Corrigé des exercices

FORMATION CERTIFIED ISO/IEC 27005 RISK

MANAGER
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Exercice 1 : Mythes et réalités – Gestion des risques

Pour chacun des énoncés suivants, indiquez si vous pensez qu'ils sont vrais ou faux et
justifiez votre réponse :
1. Les organismes sont davantage exposés aux risques aujourd'hui qu'il y a cinq ans.
2. Un risque ne peut exister sans une menace.
3. La plupart des risques peuvent être prévus.
4. Le risque est principalement une question de perception.
5. Il est possible d'éliminer entièrement le risque.
6. Un bon gestionnaire sait comment prendre des risques.
7. Une analyse de risque est toujours subjective, en fonction de son contexte, des seuils
d'acceptation, etc.
8. Une analyse quantitative du risque fournit des résultats plus pertinents qu'une analyse
qualitative.
9. La culture de l’appréciation des risques reconnaît le droit à l’erreur.
10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.

Réponse possible :
1. Les organismes sont davantage exposés aux risques aujourd'hui qu'il y a 5 ans.
Généralement vrai, étant donné que les systèmes d'information sont plus complexes et
interconnectés, notamment via différents réseaux, dont Internet. La mondialisation et
l'augmentation de l'externalisation sont également des facteurs qui ont contribué à
l'augmentation des facteurs de risque.
2. Un risque ne peut exister sans une menace.
Même si, en théorie, un système a des vulnérabilités, il n'y a pas de risques sans menaces qui
peuvent exploiter ces vulnérabilités.
3. La plupart des risques peuvent être prévus.
Vrai et faux : On peut prédire la plupart des risques à partir de prévisions statistiques.
D'autre part, nous ne pouvons pas prédire exactement quel scénario de risque se concrétise.
En outre, les catastrophes avec une probabilité faible et à impact élevé sont difficiles à
prédire. Par exemple, une organisation peut trouver qu'un tremblement de terre important
peut se produire tous les 200 ans, mais il ne peut pas prédire la date exacte.
4. Le risque est principalement une question de perception.
Vrai et faux : De toute évidence, les risques sont une réalité. D'autre part, le gestionnaire des
risques doit tenir compte des perceptions du risque dans son analyse. Les perceptions sont
souvent différentes de la réalité objective du risque. Par exemple, le risque de vol d'identité
lorsque vous utilisez une carte de crédit sur internet est plus faible que par téléphone, mais la
perception du public est généralement le contraire.
5. Il est possible d'éliminer entièrement le risque.

© 2019 PECB |2
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Faux, à moins que vous éliminiez l'activité à risque. Par exemple, on peut éliminer le risque
de fraude par carte de crédit en refusant les paiements par carte de crédit.
6. Un bon gestionnaire sait comment prendre des risques.
Vrai : un bon gestionnaire prendra une décision fondée sur les profits escomptés compte tenu
des risques encourus.
7. Une analyse de risque est toujours subjective, en fonctin de son contexte, des seuils
d’acceptation, etc.
Vrai dans une large mesure, même pour une analyse quantitative du risque. Par exemple, la
valeur que nous accordons à un actif est subjective, ainsi que la valeur calculée des impacts
dans les scénarios de risque.
8. Une analyse quantitative du risque fournit des résultats plus pertinents qu'une analyse
qualitative.
Faux : L’analyse quantitative donne souvent l'illusion d'offrir plus de résultats pertinents.
D'autre part, avoir les données exprimées en termes monétaires facilite la prise de décision
des gestionnaires.
9. La culture de l’appréciation des risques reconnaît le droit de faire à l’erreur.
Vrai : Prendre une décision comporte toujours un certain risque. Si l'on punit un employé qui
a pris un risque calculé qui s'est avéré un choix malheureux, la prochaine fois qu'il recevra
une opportunité de marché, il ou elle hésitera à prendre une décision.
10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.
Vrai : Le risque est un terme neutre. Il représente une incertitude qui peut représenter une
opportunité ou une menace pour une organisation.

Exercice 2 : Gestion des risques

Décrivez ce que vous considérez comme les trois avantages les plus importants de la gestion
des risques en sécurité de l'information et comment ils peuvent s'aligner sur le management
du risque d'entreprise.

Réponse possible :
Les avantages de la gestion des risques de sécurité de l'information comprennent :
 Accroître la probabilité d'atteindre les objectifs

© 2019 PECB |3
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

 Encourager une gestion proactive

 Étant conscient de la nécessité d'identifier et de traiter les risques dans tout
l'organisme
 Améliorer l'identification des opportunités et des menaces
 Se conformer aux exigences réglementaires et juridiques pertinentes et aux normes
internationales
 Améliorer la gouvernance
 Améliorer la confiance et la fiabilité des parties prenantes
 Établir une base fiable pour la prise de décision et la planification

Exercice 3 : Ressources
Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est
soudainement préoccupée par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu
quelques incidents de sécurité récemment. La gestion de l'organisme hésite encore à mettre en
œuvre la gestion des risques parce qu'ils ne savent pas s'ils peuvent se le permettre. Identifier
les ressources dont Extreme Adventure Tours aurait besoin pour effectuer un exercice
adéquat de gestion des risques. Évaluez plusieurs options avec les coûts associés.
1. Ressources financières
2. Ressources matérielles
3. Ressources humaines

© 2019 PECB |4
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Réponse possible :
1. Ressources financières
 Les ressources financières pour payer les salaires du personnel responsable de
la gestion des risques
 Les ressources financières pour payer les honoraires des consultants pour aider
à la mise en œuvre de la gestion des risques
 Ressources financières pour l'équipement (voir la rubrique suivante)

2. Ressources matérielles
 Matériel lié au travail du personnel responsable de la gestion des risques
(ordinateurs, systèmes d'exploitation, logiciels, etc.)
 Matériel de support (serveurs) ; logiciels de support (logiciels de gestion
documentaire)
 Logiciel pour la gestion des risques

3. Ressources humaines
 Employés expérimentés dans la gestion des risques
 Consultants expérimentés en gestion des risques
 Formations en gestion des risques

© 2019 PECB |5
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Exercice 4 : Établir le contexte

Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est
soudainement préoccupée par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu
récemment quelques incidents de sécurité. Parce qu'ils vous connaissent bien et qu'ils savent
que vous êtes des experts en gestion des risques, ils vous mandatent pour les aider à mieux
comprendre leur situation actuelle et à identifier les mesures de sécurité qui pourraient
améliorer la situation.

La première étape de votre mission consiste à établir le contexte de gestion des risques
d'EAT. Le président ne sait pas comment il devrait formuler les objectifs et le périmètre de
gestion des risques. Pour lui, cela semble un jargon de spécialistes. Il veut que vous rédigiez
une version qu'il approuvera.

Sur la base des informations contenues dans l'étude de cas, abordez les trois points suivants,
en proposant une déclaration ou une position initiale pour chacun :

1. Principaux objectifs pour la gestion des risques

2. Critères d'évaluation du risque
3. Au moins trois sources d'exigences de conformité

Réponse possible :
1. Principaux objectifs pour la gestion des risques

 Comprendre la nature et la source des incidents actuels pour être en mesure de

corriger la situation
 Maintenir leur image de marque en tant qu'innovateur dans leur domaine
d'activité
 Assurer la disponibilité du site Web et les transactions en ligne
 Assurer l'intégrité de l'information au sein de l'organisme liés à l'exploitation
(facturation, listes de clients, etc.)
 Protéger la confidentialité des informations des clients
 Identifier et gérer les risques avec des partenaires externes

2. Critères d'évaluation du risque

Tous les risques qui répondent aux critères suivants doivent être classées par ordre
de priorité :
 Action légale possible

 Indisponibilité du site Web pour une période de plus d'une heure

© 2019 PECB |6
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

 Possibilité d'une fuite de l'information client

 Possibilité de fraude

3. Sources d'exigences de conformité

Exigence de conformité source 1

 Lois et règlements sur la protection des consommateurs
 Enjeux : Fournir des renseignements exacts aux consommateurs et respecter les
engagements pris dans le cadre de la politique de vente (politique de
remboursement, protection de la vie privée, etc.)
Exigence de conformité source 2
 Règlements de l'association des compagnies de cartes de crédit

 Enjeux : Respecter le code de sécurité pour les transactions en ligne de

l'association des compagnies de cartes de crédit
Exigence de conformité source 3
 Contrats de vente avec les clients

 Enjeux : Respecter les clauses des contrats de vente de voyage

Exercice 5 : Identification des actifs

© 2019 PECB |7
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Quels sont, selon vous, les quatre actifs les plus importants d'Extreme Adventure Tours ?
Donnez une justification pour chaque réponse et indiquez s'il s'agit d'actifs primordiaux ou
d'actifs en support.

Réponse possible :

Actif 1 : Site Web d'informations

Justification : Le site Web de la société est le principal outil de marketing de l'organisme.
Actif 2 : Site Web transactionnel
Justification : Le site Web transactionnel soutient le processus d'achat d'arrangements de
voyage.
Actif 3 : Intranet des guides touristiques
Justification : Il permet les transactions liées aux arrangements de voyage et les
communications avec les guides.
Actif 4 : Base de données des membres enregistrés
Justification : Les 76 000 membres inscrits sont des clients potentiels qualifiés et représentent
un revenu possible lors de la revente de la liste.
Actif 5 : Les deux propriétaires (actif en support)
Justification : Ce sont eux qui créent des offres de voyage originales et innovantes.
Actif 6 : Les processus métier : Processus de vente en ligne
Justification : L'ensemble du processus de prise de commande est effectué via le site Web de
l'entreprise.

Exercice 6 : Identification des menaces, vulnérabilités et impacts

© 2019 PECB |8
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Identifiez au moins deux scénarios de menaces et vulnérabilités associés à l'actif et indiquer

les impacts potentiels. Précisez si le risque aurait une incidence sur la confidentialité,
l'intégrité et la disponibilité.

Remplissez la matrice de risques et préparez-vous à discuter de vos réponses après l'exercice :

 Processus de comptabilité
 Informations personnelles des clients
 Équipe des guides touristiques

Réponse possible :

Note : Plusieurs scénarios de réponse sont possibles. Il est important de veiller à ce que les
menaces identifiées, les vulnérabilités et les impacts soient cohérents.

© 2019 PECB |9
 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Actif 1 : Processus de comptabilité

Scénarios
Menace Vulnérabilité Impacts C I D
de risques
De nombreuses personnes ont accès aux
1 données comptables ; système
d'authentification faible ; système Vol d'identité d'un client ou d'un
Hacker, ancien employé X
accessible via l'internet ; aucune revue des employé de l'entreprise
privilèges associés à la commande
d'accès ; données non chiffrées

2 Manque de contrôle lors de la saisie des

Base de données de comptabilité qui
Erreur d'entrée par un employé données dans le système comptable ; X
contient des données corrompues
l'absence d'un processus de validation

Employés qui ne suivent pas de Absence d'un processus de sauvegarde

3 Perte de données due à un incident de
procédures de sauvegarde automatique pour les données de X X
sécurité
interne comptabilité

© 2019 PECB |10


Actif 2 : Informations personnelles des clients
Scénarios
Menace
de risques
1 données personnelles des clients ; système
Hacker, ancien employé
2 Les clients qui entrent dans leur
propre information sur le site
Web sont responsables de garder
ces informations à date.
3 Un déni de service (attaque d'un
pirate sur le site Web)
COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Vulnérabilité Impacts C I D
De nombreuses personnes ont accès aux X
d'authentification pauvres sur le site ;
Vol d'identité d'un client
système accessible via Internet ; aucune
piste de vérification sur la base de données
; données non chiffrées
X
Manque de contrôle lorsque les données
sont saisies ; absence d'un processus de Base de données de comptabilité qui
validation des données ; les clients qui ne contient des données corrompues
se mettent pas à jour leurs données
Absence d'un mécanisme de protection X
Site Web indisponible
contre le déni de service
© 2019 PECB |11
 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER
Actif 3 : Équipe des guides touristiques
Scénarios
Menace Vulnérabilité
de risques
Guide touristique travaillant
simultanément pour des entreprises
concurrentes ; absence d'un accord de
#1 Guide touristique malveillant non-divulgation ; absence de contrôle au
cours du processus d'embauche
(vérification des qualifications, des
références, des interviews, etc.)
Manque de contrôle durant le processus
d'embauche (vérification des
qualifications, références, entrevues, etc.) ;
#2 Guide touristique incompétent
absence de supervision de la direction ;
absence de validation des transactions par
les guides sur l'intranet
Manque de formation sur l'utilisation de
#3 Erreur d'un guide touristique l'intranet et les processus internes de
l'organisme
Impacts C I A
X
Vol d'informations et divulgation de
l'information stratégique aux
concurrents ; la perte de revenu causée
par l'utilisation frauduleuse des
informations volées
X
Données corrompues des guides
touristiques contenues dans les bases
de données relatives à l'intranet
Données corrompues des guides X
touristiques contenues dans les bases
de données relatives à l'intranet
© 2019 PECB |12
 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Exercice 7 : Feuille de travail sur le risque lié aux actifs informationnels

En petits groupes, sélectionnez un actif d'information critique dans l'étude de cas et
remplissez la feuille de travail 10 - Feuille de travail sur le risque lié à l'actif informationnel.

Réponse possible :

Plusieurs réponses sont possibles. Veuillez tenir compte de ce qui suit lorsque vous
remplissez la fiche de travail 10.
1. Les participants ont-ils identifié tous les acteurs ?
2. Les participants ont-ils identifié tous les moyens ?
3. Ceux-ci doivent être soigneusement identifiées, car ils sont utiles pour identifier les
vulnérabilités (ISO 27001).
4. Cela aidera à comprendre l'impact.
5. Exigences en matière de sécurité - tenir compte de la confidentialité, de l'intégrité et
de la disponibilité
6. L’appréciation de la probabilité est-elle réaliste ? En cas de doute, les participants
devraient-ils indiquer une probabilité élevée ou faible ? Moyens faibles, il est
possible de sous-estimer le risque et donc de ne pas être suffisamment couvert.
Moyens élevés, il y a risque de surestimer le risque et de dépenser trop de
ressources pour le couvrir.
7. La conséquence la plus probable devrait être identifiée.
8. Les participants auront besoin de justifier la valeur qu'ils ont attribuée. La clé ici est
de s'assurer que toutes ces différentes zones d'impact soient comparables.
9. Les participants doivent justifier pourquoi ils ont choisi l'atténuation des risques
spécifiques :
a. Accepter : Uniquement si le risque est trop coûteux à traiter
b. Différer : Devrait être utilisé seulement si la décision ne peut pas être prise
maintenant. Le formateur doit insister sur le fait qu'un risque différé peut
signifier qu'il existe un risque inacceptable qui est laissé sans traitement. Si le
risque se concrétise tout en étant différée, le gestionnaire du risque pourrait
finir par avoir des problèmes.
c. Transférer : Uniquement lorsque moins cher/plus facile que d'atténuer les
risques
d. Atténuer : Devrait être utilisé pour chaque risque qui n'a pas été
accepté/différé/transféré

© 2019 PECB |13

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Allegro - Feuille de travail 10 FEUILLE DE TRAVAIL SUR LE RISQUE – ACTIF

INFORMATIONNEL
Actifs
informationnels
Domaine de
préoccupation
(1) Acteur
Qui pourrait exploiter le domaine
de préoccupation ou la menace ?
(2) Moyens
Comment l'acteur s'y prendrait-il ?
Que feraient-ils ?
(3) Motif
Menace

Quelle est la raison de l'acteur pour

le faire ?
(4) Résultat  Divulgation  Destruction
Quel serait l'effet sur l'actif
 Modification  Interruption
informationnel ?
(5) Exigences en matière de
Risque lié à l'actif informationnel

sécurité
Comment les exigences en matière
de sécurité de l'actif informationnel
seraient-elles violées ?
(6) Probabilité
Quelle est la vraisemblance que ce
 Élevée  Moyenne  Faible
scénario de menace puisse se
produire ?
(7) Conséquences (8) Gravité
Quelles sont les conséquences pour l'organisme ou le Quelle est la gravité de ces
propriétaire de l'actif informationnel à la suite du résultat et conséquences pour l'organisme ou
de la violation des exigences en matière de sécurité ? le propriétaire des actifs, par zone
d'impact ?
Zone Valeu
Score
d'impact r
Réputation et
confiance des
clients
Finances

Productivité

Sécurité et
santé

Amendes et
pénalités
légales
Zone d'impact
définie par

© 2019 PECB |14

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

l'utilisateur

Résultat de risque relatif

Exercice 8 : Appréciation quantitative des risques

1. Des données d'une valeur de 25 000 $ sont stockées sur le serveur Z. Dans l'analyse
des menaces et des vulnérabilités, on a estimé que 80 % des données stockées sur le
serveur Z pourraient être endommagées par un virus. La probabilité que le serveur Z
soit infecté par un virus est estimée à une fois tous les 10 ans. Calculez l'estimation
de perte unique et l'estimation de perte annualisée.

Réponse possible :
Estimation de la perte unique (EPU) = 25 000 $ (AV) x 0,8 (ef) = 20 000 $
Estimation de la perte annualisée (EPA) = 20 000 $ (EPU) x 0,1 (ARO) = 2 000 $

2. Calculez la valeur d'une mesure pour une pompe à eau à un coût total (installation et
entretien) de 1 000 $, ce qui réduit la perte annuelle de 6 000 $ à 4 000 $.

Réponse possible :
Valeur du contrôle = (ALE avant - ALE après - coût d'entretien annuel du contrôle)
Valeur du contrôle = 6 000 $ - 4 000 $ - 1 000 $ = 1 000 $

3. EAT prévoit de remplacer les clés USB de ses employés par des clés dotées d'une
protection biométrique. Étant donné que la valeur moyenne de l'information stockée
sur une clé USB est de 2 000 $ et que l'organisme accepte un niveau de risque de 1
000 $, quel est le facteur d'exposition minimal pour que le contrôle (c'est-à-dire les
clés USB compatibles biométriques) soit efficace en termes de coûts ?

Réponse possible :
Valeur X Facteur d'exposition (FE) = niveau d'acceptation du risque
2 000 $ X 0,5 = 1 000 $

4. Une mesure de sécurité est rentable jusqu'à ce que sa valeur soit égale à zéro. Étant
donné qu'une mesure de sécurité pour la protection des accès coûte 5 000 $ et que la
nouvelle perte après la mise en œuvre de la mesure de sécurité est de 5 000 $,
calculez la valeur minimale de l'actif devant être protégé pour que la mesure soit
rentable. Le facteur d'exposition et le taux annuel d'occurrence sont à 10 %.

Réponse possible :
Valeur du contrôle = 0 $+
Coût d'entretien annuel du contrôle = 5 000 $
ALE après = $5.000$

© 2019 PECB |15

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

FE et ARO = 0,1

Valeur du contrôle = (ALE avant - ALE après - coût d'entretien annuel du contrôle)
0 $= X - 5 000 $ - 5 000 $
X = 10 000 $

10 000 $ = valeur de l'actif (AV) x 0,1 (EF) x 0,1 (ARO)

Valeur de l'actif = 1 000 000 $

Exercice 9 : Options de traitement du risque

Après l'analyse de risque, vous avez identifié que 0,5 % des transactions électroniques
(chiffre d'affaires de 10 millions de dollars) par carte de crédit sur le site Web d’Extreme
Adventure Tours sont de nature frauduleuse et que 70 % de ces transactions proviennent de 6
pays spécifiques.

Le président d'Extreme Adventure Tours veut prendre une décision pour le traitement de ces
risques. Préparez un résumé expliquant le choix de quatre options possibles pour faire face à
ce risque.

© 2019 PECB |16

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Réponse possible :
Option 1 : Acceptation des risques
L'organisme devrait calculer les pertes sur une base périodique et fournir les réserves
financières nécessaires. La direction doit être informée des risques et devrait les accepter de
manière formelle.

Option 2 : Réduction des risques

L'organisme peut mettre en œuvre des contrôles afin de réduire le risque de fraude. Par
exemple, recontacter par téléphone les clients qui ont passé des commandes dans les six pays
concernés avant d'accepter que la transaction soit validée.

Option 3 : Transfert des risques

L'organisme peut souscrire une police d'assurance pour se protéger contre des fraudes
potentielles. En outre, il peut externaliser le processus de paiement à une compagnie externe.

Option 4 : Refus des risques

L'organisme peut décider de cesser d'accepter les paiements par carte de crédit par les
clients des six pays concernés et accepter uniquement les paiements par virement bancaire.

Exercice 10 : Communication des risques

À partir des scénarios dans l'exercice 6, indiquez à quelles parties prenantes internes et
externes vous communiqueriez les risques que vous avez identifiés. Indiquez également
comment vous effectueriez cette communication.
Réponse possible :
1. Parties prenantes internes
Tous les employés, par l'intermédiaire de courriels, de sessions de formation et de
sensibilisation, des rapports mensuels

2. Parties prenantes externes

Les clients, les médias, les organismes de réglementation, par l'intermédiaire de
bulletins électroniques, e-mails, des rapports de performance

© 2019 PECB |17