Académique Documents
Professionnel Documents
Culture Documents
Réponse possible :
1. Les organismes sont davantage exposés aux risques aujourd'hui qu'il y a 5 ans.
Généralement vrai, étant donné que les systèmes d'information sont plus complexes et
interconnectés, notamment via différents réseaux, dont Internet. La mondialisation et
l'augmentation de l'externalisation sont également des facteurs qui ont contribué à
l'augmentation des facteurs de risque.
2. Un risque ne peut exister sans une menace.
Même si, en théorie, un système a des vulnérabilités, il n'y a pas de risques sans menaces qui
peuvent exploiter ces vulnérabilités.
3. La plupart des risques peuvent être prévus.
Vrai et faux : On peut prédire la plupart des risques à partir de prévisions statistiques.
D'autre part, nous ne pouvons pas prédire exactement quel scénario de risque se concrétise.
En outre, les catastrophes avec une probabilité faible et à impact élevé sont difficiles à
prédire. Par exemple, une organisation peut trouver qu'un tremblement de terre important
peut se produire tous les 200 ans, mais il ne peut pas prédire la date exacte.
4. Le risque est principalement une question de perception.
Vrai et faux : De toute évidence, les risques sont une réalité. D'autre part, le gestionnaire des
risques doit tenir compte des perceptions du risque dans son analyse. Les perceptions sont
souvent différentes de la réalité objective du risque. Par exemple, le risque de vol d'identité
lorsque vous utilisez une carte de crédit sur internet est plus faible que par téléphone, mais la
perception du public est généralement le contraire.
5. Il est possible d'éliminer entièrement le risque.
© 2019 PECB |2
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Faux, à moins que vous éliminiez l'activité à risque. Par exemple, on peut éliminer le risque
de fraude par carte de crédit en refusant les paiements par carte de crédit.
6. Un bon gestionnaire sait comment prendre des risques.
Vrai : un bon gestionnaire prendra une décision fondée sur les profits escomptés compte tenu
des risques encourus.
7. Une analyse de risque est toujours subjective, en fonctin de son contexte, des seuils
d’acceptation, etc.
Vrai dans une large mesure, même pour une analyse quantitative du risque. Par exemple, la
valeur que nous accordons à un actif est subjective, ainsi que la valeur calculée des impacts
dans les scénarios de risque.
8. Une analyse quantitative du risque fournit des résultats plus pertinents qu'une analyse
qualitative.
Faux : L’analyse quantitative donne souvent l'illusion d'offrir plus de résultats pertinents.
D'autre part, avoir les données exprimées en termes monétaires facilite la prise de décision
des gestionnaires.
9. La culture de l’appréciation des risques reconnaît le droit de faire à l’erreur.
Vrai : Prendre une décision comporte toujours un certain risque. Si l'on punit un employé qui
a pris un risque calculé qui s'est avéré un choix malheureux, la prochaine fois qu'il recevra
une opportunité de marché, il ou elle hésitera à prendre une décision.
10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.
Vrai : Le risque est un terme neutre. Il représente une incertitude qui peut représenter une
opportunité ou une menace pour une organisation.
Réponse possible :
Les avantages de la gestion des risques de sécurité de l'information comprennent :
Accroître la probabilité d'atteindre les objectifs
© 2019 PECB |3
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Exercice 3 : Ressources
Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est
soudainement préoccupée par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu
quelques incidents de sécurité récemment. La gestion de l'organisme hésite encore à mettre en
œuvre la gestion des risques parce qu'ils ne savent pas s'ils peuvent se le permettre. Identifier
les ressources dont Extreme Adventure Tours aurait besoin pour effectuer un exercice
adéquat de gestion des risques. Évaluez plusieurs options avec les coûts associés.
1. Ressources financières
2. Ressources matérielles
3. Ressources humaines
© 2019 PECB |4
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Réponse possible :
1. Ressources financières
Les ressources financières pour payer les salaires du personnel responsable de
la gestion des risques
Les ressources financières pour payer les honoraires des consultants pour aider
à la mise en œuvre de la gestion des risques
Ressources financières pour l'équipement (voir la rubrique suivante)
2. Ressources matérielles
Matériel lié au travail du personnel responsable de la gestion des risques
(ordinateurs, systèmes d'exploitation, logiciels, etc.)
Matériel de support (serveurs) ; logiciels de support (logiciels de gestion
documentaire)
Logiciel pour la gestion des risques
3. Ressources humaines
Employés expérimentés dans la gestion des risques
Consultants expérimentés en gestion des risques
Formations en gestion des risques
© 2019 PECB |5
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
La première étape de votre mission consiste à établir le contexte de gestion des risques
d'EAT. Le président ne sait pas comment il devrait formuler les objectifs et le périmètre de
gestion des risques. Pour lui, cela semble un jargon de spécialistes. Il veut que vous rédigiez
une version qu'il approuvera.
Sur la base des informations contenues dans l'étude de cas, abordez les trois points suivants,
en proposant une déclaration ou une position initiale pour chacun :
Réponse possible :
1. Principaux objectifs pour la gestion des risques
© 2019 PECB |6
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Possibilité de fraude
© 2019 PECB |7
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Quels sont, selon vous, les quatre actifs les plus importants d'Extreme Adventure Tours ?
Donnez une justification pour chaque réponse et indiquez s'il s'agit d'actifs primordiaux ou
d'actifs en support.
Réponse possible :
© 2019 PECB |8
FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Processus de comptabilité
Informations personnelles des clients
Équipe des guides touristiques
Réponse possible :
Note : Plusieurs scénarios de réponse sont possibles. Il est important de veiller à ce que les
menaces identifiées, les vulnérabilités et les impacts soient cohérents.
© 2019 PECB |9
COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Réponse possible :
Plusieurs réponses sont possibles. Veuillez tenir compte de ce qui suit lorsque vous
remplissez la fiche de travail 10.
1. Les participants ont-ils identifié tous les acteurs ?
2. Les participants ont-ils identifié tous les moyens ?
3. Ceux-ci doivent être soigneusement identifiées, car ils sont utiles pour identifier les
vulnérabilités (ISO 27001).
4. Cela aidera à comprendre l'impact.
5. Exigences en matière de sécurité - tenir compte de la confidentialité, de l'intégrité et
de la disponibilité
6. L’appréciation de la probabilité est-elle réaliste ? En cas de doute, les participants
devraient-ils indiquer une probabilité élevée ou faible ? Moyens faibles, il est
possible de sous-estimer le risque et donc de ne pas être suffisamment couvert.
Moyens élevés, il y a risque de surestimer le risque et de dépenser trop de
ressources pour le couvrir.
7. La conséquence la plus probable devrait être identifiée.
8. Les participants auront besoin de justifier la valeur qu'ils ont attribuée. La clé ici est
de s'assurer que toutes ces différentes zones d'impact soient comparables.
9. Les participants doivent justifier pourquoi ils ont choisi l'atténuation des risques
spécifiques :
a. Accepter : Uniquement si le risque est trop coûteux à traiter
b. Différer : Devrait être utilisé seulement si la décision ne peut pas être prise
maintenant. Le formateur doit insister sur le fait qu'un risque différé peut
signifier qu'il existe un risque inacceptable qui est laissé sans traitement. Si le
risque se concrétise tout en étant différée, le gestionnaire du risque pourrait
finir par avoir des problèmes.
c. Transférer : Uniquement lorsque moins cher/plus facile que d'atténuer les
risques
d. Atténuer : Devrait être utilisé pour chaque risque qui n'a pas été
accepté/différé/transféré
sécurité
Comment les exigences en matière
de sécurité de l'actif informationnel
seraient-elles violées ?
(6) Probabilité
Quelle est la vraisemblance que ce
Élevée Moyenne Faible
scénario de menace puisse se
produire ?
(7) Conséquences (8) Gravité
Quelles sont les conséquences pour l'organisme ou le Quelle est la gravité de ces
propriétaire de l'actif informationnel à la suite du résultat et conséquences pour l'organisme ou
de la violation des exigences en matière de sécurité ? le propriétaire des actifs, par zone
d'impact ?
Zone Valeu
Score
d'impact r
Réputation et
confiance des
clients
Finances
Productivité
Sécurité et
santé
Amendes et
pénalités
légales
Zone d'impact
définie par
l'utilisateur
Réponse possible :
Estimation de la perte unique (EPU) = 25 000 $ (AV) x 0,8 (ef) = 20 000 $
Estimation de la perte annualisée (EPA) = 20 000 $ (EPU) x 0,1 (ARO) = 2 000 $
2. Calculez la valeur d'une mesure pour une pompe à eau à un coût total (installation et
entretien) de 1 000 $, ce qui réduit la perte annuelle de 6 000 $ à 4 000 $.
Réponse possible :
Valeur du contrôle = (ALE avant - ALE après - coût d'entretien annuel du contrôle)
Valeur du contrôle = 6 000 $ - 4 000 $ - 1 000 $ = 1 000 $
3. EAT prévoit de remplacer les clés USB de ses employés par des clés dotées d'une
protection biométrique. Étant donné que la valeur moyenne de l'information stockée
sur une clé USB est de 2 000 $ et que l'organisme accepte un niveau de risque de 1
000 $, quel est le facteur d'exposition minimal pour que le contrôle (c'est-à-dire les
clés USB compatibles biométriques) soit efficace en termes de coûts ?
Réponse possible :
Valeur X Facteur d'exposition (FE) = niveau d'acceptation du risque
2 000 $ X 0,5 = 1 000 $
4. Une mesure de sécurité est rentable jusqu'à ce que sa valeur soit égale à zéro. Étant
donné qu'une mesure de sécurité pour la protection des accès coûte 5 000 $ et que la
nouvelle perte après la mise en œuvre de la mesure de sécurité est de 5 000 $,
calculez la valeur minimale de l'actif devant être protégé pour que la mesure soit
rentable. Le facteur d'exposition et le taux annuel d'occurrence sont à 10 %.
Réponse possible :
Valeur du contrôle = 0 $+
Coût d'entretien annuel du contrôle = 5 000 $
ALE après = $5.000$
FE et ARO = 0,1
Valeur du contrôle = (ALE avant - ALE après - coût d'entretien annuel du contrôle)
0 $= X - 5 000 $ - 5 000 $
X = 10 000 $
Le président d'Extreme Adventure Tours veut prendre une décision pour le traitement de ces
risques. Préparez un résumé expliquant le choix de quatre options possibles pour faire face à
ce risque.
Réponse possible :
Option 1 : Acceptation des risques
L'organisme devrait calculer les pertes sur une base périodique et fournir les réserves
financières nécessaires. La direction doit être informée des risques et devrait les accepter de
manière formelle.