuffisance de l'information relative à un événement, à sa
compréhension ou à sa connaissance, à ses conséquences ou à sa vraisemblance.

57/121
Les mesures de sécurité de l'information comprennent tous processus, politiques, procédures, lignes directrices,
pratiques ou structures organisationnelles, qui peuvent être de nature administrative, technique, de gestion ou
juridique, et qui modifient les risques pour la sécurité de l'information.
1. Mesure technique : Les mesures liées à l'utilisation de mesures techniques ou les technologies comme
les pare-feu, systèmes d'alarme, caméras de surveillance, systèmes de détection d'intrusion (IDS), etc.
2. Mesure administrative : Les mesures liées à la structure organisationnelle comme la séparation des
tâches, la rotation des postes, les descriptions de poste, les processus d'approbation, les avis, etc.
3. Mesure de direction : Les mesures liées à la gestion du personnel, y compris la formation et
l'encadrement des employés, les revues de direction et les audits
4. Mesure légale : Les mesures liées à l'application d'une loi, d'exigences réglementaires ou d'obligations
contractuelles.
Note :
Une mesure administrative est davantage liée à la structure de l'organisme dans son ensemble sans être
appliquée par une personne en particulier, tandis qu'une mesure administrative doit être appliquée par les
gestionnaires.
Les différences entre les types de mesures de sécurité sont expliquées seulement pour comprendre. Un
organisme n'a pas besoin de qualifier la nature des mesures de sécurité qu'il met en œuvre.

58/121
59/121
ISO 31000, article 4 Principes
a. Intégré - Le management du risque est intégré à toutes les activités de l’organisme.
b. Structuré et global - Une approche structurée et globale du management du risque contribue à la
cohérence de résultats qui peuvent être comparés.
c. Adapté - Le cadre organisationnel et le processus de management du risque sont adaptés et proportionnés
au contexte externe et interne de l’organisme aussi bien qu’à ses objectifs.
d. Inclusif - L’implication appropriée et au moment opportun des parties prenantes permet de prendre en
compte leurs connaissances, leurs opinions et leur perception. Ceci conduit à un management du risque
mieux éclairé et plus pertinent.
e. Dynamique - Des risques peuvent surgir, être modifiés ou disparaître lorsque le contexte externe et
interne d’un organisme change. Le management du risque anticipe, détecte, reconnaît et réagit à ces
changements et événements en temps voulu et de manière appropriée.
f. Meilleure information disponible - Les données d’entrée du management du risque sont fondées sur des
informations historiques et actuelles ainsi que sur les attentes futures. Le management du risque tient
compte explicitementde toutes limites et incertitudes associées à ces informations et attentes. Il convient
que les informations soient disponibles à temps, claires et accessibles aux parties prenantes pertinentes.
g. Facteurs humains et culturels - Le comportement humain et la culture influent de manière significative
sur tous les aspects du management du risque à chaque niveau et à chaque étape.
h. Amélioration continue - Le management du risque est amélioré en continu par l’apprentissage et
l’expérience.

60/121
Le management du risque permet à une organisation de s'assurer qu’elle connaît et comprend les risques
auxquels elle est confrontée.
Le management du risque conduit également l'organisme à établir et à mettre en œuvre des moyens de prévenir
ou de réduire l’occurrence d'incidents et à identifier les risques et les opportunités.
Il convient de noter qu'il n'est pas nécessaire d'investir une somme d'argent considérable afin de profiter des
avantages d'un programme de management du risque. Un bon management du risque n'est pas nécessairement
coûteux et fastidieux.

61/121
Exercice 2 : Gestion des risques
Décrivez ce que vous considérez comme les trois plus importants avantages de la gestion des risques en
sécurité de l'information et comment ils peuvent s'aligner sur le management du risque d'entreprise.
Durée de l’exercice : 20 minutes


62/121
63/121
Cette section fournit des renseignements qui aideront le participant à acquérir des connaissances sur le
leadership et l'engagement, l'attribution des responsabilités en matière de gestion des risques, les mesures
d’imputabilité, les politiques et processus de gestion des risques, l'approche et la méthodologie en matière
d'appréciation des risques, la planification des activités d'appréciation des risques et les ressources.
Note : La gestion et l'appréciation des risques ne doivent pas être confondus. La gestion des risques est
l'ensemble des processus permettant de gérer le risque sur une base continue afin de le surveiller et de le
maintenir à un niveau acceptable pour l'organisme. L'appréciation des risques est définie comme le processus
permettant d'identifier, d'estimer et d'évaluer le risque d'un organisme. Bien que la gestion des risques soit un
programme permanent dans l'organisme, l'appréciation des risques est une activité à un moment donné.

64/121
65/121
Cette norme internationale adopte le modèle de processus "Plan-Do-Check-Act" (PDCA) ou la roue de Deming
qui est appliquée à la structure de tous les processus dans un système de management de sécurité de
l'information. La figure illustre comment un système de management utilise comme éléments d'entrée les
exigences et les attentes des parties intéressées, et comment il produit, avec les actions et processus
nécessaires, les résultats de sécurité de l'information qui répondent aux exigences et attentes.
Planifier (établir le système de management) : Établir la politique, les objectifs, les procédures et les
processus liés à la gestion des risques et à l'amélioration de la sécurité de l'information afin de fournir des
résultats en ligne avec les politiques globales et les objectifs de l'organisme
Déployer (mettre en œuvre et exploiter le système de management) : Mettre en œuvre et appliquer la
politique, les contrôles, les processus et les procédures du système de management
Contrôler (surveiller et réexaminer le système de management) : Évaluer et, si applicable, mesurer les
performances du processus par rapport à la politique, aux objectifs et à l'expérience pratique, et communiquer
les résultats à la direction pour examen
Agir (maintenir et améliorer le système de management) : Prendre des actions correctives et préventives, sur
la base des résultats de l'audit interne et de la revue de direction, ou d'autres informations pertinentes pour
améliorer continuellement le système

66/121
La gestion des risques en sécurité de l'information doit être un processus continu. Le processus devrait établir le
contexte externe et interne, évaluer les risques et les traiter à l'aide d'un plan de traitement des risques pour
mettre en œuvre les recommandations et les décisions. La gestion des risques analyse ce qui peut arriver et
quelles peuvent être les conséquences possibles, avant de décider ce qui doit être fait et quand, pour réduire le
risque à un niveau acceptable.
Le processus continu de gestion des risques implique un processus continu d'analyse de l'efficacité de toutes les
mesures de sécurité et de la nécessité d'apporter des changements à mesure que le contexte du risque évolue.
Le but des tests de sécurité est de tester l'efficacité des mesures de sécurité d'un système de sécurité de
l'information telles qu'elles ont été appliquées dans un environnement opérationnel. Cette analyse permet de
s'assurer que les mesures de sécurité appliquées sont conformes aux spécifications de sécurité approuvées
pour les logiciels et le matériel et de mettre en œuvre la politique de sécurité de l'organisme. Le but de ce
processus est également de minimiser ou d'éliminer la vraisemblance qu'une menace exerce une vulnérabilité
du système.
Un système de management est évalué en permanence sur la base de la fréquence d’appréciation qui est
réglementée par les critères d'évaluation des risques. Les mesures de sécurité de l'information comportant un
risque plus élevé devraient être évaluées plus fréquemment que les mesures de sécurité de l'information à faible
risque.
Les résultats de l’appréciation devraient être intégrés au processus de d’appréciation et communiqués aux
intervenants en fonction des obligations stratégiques applicables.

67/121
68/121
Un projet d’appréciation des risques prendra beaucoup plus de temps et sera considérablement plus cher si cela
est fait sans une préparation et une planification adéquates. D'importantes contributions peuvent être négligées,
conduisant à des hypothèses inexactes et une mauvaise évaluation des risques; des contrôles de protection
essentielles peut être omis, laissant les actifs à risque, etc. La mise en œuvre d'un programme de gestion des
risques vise à éviter ces pièges potentiels.
La planification et les responsabilités en matière de gestion des risques en sécurité de l'information au sein de
l'organisme devraient être mises en œuvre et maintenues.
ISO/IEC 27001 exige l'identification et la mise à disposition des ressources pour établir, mettre en œuvre,
réaliser, surveiller, examiner, maintenir et améliorer un système de management de la sécurité de l'information.
La gestion des risques opérationnels est l'une des exigences à remplir pour se conformer à la norme
ISO/IEC 27001.

69/121
70/121
ISO 31000, article 5.2 Leadership et engagement (suite)
Ceci aidera l’organisme à :
aligner le management du risque sur sa stratégie, ses objectifs et sa culture;
reconnaître et prendre en charge toutes les obligations ainsi que ses engagements volontaires;
établir le niveau et le type de risque pouvant ou non être pris, afin de servir de guide à la mise en place de
critères de risque, en s’assurant qu’ils sont communiqués à l’organisme et à ses parties prenantes;
communiquer sur la valeur d’un management du risque pour l’organisme et ses parties prenantes;
promouvoir un suivi systématique des risques;
s’assurer que le cadre organisationnel de management du risque reste approprié au contexte de
l’organisme.
La direction est responsable du management du risque alors que les organes de surveillance sont responsables
de la supervision du management du risque. Les organes de surveillance sont souvent censés ou tenus de:
s’assurer que les risques sont pris en compte de manière adéquate lors de l’établissement des objectifs de
l’organisme;
comprendre les risques auxquels l’organisme s’expose dans la poursuite de ses objectifs;
s’assurer que des systèmes permettant de gérer ces risques sont mis en œuvre et fonctionnent
efficacement;
s’assurer que ces risques sont adaptés au contexte des objectifs de l’organisme;
s’assurer que les informations relatives à ces risques et à leur management sont communiquées de façon
appropriée..

71/121
Quiconque est responsable de programme de gestion des risques devrait être familier avec tous les aspects des
opérations de l'organisation.
Dans son rôle, il devrait coopérer davantage avec les chefs d'entreprise qu'avec les services d’assistance
(informatique, finance, audit interne, juridique, ressources humaines, santé et sécurité, environnement, etc.).

72/121
L'évaluation des risques d'une faible complexité dans un domaine d'application limité peut être effectuée par une
personne, mais la plupart des évaluations nécessitent un effort d'équipe pour rassembler l'information et
l'expertise nécessaires à une évaluation efficace.
En général, les projets d'évaluation de nature plus globale et plus complexe doivent s'appuyer sur une équipe
multidisciplinaire. Cependant, lorsque l'évaluation des risques est effectuée par une équipe, il est important de
s'entendre, au départ, sur la nomination d'une personne responsable et de s'entendre sur les mécanismes de
communication au sein de l'équipe et avec les parties prenantes.
Notez que les pirates informatiques sont également des «intervenants» qui ont un intérêt dans le système. Par
conséquent, leurs intérêts doivent être pris en compte. Ils ne peuvent, cependant, être présumés agir de manière
responsable.

73/121
La gestion des risques est la responsabilité de toutes les personnes impliquées dans l'organisation. Le type de
responsabilité variera selon le niveau hiérarchique.
Au plan global, la haute direction est, en plus de sa responsabilité finale en ce qui concerne les risques,
responsable des aspects stratégiques de risque. La haute direction est engagée dans la surveillance de la mise
en place de gestion des risques et valide la stratégie et la politique de l'organisation. Ce sont les joueurs qui sont
le plus directement touchés par les risques d'actifs incorporels comme la réputation, les marques, etc.
Les chefs des unités administratives ont un rôle essentiel dans l'évaluation des risques parce qu'ils ont une
connaissance approfondie des principaux actifs (processus d'affaires et actifs d'information). Ils devront assumer
la responsabilité des opérations et de l'organisation pour assurer le bon fonctionnement des activités
quotidiennes.
Le département informatique est habituellement responsable de la technologie de soutien actifs.

74/121
ISO/IEC 27000, article 3.71 Propriétaire du risque
Personne ou entité ayant la responsabilité du risque et ayant autorité pour le gérer.

75/121
ISO 31000, article 5.4.2 Définir clairement l’engagement en matière de management du risque (suite)
la mise à disposition des ressources nécessaires;
la manière de traiter des objectifs contradictoires;
l’évaluation et le compte rendu dans le cadre des indicateurs de performance de l’organisme;
la revue et l’amélioration.

76/121
ISO 31000, article 5.3 Intégration
L’intégration du management du risque s’appuie sur la compréhension des structures et du contexte de
l’organisme. Les structures diffèrent selon la finalité, les objectifs et la complexité de l’organisme. Le risque est
géré dans chaque partie de la structure de l’organisme. Chacun au sein d’un organisme a une responsabilité en
matière de management du risque.
La gouvernance guide l’évolution de l’organisme, de ses relations externes et internes et des règles, processus et
pratiques nécessaires pour atteindre sa finalité. Les structures de management traduisent l’orientation de la
gouvernance en stratégie et objectifs associés requis pour atteindre les niveaux souhaités de performance
durable et de viabilité à long terme. La détermination de la responsabilité du management du risque et des rôles
de suivi au sein d’un organisme fait partie intégrante de la gouvernance de l’organisme.
L’intégration du management du risque dans un organisme est un processus dynamique et itératif, qu’il convient
d’adapter aux besoins et à la culture de l’organisme. Il convient que le management du risque fasse partie, et ne
soit pas séparé, de la finalité, de la gouvernance, du leadership et de l’engagement, de la stratégie, des objectifs
et des opérations de l’organisme.
Les éléments de base du processus de gestion des risques définis dans ISO 31000 et ISO/IEC 27005 sont les
suivants :
Établissement du contexte
Appréciation des risques (y compris l'identification des risques, l'analyse des risques et l'évaluation des
risques)
Traitement des risques
Communication
Surveillance et réexamen

77/121
L'organisation et les responsabilités du processus de gestion des risques relatifs à la sécurité de l'information
devraient être déterminées et maintenues par les gestionnaires appropriés de l'organisme.

78/121
ISO/IEC 27005, article 8.1 Description générale de l'appréciation des risques en sécurité de l'information
(suite)
Un risque est la combinaison des conséquences qui découleraient de l'occurrence d'un événement indésirable et
de la probabilité d'occurrence de l'événement. L'appréciation des risques quantifie ou décrit qualitativement le
risque et permet aux dirigeants de classer les risques par ordre de priorité selon leur gravité perçue ou en
cohérence avec d'autres critères établis.
L'appréciation des risques inclut les activités suivantes:
l'identification des risques (8.2);
l'analyse des risques (8.3);
l'évaluation des risques (8.4).

79/121
ISO/IEC 27005, article 8.1 Description générale de l'appréciation des risques en sécurité de l'information
L'appréciation des risques est souvent réalisée en deux itérations (ou plus). Une appréciation de haut niveau est
d'abord effectuée afin d'identifier les risques potentiels majeurs qui justifient une appréciation supplémentaire.
L'itération suivante peut impliquer une étude détaillée des risques potentiels majeurs mis en lumière par l'itération
initiale. Lorsque cette démarche ne fournit pas suffisamment d'informations pour apprécier les risques, d'autres
analyses détaillées peuvent être réalisées, probablement sur des sous-ensembles du domaine d'application et,
éventuellement, à l'aide d'une méthode différente.
Il incombe à l'organisme de choisir sa propre approche d'appréciation des risques en se basant sur les objectifs et
le but de l'appréciation des risques.

80/121
Le problème avec la méthode basée sur les actifs est que l'impact de la perte simultanée de plusieurs actifs peut
être supérieur à la somme de l'impact de la perte individuelle de tous ces biens.
Le problème avec la méthode basée sur des scénarios est qu'aucun événement de la vie réelle ne se produit de
la façon dont il était prévu. Donc aucun scénario ne peut préparer l'organisation à 100 % à ce qui peut se
produire dans la vraie vie.

81/121
Il incombe à l'organisme de choisir sa propre approche d'appréciation des risques en se basant sur les objectifs
et le but de l'appréciation des risques.
L'appréciation des risques quantifie ou décrit les risques qualitativement et permet aux gestionnaires de
déterminer la priorité des risques selon leur perception de la gravité ou selon des critères qu'ils ont établis.
La règle générale à appliquer est la suivante : si l'absence de sécurité de l'information peut entraîner des
conséquences défavorables importantes pour un organisme, ses processus métier ou ses actifs, une seconde
itération de l'appréciation des risques est alors nécessaire, à un niveau plus approfondi, pour identifier les
risques potentiels.

82/121
Ce qui suit est une liste de plusieurs méthodes reconnues d’appréciation des risques :
OCTAVE (Operationally Critical Threat and Vulnerability Evaluation) : permet d'évaluer les valeurs menacées, les
risques les plus redoutables, ainsi que la vulnérabilité de la défense sur la base d'une base de connaissances
standardisée (catalogue standard d'informations) incluse dans la méthode. À partir de ces résultats, la méthode
permet d'élaborer et de mettre en œuvre une stratégie de réduction des risques. La méthodologie OCTAVE est
structurée en trois phases : profilage des besoins de sécurité en fonction des valeurs de l'organisation, étude de
vulnérabilité et élaboration de la stratégie et du plan de sécurité.
MEHARI (MÉthode Harmonisée d'Analyse de Risques) : développée par le CLUSIF en 1995, elle est dérivée des
méthodes Melissa et Marion. L'approche universelle du MÉHARI consiste en l'analyse des enjeux de sécurité et
en la classification préliminaire des entités SI selon trois (3) critères fondamentaux de sécurité (confidentialité,
intégrité, disponibilité). Ces questions expriment les dysfonctionnements ayant un impact direct sur l'activité de
l'organisation. Les audits identifient les vulnérabilités du SI et l'analyse des risques elle-même est ensuite
réalisée.
EBIOS (Expression des besoins et identification des objectifs de sécurité) : évalue et agit sur les risques relatifs à
la sécurité des systèmes d'information et propose une politique de sécurité adaptée aux besoins de
l'organisation. Cette méthode a été créée par l'ANSSI (Agence Nationale pour la sécurité des systèmes
d'information) (ancien DCSSI). Cette agence est placée sous l'autorité du Premier ministre et est rattachée au
Secrétaire général de la Défense nationale. Les 5 étapes de la méthode EBIOS sont les suivantes : étude
circonstancielle, exigences de sécurité, étude des risques, identification des objectifs de sécurité et détermination
des exigences de sécurité.

83/121
Le NIST 800-30 a été développé par NIST en continuité de ses responsabilités statutaires en vertu de la Loi de
1987 sur la sécurité informatique et l'Information Technology Management Reform 1996. Ces lignes directrices
sont destinées à être utilisées par les organismes fédéraux américains qui traitent de l'information sensible.
Facile à utiliser, le NIST 800-30 fournit un fondement pour l'élaboration d'un programme de gestion efficace des
risques, contenant à la fois les définitions et les orientations pratiques nécessaires pour évaluer et atténuer les
risques identifiés au sein de systèmes informatiques.
CRAMM (Analyse et gestion des risques de l'ACTC Méthode) : A été créé en 1987 par l'Agence des
télécommunications et d'informatique centrale (ACTC) du gouvernement du Royaume-Uni. CRAMM est une
méthode structurée en trois phases : définition des valeurs menacées, l'analyse des risques et des vulnérabilités
et la définition et la sélection des mesures de sécurité.
Note : L'ENISA (European Network and Information Security Agency) a établi un inventaire de
plusieurs/évaluation des risques gestion des risques méthodes disponibles sur le marché, y compris une
comparaison de 22 attributs. Voir Http://rm-inv.enisa.europa.eu/rm_ra_tools.html.

84/121
85/121
La phase de planification est peut-être la partie la plus importante pour assurer la participation et le soutien des
parties prenantes tout au long du processus d'évaluation des risques. La validation du plan de projet par les
parties prenantes internes (service juridique, finances, ressources humaines, etc.) est essentielle, car le bon
fonctionnement du projet nécessitera leur participation active. Leur soutien à l'ensemble du processus est
important, car les résultats de l'évaluation des risques peuvent affecter leur budget (pour la mise en œuvre et le
maintien de mesures sélectionnées pour le traitement des risques).
Il est préférable de démarrer le projet d’appréciation des risques plusieurs mois avant le processus de
budgétisation de l'organisme. Ainsi, le choix du traitement du risque peut être inclus dans les négociations
budgétaires au sein de l'organisme.

86/121
Note : Voir aussi l'article 7.1 de la norme ISO/IEC 27001 pour les ressources nécessaires à la mise en œuvre et
l'exploitation d'un SMSI.
ISO/IEC 27001, article 7.1.1
L’organisation doit identifier et fournir les ressources nécessaires à l’établissement, la mise en œuvre, la tenue à
jour et l’amélioration continue du système de management de la sécurité de l’information.
ISO 31000, article 5.4.4 Affectation des ressources
Il convient que la direction et les organes de surveillance, le cas échéant, assurent l’affectation des ressources
nécessaires au management du risque, ces dernières pouvant comprendre, sans toutefois s’y limiter :
les personnels, les aptitudes, l’expérience et les compétences ;
les processus, méthodes et outils de l’organisme servant au management du risque ;
les processus et procédures documentés ;
les systèmes de gestion des informations et des connaissances ;
les besoins en perfectionnement et formation professionnelle.
Il convient que l’organisme prenne en compte les capacités et les contraintes des ressources existantes.

87/121
Exercice 3 : Ressources
Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est soudainement préoccupée
par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu quelques incidents de sécurité récemment.
La gestion de l'organisme hésite encore à mettre en œuvre la gestion des risques parce qu'ils ne savent pas s'ils
peuvent se le permettre. Identifier les ressources dont Extreme Adventure Tours aurait besoin pour effectuer un
exercice adéquat de gestion des risques . Évaluer plusieurs options avec les coûts associés.
1. Ressources financières
2. Ressources matérielles
3. Ressources humaines

88/121
89/121
Cette section fournit des renseignements qui aideront les participants à acquérir des connaissances sur la
compréhension de l’organisme et à son contexte, établissant le contexte interne et externe, l'identification et
l'analyse des parties prenantes, la détermination des objectifs, la détermination des critères de base et définir la
portée et les limites.

90/121
Comprendre l'organisme est indispensable avant de commencer un projet d'évaluation des risques. L'objectif
principal de cette première activité consiste à identifier l'ensemble du système à apprécier et à le situer dans son
environnement interne et externe. La difficulté de cette activité consiste à comprendre parfaitement la manière
dont l'organisme est structuré.
L'identification de la structure interne de l'organisme aidera à comprendre le rôle et l'importance de chaque
division dans le processus de réalisation des objectifs de l'organisme. Ainsi, l'équipe de direction peut être en
mesure de facilement identifier les parties prenantes concernées dans le programme de management du risque.
Il permet également de recueillir tous les renseignements nécessaires pour la planification de l'étude et d'établir
les objectifs de sécurité de l'organisme.
ISO/IEC 27005, article 7.1 Établissement du contexte
Élément d’entrée : Toutes les informations relatives à l'organisme permettant l'établissement du contexte de la
gestion des risques en sécurité de l'information.
Action: Il convient d'établir le contexte externe et interne de la gestion des risques en sécurité de l'information, ce
qui implique de déterminer les critères de base nécessaires à la gestion des risques en sécurité de l'information,
de définir le domaine d'application et ses limites et d'établir une organisation adaptée au fonctionnement de la
gestion des risques en sécurité de l'information.

91/121
Préconisations de mise en œuvre:
Il est essentiel de déterminer l'objectif de la gestion des risques en sécurité de l'information puisqu'il influence
l'ensemble du processus et, en particulier, l'établissement du contexte. L'objectif peut être:
une réponse aux exigences d'un SMSI;
la conformité avec la loi et la preuve de la mise en œuvre du devoir de précaution;
la préparation d'un plan de continuité d'activité;
la préparation d'un plan de réponse aux incidents; et
la description des exigences en matière de sécurité de l'information pour un produit, un service ou un
mécanisme.
Élément de sortie: La spécification des critères de base, le domaine d'application et ses limites, et l'organisation
dédiée au fonctionnement du processus de gestion des risques en sécurité de l'information.

92/121
93/121
Il est nécessaire d'obtenir une vue d'ensemble de l'organisme afin de comprendre ses défis et le risque inhérent
à ce segment de marché. Des informations générales sur l'organisme concerné devraient être collectées afin de
mieux apprécier sa mission, ses stratégies, son objectif principal, ses valeurs, etc. Cela permet d'assurer la
cohérence et l'alignement entre les objectifs stratégiques de gestion des risques et la mission de l'organisme.
Mission : La mission est ce qui justifie l'existence de l'organisme. Elle sert de point de référence pour que tout le
monde sache où s’en va l’organisme.
Implications pour la gestion des risques : La gestion des risques en sécurité de l’information vise à appuyer
l'organisation dans l'accomplissement de sa mission, qui est la protection de ses ressources d'information. Le
SMSI doit donc être aligné avec la mission de l’organisme.
Valeurs : Les valeurs sont les croyances fondamentale et durables qui sont partagées par tous les membres
d'une organisation et influencent le comportement des individus.
Implications pour la gestion des risques : Les valeurs de l'organisme influent sur les choix faits par les
professionnels de l'informatique (p. ex. les valeurs peuvent influencer les priorités et les politiques en matière
d'évaluation des risques).

94/121
Objectifs : Un objectif est le résultat que l'organisation entend atteindre. Les objectifs sont généralement
prédéterminés, quantifiés et assortis de délais (p. ex., accroître la part de marché de 5 % dans les 24 mois à
venir).
Implications pour la gestion des risques : Comme pour la stratégie, la gestion des risques doit être alignée
avec les objectifs de l'organisation en identifiant les risques de l’information qui doivent être gérés par
l'organisation.
Stratégies : La stratégie se compose d'une séquence définie d'actions, visant à atteindre un ou plusieurs
objectifs.
Implications pour la gestion des risques : Le choix du traitement et les actions qui en résultent dépendront de
la stratégie définie par l'organisation.

95/121
Plusieurs modèles ont été développés pour analyser et comprendre le contexte stratégique d'un organisme.
Notez que cette étape ne devient pas un projet en soi. Dans la plupart des organismes, des études ont été
menées en interne ou en consultant d'autres entreprises sur leur positionnement stratégique. Il devrait suffire de
simplement rassembler ces études, de les analyser et d'interviewer certaines parties prenantes clés pour assurer
une compréhension adéquate de l'organisme.
Ce qui suit présente certains des modèles les plus utilisées :
Analyse SWOT (Forces-Faiblesses-Opportunités-Menaces) : Ce modèle est utilisé pour effectuer une
analyse approfondie des forces, faiblesses, opportunités et menaces d'un organisme. L'analyse est faite dans le
but de formuler des options politiques et de déterminer où l'organisme devrait investir ses ressources (Profiter
des opportunités ? Réduire les faiblesses ? Faire face aux menaces ?).
Analyse PEST (politique, économique, social, technologique) : L'analyse PEST permet à l'organisme
d'analyser les forces du marché et les opportunités dans les quatre domaines suivants : politique, économique,
social, technologique. Certains auteurs ont ajouté deux catégories supplémentaires : environnementale et
juridique.
L'analyse des cinq forces de Porter : Cette approche analyse le niveau de compétitivité des organismes en
utilisant les cinq facteurs qui influencent l'environnement des affaires au sein d'une industrie. Ces cinq forces
comprennent l'intensité de la rivalité entre les concurrents, le pouvoir de négociation des clients, la menace de
nouveaux venus sur le marché, le pouvoir de négociation des fournisseurs et les menaces de produits de
remplacement.

96/121
ISO/IEC 27000, article 3.22 Réduction du risque
Environnement externe dans lequel l'organisme cherche à atteindre ses objectifs

97/121
En analysant l'environnement interne, il est nécessaire d'identifier les structures comprenant les différents corps
et les relations entre eux (hiérarchique et fonctionnel). Ceux-ci comprennent la répartition des tâches, des
responsabilités, de l'autorité et de la communication au sein de l'organisme qui devrait être étudié. Les fonctions
sous-traitées doivent également être identifiées.
La structure de l'organisme peut être de différents types :
1. La structure divisionnaire : chaque division est placée sous l'autorité d'un directeur de division responsable
des décisions stratégiques, administratives et opérationnelles au sein de cette unité.
2. La structure fonctionnelle : l'autorité fonctionnelle exercée sur les procédures, la nature du travail et parfois
les décisions ou la planification (par exemple, la production, les technologies de l'information, les
ressources humaines, le marketing, etc.).
Notes :
Une division au sein d’une structure organisationnelle divisionnaire peut être organisée en fonctions et vice
versa.
On dit qu'un organisme a une structure matricielle lorsque l'organisme entier est basé sur les deux types
de structure.
Quelle que soit la structure, les niveaux suivants sont présents :
1. Le niveau de stratégie (responsable de la politique et des stratégies)
2. Le niveau de pilotage (responsable des activités de coordination et de gestion)
3. Le niveau opérationnel (responsable des activités de production et de soutien)
L'organigramme est un excellent outil pour comprendre l'environnement interne. Il montre, en utilisant un
schéma, la structure de l'organisme. Cette représentation montre les liens de subordination et de délégation
d'autorité, mais aussi les dépendances. Même si le graphique illustre qu'il n'existe aucune autorité formelle, les
flux d'information peuvent être déduits selon les liens existants.

98/121
ISO/IEC 27000, article 3.38 Réduction du risque
Environnement interne dans lequel l’organisme cherche à atteindre ses objectifs

99/121
Il est essentiel pour les gestionnaires de risques de connaître l'éventail des produits et services de l'organisation.
En effet, le type de biens et de services produits par l'organisation aura un impact majeur sur son modèle
d'affaires et comment l'organisation mène ses activités. En outre, produits et services peuvent laisser
l'organisation exposée à des risques particuliers, tels que les dangers environnementaux ou des poursuites.
Il est également essentiel pour les gestionnaires de risques de comprendre les processus opérationnels de
l'organisation parce que c'est la conduite du processus qui expose l'entreprise à de nombreux risques en sécurité
de l'information. Le gestionnaire de risques doit analyser et comprendre la nature de ces processus et déterminer
les risques directs et indirects pour lesquels l'organisation est exposée au cours d'opérations comme cela a été
fait au cours de l'analyse de risque.
Bien qu'ISO/IEC 27005 porte sur le risque lié à l'information, et pas seulement sur les risques liés à
l'informatique, le gestionnaire de risques doit comprendre les processus informatiques de l'organisation, car ces
processus jouent un rôle essentiel dans le traitement, le transport et le maintien de l'information
organisationnelle.

100/121
ISO 27005 soulève souvent le sujet des parties prenantes qui, dans ce contexte, désignent à la fois les parties
internes et externes de l'organisme ayant des intérêts dans le processus de gestion des risques.
Premièrement, l'équipe de gestion des risques doit identifier toutes les parties prenantes et leurs préoccupations
concernant la gestion des risques. Deuxièmement, l'équipe de gestion des risques doit définir ce que l'on attend
d’elle dans le projet : les rôles, responsabilités et niveaux de participation requis. Il devrait y avoir un consensus
avec les parties prenantes au cours de la phase de planification de leur participation.
Il est impératif d'identifier les parties prenantes afin qu'elles puissent s'impliquer dans le processus de gestion
des risques. L'équipe de gestion des risques consacrera une partie de son temps à faire comprendre aux parties
prenantes le processus et à expliquer comment ce processus peut finalement aider à protéger les ressources et
à réduire les coûts. De plus, certaines personnes impliquées dans le projet devraient être formées à la méthode
choisie pour réaliser l’appréciation des risques. En outre, il devrait y avoir du temps dans le projet pour soutenir
les parties prenantes dans les tâches qui leur seront assignées (répondre aux questions, établir des relations,
présenter l’avancement des projets, etc.).
En outre, il est à noter que l'organisation est tenue d'informer tous les intervenants des mesures et des
améliorations relatives à la sécurité de l'information qui pourraient les toucher eux-mêmes avec un niveau de
détail approprié aux circonstances (voir ISO/IEC 27001, article 4.2).
ISO/IEC 27000, article 3.37.1 partie intéressée (terme préféré) ; partie prenante (terme admis)
personne ou organisme susceptible d’affecter, d’être affecté ou de se sentir lui-même affecté par une décision ou
une activité

101/121
Les objectifs d'un projet/programme de gestion des risques sont d'identifier les risques et de se conformer aux
politiques organisationnelles. Selon sa définition, un objectif peut être un système cible, son environnement de
développement ou son environnement d'exploitation. Ces objectifs peuvent ensuite être traduits en différentes
fonctions à mettre en œuvre.
Dans un premier temps, il est nécessaire d'établir les objectifs du programme de gestion des risques avec les
différentes parties prenantes. Ceux-ci sont nécessaires pour déterminer le périmètre du programme de gestion
des risques et doivent être validés par le plus haut niveau de l'organisme.
Par la suite, pour chaque projet envisagé, des objectifs spécifiques devront être identifiés, qui formaliseront tous
les éléments nécessaires à l'acceptation par la direction. La mise en œuvre du système de management des
risques sera identifiée dans une logique d'amélioration continue.

102/121
Les exigences de processus pour tous les organismes, petits ou grands, proviennent principalement de quatre
sources :
1. Lois et règlements : Les nouvelles lois relatives aux questions de protection de la vie privée, aux
obligations financières et à la gouvernance d'entreprise exigent que les organismes surveillent leur
infrastructure plus attentivement et plus efficacement qu'auparavant. Plusieurs organismes publics et
organisations s'occupant de ces sociétés sont tenus d'assurer un niveau minimum de sécurité. En
l'absence d'actions proactives, les dirigeants d'entreprise peuvent être exposés à des poursuites (au
niveau pénal ou civil) pour violation de leurs responsabilités fiduciaires et autres responsabilités légales.
2. Normes : Les organismes doivent se conformer à un ensemble de normes et de codes de pratique
internationaux liés à leur secteur industriel, qu'ils ont volontairement mis en œuvre. Bien que l'adhésion à
mettre en œuvre des cadres réglementaires est un choix volontaire, du point de vue de la sécurité de
l'information, ils deviennent des obligations à respecter (avec le risque de perdre sa certification en cas de
manquements graves).
3. Marché : Les exigences du marché comprennent toutes les obligations contractuelles que l'organisme a
signées avec ses parties prenantes. Un manquement aux obligations contractuelles peut entraîner des
pénalités (lorsqu'elles sont stipulées dans le contrat) ou des poursuites civiles en dommages-intérêts. En
outre, les exigences du marché sont toutes des règles implicites qu'un organisme devrait rencontrer lors
de la conduite des affaires. Par exemple, bien que l'organisme n'ait aucune obligation contractuelle de
livrer ses produits comme convenu/prévu, il va sans dire que c'est une politique commerciale de respecter
les délais de livraison prévus.
4. Politiques internes : Les politiques internes incluent toutes les exigences définies au sein de l'organisme :
politiques internes (ressources humaines, sécurité de l'information, chaîne d'approvisionnement, etc.)
codes de déontologie, règles de travail, etc. En cas d'échec, on peut considérer qu'il s'agit de politiques
internes sans nécessairement impliquer des considérations légales.

103/121
Selon l'approche sélectionnée et la méthode de gestion des risques, certains critères de base devraient être
identifiés et définis avant d'aller de l'avant avec le projet d’appréciation des risques. ISO/IEC 27005 souligne la
nécessité de définir au moins les critères suivants : critères d'évaluation du risque, critères d’impact et critères
d'acceptation des risques.

104/121
ISO 31000, article 6.3.4 Définition des critères de risque
Il convient que l’organisme spécifie le niveau et le type de risque pouvant ou non être pris par l’organisme, en
fonction des objectifs. Il convient également qu’il définisse des critères permettant d’évaluer l’importance du
risque et d’étayer les processus décisionnels. Il convient que les critères de risque soient alignés sur le cadre
organisationnel de management du risque et adaptés à la finalité et au domaine d’application spécifique de
l’activité considérée. Il convient que les critères de risque reflètent les valeurs, les objectifs et les ressources de
l’organisme et soient cohérents avec les politiques et déclarations en matière de management du risque. Il
convient que les critères soient définis en tenant compte des obligations de l’organisme et de l’opinion des parties
prenantes.
Bien qu’il convienne d’établir les critères de risque au début du processus d’appréciation du risque, ces critères
sont dynamiques et il convient qu’ils soient revus en permanence et modifiés si nécessaire.
Pour fixer les critères de risque, il convient de prendre en compte les éléments suivants:
la nature et le type d’incertitudes pouvant avoir une incidence sur les résultats et les objectifs (tangibles et
intangibles) ;
la façon dont les conséquences (positives et négatives) et la vraisemblance seront définies et mesurées ;
Les facteurs liés au temps
la cohérence dans l’utilisation des mesures ;
la méthode de détermination du niveau de risque ;
la façon dont les combinaisons et séquences de plusieurs risques seront prises en compte ;
la capacité de l’organisme.

105/121
106/121
107/121
108/121
Différents critères d'acceptation des risques peuvent être appliqués à différentes classes de risque. Par exemple,
les risques pouvant entraîner un non-respect des réglementations ou des lois ne peuvent être acceptés, alors
que l'acceptation d'un risque plus élevé peut être autorisée si elle est spécifiée dans un accord contractuel.
Les critères d'acceptation des risques peuvent inclure le traitement d'exigences futures supplémentaires. Par
exemple, un risque peut être accepté si un plan comportant des actions correctives a été approuvé pour le
ramener à un niveau acceptable dans un délai défini.

109/121
110/121
Une échelle comprend plusieurs seuils, par exemple :
Le premier seuil d'acceptation du risque correspond à celui souhaité par l'organisme.
Le deuxième seuil d'acceptation du risque souligne que le risque doit être accompagné d'un plan de
traitement pour être accepté.

111/121
Dans l'exemple illustré ci-dessus, basé sur le tableau E.1 d'ISO/IEC 27005, le seuil d'acceptation du risque a été
défini comme "5". Cela signifie que :
Tous les risques avec une valeur ajoutée visible inférieure ou égale à 5 seront acceptés par l'organisation.
Tous les risques avec une valeur ajoutée visible supérieure à 5 doivent être traités pour réduire le risque
résiduel à 5 ou moins.

112/121
Le seuil d'acceptation du risque dans une analyse quantitative est déterminé par l'équilibre (exprimé en valeur
monétaire) entre les courbes de coût du risque et le coût des mesures de sécurité. Pour déterminer un seuil
d'acceptation sur l'efficience économique, l'organisation cherchera à prendre comme valeur du seuil
d'acceptation le plus proche du point d'intersection des courbes sur le graphique.
Si le total du coût potentiel d'un risque est de 10 000 $, le coût de toutes les mesures de traitement de sécurité en
place afin de gérer ce risque ne doit pas dépasser 10 000 $. L'organisation doit prêter une attention particulière à
prendre en compte tous les coûts dans son évaluation. Dans ce cas, le retour sur investissement (ROI) est de 0
%. Par conséquent, il est considéré comme un seuil d'investissement maximum.
En général, la direction fixe un seuil d'un retour sur investissement minimal supérieur à 0% pour accepter un
projet. Par exemple, si le seuil est établi à 6 %, cela signifie qu'il a été décidé de mettre en œuvre des mesures
de sécurité pour réduire les risques seulement si on peut justifier un retour sur investissement supérieur à 6 %.

113/121
L'organisme doit définir le périmètre (ou domaine d’application) et les limites liées au processus de gestion des
risques. Il est nécessaire de définir le périmètre du processus de gestion des risques en sécurité de l'information
afin de garantir que tous les actifs concernés sont pris en compte dans l'appréciation des risques. Pour prévenir
ces risques, les limites doivent être définies afin de bénéficier d'une protection pour les risques qui pourraient
surgir à travers ces frontières.
Le processus de gestion des risques peut être appliqué à l'ensemble de l'organisme ou à un sous-ensemble
défini en termes de :
1. Unités organisationnelles : département, bureau, projet, agence, etc.
2. Processus d’affaires : gestion des ventes, approvisionnement, processus d'embauche, etc.
3. Emplacement : siège social, salle des serveurs ou tout lieu géographiquement défini par un périmètre
spécifique
4. Actifs : fichier client, base de données, paie, marque, mobilier, etc.
5. Technologies : serveur, application, réseau, internet sans fil, etc.
Dans un organisme avec peu ou pas d'expérience, l'introduction du processus peut prendre plusieurs mois, par
exemple lorsqu’il est introduit dans une entité désirant une appréciation des risques et où l'on est fortement
concerné par les questions de risque.
Après avoir réalisé quelques projets au périmètre limité, l'équipe de gestion des risques peut ensuite étendre
progressivement le périmètre à d'autres entités, puis l'adopter dans l'ensemble de l'organisme.
Le périmètre de la gestion des risques doit être défini de sorte que tous les actifs importants liés à des projets
définis par la direction soient pris en compte lors de l’appréciation des risques.

114/121
115/121
Le choix du périmètre et de la politique est libre. Ces deux éléments sont des «leviers de souveraineté» pour
l'organisation.
Ainsi, une organisation peut être certifiée ISO/IEC 27001, même avec un périmètre défini très restreint et une
politique de sécurité restreinte qui ne répond pas strictement aux exigences de ses clients en matière de
sécurité. La justification de toute exclusion est donc cruciale pour éviter de choisir une approche «légère» de la
part de l'organisation.

116/121
ISO/IEC 27005, Annexe A.3 Liste des contraintes qui affectent la portée
En identifiant les contraintes, il est possible de dresser la liste de celles ayant un impact sur le domaine
d'application et de déterminer celles qui nécessitent encore une action appropriée. Elles s'ajoutent aux contraintes
de l'organisme définies ci-dessus, voire même les amendent. Les paragraphes suivants présentent une liste non
exhaustive des types de contraintes possibles.
1. Contraintes liées aux processus préexistants : Les projets d'application ne sont pas nécessairement
élaborés simultanément. Certains projets dépendent de processus préexistants. Même si un processus
peut être divisé en sous-processus, il ne subit pas nécessairement l'influence de l'ensemble des sous-
processus d'un autre processus.
2. Contraintes techniques : Les contraintes techniques relatives à l'infrastructure proviennent en général de
matériels, de logiciels installés et de locaux ou de sites hébergeant les processus.
3. Contraintes financières : La mise en œuvre de mesures de sécurité est souvent limitée par le budget que
l'organisme peut y consacrer. Toutefois, il convient que la contrainte financière soit toujours considérée en
dernier lieu, puisque l'attribution du budget à la sécurité peut être négociée sur la base de l'étude de la
sécurité.
4. Contraintes environnementales: Les contraintes environnementales proviennent de l'environnement
géographique ou économique dans lequel les processus sont mis en œuvre: pays, climat, risques naturels,
situation géographique, climat économique, etc.
5. Contraintes de temps :Il convient de tenir compte du temps nécessaire à la mise en œuvre des mesures de
sécurité en cohérence avec la capacité de mettre à jour le système d'information; si le temps de mise en
œuvre est très long, les risques pour lesquels la mesure de sécurité a été conçue peuvent avoir changé. Le
temps est un facteur déterminant dans le choix des solutions et des priorités.
6. Contraintes liées aux méthodes : Il convient d'utiliser des méthodes adaptées au savoir-faire de l'organisme
pour la planification du projet, ses spécifications, son développement, etc.
7. Contraintes organisationnelles : Divers obstacles peuvent découler d'exigences organisationnelles :
fonctionnement, entretien, gestion des ressources humaines, de la gestion du développement, gestion des
relations externes.

117/121
Exercice 4 : Établir le contexte
Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est soudainement préoccupée
par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu récemment quelques incidents de sécurité.
Parce qu'ils vous connaissent bien et qu'ils savent que vous êtes des experts en gestion des risques, ils vous
mandatent pour les aider à mieux comprendre leur situation actuelle et à identifier les mesures de sécurité qui
pourraient améliorer la situation.
La première étape de votre mission consiste à établir le contexte de gestion des risques d'EAT. Le président ne
sait pas comment il devrait formuler les objectifs et le périmètre de gestion des risques. Pour lui, cela semble un
jargon de spécialistes. Il veut que vous rédigiez une version qu'il approuvera.
Sur la base des informations contenues dans l'étude de cas, abordez les trois points suivants, en proposant une
déclaration ou une position initial pour chacun :
1. Principaux objectifs pour la gestion des risques
2. Critères d'évaluation des risques
3. Au moins trois sources d'exigences de conformité

118/121
119/121
120/121
121/121

Day 1

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Day 1

Transféré par

Droits d'auteur :

Formats disponibles

Programme du jour 1

Section 1 : Objectifs et structure de la formation

© 2019 PECB. Tous droits réservés.

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Durée de l’exercice : 20 minutes

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)