Day 3

Programme du jour 3
Section 12 : Communication et concertation relatives aux risques en sécurité de l'information

Section 13 : Surveillance et réexamen des risques en sécurité de l'information
Section 14 : Méthode OCTAVE
Section 15 : Méthode MEHARI
Section 16 : Méthode EBIOS
Section 17 : Méthode harmonisée d'évaluation des menaces et des risques (EMR)
Section 18 : Processus de certification et clôture de la formation
© 2019 PECB. Tous droits réservés.
Version 6.0
Numéro de document : 27005RMD3V6.0
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l'autorisation écrite préalable de PECB.
Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2021-12-09
1/124
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur les objectifs de
communication des risques, la communication interne et externe et l'enregistrement des décisions et la
communication.

2/124
ISO 31000, article 6.2 Communication et consultation
La communication et la consultation ont pour but d’aider les parties prenantes pertinentes à comprendre le risque,
les principes de prise de décisions et les raisons pour lesquelles certaines actions sont nécessaires. La
communication vise à accroître la sensibilisation et la compréhension du risque, alors que la consultation implique
l’obtention d’un retour et d’informations pour étayer la prise de décisions. Une étroite coordination entre les deux
facilite des échanges d’informations factuels, opportuns, pertinents, précis et compréhensibles tout en prenant en
compte la confidentialité et l’intégrité des informations ainsi que le droit à la vie privée des personnes.
Il convient que la communication et la consultation avec les parties prenantes internes et externes concernées
aient lieu à toutes les étapes du processus de management du risque.
La communication et la consultation visent à:
réunir différents domaines d’expertise pour chaque étape du processus de management du risque;
s’assurer que les différents points de vue sont pris en compte de manière appropriée dans la définition des
critères de risque et lors de l’évaluation des risques;
fournir suffisamment d’informations pour faciliter la surveillance du risque et la prise de décisions;
faire naître un sentiment d’inclusion et de propriété parmi ceux affectés par le risque.

3/124
Une communication efficace des risques est un véritable défi dans chaque programme de gestion des risques de
la sécurité de l'information aujourd'hui, dans le contexte dynamique.
Les professionnels des TI décrivent les menaces, les vulnérabilités et les impacts en termes techniques. Par
conséquent, le principal défi d'un organisme est de les traduire dans un langage commun que les personnes
ayant des connaissances limitées en sécurité de l'information pourraient comprendre.
La communication des risques est très importante pour :
L'amélioration de la performance de l'équipe
L'amélioration de la transparence et de la crédibilité au sein de l'organisme
Le traitement des conflits et l’interaction avec les différentes parties intéressées
Trouver des solutions pertinentes à ces conflits

4/124
ISO/IEC 27000, article 3.65 Communication et concertation relatives au risque
La concertation est:
un processus dont l'effet sur une décision s'exerce par l'influence plutôt que par le pouvoir, et
une contribution à une prise de décision, et non une prise de décision conjointe.

5/124
6/124
La communication et la concertation avec les intervenants sont également importantes parce qu'elles aident à
porter des jugements sur le risque en fonction de la perception du risque. Ces perceptions peuvent varier en
raison de différences dans les valeurs, les besoins, les hypothèses, les concepts et les préoccupations des
intervenants. Comme leur point de vue peut avoir un impact significatif sur les décisions prises, les perceptions
des intervenants devraient être identifiées, enregistrées et prises en compte dans le processus décisionnel.

7/124
Il est important de gérer la distribution des communications de manière à ce que ceux qui les reçoivent
n'obtiennent que l'information dont ils ont besoin. Il convient de veiller tout particulièrement à ce que les « parties
intéressées » qui chercheraient à agir de manière malveillante n'en aient pas les moyens.

8/124
9/124
ISO/IEC 27005, article 11 Communication et concertation relatives aux risques en sécurité de l'information
Une communication efficace entre les parties prenantes est essentielle puisqu'elle peut avoir une forte influence
sur les décisions à prendre. Cette communication garantit que les personnes responsables de la mise en œuvre
de la gestion des risques et que les personnes ayant un intérêt direct comprennent les fondements sur lesquels
les décisions sont prises et les raisons pour lesquelles des actions spécifiques sont nécessaires. La
communication est bidirectionnelle.
Les perceptions du risque peuvent varier en raison de différences d'hypothèses, de concepts et de besoins, de
questions et de préoccupations des parties prenantes puisqu'elles sont liées au risque ou aux questions
abordées. Les parties prenantes sont susceptibles d'émettre des jugements concernant l'acceptabilité du risque
basés sur leur perception du risque. Il est particulièrement important de veiller que les perceptions du risque par
les parties prenantes, ainsi que leurs perceptions des bénéfices, puissent être identifiées et documentées, et que
les raisons sous-jacentes soient clairement comprises et traitées.

10/124
11/124
La communication des risques est utilisée pour expliquer la probabilité de risque, d'impact et prédire l'impact des
risques, décrire la différence entre les risques et les dangers qui se trouvent dans des domaines spécifiques et
améliorer la compréhension globale du risque fondée sur les meilleures pratiques, la terminologie et les concepts
de gestion des risques. De plus, il sert à améliorer la transparence parmi les personnes qui mettent en œuvre la
gestion des risques et à déterminer comment gérer les effets des risques à long terme.
La communication des risques est dérivée de multiples champs d'enquête et notamment les chevauchements
avec les définitions de crises et de catastrophes.

12/124
13/124
Les organismes entreprennent généralement une gamme d'activités de communication sur la sécurité de
l'information dans le cadre de la mise en œuvre de leur plan de communication sur la sécurité de l'information.
Pour faire avancer la stratégie et les objectifs de communication en matière de sécurité de l'information, des
activités spécifiques de communication en matière de sécurité de l'information devraient être élaborées, en
tenant compte de la question de la sécurité de l'information, des frontières géographiques et des parties
intéressées.
En évaluant le contexte pour une activité de communication sur la sécurité de l'information, il est également
important de considérer les coûts potentiels et les conséquences de ne pas communiquer. Ceux-ci peuvent être
tangibles, coûter plus cher que la communication de sécurité de l'information à long terme et imposer d'autres
coûts à un organisme, par exemple, une atteinte à la réputation.
Dans la planification d'une activité de communication sur la sécurité de l'information, une entreprise doit identifier
les groupes cibles parmi ses parties intéressées. La bonne communication, c'est un éventail de groupes cibles
possibles.
Il n'est pas rare d'identifier des intérêts conflictuels entre différents groupes cibles. En conséquence, les activités
de communication sur la sécurité de l'information doivent répondre à des demandes différentes et souvent
contradictoires de la part de groupes cibles, en particulier ceux qui sont les plus influents et qui peuvent avoir un
impact négatif sur les résultats d'une activité de communication sur la sécurité de l'information.
L'organisme devrait prévoir les questions de sécurité de l'information qui préoccupent les parties intéressées.
Cela aidera à cibler la collecte des impacts sur la sécurité de l'information et les performances de ses produits,
services, processus et activités. En se fondant sur les objectifs fixés pour une activité de communication sur la
sécurité de l'information, des données quantitatives et qualitatives appropriées et des informations peuvent être
sélectionnées ou générées. Ces informations devraient être alignées sur les normes et directives en vigueur en
matière de sécurité de l'information et sur les indicateurs de performance.

14/124
15/124
16/124
ISO 31000, article 5.4.5 Établissement d’une communication et d’une concertation
La communication implique de partager des informations avec des publics ciblés.
Il convient que les méthodes et le contenu de la communication et de la consultation reflètent les attentes des
parties prenantes, le cas échéant
Il convient que la communication et la consultation aient lieu en temps utile et permettent que les informations
pertinentes soient collectées, consolidées, synthetisées et partagées de manière appropriée, qu’un retour
d’information soit fait et que des améliorations soient apportées.

17/124
Les employés de première ligne ont le moins accès à l'information, même s'ils constituent souvent l'auditoire le
plus important à rejoindre, car ils sont potentiellement en première ligne dans l'organisme avec les clients et la
prestation des services.

18/124
19/124
20/124
Un organisme devrait fixer des objectifs de sécurité de l'information qui sont utiles parce qu'ils peuvent servir de
base à une stratégie de communication efficace. Lorsqu'il fixe ses objectifs de communication en matière de
sécurité de l'information, un organisme devrait veiller à ce qu'ils soient conformes à sa politique de
communication, tiennent compte des points de vue des parties intéressées internes et externes et soient
compatibles avec les principes de communication. Lors de l'établissement des objectifs de ses activités de
communication, l'organisme devrait tenir compte de ses priorités et des résultats souhaités, en s'assurant que les
objectifs définis sont exprimés de manière à ce qu'aucune explication supplémentaire ne soit nécessaire.
La direction de l'organisme devrait élaborer une stratégie pour mettre en œuvre son plan de communication. La
stratégie devrait comprendre des objectifs, l'identification des parties intéressées, une indication du moment et de
ce qu'elle prévoit communiquer, ainsi qu'un engagement de la direction à affecter des ressources adéquates. Un
organisme devrait préciser ce qui est possible, en tenant compte de ses ressources, afin de pouvoir répondre le
mieux possible et de la façon la plus réaliste possible aux attentes des parties intéressées.
Il faudrait tenir compte du fait que la communication en matière de sécurité de l'information fait partie des
activités de l'organisme en général et devrait être alignée sur d'autres éléments des systèmes, politiques,
stratégies ou activités pertinentes de gestion.
Une fois définie, la stratégie doit être approuvée par la direction générale, puis servir de base aux activités de
communication de l'organisme en matière de sécurité de l'information.
Les activités de communication d'un organisme en matière de sécurité de l'information dépendent des
ressources disponibles. La stratégie de communication sur la sécurité de l'information devrait prévoir l'affectation
de ressources humaines, techniques et financières, l'attribution de responsabilités et de pouvoirs et la définition
de mesures. L'expérience des employés et leurs besoins de formation devraient être pris en compte.

21/124
L'engagement avec les parties intéressées donne à un organisme l'occasion de connaître leurs enjeux et leurs
préoccupations ; il peut mener à l'acquisition de connaissances par les deux parties et peut influencer leurs
opinions et perceptions. Lorsqu'elle est bien faite, toute approche particulière peut être fructueuse et répondre
aux besoins de l'organisme et des parties intéressées.
Dans certains cas, la compréhension du modèle/comportement de communication de chaque partie intéressée
(ou groupe cible) est également importante dans les communications. Le processus de communication le plus
efficace implique un contact permanent de l'organisme avec les parties intéressées internes et externes, dans le
cadre de la stratégie de communication globale de l'organisme.
Lors de l'élaboration de la stratégie de communication sur la sécurité de l'information et de l'établissement des
objectifs, l'organisme devrait identifier les parties intéressées internes et externes qui ont exprimé un intérêt dans
ses activités, produits et services. Il devrait également identifier d'autres parties intéressées potentielles avec
lesquelles il souhaite communiquer pour atteindre les objectifs généraux de sa stratégie de communication en
matière de sécurité de l'information.

22/124
ISO 31000, article 6.7 Enregistrement et élaboration de rapports (suite)
Il convient que les décisions concernant la création, la conservation et le traitement des informations
documentées tiennent compte, sans toutefois s’y limiter, de leur utilisation, du caractère sensible des informations
et du contexte externe et interne.

23/124
24/124
Exercice 10 : Communication des risques
À partir des scénarios de l'exercice 6, indiquez à quelles parties prenantes internes et externes vous
communiqueriez les risques que vous avez identifiés. Indiquez également comment vous effectueriez cette
communication.
Durée de l'exercice : 20 minutes

Commentaires : 15 minutes

25/124
26/124
Cette section fournit de l'information qui aidera le participant à acquérir des connaissances sur la surveillance et
le réexamen des risques, la surveillance et le réexamen des facteurs de risque et la gestion des risques, y
compris l'amélioration continue de la gestion des risques.

27/124
28/124
ISO/IEC 27000, article 3.46 Surveillance
Détermination du statut d'un système, d'un processus ou d'une activité
Note 1 à l'article : Pour déterminer le statut, il peut s'avérer nécessaire de vérifier, de superviser ou d'observer de
manière critique.
ISO/IEC 27000, article 3.58 Revue
Activité entreprise afin de déterminer l’adaptation, l’adéquation et l’efficacité de l’objet étudié pour atteindre les
objectifs établis.

29/124
Le processus de surveillance et de contrôle des risques comprend le suivi des risques identifiés, le suivi des
risques résiduels, l'identification de nouveaux risques, l'assurance de l'exécution des plans de risques et
l'évaluation de l'efficacité de ces plans pour réduire les risques. Les métriques de risque associées à la mise en
œuvre des plans d'urgence sont enregistrées au cours du processus de suivi et de contrôle des risques. La
surveillance et le contrôle des risques est un processus continu parce que les risques changent à mesure que le
projet arrive à maturité, que de nouveaux risques commencent à se développer ou que les risques prévus
disparaissent. La responsabilité de surveiller et d'effectuer des examens doit être établie.
Toutefois, si un changement important se produit dans l'environnement de risque (comme devrait le détecter une
activité de surveillance), il faut alors déterminer consciemment si le traitement de ce changement peut attendre le
prochain examen périodique ou si un examen immédiat est nécessaire – et peut-être seulement s'il y a un
examen immédiat qui sera connu. Selon la gravité du changement, il peut suffire d'effectuer un examen localisé
et de poursuivre le plan d'examen périodique établi ou cela peut mener à la réalisation d'un examen plus
complet.

30/124
La surveillance et l'examen devraient faire partie intégrante du processus de gestion des risques et comporter
des contrôles ou une surveillance réguliers. Les résultats devraient être enregistrés et rapportés à l'externe et à
l'interne, le cas échéant. Les résultats devraient également contribuer à l'examen et à l'amélioration continue du
cadre de gestion des risques de l'entreprise. Les responsabilités pour la surveillance et l'examen devraient être
clairement définies.

31/124
32/124
33/124
34/124
ISO/IEC 27005, article 12.1 Surveillance et réexamen des facteurs de risque (suite)
les vulnérabilités identifiées pour déterminer celles qui deviennent exposées à des menaces nouvelles ou
qui réapparaissent;
l'augmentation de l'impact ou des conséquences de menaces, vulnérabilités et risques agrégés appréciés
entraînant un niveau de risque inacceptable;
Incidents de sécurité de l'information.

35/124
ISO/IEC 27005, article 12 Surveillance et réexamen des risques en sécurité de l'information
Surveillance et réexamen des facteurs de risque
Les facteurs affectant la vraisemblance et les conséquences des menaces peuvent changer, de même que les
facteurs affectant la pertinence et le coût des diverses options de traitement. Il convient que les modifications
majeures de l'organisme entraînent un réexamen plus spécifique. Par conséquent, il convient de répéter
régulièrement les activités de surveillance des risques et de réexaminer périodiquement les options choisies de
traitement des risques.

36/124
L'organisme devrait s'assurer que :
La gestion des risques de sécurité de l'information demeure approprié.
Les activités connexes à la gestion des risques demeurent pratiques et sont suivies.
De plus, l'organisme devrait généralement valider que les critères de mesure du risque et ses éléments sont
toujours valides et conformes aux objectifs opérationnels, aux stratégies et aux politiques.
Les changements apportés au contexte opérationnel sont pris en compte comme il se doit au cours du processus
de gestion des risques liés à la sécurité de l'information.

37/124
ISO 31000, article 5.6 Évaluation
Pour évaluer l’efficacité du cadre organisationnel de management du risque, il convient que l’organisme:
mesure périodiquement les performances du cadre organisationnel de management du risque par rapport à
sa finalité, aux plans de mise en œuvre, aux indicateurs et au comportement attendu;
détermine s’il demeure pertinent pour aider à atteindre les objectifs de l’organisme.

38/124
Sans être exhaustive, voici une liste des principales mesures de sécurité liées à la gestion des incidents :
Exemples de mesures pour prévenir les incidents
Formation adéquate du personnel
Contrôle de l'accès physique à l'équipement
Utilisation de documents bien conçu (éviter les erreurs)
Authentification et autorisation (mots de passe)
Cryptographie
Exemples de mesures pour détecter les incidents
Alarmes configurées sur le matériel de télécommunications
Systèmes de détection d'intrusion (SDI)
Alarmes pour la détection de la chaleur, de la fumée, un incendie ou un risque pour l'eau
Vérification des calculs en double
Caméras vidéo
Exemples de mesures de correction liées à des incidents
Établissement de plans d'urgence comprenant toutes les activités de formation, de sensibilisation, d'essai
et d'entretien nécessaires
Création d'une équipe d'intervention en cas d'incident
Processus d'enquête sur les incidents

39/124
Si l'organisme n'a pas de programme de gestion des risques, il peut ne pas être souhaitable de mettre en œuvre
un tel programme en un seul élément pour l'ensemble de l'organisme, car il pourrait être confronté à un certain
nombre de changements et de problèmes importants.
Il est préférable de commencer la mise en œuvre avec un périmètre limité et de l'élargir au fil des ans. De
même, en surveillant et en examinant le fonctionnement du programme de gestion des risques, l'organisme
accroîtra son efficacité et son efficience dans la gestion des risques liés à la sécurité de l'information.
Efficacité : Donne le résultat (quelle que soit la méthode utilisée)
Efficience : Fournit le résultat au moindre coût (rapport entre les résultats obtenus et les ressources utilisées)

40/124
Inexistant : Stratégie non définie, l'organisme n'est pas au courant des risques potentiels associés à la gestion
des risques. Par conséquent, aucune communication n'a été faite sur ce sujet.
Initial : Il est clair que certains membres de l'organisme se sont rendu compte que la gestion des risques est
importante. Toutefois, les efforts de gestion des risques sont menées ad hoc. Il n'existe aucune stratégie définie
et le processus n'est pas complètement reproductible. En général, le projet de processus de gestion des risques
semble chaotique et désordonné. En outre, les résultats ne sont pas évalués ou audités.
Répétitif : Le concept de gestion des risques n'est pas inconnu à l'intérieur de l'organisme. Le processus de
gestion des risques est reproductible mais inexpérimenté. Le processus n'est pas entièrement défini ; toutefois,
des mesures sont prises régulièrement et l'organisme travaille à l'établissement d'un processus de gestion
globale des risques auquel participeront les cadres supérieurs. Il n'y a aucune formation ou communication
officielle sur la gestion des risques mise en place pour les employés.
Défini : L'organisme a décidé de tout laisser à l'équipe de gestion des risques, donc de définir les objectifs de
son programme de gestion des risques. Un processus basé sur des objectifs clairement définis et incluant des
opérations formelles a été développé pour atteindre un certain niveau d'efficacité et pour l'évaluer. En outre, une
formation rudimentaire à la gestion des risques est offerte à tout le personnel. Enfin, l'organisme met en place
des processus officiels pour gérer activement les risques.

41/124
Géré : Le concept de gestion des risques n'est pas inconnu à l'intérieur de l'organisme. Il existe des processus
de gestion des risques, le processus est clairement défini, le personnel est bien informé, une formation
rigoureuse est offerte et les principales méthodes d'évaluation pour mesurer l'efficacité du processus sont en
place. Le programme de gestion des risques dispose de ressources suffisantes, ce qui permet à l'équipe de
gestion des risques d'améliorer graduellement les processus et les outils de l'organisme, ce qui est avantageux
pour l'organisme. Des outils technologiques sont utilisés pour aider à gérer les risques, mais de nombreuses
procédures comme les procédures d'évaluation des risques, l'identification des contrôles et l'analyse coûts-
avantages sont encore effectuées manuellement.
Optimisé : L'organisme a affecté d'importantes ressources à la gestion des risques et, par conséquent, le
personnel tente de prévoir les problèmes et les solutions qui pourraient survenir au cours des mois et des
années à venir. Le processus de gestion des risques est bien absorbé et largement automatisé grâce à
l'utilisation d'outils (développés en interne ou achetés auprès de fournisseurs de logiciels indépendants). Les
principales causes de tous les problèmes sont identifiées et des mesures appropriées sont prises pour limiter le
risque de répétition. La formation, selon le niveau d'expertise, est offerte à tous les membres du personnel et un
programme de sensibilisation continue sur les questions de risque est mis en place.

42/124
Types d'amélioration
Les améliorations peuvent être à court ou à long terme et peuvent découler d'événements planifiés ou non
planifiés. Par exemple, les améliorations au sein de l'organisme peuvent être planifiées sur une période de
plusieurs mois ou années dans le cadre d'un plan global d'amélioration de la maturité. Alternativement, des
améliorations peuvent être mises en œuvre au fur et à mesure que des vulnérabilités et des incidents sont
découverts. Les améliorations peuvent être divisées en trois grandes catégories :
Les améliorations en processus (c'est-à-dire, la manière dont les choses sont faites)
Les améliorations dans la pratique (c'est-à-dire, ce qui est fait)
Les améliorations en stratégie (c'est-à-dire, pourquoi les choses sont faites)

43/124
44/124
Cette section fournit des informations qui aideront les participants à acquérir des connaissances sur divers types
de méthodologie d'évaluation des risques OCTAVE tels que OCTAVE-S et OCTAVE Allegro.

45/124
46/124
La méthode OCTAVE utilise une approche en trois phases pour examiner les questions organisationnelles et
technologiques et dresser un tableau complet des besoins de sécurité de l'information de l'organisme. La
méthode utilise des ateliers pour encourager la discussion ouverte et l'échange d'informations sur les actifs, les
pratiques de sécurité et les stratégies.
Chaque phase se compose de plusieurs processus et chaque processus comporte un ou plusieurs ateliers
menés ou dirigés par l'équipe d'analyse. Certaines activités de préparation sont également nécessaires pour
établir une bonne base pour mener à bien l'évaluation

47/124
OCTAVE-S est une méthode d'évaluation des risques utilisée pour examiner les risques liés à la sécurité des
actifs critiques d'un organisme. Cette méthode aide un organisme à évaluer les risques en fonction de ses
objectifs opérationnels, à élaborer une stratégie de protection et à élaborer des plans d'atténuation des risques
en fonction des actifs de l'organisme. La mise en œuvre des résultats de l'OCTAVE-S permet à un organisme
d'assurer la sécurité de ses actifs informationnels et d'améliorer sa position générale de sécurité.
OCTAVE-S est réalisée en trois phases, y compris l'établissement de profils de menaces basés sur les actifs,
l'identification des vulnérabilités de l'infrastructure et l'élaboration de stratégies et de plans de sécurité.
Phase 1 : Construire des profils de menaces basés sur les actifs
Au cours de la phase 1, l'équipe d'analyse définit les critères d'évaluation des impacts. Les actifs de l'organisme
sont également identifiés et les pratiques actuelles en matière de sécurité sont évaluées. L'équipe d'analyse ne
recueille que l'information nécessaire et, en fonction de son importance pour l'organisme, choisit de 3 à 5 actifs
critiques pour une analyse en profondeur. À la fin, un profil de menace est défini pour chaque actif critique en
fonction des exigences de sécurité définies.
Phase 2 : Identifier les vulnérabilités de l'infrastructure
Au cours de la phase 2, l'infrastructure informatique de l'organisme est examinée par l'équipe d'analyse. Cette
revue se concentre principalement sur l'analyse de la façon dont les personnes accèdent aux actifs critiques en
utilisant l'infrastructure informatique, en fournissant des classes de composants clés et en identifiant les
personnes responsables de la configuration et de la maintenance de ces composants.
Phase 3 : Élaborer des stratégies et des plans de sécurité
Au cours de cette phase, l'équipe d'analyse détermine les risques liés aux actifs critiques de l'organisme et les
mesures à prendre. Pour faire face aux risques des actifs critiques, l'équipe élabore une stratégie et des plans de
sécurité. Les feuilles de travail utilisées lors de la phase 3 sont très bien associées au catalogue de pratiques
d'OCTAVE-S qui permet à l'équipe d'analyse d'associer ses recommandations d'amélioration à un référentiel
accepté des pratiques de sécurité.

48/124
Introduction d'OCTAVE Allegro, 2.2 Motivation pour une nouvelle approche
La réflexion sur les connaissances et les perspectives acquises depuis l'introduction de la première méthode
OCTAVE indique qu'une approche actualisée de l'évaluation des risques en matière de sécurité de l'information
est nécessaire. Cette expérience sert de base à l'établissement d'un ensemble d'exigences qui feront évoluer la
méthode OCTAVE pour répondre à l'évolution des besoins organisationnels et aux environnements de risques
opérationnels plus complexes.

49/124
Présentation OCTAVE Allegro, 2.4.2.1 Ajout du profilage de l'actif informationnel
OCTAVE Allegro exige que les organismes créent des profils des actifs informationnels pour faciliter une
définition plus précise des limites d'un actif informationnel en créant des définitions cohérentes, non ambiguës et
acceptées pour cet actif. Par le biais des profils des actifs, un organisme attribue la propriété, définit les
exigences en matière de sécurité et saisit la valeur de l'actif. Une fois qu'un profil a été créé, il peut être réutilisé
et mis à jour dans les évaluations ultérieures. Cela appuie l'établissement de données de référence sur les actifs
informationnels pour les évaluations futures et favorise la répétabilité de la méthode.
2.4.2.2 Définition et utilisation des exigences en sécurité des actifs informationnels
Les exigences de sécurité – confidentialité, intégrité et disponibilité – font partie de l'ADN d'un actif informationnel.
Ce sont les exigences de l'actif en matière de protection et de durabilité. Peu importe l'endroit où le bien est
entreposé, transporté ou traité, ou qui en a la garde (à l'intérieur ou à l'extérieur de l'organisme), les exigences de
sécurité de l'actif vivent avec lui pendant sa vie utile.
En limitant l'affectation des exigences de sécurité aux actifs informationnels, OCTAVE Allegro réduit la confusion
potentielle autour de la définition et de l'application des exigences de sécurité dans le processus d'évaluation des
risques. Dans les méthodes OCTAVE existantes, les exigences de sécurité ne sont pas spécifiquement liées aux
actifs informationnels (comme elles sont censées l'être), et les utilisateurs développent et tentent donc souvent
d'appliquer ces concepts aux «personnes» et à la «technologie». Cela entraîne certains utilisateurs à avoir des
problèmes dans l'identification et l'analyse de risque. En outre, les exigences en matière de sécurité sont un
élément fondamental pour la conception et la mise en œuvre de plans d'atténuation des risques. OCTAVE Allegro
demande explicitement aux utilisateurs de prendre en compte l'implication des conséquences des risques sur les
exigences de sécurité et dans l'atténuation des risques.

50/124
2.4.2.3 Élimination de tests de vulnérabilité
L'identification des vulnérabilités est un moyen important d'identifier les risques. Cependant, il peut s'agir d'une
activité qui prend beaucoup de temps et qui, en fin de compte, fait dévier l'activité d'évaluation des risques.
L'utilisation et l'exécution d'outils de vulnérabilité, ainsi que l'analyse des résultats de ces outils, sont des tâches
difficiles et lourdes, même pour les organismes qui effectuent ces tâches sur une base régulière. Dans la
pratique, de nombreux utilisateurs des méthodes OCTAVE existantes constatent que l'identification des
vulnérabilités à l'aide d'outils entraîne en fait une perte de vitesse et ne fournit pas d'informations supplémentaires
significatives qui ne peuvent être obtenues par l'identification de scénarios. C'est particulièrement vrai pour les
organismes qui effectuent leur première évaluation des risques ou qui n'ont pas l'expertise nécessaire pour utiliser
ces outils.
De plus, comme de nombreux organismes confondent évaluation de la vulnérabilité et évaluation des risques, ils
tronquent parfois les processus OCTAVE en croyant à tort que les vulnérabilités qui ont été identifiées sont des
risques. Mais ce n'est qu'en analysant les résultats et l'impact potentiels que les vulnérabilités peuvent être
considérées comme des risques auxquels il faut s'attaquer.
La nécessité d'utiliser des outils de vulnérabilité pour compléter la vue technologique du risque est éliminée dans
OCTAVE Allegro. Cependant, si un organisme possède une compétence de base dans l'identification des
vulnérabilités à l'aide d'outils, il peut facilement être intégré à plusieurs processus d'OCTAVE Allegro pour fournir
une articulation plus robuste des risques.
2.4.2.4 Introduction du concept de conteneur
Comme mentionné précédemment, OCTAVE Allegro introduit le concept de conteneur dans le processus
d'évaluation.. La méthode OCTAVE Allegro assure la prise en compte de tous les conteneurs dans lesquels un
actif est stocké, transporté et traité, qu'ils soient internes ou externes à l'organisme. Cela délimite l'évaluation et
assure une prise en compte adéquate du périmètre.
2.4.2.5 Élaboration des feuilles de travail liées aux risques des actifs informationnels
Dans OCTAVE Allegro, toutes les informations pertinentes sur un risque spécifique pour un actif informationnel
sont saisies sur une feuille de travail sur le risque de l'actif informationnel. Sur cette feuille de travail, l'information
sur les menaces et les répercussions associées à un risque est saisie, la cote de risque relatif est calculée et les
plans et activités d'atténuation sont documentés. Cela réduit considérablement la documentation, l'organisation et
la manipulation des données nécessaires pour effectuer l'évaluation des risques et produit une vue beaucoup plus
concise du risque qui peut être communiquée et partagée. Cela aide également l'organisme à organiser
l'information sur les risques de manière à permettre l'analyse des causes fondamentales et l'élaboration de
stratégies d'atténuation, particulièrement lorsque ces stratégies peuvent viser plus d'un risque. De plus,
51/124
l'élaboration des feuilles de travail facilite la capacité d'un organisme à effectuer une analyse des tendances dans
toutes les unités organisationnelles en raison du format normalisé et uniforme de documentation et d'atténuation
des risques.

52/124
2.4.2.6 Effectuer une analyse quantitative
Les méthodes OCTAVE sont en grande partie des méthodes qualitatives d'évaluation des risques. Autrement dit,
ils se prêtent davantage à des considérations qualitatives et à des descriptions du risque qu'à des descriptions
quantitatives. Bien que le risque opérationnel soit par nature difficile à quantifier, les organismes ayant une
grande expérience des méthodologies de gestion du risque « basées sur les nombres » trouvent les méthodes
comme OCTAVE quelque peu difficiles à institutionnaliser parce qu'elles ne disposent pas d'un processus
inhérent pour établir les priorités et classer les risques. OCTAVE Allegro permet une analyse quantitative simple
du risque en introduisant le concept de cote de risque relatif. Une cote de risque relatif est une valeur dérivée de
la prise en compte d'une description qualitative de la probabilité du risque combinée à une priorisation de l'impact
organisationnel du risque en fonction des critères de mesure du risque de l'organisme. La cote peut être utilisée
pour comparer l'importance relative des risques individuels. Par exemple, lorsque l'on compare deux risques, le
risque avec la cote la plus élevée est considéré comme étant plus important que les autres risques. Étant donné
que les cotes sont constamment dérivées des critères de mesure du risque à l'échelle de l'organisme, elles
peuvent être comparées entre les instances d'OCTAVE Allegro et dans le temps, à mesure que l'environnement
opérationnel évolue de l'organisme.

53/124
Présentation OCTAVE Allegro: Amélioration du processus d'évaluation des risques en matière de
sécurité de l'information, section 3.1 Méthodologie OCTAVE Allegro
Il existe pour d’OCTAVE Allegro quatre zones distinctes d'activité où sont effectuées huit étapes. Les domaines
d'activité sont les suivants :
Établir des déterminants, où l'organisme établit des critères de mesure du risque qui sont conformes aux
déterminants organisationnels
Profiler les actifs, où les actifs qui font l'objet de l'évaluation des risques sont identifiés et profilés et où les
conteneurs des actifs sont identifiés
Identifier les menaces, lorsque les menaces qui pèsent sur les actifs – dans le contexte de leurs
conteneurs – sont identifiées et documentées par un processus structuré
Identifier et atténuer les risques, lorsque les risques sont identifiés et analysés en fonction de l'information
sur les menaces, et des stratégies d'atténuation sont élaborées pour faire face à ces risques

54/124
Présentation OCTAVE Allegro: Amélioration du processus d'évaluation des risques en matière de
sécurité de l'information, Méthodologie 3.1 OCTAVE Allegro
3.1.1 Étape 1 - Établir des critères de mesure du risque
Ces déterminants sont reflétés dans un ensemble de critères de mesure du risque qui est créé et saisi dans le
cadre de cette étape initiale. Les critères de mesure du risque sont un ensemble de mesures qualitatives par
rapport auxquelles les effets d'un risque réalisé peuvent être évalués et constituent le fondement d'une évaluation
du risque lié aux actifs informationnels. L'utilisation de critères de mesure du risque cohérents qui reflètent
fidèlement une vision organisationnelle garantit que les décisions sur la façon d'atténuer le risque seront
cohérentes entre plusieurs actifs informationnels et unités opérationnelles ou départementales.
En plus d'évaluer l'étendue d'un impact dans un domaine particulier, un organisme doit reconnaître quels
domaines d'impact sont les plus importants pour sa mission et ses objectifs opérationnels. Par exemple, dans
certains organismes, un impact sur la relation avec leur clientèle peut être plus important qu'un impact sur leur
conformité aux règlements. Cette priorisation des zones d'impact s'effectue également au cours de cette première
étape.
La méthode Allegro d'OCTAVE fournit un ensemble standard de modèles de feuilles de travail pour créer ces
critères dans plusieurs domaines d'impact et ensuite les prioriser.

55/124
56/124
Présentation OCTAVE Allegro: Amélioration du processus d'évaluation des risques pour la sécurité de
l'information, section 3.1.3 Étape 3 - Identifier les conteneurs d'actifs informationnels
Par exemple, de nombreux organismes impartissent une partie, sinon la totalité, de leur infrastructure de TI à des
fournisseurs de services. Ces fournisseurs de services gèrent les conteneurs qui contiennent les actifs
informationnels de l'organisme. Si un fournisseur de services n'est pas au courant des exigences de sécurité d'un
actif informationnel qui est stocké, transporté ou traité dans les conteneurs qu'il gère, les contrôles nécessaires
pour protéger les actifs informationnels peuvent ne pas être adéquats, exposant ainsi les actifs au risque.
Ce problème peut s'aggraver si le fournisseur de services conclut à son tour des contrats pour d'autres services
(comme le stockage de données) avec d'autres fournisseurs de services qui peuvent être inconnus du
propriétaire de l'actif informationnel. Ainsi, pour obtenir un profil de risque adéquat d'un actif informationnel, un
organisme doit identifier tous les endroits où ses actifs informationnels sont entreposés, transportés ou traités,
qu'ils soient ou non sous le contrôle direct de l'organisme.
À l'étape 3 de la méthode OCTAVE Allegro, tous les conteneurs dans lesquels un bien est stocké, transporté et
traité, qu'ils soient internes ou externes, sont identifiés. Au cours de cette étape, l'équipe d'analyse met en
correspondance un actif informationnel avec tous les conteneurs dans lesquels il vit, définissant ainsi les limites et
les circonstances uniques qui doivent être examinées pour le risque.

57/124
58/124
l'information, section 3.1.5 Étape 5 - Identifier les scénarios de menace
Divers scénarios de menace peuvent être représentés visuellement dans une structure arborescente
communément appelée arbre des menaces. Les arbres de menace proviennent de la méthode OCTAVE et sont
décrits dans le tableau 2.
Les scénarios de menace dérivés des secteurs préoccupants correspondent à une branche de l'un ou plusieurs
de ces arbres de menace. Pour assurer une prise en compte plus rigoureuse des menaces, chaque branche de
l'arbre des menaces est également prise en compte pour chaque actif informationnel. Il peut s'avérer fastidieux de
passer en revue chaque branche de l'arbre des menaces pour identifier les scénarios de menace. Ainsi, une série
de questionnaires sur les scénarios de menace ont été élaborés et sont fournis pour faciliter cette tâche. Ces
questionnaires se trouvent dans «Annexe C - OCTAVE Allegro Questionnaires v1.0» à la page 91.
Cette étape offre également l'occasion de tenir compte de la probabilité dans la description des scénarios de
menace. La probabilité aide un organisme à déterminer lequel des scénarios est le plus probable compte tenu de
son environnement opérationnel unique. Cela est utile dans les étapes ultérieures lorsqu'un organisme entreprend
le processus d'établissement des priorités de ses activités d'atténuation des risques. Cependant, comme il est
souvent difficile de quantifier avec précision la probabilité, surtout en ce qui concerne les vulnérabilités et les
événements liés à la sécurité, la probabilité est exprimée dans la méthodologie de l'OCTAVE Allegro de façon
qualitative comme élevée, moyenne ou faible.

59/124
À l'aide des résultats des questionnaires sur les scénarios de menace, le gestionnaire des risques remplira des
feuilles de travail sur les risques liés aux actifs informationnels pour chacun des scénarios de menace
génériques qui ont été identifiés. Pour toutes les menaces qui ont été identifiées, le gestionnaire de risques
enregistrera une nouvelle fiche de travail sur les risques liés aux actifs informationnels.

60/124
l'information, section 3.1.6 Étape 6 - Identifier les risques
À l'étape 5, les menaces sont identifiées et, à l'étape 6, les conséquences pour une organisation si une menace
est réalisée sont saisies, complétant ainsi le tableau des risques. Une menace peut avoir plusieurs impacts
potentiels sur un organisme. Par exemple, la perturbation du système de commerce électronique d'un organisme
peut nuire à sa réputation auprès de ses clients ainsi qu'à sa situation financière. Les activités de cette étape
permettent de s'assurer que les diverses conséquences du risque sont prises en compte.

61/124
62/124
l'information, section 3.1.7 Étape 7 - Analyser les risques
En d'autres termes, si la réputation est la plus importante pour un organisme, les risques qui ont une incidence
sur la réputation de l'organisme produiront des notes plus élevées que les risques ayant des incidences et des
probabilités équivalentes dans un autre domaine. En priorisant ces critères d'impact, un organisme s'assure que
les risques sont classés par ordre de priorité dans le contexte de ses moteurs organisationnels.

63/124
Le gestionnaire de risques devra évaluer les conséquences relatives à chacune des zones d'impact et inscrire
une valeur «élevée», «moyenne» ou «faible» dans la zone «Valeur» de la zone (8).

64/124
Au cours de cette étape, un résultat de risque relatif sera calculé et pourra être utilisé pour analyser les
risques et aider l'organisme à déterminer une stratégie de risque appropriée.
Calculer le résultat pour chaque zone d'impact en multipliant le rang de la zone d'impact par la valeur de
l'impact.
Additionner les résultats. Ce total est le résultat du risque relatif.

65/124
66/124
La méthode d'évaluation des risques devrait permettre de gérer les risques selon les quatre options suivantes :
1. Réduction : Il convient de réduire le niveau des risques par l’introduction, la suppression ou la
modification des mesures de sécurité afin que le risque résiduel puisse être réapprécié et jugé acceptable.
Il convient de choisir des mesures de sécurité adaptées et justifiées afin de répondre aux exigences
identifiées par l'appréciation et le traitement des risques. Cette sélection devrait tenir compte des critères
d'acceptation des risques ainsi que des exigences légales, réglementaires et contractuelles. Il convient
qu'il tienne également compte du coût et du délai de mise en œuvre des mesures de sécurité ou des
aspects techniques, environnementaux et culturels.
2. Maintien : il est possible qu'il y ait certains risques pour lesquels l'organisme ne sera pas en mesure
d'identifier les mesures de sécurité ou que le coût de ces mesures soit plus élevé que la perte potentielle
par suite de la matérialisation de ce risque. Dans ce cas, l'organisme peut décider qu'il vaut mieux vivre
avec les conséquences du risque s'il se matérialise. L'organisme devra documenter cette décision afin que
la direction soit informée des risques et accepte les conséquences.
3. Refus : Lorsque les risques identifiés sont jugés trop élevés ou lorsque les coûts de mise en œuvre
d'autres options de traitement des risques dépassent les bénéfices attendus, il est possible de prendre la
décision d'éviter complètement le risque, en abandonnant une ou plusieurs activités prévues ou existantes,
ou en modifiant les conditions dans lesquelles l'activité est effectuée.
4. Partage : Le partage des risques implique la décision de partager certains risques avec des parties
externes. Il peut créer de nouveaux risques ou modifier les risques identifiés existants. Par conséquent, un
autre traitement des risques peut s'avérer nécessaire. Le partage des risques est une élimination «non
absolue» des risques (p. ex. le recours à des tiers pour le transport et la manutention de certaines tâches).

67/124
68/124
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur l'analyse des
risques et la méthodologie de gestion des risques de MEHARI, notamment l'approche MEHARI, l'analyse et la
classification des enjeux, l'évaluation des services de sécurité, l'analyse des risques et l'élaboration des plans de
sécurité.

69/124
70/124
71/124
72/124
73/124
Efficacité du service
Pour les services techniques, l'efficience mesure leur capacité à assurer efficacement la fonction requise face à
des parties prenantes ayant des compétences plus ou moins pointues. En ce qui concerne les services visant
des événements naturels (tels que la détection d'incendie, l'extinction d'incendie, etc.), ils sont la mesure du
caractère plus ou moins trivial ou plus ou moins exceptionnel de l'événement pour lequel ils conservent leur effet.
Robustesse d'un service de sécurité
La robustesse d'un service mesure sa capacité à résister à une action qui vise à le contourner ou à l'inhiber ou à
un événement extérieur en arrêtant le fonctionnement attendu.
Mettre sous la surveillance d'un service de sécurité
La mise sous surveillance d'un service de sécurité mesure la capacité de l'organisme d'assurer la permanence
des caractéristiques du service.
Les connaissances de base de MEHARI comprennent un manuel de référence des services de sécurité qui décrit
pour chaque service :
L'objectif du service
Les résultats attendus
Les mesures, les mécanismes et les solutions mis en œuvre pour exécuter le service
Les éléments pertinents pour évaluer la qualité du service (sous les trois aspects d'efficacité, de
robustesse et de surveillance)

74/124
MEHARI, Guide d'évaluation des services de sécurité, section 2.2.2 Définition des niveaux de qualité des
services de sécurité
La qualité du service de sécurité est évaluée sur une échelle de 0 à 4. Cette échelle reflète la compétence ou la
détermination nécessaire pour percer les défenses, les court-circuiter, inhiber ou rendre inutile la détection de la
neutralisation du service. Bien que cette échelle de valeurs permette des valeurs fractionnaires, nous pensons
qu'il est utile de donner quelques indications sur les valeurs entières pour un service de sécurité.
Niveau de qualité de service évalué à 1
Le service a une qualité minimale. Il peut ne pas être efficace (ou ne pas résister) face à une personne
quelconque, sans qualification particulière, ou tant soit peu initiée, ou, dans le domaine des événements naturels,
ne pas être efficace face à un événement relativement banal.
Pour une mesure organisationnelle, elle aura très peu d’effet sur les comportements ou l’efficacité de
l’organisation.
Le service reste efficace et résiste à un agresseur moyen, voire initié, mais pourrait être insuffisant contre un bon
professionnel du domaine concerné (un informaticien professionnel pour un service de sécurité logique, un
cambrioleur normalement équipé ou un "casseur" pour un service de sécurité physique des accès). Dans le
domaine des événements naturels, un tel service pourrait être insuffisant pour des événements très sérieux,
considérés comme rares. Pour les mesures organisationnelles, un tel service n’apportera une amélioration des
comportements que dans des cas courants.

75/124
Le service reste efficace et résiste aux agresseurs et événements décrits ci-dessus, mais pourraitêtre insuffisant
contre des spécialistes (hackers chevronnés et équipés, ingénieurs systèmesfortement spécialisés sur un
domaine donné et dotés d'outils spéciaux qu'ils maîtrisent, espionsprofessionnels, agences de renseignement,
etc.) ou des événements exceptionnels (catastrophesnaturelles). Une mesure organisationnelle de ce niveau aura
un effet certain dans la très grandemajorité des circonstances, mais peut-être pas dans des circonstances
exceptionnelles.
Il s'agit du niveau le plus élevé et le service de sécurité reste efficace et résiste aux agresseurs etévénements
décrits ci-dessus. Il reste qu'il pourrait être mis en brèche par des circonstancesexceptionnelles : meilleurs
experts mondiaux dotés d'outils exceptionnels (moyens pouvant êtremis en œuvre par des États importants) ou
concours exceptionnels de circonstances elles-mêmesexceptionnelles.
Le processus d'évaluation de la qualité des services de sécurité utilisé par MEHARI a été conçu pour fournir des
évaluations de qualité correspondant aux définitions ci-dessus.

76/124
Le schéma d'audit
Les services de sécurité sont des fonctions de sécurité et ces fonctions sont assurées par des solutions
réellement mise en œuvre dans l'organisme.
Le diagnostic de l'état de sécurité consiste, en pratique, à analyser ou à auditer les solutions et procédures
en place pour assurer les fonctions de sécurité.
Il existe généralement, dans un même organisme, plusieurs solutions pour assurer la même fonction
générale.
Par exemple, le contrôle d'accès aux locaux est certainement assuré par différents mécanismes et
avec différentes solutions pour accéder aux salles informatiques, aux baies de distribution des
lignes téléphoniques, aux salles de conférence et aux salles d'équipement contenant de gros
équipements électriques.
Il est également évident que les fonctions de contrôle d'accès logique aux systèmes et aux applications
sont traitées différemment par différents systèmes d'exploitation comme MVS, UNIX, NT, etc.
Avant même de commencer la procédure d'évaluation et d'analyse des services de sécurité, la première
question à se poser est d'identifier différentes solutions à analyser ou à auditer.
C'est le but de ce que MEHARI appelle «plan d'audit» ou «schéma d'audit».

77/124
78/124
79/124
Les paramètres à prendre en compte pour déterminer l'approche la plus appropriée sont :
La maturité de l'organisme dans le domaine de sécurité
Le choix des acteurs à impliquer dans les différentes décisions concernant les actions à entreprendre :
Les gestionnaires impliqués dans les opérations
Personnel technique
Domaines couverts par le plan de sécurité :
Infrastructure technique
Processus métier
Pratiques communes

80/124
Nous incluons dans la désignation ou le plan stratégique des mesures ou des options à prendre qui sont durables
(il n'est pas nécessaire de les réévaluer de façon récurrente) :
Officialisation d'une politique de sécurité

Élaboration d'objectifs de sécurité
Élaboration d'une charte de gestion
Mise en place des grilles de décision MEHARI
Analyse des enjeux et développement de l'échelle de valeur des dysfonctionnements
Ce sont toutes des décisions prises au niveau central pour assurer la cohérence des décisions qui peuvent être
prises au niveau décentralisé.

81/124
82/124
83/124
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur la
méthodologie de gestion des risques EBIOS, y compris ses 5 ateliers et sa relation avec ISO/IEC 27005.

84/124
85/124
Atelier 1 - Étude du contexte
À la fin du premier atelier, qui établit le contexte, le domaine d'application de la gestion des risques, les
paramètres et les limites de l'étude sont entièrement connus ; les actifs primordiaux, ceux dont ils dépendent, et
les paramètres à prendre en compte pour le traitement des risques sont tous identifiés.
Atelier 2 - Étude des événements de sécurité redoutés
Le deuxième atelier contribue à l'évaluation des risques. Le besoin de sécurité des actifs primordiaux est identifié
et estimé (en termes de disponibilité, d'intégrité, de confidentialité, etc.), ainsi que l'ensemble des impacts (sur
les missions, la sécurité des personnes, financiers, juridiques, image, environnement, tiers et autres, etc.) en cas
de non-respect de ces besoins et les sources de menaces (humaines, environnementales, internes, externes,
accidentelles, volontaires, volontaires, etc.) qui peuvent en être la cause, permettant ainsi la formulation des
événements redoutés.
Atelier 3 - Étude des scénarios de menace
Le troisième atelier fait également partie de l'évaluation des risques. Il consiste à identifier et à estimer les
scénarios de menace qui peuvent engendrer des événements redoutables pour la sécurité, et donc constituer
des risques. Pour ce faire, les menaces éventuellement générées par les sources de menaces et les
vulnérabilités exploitables sont étudiées.
Atelier 4 - Étude des risques
Le quatrième atelier examine les risques pour l'organisme en vérifiant les événements de sécurité craints par
rapport aux scénarios de menace. Il décrit également comment estimer et évaluer ces risques, et comment
identifier les objectifs de sécurité qui doivent être atteints pour les traiter.
Atelier 5 - Étude des mesures de sécurité
Le cinquième et dernier atelier fait partie du traitement des risques. Il explique comment spécifier les mesures à
mettre en œuvre, comment planifier la mise en œuvre de ces mesures et comment valider le traitement des
risques et les risques résiduels.

86/124
Cet atelier vise à collecter les éléments nécessaires à la gestion des risques, à les mettre en œuvre dans de
bonnes conditions, à les adapter à la réalité du contexte de l'étude et à ce que ses résultats soient pertinents et
utilisés par les acteurs.
Cela permet de formaliser le cadre de gestion des risques dans lequel l'étude sera menée. Cela permet
également d'identifier, de définir et de décrire la portée de l'étude et ses enjeux, son contexte d'utilisation, ses
contraintes spécifiques, etc.
À la fin de cet atelier, le champ d'identification de l'étude est clairement limité et décrits, ainsi que tous les
paramètres à prendre en compte dans les autres ateliers.
L’ atelier comprend les activités suivantes :
Définir le domaine d'application de la gestion des risques
Préparer des métriques
Identifier les actifs

87/124
Cet atelier vise à identifier systématiquement les scénarios génériques que nous voulons éviter en ce qui
concerne la portée de l'étude : l'expression des besoins de sécurité. Les réflexions sont menées à un niveau plus
fonctionnel et technique (des actifs essentiels et non des actifs médiatiques).
Il permet d'abord de faire ressortir tous les événements de sécurité en identifiant et en combinant chacune de
leurs composantes : on estime que la valeur à protéger (les besoins de sécurité des actifs essentiels) souligne
les sources des menaces auxquelles nous sommes exposés et les conséquences (impacts) des catastrophes. Il
est alors possible d'estimer le niveau de chaque événement de sécurité redouté (sa gravité et sa vraisemblance).
Il permet également d'identifier les mesures de sécurité existantes et d'en estimer l'effet en réévaluant la gravité
de l'expression des événements de sécurité une fois les mesures de sécurité appliquées.
À la fin de cet atelier, les événements de sécurité sont identifiés, expliqués et positionnés les uns par rapport aux
autres en termes de gravité et de vraisemblance.

88/124
Cet atelier vise à identifier systématiquement les procédures génériques qui peuvent affecter la sécurité de
l'information dans le cadre de l'étude : les scénarios de menace Les réflexions sont menées à un niveau plus
technique et fonctionnel (sur les actifs médiatiques et les actifs essentiels).
Cela permet de faire ressortir tous les scénarios de menaces en identifiant et en combinant leurs composantes
individuelles : nous mettons en évidence les différentes menaces à la portée de l'étude, les vulnérabilités
exploitables pour les réaliser (vulnérabilités des actifs médiatiques), et les sources des menaces susceptibles
d'être utilisées. Il est donc possible d'estimer le niveau de chaque scénario de menace (sa probabilité).
Cela permet également d'identifier les éventuelles mesures de sécurité existantes et d'évaluer leur effet en
réévaluant la probabilité de scénarios de menace une fois les mesures de sécurité appliquées.
À la fin de cet atelier, des scénarios de menace sont identifiés, expliqués et positionnés les uns par rapport aux
autres en termes de vraisemblance.
L’ atelier comprend une activité :
Apprécier les scénarios de menace

89/124
Cet atelier vise à mettre systématiquement en évidence les risques dans le cadre de l'étude, puis à choisir
comment les traiter en tenant compte du contexte spécifique. Les réflexions sont menées à un niveau fonctionnel
et technique supérieur.
En corrélant les événements avec les événements de sécurité redoutés et les scénarios de menace qui
pourraient en découler, cet atelier ne peut identifier que des scénarios réels pertinents par rapport au périmètre
de l'étude. Il permet également de les qualifier explicitement afin d'établir des priorités et de choisir les options de
traitement appropriées.
À la fin de cet atelier, les risques sont évalués et les choix de traitement sont effectués.
Évaluation des risques
Identification des objectifs de sécurité

90/124
Cet atelier vise à identifier les moyens de traiter les risques et de suivre leur mise en œuvre, en cohérence avec
le contexte de l'étude. Les réflexions sont menées de préférence conjointement entre le niveau fonctionnel et le
niveau technique.
Il permet de dégager un consensus sur les mesures de sécurité pour traiter les risques, conformément aux
objectifs précédemment identifiés, de démontrer sa bonne couverture et, enfin, d'assurer la planification, la mise
en œuvre et la validation du traitement.
À la fin de cet atelier, les mesures de sécurité sont déterminées et les points clés sont formellement validés. Le
suivi de la mise en œuvre peut également être réalisé.
Formaliser les mesures de sécurité à mettre en œuvre
Mettre en œuvre des mesures de sécurité

91/124
EBIOS décline les normes internationales ISO/IEC 27005 et ISO 31000, tout en respectant les exigences de
gestion des risques de la norme ISO/IEC 27001. D'autre part, aucune de ces normes n'est indispensable pour
l'approche EBIOS.
Comment EBIOS permet-il de gérer les risques conformément à la norme ISO/IEC 27005 ?
Établissement du contexte
Un contexte bien défini permettant une gestion appropriée des risques et une réduction des coûts au strictement
nécessaire et suffisant par rapport à la réalité du sujet étudié. Pour ce faire, il est essentiel de comprendre les
facteurs à prendre en compte dans la réflexion :
Le cadre mis en place pour gérer les risques
Les critères à prendre en compte (comment estimer, évaluer et valider le traitement des risques)
La description du périmètre de l'étude et son environnement (contexte externe et interne, contraintes,
inventaire des actifs et leurs interactions, etc.)
La méthode EBIOS peut aborder tous ces points en fonction du degré de connaissance de la matière étudiée. Il
sera alors possible d'enrichir, d'affiner et d'améliorer au fur et à mesure que les connaissances de la matière
s'améliorent.

92/124
Appréciation des risques
Il y a un risque de sécurité de l'information puisque nous avons :
Une source de menace
Une menace
Une vulnérabilité
Un impact
Nous pouvons comprendre que nous n'avons plus de risque si l'un de ces facteurs est absent. Cependant, il est
extrêmement difficile, voire dangereux, de dire avec certitude qu'un facteur est absent. De plus, chacun de ces
facteurs peut contribuer à de nombreux risques différents, qui peuvent eux-mêmes être liés et combinés et être
combinés dans des scénarios plus complexes, mais tout aussi réalistes.
Nous étudierons donc chacun de ces facteurs de la manière la plus large possible. Ensuite, nous pourrons mettre
en évidence les facteurs importants, comprendre comment ils peuvent combiner, évaluer et prioriser les risques.
La principale question reste donc d'obtenir avec succès les informations nécessaires qui peuvent être
considérées comme fiables. C'est la raison pour laquelle il est extrêmement important de s'assurer que cette
information est obtenue pour limiter les biais et que le processus soit reproductible.
Pour ce faire, la méthode EBIOS se concentrera d'abord sur les événements de sécurité craints (sources de
menaces, besoins de sécurité et impacts générés en cas de non-conformité à ces exigences), et sur divers
scénarios de menaces qui peuvent les provoquer (sources de menaces, menaces et vulnérabilités). Les risques
peuvent ensuite être identifiés en combinant les événements de sécurité et les scénarios de menaces redoutés,
puis appréciés et évalués afin d'obtenir une liste hiérarchisée en fonction de leur importance.
Traitement des risques
Les risques appréciés permettent de prendre des décisions objectives pour les maintenir à un niveau acceptable,
compte tenu des spécificités du contexte.
Pour ce faire, EBIOS permet de choisir le traitement du risque des risques appréciés à travers des objectifs de
sécurité : il est possible, pour tout ou partie de chaque risque, de le réduire, de le transférer (partage des pertes),
de l'éviter (mise dans une situation où le risque n'existe pas) ou de l’accepter (sans rien faire). Des mesures de
93/124
sécurité peuvent alors être proposées et négociées pour atteindre ces objectifs.
Validation de traitement des risques
Les risques ont été gérés et les risques résiduels à la fin du traitement devraient être validés, si possible
officiellement, par une autorité responsable dans le cadre de l'étude. Cette validation, généralement appelée
homologation de sécurité, se fait sur la base d'un dossier dont les éléments sont issus des études réalisées.

94/124
Communication relative aux risques
Obtenir les informations pertinentes, présenter les résultats, prendre des décisions, valider les choix faits, les
mesures de sensibilisation et de sécurité à appliquer, correspondent aux actions de communication qui sont
menées avant, pendant et après l'étude des risques.
Ce processus de communication et de concertation sur les risques est un facteur crucial pour le succès de la
gestion des risques. S’il est bien fait, et donc adapté à la culture de l'organisme, il contribue à l'implication, à la
responsabilisation et à la sensibilisation des intervenants. Cela crée également une synergie autour de la sécurité
de l'information, ce qui favorise grandement le développement d'une véritable culture de la sécurité et du risque
au sein de l'organisme.
La participation des intervenants au processus de gestion des risques est nécessaire pour définir le contexte de
façon appropriée, pour assurer la bonne compréhension et la prise en compte des intérêts des intervenants, pour
réunir différents domaines d'expertise afin d'identifier et d'analyser les risques, pour assurer la prise en compte
adéquate des différentes opinions dans l'évaluation des risques, pour faciliter la détermination des risques,
l'implantation et la gestion sécuritaire d'un plan de traitement.
EBIOS propose des actions de communication à réaliser dans chaque activité du processus.
Surveillance et réexamen des risques
Le cadre mis en œuvre pour gérer les risques et les résultats obtenus devrait être pertinents et mis à jour afin de
tenir compte de l'évolution du contexte et des améliorations déjà identifiées.
Pour ce faire, la méthode EBIOS, fournit les éléments clés à suivre lors de l'exécution de chaque activité et lors
de toute évolution du contexte pour assurer de bons résultats et les améliorer continuellement.

95/124
96/124
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur la
méthodologie d'évaluation des menaces et des risques harmonisée (EMR), y compris ses phases telles que :
préparation, identification et évaluation des biens, évaluation des menaces et des vulnérabilités.

97/124
98/124
99/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 2 Préparation
2.1 Généralités
Une planification minutieuse est nécessaire avant d'entreprendre une EMR pour déterminer la portée de
l'évaluation, déterminer les besoins en ressources et élaborer un plan de travail réaliste. Pour atteindre ces
objectifs, l'entrepreneur doit travailler en étroite collaboration avec l'autorité du projet (AP), l'autorité technique
(AT), les responsables de la sécurité et les gestionnaires des installations ou des systèmes. Le contractant
recevra tous les documents de référence énumérés à la section 4 ci-dessous, ainsi que toute autre information
nécessaire à l'exécution de cette tâche. Les activités de collecte d'information peuvent comprendre des entrevues
avec le personnel à divers niveaux de l'organisme.

100/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 3 Identification et évaluation
des biens
Une fois la phase de préparation terminée, l’équipe de l’EMR peut commencer à identifier et à évaluer les biens.
Cette phase d’un projet d’EMR comprend concrètement trois processus différents, mais étroitement liés.
Premièrement, tous les employés, les biens et les services inclus dans la portée de l’évaluation doivent être
identifiés suffisamment en détail pour qu’il soit possible de déterminer lesquels pourraient avoir besoin de
protection. Ensuite, il faut évaluer le degré de préjudice qui pourrait vraisemblablement résulter d’une atteinte à
leur confidentialité, à leur disponibilité ou à leur intégrité conformément à la Norme opérationnelle de sécurité sur
l’identification des biens. Puis, en se fondant sur cette évaluation, il faut attribuer des valeurs relatives pour
catégoriser les biens et les services, plus particulièrement. Tous les biens ont une ou plusieurs valeurs liées à
leur confidentialité, leur disponibilité ou leur intégrité.
Pour faciliter l’identification des biens à un niveau approprié de détail, la méthodologie harmonisée d’EMR
propose une liste hiérarchique exhaustive des biens. Afin de favoriser une évaluation cohérente des biens et de
permettre l’analyse comparative de biens différents ou de valeurs différentes pour le même bien, le guide contient
aussi un tableau des préjudices dont les valeurs vont de très faible à très élevé.
Le résultat final de la phase d’identification et d’évaluation des biens d’un projet d’EMR, aussi appelé énoncé de
sensibilité, est une simple liste des employés, des biens et des services avec les valeurs relatives qui leur ont été
attribuées en fonction des préjudices ou de l’incidence sur les opérations qui pourraient résulter d’une
compromission.

101/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 4 Évaluation des menaces
Une fois la phase d’identification et d’évaluation des biens terminée, l’équipe de l’EMR doit identifier toute menace
qui pourrait vraisemblablement causer un préjudice aux employés, aux biens ou à la prestation des services
identifiés pendant la deuxième phase. Toutes les menaces, qu’elles soient d’origine humaine (délibérées ou
accidentelles) ou le résultat de risques naturels, sont considérées à un niveau de détail proportionnel à la portée
de l’évaluation. Pour qu’il soit possible de faire la distinction entre les diverses menaces et de déterminer
lesquelles sont les plus susceptibles de susciter de graves préoccupations, chaque menace est évaluée en
fonction de la probabilité qu’elle se concrétise et de la gravité de son incidence.
Étant donné les incertitudes qui entourent la majorité des menaces, les analystes se heurtent souvent à de
sérieuses difficultés dans cette phase d’un projet d’EMR. C’est pourquoi, pour faciliter l’identification des menaces
à un niveau approprié de détail, la méthodologie harmonisée d’EMR propose une liste hiérarchique exhaustive
des menaces. Puis, afin de favoriser une analyse comparative des différentes menaces, le guide contient aussi
des paramètres simples pour la probabilité et la gravité des menaces éventuelles, ce qui permet d’arriver à des
valeurs des menaces allant de très faible à très élevée.
Le résultat final de la phase d’évaluation des menaces d’un projet d’EMR est une simple liste des menaces avec
des valeurs relatives témoignant de la probabilité qu’elles se concrétisent et de la gravité de leur incidence
éventuelle sur la confidentialité, la disponibilité et l’intégrité.

102/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 5 Évaluation des risques
5.1 Généralités
La quatrième phase d’un projet d’EMR, l’évaluation des risques, est subdivisée en deux étapes séquentielles. La
première comprend cinq processus visant à évaluer les vulnérabilités qui ont une incidence sur les employés, les
biens et les services identifiés pendant la deuxième phase, qui pourraient être exploitées par les menaces
cataloguées pendant la troisième phase.
5.2 Évaluation des vulnérabilités
Pour évaluer les vulnérabilités, l’équipe de l’EMR doit mesurer l’efficacité des mesures de protection existantes et
de celles dont la mise en œuvre est en cours. L’analyse de ces données fera ressortir toutes les caractéristiques
des employés et des biens ou du contexte dans lequel ils se trouvent qui les rendent susceptibles à une
compromission. L’évaluation des vulnérabilités peut être compliquée par une perception erronée courante qu’il
s’agit toujours de faiblesses ou de défauts. De nombreuses vulnérabilités sont effectivement des caractéristiques
négatives, mais d’autres sont des qualités positives qui pourraient simplement avoir des effets secondaires
indésirables. Par exemple, la portabilité des ordinateurs portatifs est un avantage souhaitable pour lequel on paie
un prix plus élevé, mais un avantage qui les rend plus susceptibles au vol. C’est pourquoi, pour faciliter la
réalisation d’une évaluation équilibrée des vulnérabilités, la méthodologie harmonisée d’EMR propose une longue
liste de vulnérabilités contenant des renvois judicieux à la liste des mesures de protection présentée dans la
phase des recommandations. Comme pour les valeurs des biens et des menaces, des paramètres simples sont
établis pour coter les différentes vulnérabilités de très faible à très élevée.

103/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 5 Évaluation des risques
5.1 Généralités
La deuxième étape de l’évaluation des risques prévoit un seul processus de calcul des risques résiduels résultant
de chaque combinaison de biens avec les menaces et les vulnérabilités connexes.
5.3 Calcul des risques résiduels
Après avoir identifié les biens (ce qui comprend les employés et les services), les menaces et les vulnérabilités et
y avoir attribué des valeurs, il ne reste plus qu’à calculer le produit des trois variables pour établir une liste par
ordre de priorité des risques résiduels évalués aux fins d’analyse durant la phase des recommandations d’un
projet d’EMR.

104/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 6 Recommandations
Après avoir identifié les risques résiduels évalués, leur avoir attribué des niveaux relatifs de Très faible à Très
élevé et les avoir classés par ordre de priorité, l’équipe de l’EMR doit préparer des recommandations adéquates
pour le responsable de l’acceptation des risques.
Si les risques résiduels évalués sont totalement acceptables pour l’équipe de direction (généralement ceux cotés
Très faible et Faible et peut-être certains cotés Moyen), il devrait suffire de recommander le maintien des mesures
de protection existantes et l’achèvement de celles dont la mise en œuvre est en cours, ainsi qu’une surveillance
constante de leur efficacité. Dans certains cas, si les risques résiduels évalués sont cotés Très faible, il peut être
faisable de recommander la suppression de certains mécanismes de protection et l’acceptation de risques de
niveau légèrement plus élevé pour réaliser des économies souhaitables ou améliorer l’efficience opérationnelle.
Dans les cas où les risques résiduels évalués sont inacceptables (généralement ceux cotés Très élevé et Élevé
et peut-être certains cotés Moyen), certaines mesures correctives s’imposent généralement. Pour faciliter le choix
d’une réponse adéquate, la méthodologie harmonisée d’EMR comprend une longue liste de mesures de
protection contenant des renvois aux vulnérabilités qu’elles corrigent, aux menaces qu’elles atténuent et aux
biens (ou aux employés et aux services) qu’elles protègent. De plus, des critères explicites de sélection des
mesures de protection sont expliqués en détail pour faciliter l’analyse comparative de leur efficacité et de leur coût
relatif. Enfin, les risques résiduels évalués découlant de l’évaluation des risques sont révisés pour tenir compte
des améliorations escomptées une fois les recommandations totalement appliquées. Dans le rapport final d’EMR,
ces risques sont présentés sous la forme de risques résiduels prévus.

105/124
Méthodologie harmonisée d'évaluation des menaces et des risques (EMR), 7.2 Projets d’EMR et gestion
des risques
Le résultat d’un projet d’EMR, le rapport d’EMR, est un document statique, évaluant les variables des risques à un
moment précis pour un ensemble donné de biens dans une configuration donnée. Par contre, les exigences
opérationnelles ne sont pas statiques, ni les programmes, les services et les biens qui y sont associés et qui
changent avec le temps, tout comme les menaces qui peuvent avoir une incidence sur eux. De nouvelles
vulnérabilités sont aussi découvertes régulièrement, surtout dans le secteur complexe des technologies de
l’information. C’est pourquoi, dans un contexte essentiellement dynamique comme celui-là, une gestion continue
des risques est essentielle.
Pour satisfaire à cette exigence fondamentale, les gestionnaires doivent d’abord surveiller la mise en œuvre des
recommandations approuvées de l’EMR. Puis, à mesure que les circonstances changent, l’évaluation doit être
revue et mise à jour lorsque les variables de risques, plus précisément les valeurs des biens, les menaces ou les
vulnérabilités, évoluent considérablement. Le fait d’avoir une méthodologie d’EMR officielle simplifie les choses
considérablement, cependant, parce qu’il n’est pas nécessaire de refaire toute l’évaluation, seulement les portions
touchées par les changements.
Les relations entre un projet d’EMR et la gestion continue des risques avec les points décisionnels connexes sont
illustrées dans la figure SG-3.

106/124
107/124
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur les procédures
de certification de PECB, à maintenir la certification et à évaluer la formation.

108/124
La certification «Foundation» reconnaît que la personne comprend les concepts, les processus, les approches,
les méthodes et les techniques de base utilisés dans la gestion des risques liés à la sécurité de l'information.
Les principales certifications des gestionnaires de risques :
1. La certification «Certified ISO/IEC 27005 Provisional Risk Manager» reconnaît que la personne possède
les connaissances de base sur les principes, le cadre et les processus de gestion des risques liés à la
sécurité de l'information et démontre sa capacité à gérer les risques au sein d'un organisme.
2. La certification «Certified ISO/IEC 27005 Risk Manager» reconnaît que la personne possède les
connaissances nécessaires sur les principes fondamentaux, le cadre et les processus de gestion des
risques en matière de sécurité de l'information et démontre la capacité de gérer les risques au sein d'un
organisme.
3. La certification «Certified ISO/IEC 27005 Lead Risk Manager» reconnaît que l'individu maîtrise les
concepts, processus, approches, méthodes et techniques de base utilisés pour gérer efficacement les
risques au sein d'un Organisme et possède les compétences nécessaires pour diriger avec succès une
équipe de gestion des risques.

109/124
La certification professionnelle "PECB Certified ISO/IEC 27005 Risk Manager" attestera à la fois de la
réussite à l'examen et de la validation des justificatifs de l'expérience professionnelle. Malheureusement,
après avoir réussi l'examen, de nombreuses personnes affirment être qualifiées ISO/IEC 27005 Risk Manager,
bien qu'elles n'aient pas le niveau d'expérience requis.
Note importante : Les frais de certification sont inclus dans le prix de la formation. Le candidat n'aura donc pas
à payer de frais supplémentaires lorsqu'il présente une demande de certification au niveau d'expérience
correspondant et qu'il reçoit l'une des certifications professionnelles : PECB Certified ISO/IEC 27005 Provisional
Risk Manager, PECB Certified ISO/IEC 27005 Risk Manager ou PECB Certified ISO/IEC 27005 Lead Risk
Manager.

110/124
Après avoir assisté à la formation et soumis le formulaire d'évaluation de la formation, un certificat de présence
sera généré dans votre tableau de bord monPECB, sous l'onglet Mes formations. Le certificat de présence est
valable pour 21 unités de DPC (développement professionnel continu).

111/124
L'objectif de l'examen de certification est de s'assurer que les candidats maîtrisent tous les concepts et
techniques nécessaires à la gestion des risques liés à la sécurité de l'information afin qu'ils puissent participer
aux projets.
Le comité d'examen de PECB doit s'assurer que l'élaboration et le caractère adéquat des questions d'examen
sont maintenus en fonction de la pratique professionnelle actuelle.
L'examen est disponible en plusieurs langues. Pour passer un examen dans une langue particulière, veuillez
demander au formateur ou nous contacter en envoyant un e-mail à examination@pecb.com.
Tous les domaines de compétence sont couverts par l'examen. Pour obtenir une description détaillée de chaque
domaine de compétence, veuillez consulter le site Web de PECB www.pecb.com.

112/124
Les examens sont révisés par des examinateurs qualifiés qui sont assignés de façon anonyme.
Afin d'assurer l'indépendance, l'impartialité et l'absence de conflits d'intérêts, les formateurs et les surveillants ne
participent pas au processus de révision des examens ou au processus de certification.
Si le candidat échoue à l'examen, une explication lui sera fournie sur les domaines dans lesquels il n'a pas
démontré les compétences requises. Le candidat dispose de douze (12) mois pour repasser l'examen. Pour ce
faire, le candidat doit communiquer avec le responsable de l'organisme de formation. Le candidat peut repasser
l'examen gratuitement. Toutefois, des frais administratifs peuvent s'appliquer.

113/124
Après avoir réussi l'examen, le candidat dispose d'un délai maximum de trois ans pour soumettre un dossier
professionnel afin d'obtenir une certification professionnelle relative au schéma de certification ISO/IEC 27005.
Un candidat peut faire une demande en même temps pour plus d'une certification professionnelle relative au
schéma de certification ISO/IEC 27005 (par exemple, Lead Risk Manager, et Risk Manager) si toutes les
exigences sont satisfaites.
Lors de votre demande, vous devez fournir les informations suivantes :
1. Vos coordonnées
Veuillez écrire votre nom tel que vous souhaitez qu'il apparaisse sur votre certificat (en format
ASCII). Avant de soumettre votre demande de certification, veuillez vous assurer de vérifier
l'exactitude des coordonnées que vous avez fournies lors de la création de votre compte PECB. Le
certificat sera délivré avec le nom que vous avez fourni lorsque vous avez créé le compte. Pour
mettre à jour votre nom dans votre compte, veuillez contacter PECB customer@pecb.com.
2. Votre expérience professionnelle et votre expérience en audit
Vous devez fournir un résumé pour présenter votre expérience. L'expérience professionnelle peut
être toute activité démontrant que vous possédez des compétences et des connaissances générales
sur le fonctionnement d'un organisme.
Pour l'expérience en audit, veuillez vous assurer d'indiquer le nombre d'heures effectuées.
Aucune équivalence n'est accordée pour l'expérience professionnelle. Les diplômes d'études ne
remplacent pas l'expérience de travail réelle.
3. Au moins deux références
Les références doivent être fournies par des personnes qui peuvent confirmer votre expérience
(collègues, partenaires, superviseurs, etc.). Il est important que ces personnes vous connaissent
suffisamment pour attester de vos qualifications.
Votre demande sera évaluée une fois que les références auront été soumises.

114/124
Par exemple, un consultant qui a effectué une évaluation des risques pour un client afin d'accompagner la mise
en œuvre de son cadre de conformité sera considéré comme ayant une expérience pertinente.

115/124
Les références seront contactées pour remplir un court questionnaire afin d'attester de votre expérience et
d'évaluer vos qualités personnelles et professionnelles (selon 13 compétences comportementales
professionnelles définies par ISO 19011).
Vous pouvez vérifier si vos références ont répondu dans votre compte PECB sous l'onglet Mes certifications. Si
vos répondants sont en retard, vous devriez faire un suivi auprès d'eux pour vous assurer qu'ils ont bien reçu la
demande de référence.
Si PECB n'est pas en mesure de communiquer avec l'une de vos références ou si les questionnaires n'ont pas
été remplis, il vous sera demandé de fournir d'autres références.

116/124
Lorsque le candidat est certifié, il reçoit un avis du système et peut télécharger le certificat à partir du tableau de
bord des membres PECB. Le certificat est valable pour trois ans. Au-delà de cette période, la certification sera
renouvelée si le demandeur remplit les conditions pour maintenir son titre professionnel.

117/124
Afin de maintenir un certificat, le candidat doit démontrer un nombre suffisant d'heures d'activités de formation
professionnelle continue en lien avec le programme de certification. Selon le titre de certification, ces activités
devraient couvrir les activités de mise en œuvre ou de projets, l’autoformation, les formations, les études, les
séminaires, les conférences, les publications, etc. Pour plus d'informations, veuillez consulter le tableau ci-
dessus.
Activités de développement professionnel et maintien de la certification
PECB exige un minimum de 60 heures d'activités pendant 3 ans pour le maintien d’un titre professionnel
de «Risk Manager» (90 heures pour le titre de «Lead Risk Manager»).
La soumission des activités de formation professionnelle continue devrait se faire sur une base annuelle,
soit 20 heures par année pour le maintien d'un titre de «Risk Manager» et 30 heures pour le maintien d'un
titre de «Lead Risk Manager».
Frais annuels de maintien (FAM)
Un membre sera facturé pour les FAM selon la date d'échéance du certificat.
Le coût annuel des FAM est de :
100 $ par certification pour toute autre certification.
Note importante : Aucune activité n'est requise pour maintenir les titres professionnels suivants : «Foundation»
ou «Provisional Risk Manager».

118/124
Nous nous efforçons constamment d'améliorer la qualité et la pertinence pratique de nos formations. Dans cette
optique, votre opinion quant à la formation que vous venez de suivre a pour nous une grande valeur.
Nous vous serions très reconnaissants de bien vouloir donner votre appréciation de la formation et des
formateurs.
De plus, si vous avez des suggestions pour améliorer le matériel de formation de PECB, n'hésitez pas à nous en
faire part. Veuillez ouvrir un ticket à l'intention du département de formation sur le site Web de PECB
(www.pecb.com), dans la section Contactez-nous. Nous lisons et évaluons attentivement les commentaires que
nous recevons de nos membres.
En cas d'insatisfaction à l'égard de la formation (formateur, salle de formation, équipement, etc.), de l'examen ou
des processus de certification, veuillez ouvrir un ticket dans la catégorie Déposer une plainte sur le site de
PECB (www.pecb.com) dans la section Contactez-nous.
Après avoir participé à cette formation, les participants recevront par e-mail un certificat de présence valide pour
21 unités de FPC (Formation professionnelle continue).

119/124
PECB Certified ISO/IEC 27001 Lead Auditor (5 jours)
La formation ISO/IEC 27001 Lead Auditor permet aux participants de développer l'expertise nécessaire à la
réalisation d'un audit de système de management de la sécurité de l'information (SMSI) en appliquant des
principes, procédures et techniques largement reconnus en audit. Au cours de cette formation, les participants
acquerront les connaissances et les compétences nécessaires pour planifier et réaliser des audits internes et
externes conformément à la norme ISO 19011 et au processus de certification selon ISO/IEC 17021-1. Sur la
base d'exercices pratiques, les participants seront en mesure de maîtriser les techniques d'audit et de devenir
compétents pour gérer un programme d'audit et une équipe d'audit.
PECB Certified ISO/IEC 27001 Lead Implementer (5 jours)
Cette formation intensive de cinq jours permet aux participants de développer une expertise pour soutenir un
organisme dans la mise en place et la gestion d'un système de management de la sécurité de l'information
(SMSI) tel que stipulé dans ISO/IEC 27001. De plus, le participant sera en mesure d'acquérir des compétences
dans les meilleures pratiques de mise en œuvre des mesures de sécurité de l'information dans les onze
domaines de l'ISO/IEC 27002. Cette formation, axée sur la pratique, est conforme aux meilleures pratiques de
gestion de projet selon le Project Management Institute (PMI) et l'International Project Management Association
(IPMA) ainsi qu'à la norme ISO 10006, «Guidelines for quality management in projects». Elle est entièrement
compatible avec la norme ISO/IEC 27003 (Information Security Management System implementation guidance).

120/124
121/124
122/124
123/124
124/124

Day 3

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Day 3

Transféré par

Droits d'auteur :

Formats disponibles

Programme du jour 3

Section 12 : Communication et concertation relatives aux risques en sécurité de l'information

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Durée de l'exercice : 20 minutes

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Officialisation d'une politique de sécurité

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)

Licensed to Jérémy GELINEAU (jeremy@maianoinfo.com)