ISO 27001 Foundation FR v.6.3 - Day 2

© Professional Evaluation and Certification Board, 2022. Tous droits réservés.
Version6.3
Numéro de document: ISMSFDD2V6.3
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l'autorisation écrite préalable de PECB.
Avis de non-responsabilité: Le terme «certifié» ne doit être utilisé que pour les certifications de personnel,
conformément aux exigences de la norme ISO/IEC 17024. Le terme «détenteur de certificat» ne doit être utilisé
que pour les programmes de certification, conformément aux exigences de la norme ASTM E2659. Les
détenteurs de certificats ne sont pas certifiés, autorisés, accrédités ou enregistrés pour exercer une profession
ou un métier spécifique.
Licensed to Synergy Innovation Group (contact@synergy-innov.com)

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2023-10-18
1/151
2/151
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur le processus
de gestion des risques, y compris l'identification des risques, l'estimation des risques, l'évaluation des risques et
le traitement des risques.

3/151
Un organisme souhaitant se conformer à ISO/IEC27001:2022 doit au moins:
1. Sélectionner et définir une méthodologie d’appréciation des risques
2. Démontrer que la méthode choisie fournira des résultats comparables et reproductibles.
3. Définir les critères d’acceptation des risques et déterminer les niveaux de risques acceptables
ISO/IEC 27003, article 6.1.1 Généralités
La subdivision des exigences relatives à la prise en compte des risques peut s’expliquer comme suit:
elle encourage la compatibilité avec d’autres normes de systèmes de management pour les organismes qui
ont des systèmes de management intégrés pour différents aspects tels que la qualité, l’environnement et la
sécurité de l’information;
elle exige que l’organisme définisse et applique des processus complets et détaillés pour l’appréciation et
le traitement des risques en matière de sécurité de l’information; et
elle souligne que la gestion des risques liés à la sécurité de l’information est l’élément central d’un SMSI.
NOTE: Le terme «risque"»est défini comme «l’effet de l'incertitude sur les objectifs».

4/151
ISO/IEC 27001:2022, article 6.1.2 Appréciation des risques de sécurité de l’information (suite)
L’organisme doit définir et appliquer un processus d’appréciation des risques de sécurité de l’information qui:
a. établit et tient à jour les critères de risque de sécurité de l’information incluant:
1. les critères d’acceptation des risques;
2. les critères de réalisation des appréciations des risques de sécurité de l’information;
b. s’assure que la répétition de ces appréciations des risques produit des résultats cohérents, valides et
comparables;
c. identifie les risques de sécurité de l’information:
1. applique le processus d’appréciation des risques de sécurité de l’information pour identifier les
risques liés à la perte de confidentialité, d’intégrité et de disponibilité des informations entrant dans le
domaine d’application du système de management de la sécurité de l’information; et
2. identifie les propriétaires des risques;
d. analyse les risques de sécurité de l’information:
1. apprécie les conséquences potentielles dans le cas où les risques identifiés en 6.1.2 c) 1) se
concrétisaient;
2. procède à une évaluation réaliste de la vraisemblance d’apparition des risques identifiés en 6.1.2 c)
1); et
3. détermine les niveaux des risques;
e. évalue les risques de sécurité de l’information:
1. compare les résultats d’analyse des risques avec les critères de risque déterminés en 6.1.2 a); et
2. priorise les risques analysés pour le traitement des risques.
L’organisation doit conserver des informations documentées sur le processus d’appréciation des risques de
sécurité de l’information.

5/151
ISO/IEC 27003, article 6.1.2 Appréciation des risques de sécurité de l’information
Lignes directrices sur l’établissement de critères de risque (6.1.2 a))
Il convient que les critères de risque de sécurité de l’information soient établis en tenant compte du contexte de
l’organisme et des exigences des parties intéressées et soient définis conformément aux préférences et aux
perceptions des risques de la direction, d’une part, et permettent un processus de gestion des risques réalisable
et approprié, d’autre part.
Après avoir établi des critères pour évaluer les conséquences et la vraisemblance des risques en sécurité de
l’information, l’organisme devrait également établir une méthode pour les combiner afin de déterminer un niveau
de risque. Les impacts et la vraisemblance peuvent être exprimés de manière qualitative, quantitative ou semi-
quantitative.
Les critères d’acceptation des risques concernent l’appréciation des risques (dans sa phase d’évaluation, lorsque
l’organisme devrait comprendre si un risque est acceptable ou non) et les activités de traitement des risques
(lorsque l’organisme devrait comprendre si le traitement des risques proposé est suffisant pour atteindre un
niveau acceptable de risque).
Lignes directrices sur la production de résultats d’appréciation cohérents, valides et comparables (6.1.2 b))
Il convient que le processus d’appréciation des risques soit basé sur des méthodes et des outils conçus avec
suffisamment de détails afin de conduire à des résultats cohérents, valables et comparables.
Quelle que soit la méthode choisie, le processus d’appréciation des risques en sécurité de l’information devrait
assurer que:
tous les risques, au niveau de détail nécessaire, sont pris en compte;
ses résultats sont cohérents et reproductibles (c’est-à-dire que l’identification des risques, leur analyse et
leur évaluation peuvent être comprises par un tiers et que les résultats sont les mêmes lorsque différentes
personnes évaluent les risques dans le même contexte); et
les résultats des appréciations des risques répétées sont comparables (c’est-à-dire qu’il est possible de
comprendre si les niveaux de risque augmentent ou diminuent).
Lignes directrices sur l’identification des risques en sécurité de l’information (6.1.2 c))
6/151
L’identification des risques est le processus qui consiste à trouver, reconnaître et décrire les risques. Il s’agit
d’identifier les sources de risque, les événements, leurs causes et leurs conséquences potentielles.
Le but de l’identification des risques est d’établir une liste complète des risques à partir des événements
susceptibles de créer, d’améliorer, de prévenir, de dégrader, d’accélérer ou de retarder la réalisation des objectifs
de sécurité de l’information.
Lignes directrices sur l’analyse des risques en sécurité de l’information (6.1.2 d))
L’analyse des risques a pour objectif de déterminer le niveau de risque.
ISO 31000 est référencée dans ISO/IEC 27001 en tant que modèle général. ISO/IEC 27001 exige que, pour
chaque risque identifié, l’analyse des risques soit fondée sur l’appréciation des conséquences résultant des
risques et sur l’évaluation de la vraisemblance que ces conséquences se produisent pour déterminer un niveau
de risque.
Les techniques d’analyse des risques basées sur les conséquences et la vraisemblance peuvent être:
1. qualitatives, en utilisant une échelle d’attributs qualificatifs (par exemple, élevé, moyen, faible);
2. quantitatives, en utilisant une échelle avec des valeurs numériques (p. ex., coût, fréquence ou
vraisemblance d’occurrence); ou
3. semi-quantitatives, en utilisant des échelles qualitatives avec valeurs assignées.
Lignes directrices sur l’évaluation des risques en sécurité de l’information (6.1.2 e))
L’évaluation des risques analysés consiste à utiliser les processus décisionnels de l’organisme pour comparer le
niveau de risque apprécié pour chaque risque avec les critères d’acceptation prédéterminés afin de déterminer
les options de traitement des risques.

7/151
ISO/IEC 27003, article 6.1.3 Traitement des risques en sécurité de l’information
Lignes directrices sur les options de traitement des risques en sécurité de l’information (6.1.3 a))
Les options de traitement des risques sont:
a. éviter les risques en décidant de ne pas commencer ou poursuivre l’activité à l’origine des risques ou en
supprimant la source des risques (par exemple, en fermant un portail de commerce électronique);
b. prendre des risques supplémentaires ou accroître les risques afin de saisir une opportunité d’affaires (par
exemple, ouvrir un portail de commerce électronique);
c. modifier les risques en modifiant la vraisemblance (par exemple, réduire les vulnérabilités) ou les
conséquences (par exemple, diversifier les actifs), ou les deux;
d. partager les risques avec d’autres parties par l’assurance, la sous-traitance ou le financement des risques;
et
e. conserver les risques en fonction des critères d’acceptation des risques ou par décision éclairée (par
exemple, maintenir le portail de commerce électronique existant tel qu’il est).
Lignes directrices sur la détermination des mesures de sécurité nécessaires (6.1.3 b))
Il convient qu’une attention particulière soit accordée à la détermination des mesures de sécurité de l’information
nécessaires. Il convient que toute mesure soit déterminée en fonction des risques de sécurité de l’information
précédemment appréciés. Si un organisme a une mauvaise appréciation des risques de sécurité de l’information,
elle a une mauvaise base pour son choix de contrôles de la sécurité de l’information.

8/151
ISO/IEC 27003, article 6.1.3 Traitement des risques de sécurité de l’information (suite)
Lignes directrices sur la production d’une déclaration d’applicabilité (SoA) (6.1.3 d))
Le SoA contient:
tous les contrôles nécessaires et, pour chaque contrôle:
la justification de l’inclusion de la mesure ; et
que la mesure soit mise en œuvre ou non (par exemple, entièrement mis en œuvre, en cours, pas
encore commencé) ; et
la justification de l'exclusion de toute mesure figurant dans l’Annexe A d'ISO/IEC 27001.
Lignes directrices sur la formulation d’un plan de traitement des risques en sécurité de l’information (6.1.3 e))
ISO/IEC 27001:2013 ne spécifie pas de structure ou de contenu pour le plan de traitement des risques en sécurité
de l’information. Cependant, il convient que le plan soit formulé à partir des éléments sortants de 6.1.3 a) à c).
Ainsi, le plan devrait documenter pour chaque risque traité :
options de traitement choisies;
mesures nécessaires; et
État de mise en œuvre.
D’autres contenus utiles peuvent inclure:
propriétaire de risque; et
risques résiduels prévus après la mise en œuvre des actions.
Lignes directrices sur l’obtention de l’approbation des propriétaires de risques (6.1.3 f))
Lorsque le plan de traitement des risques en sécurité de l’information est formulé, il convient que l’organisme
obtienne l’autorisation des propriétaires de risques. Il convient que cette autorisation soit fondée sur des critères
d’acceptation des risques définis ou une concession justifiée s’il y a une déviation.
Dans le cadre de ses processus de management, il convient que l’organisme enregistre l’acceptation du risque
résiduel par le propriétaire du risque et l’approbation du plan par la direction.
9/151
Selon le cadre de la norme ISO 31000, la norme ISO/IEC 27005 explique en détail comment réaliser
l'appréciation et le traitement des risques dans le contexte de la sécurité de l'information. Il s'agit de la mise en
œuvre du cycle PDCA (Plan, Déployer-Contrôler-Agir) pour la gestion des risques tel qu'il est utilisé dans toutes
les normes de systèmes de management. Dans ce cas, il peut être facilement relié aux articles correspondants
de la norme ISO/IEC 27001:2022 sur la gestion des risques (articles6.1.2 et 6.1.3), ce qui conduit finalement à la
certification de l'organisation.
ISO/IEC 27005, Introduction
Le présent document fournit des recommandations concernant:
la mise en œuvre des exigences en matière de risques liés à la sécurité de l'information spécifiées dans
l'ISO/IEC 27001;
les références essentielles incluses dans les normes développées par l'ISO/IEC JTC 1/SC 27 concernant
les activités de gestion des risques liés à la sécurité de l'information;
les actions qui traitent des risques liés à la sécurité de l'information
la mise en œuvre des recommandations en matière de gestion des risques de l'ISO 31000 dans le contexte
de la sécurité de l'information.
Le présent document contient des recommandations détaillées concernant la gestion des risques et complète les
recommandations de l'ISO/IEC 27003.
Le présent document est conçu pour être utilisé par les entités suivantes:
les organismes qui prévoient d'établir et de mettre en œuvre un système de gestion de la sécurité de
l'information conformément à l'ISO/IEC 27001;
les personnes chargées de la gestion des risques liés à la sécurité de l'information ou impliquées dans
celle-ci (par exemple les personnes spécialisées dans la gestion de ces risques, les propriétaires du risque
et les autres parties intéressées);
les organismes qui ont l'intention d'améliorer leur processus de gestion des risques liés à la sécurité de
l'information.

10/151
Comme l'illustre la figure, le processus de gestion des risques doit être itératif pour les activités d'appréciation et
de traitement des risques. Si les activités d’appréciation des risques ont fourni suffisamment de preuves que les
mesures déterminées réduiront les risques à un niveau acceptable, l’étape suivante consiste à mettre en œuvre
des options de traitement des risques. Toutefois, si les informations sont insuffisantes pour déterminer le niveau
de risque ou que le niveau de risque projeté après traitement est inacceptable, une nouvelle itération de
l’appréciation des risques devra être conduite pour des parties ou la totalité du périmètre. Si le traitement des
risques n’est pas suffisant et que l’établissement du contexte et l’appréciation des risques sont corrects, une
nouvelle itération du traitement des risques sera effectuée, sinon, une nouvelle itération de l’établissement du
contexte sera conduite.
L'efficacité du traitement des risques dépend des résultats à la suite de l'appréciation des risques. Il est possible
que le traitement du risque ne conduise pas directement à un niveau acceptable de risque résiduel et, si tel est le
cas, une nouvelle itération de l'appréciation du risque doit être entreprise.

11/151
Note importante : Le processus de gestion du risque n'est pas un processus opérationnel indépendant (tel qu’on
pourrait le comprendre en regardant le schéma sur la diapositive). La norme ISO 31000 souligne l'importance de
l’intégration du processus de gestion des risques dans les processus, les activités ou les systèmes de
l'organisation.
Pour obtenir des connaissances plus approfondies sur la mise en œuvre et la gestion d'un programme de
gestion des risques en matière de sécurité de l'information, il est recommandé de suivre la formation PECB
Certified ISO/IEC 27005 Risk Manager.

12/151
ISO/TR 31004, article 3.3.3.2
En s’appuyant sur les évaluations décrites en 3.3.3.1, il convient que l’organisme détermine quels aspects de
l’approche existante du management du risque:
a. peuvent être préservés à l’avenir (voire être étendus à d’autres types de prise de décision);
b. nécessitent des modifications ou des améliorations;
c. n’ajoutent plus de valeur et qu’il convient d’abandonner.
Il convient que l’organisme développe, documente et communique ses modalités de gestion du risque. Il convient
que l’importance et le contenu des normes, des principes directeurs et des modèles de l’organisme liés au
management du risque reflètent le contexte et la culture organisationnels.

13/151
Toute méthodologie de gestion et d’appréciation des risques qui respecte les critères minimaux
d’ISO/IEC 27001:2022 est acceptable, même une méthode développée en interne (à condition de pouvoir
démontrer qu’elle peut fournir des résultats comparables et reproductibles).
Toute analyse des risques devrait au moins prendre en compte les critères d’évaluation définis par ISO/IEC
27001:2022. Les actions entreprises doivent produire des effets souhaitables, prévenir et réduire les effets
indésirables, et améliorer les processus de l'organisation. En outre, l’analyse de risques doit permettre la
sélection de critères objectifs pour déterminer un niveau de risque acceptable.
Lors du choix d'une méthode d'appréciation des risques, vous devez vous poser les questions
suivantes:
Les impacts potentiels ont-ils été identifiés?
La probabilité d’occurrence d’une défaillance de sécurité est-elle évaluée?
Quelqu’un peut-il utiliser les mêmes données et atteindre le même résultat?
Le processus peut-il être répété et produire des résultats cohérents dans le temps?
Est-ce que le processus prend en compte l’analyse de l’impact des changements?

14/151
ISO/IEC 27005, Annexe A.2.2 Biens
Les biens essentiels/valeurs métier sont souvent utilisés dans l'approche basée sur les événements (identification
des événements et de leurs conséquences sur les valeurs métier).
Les biens supports sont souvent utilisés dans l'approche basée sur les biens (identification et analyse des
vulnérabilités et des menaces sur ces biens) et dans le processus de traitement du risque (spécification du ou des
biens sur lesquels il convient d'appliquer chaque moyen de maîtrise).
Les valeurs métier et les biens supports sont liés, et les sources de risque identifiées pour les biens supports
peuvent, par conséquent, avoir un impact sur les valeurs métier.
Pour cette raison, il est important d'identifier les relations entre les biens et de comprendre leur valeur pour
l'organisme. Le fait de mal évaluer la valeur d'un bien peut entraîner une évaluation incorrecte des conséquences
relatives au risque, mais peut également avoir une incidence sur la compréhension de la vraisemblance des
menaces considérées.

15/151
ISO/IEC 27005, article 7.2.1 Identifier et décrire les risques liés à la sécurité de l'information (suite)
L'approche basée sur les biens permet d'identifier les menaces et les vulnérabilités spécifiques aux biens et
permet à l'organisme de déterminer le traitement spécifique du risque à un niveau détaillé.

16/151
ISO/IEC 27005, article 7.2.1 Identifier et décrire les risques liés à la sécurité de l'information
Il ne convient pas de limiter la gestion des risques liés à la sécurité de l'information par des jugements arbitraires
ou restrictifs concernant la manière dont il convient de structurer, de grouper, d'agréger, de séparer ou de décrire
les risques.
Les risques peuvent sembler se chevaucher ou correspondre à des sous-ensembles ou à des instances
spécifiques d'autres risques.
Il convient cependant de considérer et d'identifier distinctement les moyens de maîtrise pour les risques
individuels des risques plus larges ou agrégés.
En plus de considérer les mesures de sécurité déjà en place dans l’organisme, on devrait aussi analyser les
mesures de sécurité dont la mise en œuvre est planifiée.
Lors de l’analyse des mesures de sécurité existantes ou planifiées, ces mesures pourraient être jugées
inefficaces ou injustifiées. Si les mesures ne sont pas justifiées ou ne permettent pas de traiter un risque, elles
devraient être revérifiées afin de déterminer s’il convient qu’elles soient supprimées, remplacées par d’autres
mesures plus appropriées, ou s’il est préférable qu’elles restent en place pour des raisons de coûts liés à leur
suppression.

17/151
ISO/IEC 27005, Annexe A.2.5.3 Méthodes d'appréciation des vulnérabilités techniques (suite)
L'outil automatisé d'analyse de vulnérabilités est utilisé pour analyser un groupe d'hôtes ou un réseau afin de
détecter les services vulnérables connus [par exemple un système permettant un protocole de transfert de fichier
(FTP) anonyme, un relais Sendmail]. Toutefois, certaines vulnérabilités potentielles identifiées par l'outil
automatisé d'analyse ne représentent pas nécessairement les vulnérabilités réelles dans le contexte de
l'environnement du système (par exemple, certains outils d'analyse évaluent les vulnérabilités potentielles sans
tenir compte de l'environnement et des exigences du site). Certaines vulnérabilités signalées par le logiciel
d'analyse automatisé peuvent ne pas être vulnérables pour un site spécifique, mais peuvent être configurées de
cette manière parce que leur environnement l'exige. Cette méthode d'essai peut, par conséquent, générer de faux
positifs.
Il est également possible d'utiliser une autre technique, celle des tests et de l'évaluation de sécurité (STE), en
identifiant les vulnérabilités d'un système TIC lors du processus d'appréciation des risques. Cette méthode inclut
l'élaboration et l'exécution d'un protocole de test (à titre d'exemples, script de test, procédures de test et résultats
attendus). L'objectif des tests de sécurité du système est de mettre à l’épreuve l'efficacité des mesures de
sécurité d'un système TIC telles qu'elles ont été mises en œuvre dans un environnement opérationnel. Le but est
de garantir que les mesures de sécurité appliquées répondent aux spécifications de sécurité validées en termes
de matériel et de logiciel, de mettre en œuvre la politique de sécurité de l'organisme ou d'assurer la conformité
aux normes de l'industrie.
Les tests d'intrusion peuvent être utilisés pour compléter la revue des mesures de sécurité et garantir que les
différents aspects du système TIC sont sécurisés. Lorsqu'ils sont utilisés au cours du processus d'appréciation
des risques, les tests d'intrusion peuvent être utilisés pour évaluer la capacité d'un système TIC à résister aux
tentatives volontaires de contourner la sécurité du système. Leur objectif est de mettre le système TIC à l’épreuve
du point de vue de la source de menace et d'identifier les défaillances potentielles des schémas de protection du
système TIC.
La revue de code est la manière la plus minutieuse (mais également la plus onéreuse) d'apprécier les
vulnérabilités.
Les résultats de ce type de tests de sécurité contribuent à identifier les vulnérabilités d'un système.

18/151
La conséquence des scénarios d’incidents est déterminée sur la base des critères d’impact définis au cours de la
phase d’établissement du contexte. Un impact peut découler d’un ou de plusieurs aspects. Les conséquences
sur les actifs peuvent être calculées sur la base de sécurités financières ou d’échelles qualitatives. Ces effets
peuvent être temporaires ou permanents, comme c’est le cas avec la destruction d’un actif.
Les conséquences de la survenue d'un incident peuvent être évaluées différemment selon l'implication des
parties intéressées dans l'appréciation des risques. Les impacts significatifs pour l’organisme devraient être
documentés en conséquence.

19/151
ISO/IEC 27005, article 7.3.3 Appréciation de la vraisemblance (suite)
L'estimation de la vraisemblance est intrinsèquement incertaine, non seulement parce qu'elle tient compte de
choses qui ne se sont pas encore produites et qui ne sont donc pas entièrement connues, mais aussi parce que
la vraisemblance est une mesure statistique et n'est pas directement représentative d'événements individuels. Les
trois sources fondamentales d'incertitude de l'appréciation sont les suivantes:
l'incertitude personnelle qui trouve son origine dans le jugement de l'évaluateur et qui découle de la
variabilité de l'heuristique mentale de la prise de décision;
l'incertitude méthodologique, qui découle de l'utilisation d'outils qui modélisent inévitablement les
événements de manière simpliste;
l'incertitude systémique concernant l'événement anticipé lui-même, qui découle d'une connaissance
insuffisante (en particulier, si les preuves sont limitées ou si une source de risque change avec le temps).
Pour augmenter la fiabilité de l'estimation de la vraisemblance, il convient que les organismes envisagent d'avoir
recours à:
a. des appréciations en équipe plutôt que des appréciations individuelles;
b. des sources externes, telles que les rapports de vulnérabilités de la sécurité de l'information;
c. des échelles dont la portée et la résolution sont adaptées à l'approche de l'organisme;
d. des catégories non ambiguës, telles que «une fois par an», plutôt que «peu fréquent».
Lors de l'appréciation de la vraisemblance des événements, il est important de reconnaître la différence entre les
événements indépendants et les événements dépendants. La vraisemblance des événements qui dépendent les
uns des autres est conditionnée par la relation qui existe entre eux (par exemple, un deuxième événement peut
être inévitable si un premier événement se produit), de sorte qu'une appréciation séparée de leurs
vraisemblances respectives n'est pas nécessaire. La vraisemblance d'événements indépendants pertinents
contribue de manière essentielle à la vraisemblance d'une conséquence à laquelle ils participent.

20/151
Estimation numérique
Si l’organisation dispose de données sur les incidents passés ou actuels, en particulier les incidents passés, ces
données peuvent être utilisées pour estimer les risques futurs. Néanmoins, il convient d’utiliser également
d’autres méthodes pour faire ces estimations.
Bien que les données sur les incidents passés puissent être utiles, elles ne le sont pas nécessairement lorsqu’il
s’agit d’évaluer les risques qui découlent de nouvelles activités. L’objectif de l’appréciation des risques découlant
des nouvelles activités est d’identifier les incidents à niveau de risque élevé qui n’ont pas encore causé
d’incidents. De cette manière, il est possible d’éviter que des incidents potentiels ne se produisent.
Il est possible de calculer les probabilités d’incidents potentiels en utilisant des données externes. Par exemple,
les données antérieures sur les accidents de la route peuvent être utilisées pour calculer les risques de transport
routier associés aux employés qui voyagent en voiture. Ces statistiques permettent de calculer les probabilités
d’incidents plus graves, mais aussi plus rares. Mais un tel calcul n’est pas toujours possible.

21/151
ISO/IEC 27005, Annexe A.1.1.2.3 Niveau de risque
L'utilité des échelles qualitatives et la cohérence des appréciations du risque qui en découlent dépendent
entièrement de la cohérence avec laquelle les étiquettes des catégories sont interprétées par toutes les parties
intéressées.
Il convient que les niveaux d'une échelle qualitative soient sans ambiguïté, que ses incréments soient clairement
définis, que les descriptions qualitatives de chaque niveau soient exprimées dans un langage objectif et que les
catégories ne se chevauchent pas.

22/151
ISO/IEC 27005, article 7.4.1 Comparaison des résultats de l'analyse des risques avec les critères de risque
Il convient que les décisions d'évaluation du risque soient basées sur la comparaison entre le risque apprécié et
les critères d'acceptation définis, en tenant compte idéalement du degré de confiance dans l'appréciation. Dans
certains cas, tels que l'occurrence fréquente d'événements aux conséquences relativement faibles, il peut être
utile de prendre en considération leur effet cumulatif sur une certaine échelle de temps, plutôt que de tenir compte
du risque de chaque événement individuellement, car cela peut fournir une représentation plus réaliste des
risques globaux.
Des incertitudes peuvent exister dans la définition de la frontière entre les risques qui exigent un traitement et
ceux qui n'en exigent pas. Dans certaines circonstances, il n'est pas toujours approprié d'utiliser un seul niveau
comme niveau de risque acceptable pour séparer les risques qui exigent un traitement de ceux qui n'en exigent
pas. Dans certains cas, il peut être plus efficace d'inclure un élément de flexibilité dans les critères en intégrant
des paramètres supplémentaires tels que le coût et l'efficacité des moyens de maîtrise possibles.
Les niveaux de risque peuvent être validés sur la base d'un consensus entre les propriétaires du risque et les
spécialistes métier et techniques. Il est important que les propriétaires du risque aient une bonne compréhension
des risques dont ils sont responsables, qui concorde avec les résultats d'une appréciation objective. Par
conséquent, il convient d'examiner toute disparité entre les niveaux de risque appréciés et ceux perçus par les
propriétaires du risque afin de déterminer lequel se rapproche le plus de la réalité.

23/151
La priorisation des risques est un processus couramment utilisé pour identifier les risques qui sont importants et
qui ont un impact sur l’organisation. La hiérarchisation des risques soutient également le processus décisionnel
en envisageant les réponses possibles aux différents risques. Une fois les scénarios d’incidents potentiels
élaborés, les critères de classification des risques en fonction de leur priorité doivent être définis.
La valeur zéro de risque n’existe pas. Néanmoins, il est possible de définir un seuil en deçà duquel l’organisme
accepte de ne pas s’engager dans une activité qui réduit le niveau de risque.
À l'autre extrémité de l'échelle, il existe un seuil au-delà duquel le risque est inacceptable et, à ce titre, tout doit
être fait pour éliminer la source du risque ou réduire le risque.
ISO/IEC 27005, article 7.4.2 Classement des risques analysés par ordre de priorité en vue de leur
traitement
L'évaluation du risque utilise la compréhension des risques obtenue par l'analyse du risque pour faire des
propositions afin de décider de la prochaine étape à suivre. Il convient que celles-ci précisent:
si un traitement du risque est nécessaire;
les priorités de traitement du risque en tenant compte des niveaux de risque appréciés.
Il convient que les critères utilisés pour classer les risques par ordre de priorité tiennent compte des objectifs de
l'organisme, des exigences contractuelles, légales et réglementaires, ainsi que de l'opinion des parties
intéressées concernées. Le classement par ordre de priorité tel qu'il est effectué dans l'activité d'évaluation du
risque est principalement basé sur les critères d'acceptation.

24/151
Il est préférable de concentrer initialement l'effort sur le traitement des risques de niveau supérieur, puis de
procéder progressivement au traitement des risques de niveau inférieur.
Choisir la meilleure option de traitement des risques signifie que les coûts associés à la mise en œuvre de ces
options n’excèdent pas les avantages qu’ils présentent. Les coûts devraient être au moins égaux aux avantages.
Lors de la réalisation d'une telle analyse coûts-bénéfices, le contexte de l'organisation devrait également être pris
en compte.

25/151
ISO/IEC 27005, article 8.2 Sélection des options appropriées de traitement du risque lié à la sécurité de
l'information
Les différentes options de traitement du risque comprennent:
le refus du risque, qui consiste à décider de ne pas commencer ou poursuivre l'activité porteuse du risque;
la modification du risque, qui consiste à modifier la vraisemblance de l'occurrence d'un événement ou des
conséquences, ou à modifier la gravité des conséquences;
la prise de risque, par un choix éclairé;
le partage du risque, qui consiste à répartir les responsabilités entre différentes parties, en interne ou en
externe (par exemple, en partageant les conséquences via une assurance).
EXEMPLE 1 Voici un exemple de refus du risque: un bureau situé dans une zone inondable, où il existe un risque
d'inondation pouvant entraîner des dommages pour ledit bureau, et des restrictions de disponibilité et/ ou d'accès
au bureau. Les moyens de maîtrise physiques pertinents peuvent s'avérer insuffisants pour réduire ce risque,
auquel cas l'option de traitement de refus du risque peut être la meilleure option disponible. Cette option peut
impliquer de clore ou d'arrêter les opérations en cours dans ce bureau.
EXEMPLE 2 Autre exemple de refus du risque: le fait de décider de ne pas collecter certaines informations
auprès des personnes, de sorte que l'organisme n'ait pas à gérer, stocker, ni transmettre ces informations dans
ses systèmes d'information.
En cas de partage du risque, au moins un moyen de maîtrise est requis pour modifier la vraisemblance ou les
conséquences, mais l'organisme délègue la responsabilité de la mise en œuvre de ce moyen à une autre partie.
Il convient de choisir les options de traitement du risque sur la base des résultats de l'appréciation du risque, du
coût prévu de mise en œuvre ainsi que des bénéfices attendus de ces options, individuellement ou dans le
contexte d'autres moyens de maîtrise. Il convient que le traitement du risque soit hiérarchisé en fonction des
niveaux de risque définis, des contraintes de temps et de la séquence de mise en œuvre nécessaire, ainsi que
des résultats de l'évaluation du risque établis en 7.4. Lors du choix de l'option, on peut tenir compte de la manière
dont un risque particulier est perçu par les parties concernées, et des moyens les plus appropriés de
communiquer le risque à ces parties.

26/151
ISO/IEC 27005, article 8.6.1 Formulation du plan de traitement du risque (suite)
Cette activité a pour objectif de créer un ou plusieurs plans pour traiter des ensembles spécifiques de risques
figurant sur la liste des risques classés par ordre de priorité. Il existe deux interprétations possibles du terme
«plan» dans le contexte du traitement du risque. La première est un plan de projet, c'est-à-dire un plan visant à
mettre en œuvre les moyens de maîtrise nécessaires à l'organisme. La seconde est un plan de conception, c'est-
à-dire un plan qui non seulement identifie les moyens de maîtrise nécessaires, mais qui décrit également
comment ils interagissent avec leur environnement et entre eux pour modifier les risques. En pratique, les deux
peuvent être utilisés.
Il convient que chaque risque qui doit être traité le soit dans l'un des plans de traitement du risque. Un organisme
peut choisir d'avoir plusieurs plans de traitement du risque qui, ensemble, mettent en œuvre tous les aspects
requis du traitement du risque.
Lors de l'élaboration du plan de traitement du risque, il convient que les organismes tiennent compte des éléments
suivants:
les priorités en fonction du niveau de risque et de l'urgence du traitement;
l'applicabilité de différents types de moyens de maîtrise (préventifs, de détection, correctifs) ou de leur
composition;
s'il est nécessaire d'attendre qu'un moyen de maîtrise soit achevé avant d'en mettre un autre en œuvre
pour le même bien;
s'il existe un délai entre le moment où le moyen de maîtrise est mis en œuvre et le moment où il est
pleinement opérationnel et efficace.

27/151
ISO/IEC 27005, article 8.6.1 Formulation du plan de traitement du risque (suite)
Pour chaque risque traité, il convient que le plan de traitement comprenne les informations suivantes:
la justification du choix des options de traitement, y compris les avantages attendus;
les personnes responsables de l’approbation et de la mise en œuvre du plan;
les actions proposées;
les ressources nécessaires, en tenant compte des impondérables;
les indicateurs de performance;
les contraintes;
les rapports et le suivi requis;
le moment où les actions sont censées être entreprises et achevées;
le statut de mise en œuvre.
Il convient que les actions du plan de traitement du risque soient classées par ordre de priorité en fonction du
niveau de risque et de l'urgence du traitement. Plus le niveau de risque est élevé, et dans certains cas la
fréquence d'occurrence du risque, plus le moyen de maîtrise doit être mis en œuvre rapidement.
Pour chaque risque énuméré dans le plan de traitement du risque, il convient de suivre les informations détaillées
sur la mise en œuvre, qui peuvent inclure, sans s'y limiter, les éléments suivants:
les noms des propriétaires du risque et des personnes responsables de la mise en œuvre;
les dates ou le calendrier de mise en œuvre;
les activités liées aux moyens de maîtrise prévus pour tester le résultat de la mise en œuvre;
le statut de la mise en œuvre;
le niveau de coût (investissement, fonctionnement).
ISO/IEC 27005, article 8.6.2 Approbation par les propriétaires du risque
Il convient que le plan de traitement du risque lié à la sécurité de l'information soit approuvé par les propriétaires
du risque lorsqu'il est formulé. Il convient également que les propriétaires du risque décident de l'acceptation du
risque résiduel en matière de sécurité de l'information. Il convient que cette décision soit basée sur des critères
d'acceptation du risque définis.

28/151
Il convient que les résultats de l'appréciation du risque, le plan de traitement du risque et les risques résiduels
soient compréhensibles pour les propriétaires du risque afin qu'ils puissent s'acquitter correctement de leurs
responsabilités.

29/151
La notion de risque résiduel peut être définie comme étant le risque qui demeure après la mise en œuvre de
mesures visant à réduire le risque inhérent et peut être résumée comme suit : Risque résiduel = risque
inhérent – risque traité
Après la mise en œuvre d’un plan de traitement des risques, il y a toujours des risques résiduels. La valeur de la
réduction des risques suivant le traitement des risques devrait être évaluée, calculée et documentée. Le
risque résiduel peut être difficile à évaluer, mais une évaluation devrait être faite pour assurer que la valeur du
risque résiduel respecte les critères d’acceptation du risque de l’organisme. L’organisme doit également mettre
en place des mécanismes de surveillance des risques résiduels.
Si le risque résiduel est considéré comme inacceptable après la mise en œuvre des mesures, une décision doit
être prise pour traiter entièrement le risque. Une option est d’identifier d’autres options de traitement des risques
comme le partage des risques (assurance ou externalisation) pour réduire le risque à un niveau acceptable. Une
autre option pourrait être d’accepter (volontairement) le risque. Même si c’est une bonne pratique de ne tolérer
aucun risque pour lequel le critère d’acceptation des risques est défini par l’organisme, il n’est pas toujours
possible de réduire tous les risques à un niveau acceptable. En toutes circonstances, les risques résiduels
doivent être compris, acceptés et approuvés par la direction.
ISO/IEC 27005, article 8.6.3 Acceptation du risque résiduel en matière de sécurité de l'information
L'acceptation du risque peut impliquer un processus visant à obtenir l'approbation des traitements avant la
décision finale d'acceptation du risque. Il est important que les propriétaires du risque revoient et approuvent les
plans de traitement du risque proposés et les risques résiduels associés, puis enregistrent les conditions
associées à l'approbation. En fonction du processus d'appréciation du risque et des critères d'acceptation du
risque, il peut être nécessaire qu'un responsable ayant un niveau d'autorité supérieur à celui du propriétaire du
risque valide l'acceptation du risque.

30/151
ISO/IEC 27005, article 8.6.3 Acceptation du risque résiduel en matière de sécurité de l'information (suite)
La mise en œuvre d'un plan permettant de traiter les risques appréciés peut prendre un certain temps. Les
critères de risque peuvent permettre que les niveaux de risque dépassent un seuil souhaité dans une certaine
mesure s'il existe un plan permettant de réduire ce risque dans un délai acceptable. Les décisions d'acceptation
du risque peuvent tenir compte des délais prévus dans les plans de traitement du risque et du fait que la mise en
œuvre du traitement du risque progresse ou non conformément à ce qui est prévu.
Certains risques peuvent varier dans le temps (que ce changement soit dû ou non à la mise en œuvre d'un plan
de traitement du risque). Les critères d'acceptation du risque peuvent en tenir compte et avoir des seuils
d'acceptation du risque qui dépendent de la durée pendant laquelle un organisme peut être exposé à un risque
apprécié.

31/151
Une bonne communication et une bonne consultation exigent des entretiens et des réunions honnêtes avec
toutes les parties intéressées afin que tous leurs besoins soient identifiés et satisfaits.
Pour obtenir des résultats bénéfiques, il est important d’élaborer avant tout une stratégie de communication, puis
de la mettre en œuvre.
La deuxième partie importante est la consultation. Le gestionnaire de risques est considéré comme un consultant
interne ou un encadreur qui aide les salariés moins expérimentés à acquérir l'expertise nécessaire en matière de
gestion des risques afin d'atteindre les objectifs d'optimisation des risques.
ISO/IEC 27005, article 10.3 Communication et concertation (suite)
L'ISO/IEC 27001:2022, 6.1.2 c) 2) exige l'identification des propriétaires du risque lié à la sécurité de l'information.
La propriété d'un risque peut être intentionnellement confondue ou dissimulée. Même lorsque les propriétaires du
risque peuvent être identifiés, ils peuvent être réticents à reconnaître qu'ils sont responsables des risques dont ils
sont propriétaires, et il peut être difficile d'obtenir leur participation au processus de gestion des risques. Il
convient de définir une procédure de communication pour informer les personnes concernées de la propriété des
risques.
L'ISO/IEC 27001:2022, 6.1.3 f) exige que les propriétaires du risque approuvent le ou les plans de traitement du
risque et décident de l'acceptation du risque résiduel. La communication entre les propriétaires du risque et le
personnel responsable de la mise en œuvre du SMSI est une activité importante. Il convient qu'un accord soit
convenu concernant la manière de gérer les risques par l'échange et/ou le partage des informations relatives aux
risques avec les propriétaires du risque, voire d'autres parties intéressées et décideurs. Ces informations
incluent, sans toutefois s'y limiter, l'existence, la nature, le type, la vraisemblance, l'importance, le traitement et
l'acceptation du risque. Il convient que la communication soit bidirectionnelle.
Il convient qu'un organisme élabore des plans de communication relative aux risques dans le cadre des
opérations normales ainsi que dans les situations d'urgence. Il convient que l'activité de communication et de
concertation relatives aux risques soit continue.

32/151
L'ISO/IEC 27001 spécifie des exigences permettant aux organismes de conserver des informations documentées
sur le processus d'appréciation du risque et ses résultats; le processus de traitement du risque et ses résultats.
ISO/IEC 27005, article 10.4.2 Informations documentées concernant les processus
Il convient que les informations documentées concernant le processus d'appréciation du risque lié à la sécurité de
l'information comportent les éléments suivants:
a. une définition des critères de risque, y compris les critères d'acceptation du risque et les critères de
réalisation d'appréciations du risque lié à la sécurité de l'information);
b. une justification de la cohérence, de la validité et de la comparabilité des résultats;
c. une description de la méthode d'identification des risques (y compris l'identification des propriétaires du
risque);
d. une description de la méthode d'analyse du risque lié à la sécurité de l'information (y compris l'appréciation
des conséquences potentielles, la vraisemblance réaliste et le niveau de risque qui en découle);
e. une description de la méthode de comparaison des résultats avec les critères de risque et le classement
des risques par ordre de priorité en vue de leur traitement.
Il convient que les informations documentées concernant le processus de traitement du risque lié à la sécurité de
l'information comportent les descriptions de:
la méthode à utiliser pour choisir les options de traitement du risque lié à la sécurité de l'information;
la méthode à utiliser pour déterminer les moyens de maîtrise nécessaires;
la manière dont l'ISO/IEC 27001:2022, Annexe A est utilisée pour déterminer que des moyens de maîtrise
nécessaires n'ont pas été omis par inadvertance;
la manière dont les plans de traitement du risque sont produits;
la manière dont l'approbation des propriétaires de risque est obtenue.

33/151
ISO/IEC 27005, article 10.4.3 Informations documentées concernant les résultats
Dans la mesure où les organismes sont tenus d'effectuer des appréciations du risque selon des intervalles
planifiés ou lorsque des changements importants sont proposés ou se produisent, il convient qu'il y ait au moins
des preuves de l'existence d'un calendrier et de la réalisation d'appréciations du risque conformément à ce
calendrier. Si un changement est proposé ou s'est produit, il convient qu'il y ait des preuves de la réalisation d'une
appréciation du risque associée. Dans le cas contraire, il convient que l'organisme explique pourquoi le
changement est important ou non.
Il convient que les informations documentées concernant les résultats de l'appréciation du risque lié à la sécurité
de l'information comportent les éléments suivants:
a. les risques identifiés, leurs conséquences et leur vraisemblance;
b. l'identité du ou des propriétaires du risque;
c. les résultats de l'application des critères d'acceptation du risque;
d. la priorité de traitement du risque.
Il est également recommandé d'enregistrer la justification des décisions relatives aux risques, afin de tirer les
leçons des erreurs commises dans des cas individuels et de faciliter l'amélioration continue.
Il convient que les informations documentées concernant les résultats du traitement du risque lié à la sécurité de
l'information comportent les éléments suivants:
l'identification des moyens de maîtrise nécessaires;
le cas échéant et lorsqu'elle est disponible, la preuve que l'action de ces moyens de maîtrise nécessaires
modifie les risques de manière à satisfaire aux critères d'acceptation du risque de l'organisme.

34/151
ISO 31000, article 6.6 Suivi et revue (suite)
Le suivi et la revue ont pour but de s’assurer et d’améliorer la qualité et l’efficacité de la conception, de la mise en
œuvre et des résultats du processus. Il convient que le suivi continu et la revue périodique du processus de
management du risque et de ses résultats soient planifiés dans le processus de management du risque, en
définissant clairement les responsabilités.
Il convient que le suivi et la revue aient lieu à toutes les étapes du processus. Le suivi et la revue comprennent la
planification, le recueil et l’analyse d’informations, l’enregistrement des résultats et le retour d’information.
Il convient d’intégrer les résultats du suivi et de la revue aux activités de management des performances de
l’organisme, de suivi des résultats et d’élaboration de rapports.
ISO/IEC 27005, article 10.5.2 Surveillance et revue des facteurs ayant une influence sur les risques
Les risques ne sont pas statiques. Les événements, la valeur des biens, les menaces, les vulnérabilités, la
vraisemblance et les conséquences peuvent changer brutalement sans aucune indication préalable. Il convient de
procéder à une surveillance constante afin de détecter ces changements. Cette surveillance peut être assurée par
des services externes qui fournissent des informations relatives à de nouvelles menaces ou vulnérabilités. Il
convient que les organismes assurent la surveillance continue des facteurs pertinents, tels que:
a. les nouvelles sources de risque, notamment les vulnérabilités récemment signalées dans les technologies
de l'information;
b. les nouveaux biens ayant été inclus dans le domaine d'application de la gestion des risques;
c. les modifications nécessaires des valeurs des biens (en raison par exemple des modifications des
exigences métier);
d. les vulnérabilités identifiées pour déterminer celles qui sont désormais exposées à des menaces nouvelles
ou qui réapparaissent;
e. les changements dans les modalités d'utilisation des technologies existantes ou nouvelles qui pourraient
donner lieu à de nouvelles possibilités d'attaque;

35/151
ISO/IEC 27005, article 10.5.2 Surveillance et revue des facteurs ayant une influence sur les risques (suite)
f.les modifications applicables à la législation et à la réglementation;
g.les changements de goût du risque et de la perception de ce qui est à présent acceptable et de ce qui ne
l'est plus;
h.les incidents liés à la sécurité de l'information, à l'intérieur comme en dehors de l'organisme.

36/151
1. Qu'est-ce qu'un actif ?
A. Tout élément ayant de la valeur pour l'organisme et nécessitant, par conséquent, une protection
B. Tout élément que l'organisme a développé ou acheté
C. Matériel informatique que l'organisme a développé ou acheté
2. Quel type de biens constituent les informations ou les processus qui ont de la valeur pour une
organisation ?
A. Biens essentiels/valeurs métier
B. Biens secondaires
C. Biens en support
3. Lequel des éléments suivants est un exemple de prévention des risques ?
A. Annulation ou modification d’une ou plusieurs activités liées aux risques
B. Annulation ou modification du risque résiduel
C. Annulation ou modification des critères d'acceptation des risques
4. Quel est le principal objectif de la phase de surveillance et revue du processus de gestion du
risque ?
A. Faciliter l'interaction avec les parties prenantes, notamment celles ayant la responsabilité des
activités de management du risque
B. Assurer et améliorer la qualité et l'efficacité de la conception, de la mise en œuvre et des résultats
des processus
C. Communiquer les activités de gestion des risques et leurs résultats au sein de l’organisme
5. Quel est l'objectif de l'évaluation des risques ?
A. Soutenir les décisions qu'un organisme doit prendre
B. Créer une politique organisationnelle
C. Déterminer les acteurs des menaces

37/151
6.Quels sont les critères à considérer lors de la sélection d'une méthode d'appréciation des risques ?
A. Les menaces et les vulnérabilités identifiées
B. Le cadre de management du risque établi par la norme ISO 31000
C. Les critères d'évaluation établi par ISO/IEC 27001:2022
7.À quoi se réfère le maintien des risques ?
A. Décision d’accepter le niveau de risque actuel
B. Décision de partager les risques avec les parties externes
C. Décision d'accepter les risques inhérents
8.Qu'est-ce que le risque résiduel ?
A. Risque que l'organisation ne peut éviter
B. Risque qui demeure après le traitement des risques
C. Risque inconnu de l'organisation

38/151
39/151
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur la gestion des
ressources, la formation, la compétence, la sensibilisation, la communication et l’information documentée du
SMSI.

40/151
Une organisation souhaitant se conformer aux exigences de la norme ISO/IEC27001:2022 doit:
1. Identifier les compétences dont les salariés ont besoin pour assurer le bon fonctionnement du SMSI
2. Fournir un programme de formation pour les salariés qui sont directement ou indirectement impliqués
dans la mise en œuvre du SMSI.
3. Fournir un programme de sensibilisation à la sécurité de l’information adapté aux différentes parties
intéressés
4. Fournir un programme de communication pour informer toutes les parties intéressées sur le SMSI et les
changements qui peuvent les affecter
5. Évaluer l’efficacité des actions entreprises et conserver des enregistrements
ISO/IEC 27003, article7.2 Compétence
Lignes directrices
Il convient que l’organisation:
a. définisse la compétence souhaitée pour chaque rôle dans le SMSI et décide si elle doit être documentée (p.
ex. dans une description de poste);
b. attribue les rôles au sein du SMSI à des personnes possédant les compétences requises, soit en:
1. identifiant les personnes au sein de l’organisation ayant la compétence appropriée (basée p. ex. sur
leur éducation, leur expérience ou leurs certifications);
2. planifiant et mettant en œuvre des actions pour que les personnes au sein de l’organisation
obtiennent la compétence souhaitée (p. ex. par une formation, un mentorat, une réaffectation des
employés actuels); ou
3. engageant de nouvelles personnes qui ont la compétence (p. ex. en recrutant ou en contractant);
c. évalue l’efficacité des actions de l’alinéa b) ci-dessus;
d. vérifie que les personnes sont compétentes pour leurs rôles; et
e. s’assure que la compétence évolue au fil du temps, au besoin, et qu’elle répond aux attentes.

41/151
ISO/IEC 27003, article7.3 Sensibilisation
Lignes directrices
Il convient que l’organisation:
c) prépare un programme contenant des messages spécifiques axés sur chaque audience (p. ex. les
personnes internes et externes);
d) inclue les besoins et les attentes en matière de sécurité de l’information dans les documents de
sensibilisation et de formation relevant d’autres sujets, afin de placer les besoins en matière de sécurité de
l’information dans des contextes opérationnels pertinents;
e) prépare un plan pour communiquer les messages à des intervalles préétablis;
f) teste la connaissance et la compréhension des messages à la fin d’une session de sensibilisation et de

manière aléatoire entre les sessions; et
g) vérifie si les personnes agissent selon les messages communiqués et utilise des exemples de
comportements «bons» et « mauvais » pour renforcer le message.

42/151
Note : L'allocation des ressources pour le fonctionnement du SMSI dépend de l'étude de faisabilité.
ISO/IEC 27021, article5.9 Compétence: Gestion des ressources
Résultats escomptés
Veiller à ce que les ressources appropriées soient déterminées et fournies à temps pour l’établissement, la mise
en œuvre, la maintenance et l’amélioration continue du SMSI.
Connaissances requises
Rapports financiers et mesure
Techniques d’élaboration et de gestion budgétaire
Techniques de gestion et de réduction des coûts
Techniques de gestion du temps et des matériaux
Revue de direction et processus d’actions correctives
Compétences requises
Déterminer les ressources nécessaires à l’établissement, à la mise en œuvre, à la maintenance et à
l’amélioration continue du SMSI
Budgéter les éléments métier, y compris le coût de la mise en œuvre et du fonctionnement du SMSI
Comprendre le rapport financier, y compris les flux de trésorerie et les profits et pertes
Créer des études de faisabilité et d’investissement
Indiquer le ROI (retour sur investissement), le ROSI (retour sur investissement en sécurité) et autres
avantages financiers
Appliquer les techniques de contrôle des coûts et de gestion budgétaire
Fournir les ressources appropriées à temps et au bon endroit

43/151
Un programme de formation systématique et planifié peut aider l'organisation à accroître ses capacités et à se
conformer à ses objectifs de sécurité de l'information.
ISO 10015, article 5.4.1
Les équipes, les groupes et les individus devraient être encouragés à s'engager dans des activités de gestion des
compétences et de planification du développement du personnel afin d'accroître l'engagement et l'appropriation.

44/151
45/151
Le facteur technologique est l'un des paramètres clés dans le processus de mise en place d'un système de
management fonctionnel. Toutefois, le facteur «humain» est tout aussi important pour garantir son efficacité. Les
humains peuvent être aussi bien une faiblesse qu'une force. Il faut donc leur accorder une attention particulière.
Le personnel doit connaître et comprendre quelles sont ses responsabilités, comment il peut contribuer à la
sécurité de l’information (management) et comment il peut avoir une influence positive sur l’entreprise.
En ce qui concerne la sensibilisation des parties prenantes, l’objectif majeur consiste à renforcer ou modifier
leurs comportements et attitudes ainsi qu’à les amener à adhérer aux valeurs de l’organisme.

46/151
Le développement d'activités au plan individuel peut inclure:
a. des programmes d'apprentissage individuels;
b. le mentorat, l'encadrement et la supervision;
c. des plans de développement personnel;
d. des études formelles en vue de l'obtention de qualifications;
e. la participation à des conférences externes, etc.;
f. la formation (dans le rôle ou la fonction, en classe, en ligne);
g. les événements de réseautage.
Lors de la mise en œuvre du programme de développement, l'organisation doit déterminer et identifier les
différents rôles et responsabilités.
L'organisation est responsable de:
a. déterminer qui réalisera le programme de développement;
b. convenir du domaine d’application, de l'objectif et du public cible du programme de développement;
c. faciliter le programme de développement en fournissant les ressources nécessaires;
d. communiquer les exigences du programme aux parties intéressées concernées.
Les responsables du programme de développement du personnel et de ses activités sont chargés de:
a. approuver le programme de développement du personnel;
b. veiller à ce que le programme de développement des ressources humaines comble les lacunes en matière
de compétences;
c. s'assurer que les activités sont adaptées au public cible;
d. gérer et mettre en œuvre toutes les parties du programme dans les délais convenus;
e. veiller à ce que le suivi et l'évaluation se déroulent comme convenu.

47/151
1. Identifier les compétences dont les salariés ont besoin pour assurer le bon fonctionnement du SMSI.
2. Fournir un programme de formation pour les salariés qui sont impliqués directement ou indirectement
dans la mise en œuvre du SMSI.
3. Fournir un programme de sensibilisation à la sécurité de l'information adapté aux différentes parties
intéressées
4. Fournir un programme de communication pour informer toutes les parties intéressées sur le SMSI et les
changements qui peuvent les affecter
5. Évaluer l’efficacité des actions entreprises et conserver des enregistrements

48/151
ISO/CIE 27003, article7.4 Communication
Lignes directrices
La communication repose sur les processus, les canaux et les protocoles. Ceux-ci devraient être choisis pour
s’assurer que le message communiqué est intégralement reçu, correctement compris et, le cas échéant, qu’on y
donne suite de manière appropriée.
Les organisations devraient déterminer quel contenu doit être communiqué, par exemple:
a. les plans et les résultats de la gestion des risques aux parties intéressées, selon les besoins et le cas, dans
l’identification, l’analyse, l’évaluation et le traitement des risques;
b. les objectifs de sécurité de l’information;
c. les objectifs de sécurité de l’information atteints, y compris ceux qui peuvent soutenir leur position sur le
marché (p. ex. certification ISO/IEC 27001 octroyée; déclaration de conformité avec les lois sur la
protection des données personnelles);
d. les incidents ou les crises, où la transparence est souvent essentielle pour préserver et accroître la
confiance dans la capacité de l’organisation à gérer sa sécurité de l’information et à faire face aux
situations imprévues;
e. les rôles, responsabilités et autorités;
f. les informations échangées entre les fonctions et rôles tel que requis par le processus du SMSI;
g. les changements apportés au SMSI;
h. d’autres questions relevées lors de la revue des mesures et des processus dans le cadre du SMSI;
i. les enjeux (p. ex. avis d’incident ou de crise) qui nécessitent une communication aux organismes de
réglementation ou à d’autres parties intéressées; et
j. les demandes ou autres communications émanant de parties externes telles que les clients, les clients
potentiels, les utilisateurs de services et les autorités.
L’organisation devrait déterminer les exigences en matière de communication sur les questions pertinentes:
k.qui est autorisé à communiquer à l’externe et à l’interne (p. ex. dans des cas particuliers comme une
atteinte à la protection des données), en attribuant des rôles précis à l’autorité compétente. Par exemple les
chargés de communication officielle peuvent avoir l’autorité en la matière. Il pourrait s’agir d’un responsable
des relations publiques pour la communication externe et d’un responsable de la sécurité pour la
49/151
communication interne;
l.les déclencheurs ou la fréquence des communications (p. ex. pour la communication d’un événement, le
déclencheur est l’identification de l’événement);
m.le contenu des messages destinés aux principales parties intéressées (p. ex. clients, régulateurs, grand
public, utilisateurs internes importants) sur la base de scénarios d’impact de haut niveau. La communication
peut être plus efficace si elle repose sur des messages préparés et approuvés au préalable par le niveau de
gestion approprié dans le cadre d’un plan de communication, du plan de réponse aux incidents ou du plan de
continuité d’activité;
n.les personnes à qui la communication est destinée; dans certains cas, une liste devrait être tenue à jour (p.
ex. pour communiquer les changements apportés aux services ou les crises);
o.les moyens de communication et les canaux. La communication devrait utiliser des moyens et des canaux
spécifiques, pour s’assurer que le message est officiel et qu’il porte l’autorité appropriée. Les canaux de
communication devraient répondre à tout besoin de protection de la confidentialité et de l’intégrité de
l’information transmise; et
p.le processus conçu et la méthode pour s’assurer que les messages sont envoyés et qu’ils ont été
correctement reçus et compris.
La communication devrait être classée et traitée conformément aux exigences de l’organisation.

50/151
Principes d’une stratégie de communication efficace
1. Transparence : Bien communiquer les processus, procédures, méthodes, sources de données et
hypothèses utilisés à toutes les parties intéressées, en tenant compte de la confidentialité des
informations.
2. Adéquation : Fournir des informations pertinentes aux parties intéressées, en utilisant des formats, un
langage et des médias qui répondent à leurs intérêts et à leurs besoins, afin de leur permettre de participer
pleinement.
3. Crédibilité : Communiquer de façon honnête et équitable et fournir des informations véridiques, exactes
et substantielles; élaborer des informations et des données en utilisant des méthodes et des indicateurs
reconnus et reproductibles.
4. Réactivité : Répondre aux questions et aux préoccupations des parties intéressées de façon complète et
en temps utile; informer les parties intéressées de la façon dont leurs questions et leurs préoccupations
ont été traitées
5. Clarté : S'assurer que les parties prenantes comprennent les approches communicationnelles et le
langage afin d'éviter toute ambiguïté.

51/151
Il est important que l'ensemble des informations documentées du SMSI soit cohérent et complet. En outre, les
informations documentées sont essentielles pour démontrer que les mesures de sécurité de l'organisation sont
mises en œuvre en fonction des scénarios de risques identifiés dans l'évaluation des risques. La suffisance et la
pertinence des informations documentées dans le contexte de l'organisation devraient être déterminées avec un
jugement raisonnable et basé sur la perception de la situation.
ISO/IEC 27001:2022, article 7.5.2 Création et mise à jour
Quand elle crée et met à jour ses informations documentées, l’organisation doit s’assurer que les éléments
suivants sont appropriés:
a. identification et description (par exemple titre, date, auteur, numéro de référence);
b. format (par exemple langue, version logicielle, graphiques) et support (par exemple, papier, électronique);
et
c. examen et approbation du caractère approprié et pertinent des informations.
ISO/IEC 27001:2022, article 7.5.3 Contrôle des informations documentées
Les informations documentées exigées par le système de management de la sécurité de l’information et par le
présent document doivent être contrôlées pour s’assurer:
a. qu’elles sont disponibles et conviennent à l’utilisation, où et quand elles sont nécessaires; et
b. qu’elles sont correctement protégées (par exemple, de toute perte de confidentialité, utilisation inappropriée
ou perte d’intégrité).
Pour contrôler les informations documentées, l’organisation doit traiter des activités suivantes, quand elles lui sont
applicables:
c.distribution, accès, récupération et utilisation;
d.stockage et conservation, y compris préservation de la lisibilité;
e.contrôle des modifications (par exemple, contrôle des versions); et
f.durée de conservation et suppression.
Les informations documentées d’origine externe que l’organisation juge nécessaires à la planification et au
fonctionnement du système de management de la sécurité de l’information doivent être identifiées comme il
52/151
convient et maîtrisées.

53/151
Explication
Des informations documentées sont nécessaires pour définir et communiquer les objectifs, politiques, lignes
directrices, instructions, mesures, processus, procédures liés à la sécurité de l’information ainsi que ce que les
individus ou groupes d’individus sont censés faire et comment ils sont censés se comporter. Des informations
documentées sont également nécessaires pour les audits du SMSI et pour maintenir un SMSI stable lorsque les
personnes dans les rôles clés changent. En outre, les informations documentées sont nécessaires pour
enregistrer les actions, les décisions et les résultats des processus et des mesures de sécurité du SMSI.
Lignes directrices
Voici des exemples d’informations documentées qui peuvent être considérées par l’organisation comme
nécessaires pour assurer l’efficacité de son SMSI:
les résultats de la définition du contexte;
les rôles, responsabilités et autorités;
les rapports sur les différentes phases de la gestion des risques;
les ressources déterminées et fournies;
la compétence attendue;
les plans et les résultats des actions de sensibilisation;
les plans et les résultats des actions de communication;
les informations documentées d’origine externe qui sont nécessaires pour le SMSI;
le processus de contrôle des informations documentées;
les politiques, règles et directives pour la gestion et l’opération des activités liées à la sécurité de
l’information;
les processus et procédures utilisés pour mettre en œuvre, maintenir et améliorer le SMSI et l’état général
de la sécurité de l’information;
les plans d’action; et
la preuve des résultats des processus du SMSI (p. ex. gestion des incidents, contrôle d’accès, continuité
de la sécurité de l’information, entretien de l’équipement, etc.).

54/151
Il n’y a pas de prescription obligatoire sur la façon de documenter les processus et les mesures de sécurité. On
peut le faire à l'aide de diagrammes, de descriptions textuelles, de feuilles de calcul, etc.

55/151
Questions de discussion :
1. Expliquez la différence entre la formation, la sensibilisation et la communication.
2. Quels sont les principes d’une stratégie de communication efficace ?
3. Quels sont certaines des principales informations documentées du SMSI ?

56/151
1. Quel est l'objectif principal d'un programme de formation au SMSI?
A. Informer les parties intéressées sur la sécurité de l'information
B. Promouvoir l'importance de la sécurité de l'information au sein d'une organisation
C. Permettre aux individus d'acquérir des compétences générales et spécifiques liées à la mise en
œuvre d'un SMSI
2. Un salarié a reçu un e-mail contenant un lien qui, lorsqu'on clique dessus, redirige vers un site web
malveillant. Le responsable informatique identifie le problème et bloque immédiatement le système
de transfert des e-mails. Quelle mesure l'organisation doit-elle prendre pour éviter que des
situations similaires ne se reproduisent?
A. Réaliser un programme de sensibilisation pour pallier l'ingénierie sociale et les risques associés aux
e-mails.
B. Réaliser un programme de formation pour informer les salariés des risques associés aux
hameçonnages et spams.
C. Réaliser un programme de sensibilisation pour pallier les problèmes liés au contrôle d'accès.
3. Quel aspect de l'information la transparence peut-elle compromettre dans une stratégie de
communication efficace, si elle n'est pas faite correctement?
A. Ambiguïté
B. Confidentialité
C. Précision
4. Que doit faire une organisation pour se conformer à la norme ISO/IEC27001:2022?
A. Élaborer une procédure pour le contrôle des informations documentées.
B. Élaborer un formulaire pour le contrôle des informations documentées qui ne soient visibles que par
la direction.
C. Élaborer une directive pour le contrôle des informations documentées uniquement sur demande
d'un cadre.

57/151
5.Pour se conformer à la norme ISO/IEC27001:2022, les organisations doivent satisfaire certaines
exigences obligatoires sur la manière de documenter les mesures.
A. Vrai
B. Faux

58/151
59/151
Cette section traite de la planification opérationnelle, de la gestion du changement et de la différence entre la
continuité d’activité et la reprise d’activité après sinistre.

60/151
1. Assurer la gestion efficace des opérations liées au SMSI
2. S'assurer de l'approvisionnement adéquat des ressources pour le bon fonctionnement du SMSI.
ISO/IEC27003, article 8.1 Planification et contrôle opérationnels
Les processus de conformité aux exigences de sécurité de l’information comprennent:
a. les processus SMSI (par exemple: revue de direction, audit interne); et
b. les processus requis pour la mise en œuvre du plan de traitement des risques liés à la sécurité de
l’information.
La mise en œuvre des plans entraîne des processus exploités et contrôlés.
Ultimement, l’organisme est responsable de la planification et du contrôle de tout processus externalisé afin
d’atteindre ses objectifs en matière de sécurité de l’information. Ainsi, l’organisme doit:
a. déterminer les processus externalisés en tenant compte des risques de sécurité de l’information liés à la
sous-traitance; et
b. s’assurer que les processus externalisés sont contrôlés (c’est-à-dire planifiés, surveillés et examinés) de
manière à garantir qu’ils fonctionnent comme prévu (en tenant compte des objectifs de sécurité de
l’information et du plan de traitement des risques de sécurité de l’information).
Si une partie des fonctions ou des processus de l’organisme est externalisée aux fournisseurs, l’organisme
devrait:
q.déterminer toutes les relations de sous-traitance;
r.établir des interfaces appropriées avec les fournisseurs;
s.aborder les questions liées a la sécurité de l’information dans les accords avec les fournisseurs;
t.surveiller et réviser les services du fournisseur afin de s’assurer qu’ils sont exploités comme prévu et que
les risques de sécurité des informations sont en accord avec les critères de l’organisme; et
u.gérer les changements apportés aux services du fournisseur si nécessaire.

61/151
ISO/IEC27003, article 8.2 Appréciation des risques de sécurité de l’information
Lignes directrices
Les organismes devraient avoir un plan pour effectuer des appréciations des risques de sécurité de l’information
planifiées.
Lors de modifications importantes du SMSI (ou de son contexte) ou lors d’incidents de sécurité de l’information,
l’organisme devrait déterminer:
a. lesquels de ces changements ou incidents nécessitent une appréciation des risques de sécurité de
l’information supplémentaire; et
b. comment ces appréciations seront générées.
Le niveau de détail de l’identification des risques devrait être affiné étape par étape dans d’autres itérations de
l’appréciation des risques de sécurité de l’information dans le contexte de l’amélioration continue du SMSI. Une
appréciation des risques de sécurité de l’information générale devrait être effectuée au moins une fois par an.
ISO/IEC 27003, article8.3 Traitement des risques de sécurité de l’information
Explication
Afin de traiter les risques de sécurité de l’information, l’organisme doit exécuter le processus de traitement des
risques de sécurité de l’information défini à l’article6.1.3. Pendant l’opération du SMSI, chaque fois que
l’appréciation des risques est mise à jour conformément l’article8.2, l’organisme applique le traitement des risques
selon l’article6.1.3 et met à jour le plan de traitement des risques. Le plan de traitement des risques mis à jour est
de nouveau mis en œuvre.
Les résultats du traitement des risques de sécurité de l’information sont conservés dans l’information documentée
comme preuve que le processus décrit à l’article6.1.3 a été exécuté tel que défini.

62/151
ISO/IEC 27003, article8.3 Traitement des risques de sécurité de l’information (suite)
Lignes directrices
Le processus de traitement des risques devrait être effectué après chaque itération du processus d’appréciation
des risques de sécurité de l’information de l’article8.2 ou lorsque la mise en œuvre du plan de traitement des
risques ou de certaines parties de celui-ci échoue.
L’avancement de la mise en œuvre du plan de traitement des risques de sécurité de l’information devrait être
orienté et surveillé par cette activité.

63/151
Une organisation souhaitant se conformer aux exigences de la norme ISO/IEC27001:2022 doit, au minimum,
mettre en œuvre les mesures de sécurité détaillées dans le plan de traitement des risques et celles qui ont été
déclarées applicables dans la déclaration d'applicabilité.

64/151
Les étapes décrites ci-dessus s’appliquent à un changement qui a une incidence importante sur les éléments
nouveaux du SMSI ou ceux ayant subi des changements importants. Toutefois, l’ampleur d’un changement peut
nécessiter un minimum de communication ou de formation. Chaque changement devrait donc être jugé sur ses
propres mérites.
Par exemple, lorsque le plan de mise en œuvre d'un SMSI est achevé avec succès, le SMSI passe officiellement
en mode opérationnel. L'importance de ce changement devrait être décidée par la direction de l'organisation.
ISO/IEC27001:2022, article 6.3Planification des modifications
Lorsque l'organisation détermine qu'il est nécessaire d'apporter des changements au système de management de
la sécurité de l'information, ces changements doivent être effectués de manière planifiée.

65/151
À un moment donné au cours de la reprise après sinistre, les activités de continuité d'activité commencent à se
chevaucher. Les trois questions suivantes, principalement axées sur la continuité d'activité, sont liées au cycle de
maintenance de la continuité d'activité et de la reprise après sinistre (CA/RAS):
Où installer des systèmes provisoires?
Comment acquérir des systèmes ou des pièces de rechange?
Comment sécuriser le nouvel emplacement?
Exemple: Résilience de reprise
Une organisation décide d'investir dans un système de «reprise», ce qui signifie que si le serveur qui fournit à
l'organisation les données et les applications utilisées quotidiennement est endommagé et tombe en panne, un
autre serveur remplacera automatiquement le serveur endommagé. Ainsi, les salariés pourront immédiatement
poursuivre leurs tâches. Ceci est considéré comme une résilience des données informatiques, mais est assuré
par un dispositif de reprise après sinistre. Même si la reprise après sinistre peut exister d'elle-même, elle
constitue un élément essentiel de la gestion de la continuité d'activité, étant donné qu'elle offre les ressources
nécessaires pour faciliter le fonctionnement normal de l'entreprise.

66/151
67/151
Cette section fournit aux participants des informations sur les processus d'évaluation des performances, y
compris le suivi, le mesurage, l'analyse et l'évaluation, l'audit interne et la revue de direction.

68/151
Un organisme qui désire se conformer à l’ISO/IEC27001:2022 devrait:
1. Déterminer ce qui doit être mesuré et surveillé dans le SMSI
2. Définir les méthodes de suivi, de mesure, d’analyse et d’évaluation.
3. Recueillir les données pour le suivi, la mesure, l'analyse et l'évaluation
4. Effectuer une analyse et une évaluation des résultats
ISO/IEC27003, article 9.1Surveillance, mesure, analyse et évaluation
Une bonne pratique consiste à définir le « besoin d’information » lors de la planification de la surveillance, de la
mesure, de l’analyse et de l’évaluation. Un besoin d’information est généralement exprimé en tant qu’enjeu ou
déclaration de sécurité d’information de haut niveau qui aide l’organisme à évaluer la performance en matière de
sécurité de l’information et l’efficacité du SMSI. En d’autres termes, la surveillance et la mesure doivent être
effectuées pour répondre à un besoin d’information défini.
Il convient d’être prudent lors de la détermination des attributs à mesurer. Il est irréaliste, coûteux et
contreproductif de trop mesurer ou de s’intéresser aux mauvais attributs. En plus des coûts de mesure, d’analyse
et d’évaluation de trop nombreux attributs, il est possible que les enjeux clés puissent être obscurcis ou
complètement ignorés.
Il existe deux types génériques de mesures:
h)les mesures de la performance, qui expriment les résultats prévus en fonction des caractéristiques de
l’activité planifiée, telles que le décompte des effectifs, l’accomplissement des étapes ou le degré
d’application des mesures de sécurité de l’information; et
i)les mesures d’efficacité, qui expriment l’effet que la réalisation des activités planifiées a sur les objectifs
de sécurité de l’information de l’organisme.

69/151
La mesure est le processus qui permet de déterminer une valeur. La mesure des performances peut être définie
comme un moyen systématique d'évaluer les réalisations actuelles d'une organisation par rapport à ses objectifs.
Les mesures de performance sont d’une valeur minime en soi, à moins de les considérer dans le contexte des
stratégies et des objectifs de l’organisme.
Il en est de même pour les systèmes de management, lesquels ne peuvent exister dans le vide et doivent
contribuer aux objectifs de l'organisation pour être efficaces. Dans ce contexte, la mesure de la performance
devrait être une priorité absolue pour les personnes responsables de la mise en œuvre et de la maintenance
d’un système de management.
Certains des avantages du suivi, de la mesure, de l’analyse et de l’évaluation sont:
Mettre en œuvre le mesurage systématique pour assurer la réalisation des processus
Identifier les écarts en temps opportun et les traiter en conséquence
Permettre aux utilisateurs du SMSI de prendre des décisions concernant les résultats du processus
Déterminer l’efficacité et l’efficience des processus
Identifier les possibilités d’amélioration continue

70/151
ISO/IEC 27004, article 6.1 Généralités
Pour déterminer ce qu'il faut surveiller et mesurer, l'organisation doit d'abord considérer ce qu'elle souhaite
obtenir en évaluant la performance en matière de sécurité de l'information et l'efficacité du SMSI. Cette mesure
peut lui permettre de déterminer ses besoins en matière d’information.
Les organisations doivent ensuite décider des mesures nécessaires pour répondre à chaque besoin d'information
discret et des données nécessaires pour obtenir les mesures requises. Par conséquent, la mesure doit toujours
correspondre aux besoins d'information de l'organisation.
Un petit nombre de mesures de la performance significatives est préférable à une pléthore de mesures non
reliées aux objectifs de l’organisme. Plusieurs organismes utilisent la règle SMART (Spécifique, Mesurable,
Atteignable, Réaliste, Temporellement défini) quand ils développent leurs mesures de performance.
Spécifique: clair et ciblé pour éviter toute méprise
Mesurable: peut être quantifié et comparé aux autres données
Atteignable: réalisable, raisonnable et acceptable dans un contexte de performance particulier
Réaliste: s’inscrit dans la culture de l’organisation et est rentable par rapport aux ressources disponibles
Temporellement défini: réalisable dans les délais impartis
Aucun ensemble de mesures génériques ne saurait être efficace pour tous les organismes et peut même ne pas
l’être pour les organismes dans des environnements similaires. La combinaison finale de mesures sera un
produit du contexte opérationnel, législatif et culturel.
Il existe un certain nombre de niveaux de mesure des performances, allant des mesures stratégiques de haut
niveau aux mesures plus spécifiques au niveau des opérations ou des programmes. Il est essentiel pour une
organisation de mesurer les activités qui comptent vraiment, et de ne pas perdre du temps et des ressources à
mesurer des activités simplement parce qu'elles peuvent être mesurées. En termes d’efficience, un organisme a
besoin de mesures significatives qui indiquent ce qui se passe réellement afin qu’il puisse décider de laisser une
activité se poursuivre ou d’intervenir pour prendre des actions correctives. En termes d’efficacité, un organisme a
besoin de mesures pour comprendre si le système de management est aligné sur les besoins et les objectifs de
l’organisme.

71/151
72/151
1. Réalisation d’audits internes
2. Assurance de l'indépendance, l'objectivité et l'impartialité de la fonction d'audit
3. Planification et réalisation des activités d'audit
ISO/IEC27003, article9.2 Audit interne
Les auditeurs évaluent également si le SMSI est mis en œuvre et préservé de façon efficace. Un programme
d’audit décrit le cadre général d’une série d’audits, planifiés selon des calendriers précis et orientés vers des
objectifs spécifiques. Ceci est différent d’un plan d’audit, qui décrit les activités et les modalités d’un audit
spécifique. Les critères d’audit sont un ensemble de politiques, de procédures ou d’exigences utilisées comme
références auxquelles les données probantes sont comparées, c’est-à-dire que les critères d’audit décrivent ce
que l’auditeur devrait constater.
Si le résultat de l’audit comprend des non-conformités, l’audité doit préparer un plan d’action pour chaque non-
conformité, à convenir avec le chef de l’équipe d’audit. Un plan d’action de suivi comprend généralement:
i.la description de la non-conformité détectée;
j.la description de la (des) cause(s) de non-conformité;
k.la description des actions correctives à court terme et à plus long terme afin d’éliminer une non-conformité
détectée dans un délai défini; et
l.les personnes responsables de la mise en œuvre du plan.
Les rapports d’audit, avec leurs résultats, devraient être remis à la direction.
Les résultats des audits précédents devraient être revus et le programme d’audit devrait être adapté pour mieux
gérer les zones présentant des risques plus élevés en raison de la non-conformité.

73/151
Un audit est une évaluation basée sur des preuves et des faits. Cette évaluation met en évidence les forces et les
faiblesses de l’organisme ou du système audité. Les résultats de l’audit sont communiqués à la direction qui
prendra alors les mesures nécessaires et appropriées. Les mêmes principes et techniques de base s’appliquent
aux audits de système de management.
Un audit financier détermine si les pratiques comptables d'un organisme sont conformes aux exigences
légales et aux principes reconnus.
Un audit administratif détermine l’efficacité des pratiques administratives globales d’un organisme.
Un audit de sécurité de l’information détermine si les actifs d'information sont protégés de manière
appropriée.

74/151
Audits internes :
L’audit interne, parfois appelé audit de première partie, est une activité indépendante et objective qui donne à un
organisme une assurance sur le degré de maîtrise de ses opérations, donne des recommandations pour les
améliorer et contribue à créer une valeur ajoutée. Les audits internes sont réalisés par, ou pour le compte de,
l’organisme lui-même, pour la revue de direction et les autres besoins internes. L’indépendance de la démarche
doit être démontrée par l’absence de responsabilités dans les activités à auditer.
Les audits externes comprennent les audits de seconde et de tierce parties:
Les audits de deuxième partie sont réalisés par des parties ayant un intérêt dans l’organisme audité,
comme les clients, ou d’autres personnes agissant en leur nom.
Les audits de tierce partie sont réalisés par des organismes d’audit externes et indépendants tels que les
organismes qui octroient la certification et l'enregistrement de la conformité ou des organismes
gouvernementaux.
Note importante : Les audits par des tiers sont effectués par des auditeurs externes et indépendants de l'audité.

75/151
L'audit interne est une activité indépendante, objective et consultative destinée à mettre à niveau et à améliorer
les fonctions de l'organisation. Il contribue également aux objectifs de l'organisation en fournissant une
méthodologie systématique et structurée pour évaluer et améliorer l'efficacité du processus de gestion des
risques, son contrôle et la prise de décision.

76/151
Les exigences peuvent provenir de plusieurs sources; elles peuvent être spécifiées dans une norme, faire partie
d'une exigence interne de l'organisation, provenir d'une loi ou d'un règlement, ou faire partie d'un contrat signé
avec un client ou un partenaire.
ISO 9000, article 3.6.9 Non-conformité
non-satisfaction d’une exigence
ISO 9000, article 3.6.11 Conformité
satisfaction d’une exigence
Exemples fréquents de non-conformités:
La documentation n'est pas complète
La mesure n'est pas mise en œuvre ou ne fonctionne pas correctement.
La mesure ne fournit pas les résultats attendus.

77/151
Une fois la non-conformité confirmée, l’auditeur doit la documenter. L’enregistrement de cette non-conformité
peut être aussi simple qu’une description de l’observation et la référence à l’article approprié.
Il est à noter que la norme ISO/IEC 27001:2022 contient plusieurs articles qui incluent plus d’une exigence. Il est
important que l’auditeur documente les conditions spécifiques de la non-conformité (par exemple, en écrivant le
texte exact de l’exigence associée aux critères d’audit).
Le rapport de non-conformité devrait:
Être explicite et lié à une exigence du SMSI
Être précis et sans équivoque, linguistiquement correct et le plus concis possible

78/151
ISO/IEC 27001:2022, article 9.3.3 Résultats des revues de direction
Les résultats de la revue de direction doivent inclure les décisions relatives aux opportunités d’amélioration
continue et aux éventuels changements à apporter au système de management de la sécurité de l’information.
L’organisation doit conserver des informations documentées comme preuves des résultats des revues de
direction.
Une organisation souhaitant se conformer à ISO/IEC 27001:2022 doit au moins effectuer des revues de direction
à intervalles réguliers et conserver des enregistrements.

79/151
80/151
Il n’y a pas d’exigence spécifique à la fréquence des réunions de revue de la direction. La pratique commune est
d’une réunion tous les six mois. Avec une périodicité annuelle, l’organisme peut ne pas pouvoir prévenir ou
résoudre les problèmes de façon ponctuelle.

81/151
1. La reprise après sinistre (RAS) définit les dangers qui menacent une organisation et protège les
intérêts des différentes parties intéressées.
A. Vrai
B. Faux
2. Qu’est-ce que l’évaluation des performances ?
A. Processus de détermination de l'état d'un système, d'un processus ou d'une activité.
B. Processus de détermination de résultats mesurables
C. Processus de détermination d’une valeur
3. Que signifie «SMART»?
A. Sophistiqué, mesurable, adversaire, réaliste, et temporel
B. Spécifique, mesurable, atteignable, réaliste et temporel
C. Spécialisé, maintenable, atteignable, réaliste et rapide.
4. Les audits internes comprennent les audits de seconde et de tierce parties:
A. Vrai
B. Faux
5. Un rapport de non-conformité NE doit PAS être _______________.
A. Ambigu
B. Explicite
C. Correct

82/151
6.Qu’est-ce qui est accompli lorsque le système de management mis en œuvre répond aux besoins de
l'organisation?
A. Pertinence
B. Adéquation
C. Efficacité

83/151
84/151
Cette section fournit des informations qui aideront le participant à acquérir des connaissances sur les actions
correctives, les plans d'action et l'amélioration continue.

85/151
1. Définir un processus pour réviser, évaluer et traiter les non-conformités
2. Identifier les non-conformités et réagir efficacement
ISO/IEC27003, article10.1 Non-conformité et action corrective
Une non-conformité est le non-respect d’une exigence du SMSI. Les exigences sont les besoins ou les attentes
énoncés, implicites ou obligatoires. Il existe donc plusieurs types de non-conformités telles que:
a. l’incapacité de satisfaire à une exigence (totalement ou partiellement) d’ISO/IEC27001 dans le SMSI;
b. l’échec de la mise en œuvre ou de la conformité à une exigence, à une règle ou à une mesure énoncées
par le SMSI; et
c. l’incapacité partielle ou totale de se conformer aux exigences légales, contractuelles ou convenues avec
des clients.
Les faits suivants peuvent constituer des non-conformités:
a. les personnes qui ne se comportent pas comme prévu par les procédures et les politiques;
b. les fournisseurs qui ne fournissent pas les produits ou les services convenus;
c. les projets qui ne dispensent pas les résultats escomptés; et
d. les mesures qui ne fonctionnent pas comme prévu.
Les non-conformités peuvent être reconnues par:
a. les déficiences des activités réalisées dans le périmètre du système de management;
b. les mesures inefficaces qui ne sont pas corrigées de manière appropriée;
c. l’analyse des incidents de sécurité de l’information, montrant le non-respect d’une exigence du SMSI;
d. les réclamations des clients;
e. les alertes d’utilisateurs ou de fournisseurs;
f. les résultats de surveillance et de mesure ne répondant pas aux critères d’acceptation; et
g. les objectifs non atteints.

86/151
Note de terminologie:
1. Par définition, l’amélioration de la sécurité de l’information est la partie du management de la sécurité de
l’information axée sur l’accroissement de la capacité à satisfaire aux exigences de la sécurité de
l’information. Les exigences peuvent être liées à tous les aspects, notamment l'efficacité, l'efficience ou la
traçabilité.
2. Le processus d'élaboration des objectifs et de recherche des possibilités d'amélioration est un processus
continu qui utilise les résultats et les conclusions des audits, l'analyse des données, les revues de direction
ou d'autres moyens. Il conduit généralement à une action corrective ou préventive.
3. Une action préventive est prise pour prévenir l’apparition, tandis qu’une action corrective est prise pour
prévenir leur récurrence.
4. Une correction peut être menée conjointement avec une action corrective.
ISO 9000, article 3.7.11 Efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
ISO 9000, article 3.7.10 Efficience
rapport entre le résultat obtenu et les ressources utilisées

87/151
Une action corrective est une action entreprise pour éliminer une fois pour toutes les causes fondamentales
d'une non-conformité ou de tous les autres événements indésirables existants, et pour empêcher leur
récurrence. Une action corrective est donc un terme qui inclut la réaction à un processus problématique du
système, aux incidents de sécurité, aux écarts dans l'atteinte des objectifs, aux non-conformités, etc.
Le processus d’action corrective devrait inclure:
1. Identification de la non-conformité: L'étape initiale du processus consiste à définir et à documenter
clairement la non-conformité et à analyser ses impacts sur l'organisation.
2. Analyse des causes fondamentales: Détermine la source de la non-conformité et analyse les causes
fondamentales.
3. Évaluation des solutions : On élabore une liste d’actions correctives possibles. À ce stade, si le
problème est important, ou s'il y a une probabilité considérablement élevée que le problème se répète,
des actions correctives provisoires peuvent être mises en place.
4. Sélection des solutions: Une ou plusieurs actions correctives sont sélectionnées pour corriger la
situation et les objectifs d’amélioration envisagés sont déterminés. La solution choisie doit pallier le
problème et aider à éviter que des situations similaires ne se reproduisent.
5. Mise en œuvre des actions correctives: Le plan d'actions correctives approuvé est mis en œuvre et
toutes les actions décrites dans le plan sont documentées.
6. Suivi des actions correctives: On doit vérifier que les nouvelles mesures correctives sont en place et
effectives. Le suivi est habituellement effectué par le responsable de projet et par le service d’audit.
7. Revue des actions correctives: Pour effectuer une revue de l'efficacité des actions correctives, on
évalue régulièrement si l'organisation a atteint ses objectifs de sécurité à l'aide des actions correctives, et
si celles-ci restent efficaces au fil du temps.

88/151
Les dates de mise en œuvre doivent être réalistes et reposer sur les non-conformités observées. Les coûts des
mesures correctives à prendre. Les délais fixés doivent être raisonnables.

89/151
90/151
Un organisme souhaitant se conformer à la norme ISO/IEC27001:2022 doit au moins démontrer que des
mesures sont prises pour améliorer continuellement l’efficacité du SMSI.
ISO/IEC 27003, article10.2 Amélioration continue
Explication
Une approche systématique utilisant une amélioration continue conduira à un SMSI plus efficace, qui améliorera
la sécurité de l’information de l’organisme. La gestion du système de la sécurité de l’information oriente les
activités opérationnelles de l’organisme afin d’éviter d’être trop réactive, c’est-à-dire que la plupart des ressources
sont utilisées pour identifier les problèmes et les résoudre. Le SMSI fonctionne systématiquement grâce à une
amélioration continue afin que l’organisation puisse adopter une approche plus proactive. La direction générale
peut définir des objectifs pour une amélioration continue, p. ex. par des mesures d’efficacité, des coûts ou de
maturité des processus.
Lignes directrices
L'amélioration continue du SMSI doit impliquer que le SMSI lui-même et tous ses éléments soient évalués en
tenant compte des questions internes et externes, des exigences des parties intéressées et des résultats de
l'évaluation des performances. Il convient que l’évaluation inclue une analyse de:
a. l’adéquation du SMSI, pour savoir si les problèmes externes et internes, les exigences des parties
intéressées, les objectifs de sécurité de l’information établis et les risques identifiés en sécurité de
l’information sont correctement traités par la planification et la mise en œuvre du SMSI et les mesures de
sécuritéde l’information;
b. l’adéquation du SMSI, pour savoir si les processus SMSI et les mesures de sécurité de l’information sont
compatibles avec les objectifs, les activités et les processus généraux de l’organisation; et
c. l’efficacité du SMSI, en considérant si les résultats escomptés du SMSI sont atteints, si les exigences des
parties intéressées sont respectées, si les risques de sécurité de l’information sont gérés pour atteindre les
objectifs de sécurité de l’information, si les non-conformités sont gérées, tandis que les ressources
nécessaires pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue du SMSI
correspondent à ces résultats.

91/151
L'accent est mis sur l'amélioration continue par la définition d'objectifs de performance organisationnelle, la
mesure et l’évaluation, et la modification ultérieure des processus, des systèmes, des ressources, des capacités
et des compétences.
Cela peut être indiqué par l’existence d’objectifs explicites par rapport auxquels la performance de l’organisation
et de chaque gestionnaire est mesurée. La performance de l’organisme peut être publiée et communiquée.
Normalement, il devrait y avoir au moins une évaluation annuelle des performances et une révision des
processus, suivis de la définition d'objectifs de performance révisés pour la période suivante.

92/151
93/151
Questions de discussion :
1. Que devrait comprendre le processus d'action corrective ?
2. Qu'est-ce que l'amélioration continue ?
3. Quels sont les avantages d'une amélioration continue ?

94/151
1. Une action prise pour éliminer la cause d'une éventuelle non-conformité ou d'une autre situation
indésirable potentielle est appelée:
A. Correction
B. Action corrective
C. Action préventive
2. Quelles sont les activités qui doivent être incluses dans la phase d'analyse de la situation du
processus d'action corrective?
A. Identification et documentation des non-conformités
B. Suivi et revue des actions correctives
C. Évaluation des options et sélection des solutions
3. Quelle est la corrélation entre l'amélioration continue et les erreurs de sécurité de l'information?
A. L'amélioration continue contribue à réduire le nombre d'erreurs
B. L'amélioration continue contribue à augmenter le nombre d'erreurs
C. L'amélioration continue introduit de nouvelles erreurs
4. Une action entreprise pour éliminer les causes d'une non-conformité contribue à la création d'une
culture d'amélioration continue.
A. Vrai
B. Faux

95/151
96/151
Cette section fournit de précieuses informations sur la classification des mesures de sécurité par type et par
fonction, ainsi que sur les mesures de l'Annexe A.

97/151
ISO/IEC 27000, article 3.14 Mesure de sécurité
mesure qui modifie un risque
ISO/IEC 27000, article 3.15 Objectif d'une mesure de sécurité
déclaration décrivant ce qui est attendu de la mise en œuvre des mesures de sécurité
Les mesures de sécurité de l’information comprennent tout processus, politique, procédure, ligne directrice,
pratique ou structure organisationnelle qui peut être de nature administrative, technique, managériale ou
juridique, et qui peut modifier les risques liés à la sécurité de l’information.
Note :
Une mesure administrative est plus liée à la structure de l’organisme comme un tout sans être appliquée
par une personne en particulier, tandis que la mesure managériale doit être appliquée par les directeurs.
Les différences entre les types de mesures de sécurité ne sont expliquées que pour une meilleure
compréhension. Un organisme n’a pas besoin de qualifier la nature des différentes mesures mises en
œuvre.

98/151
Les mesures de sécurité de l’information peuvent être classées en préventives, de détection et correctives.
Plusieurs structures de référence en sécurité de l’information définissent une classification avec plus de
catégories.
Note importante: Ces différents types de mesures sont liés entre eux. Par exemple, la mise en place d'un
antivirus est une mesure préventive car elle offre une protection contre les logiciels malveillants. En même
temps, l’antivirus sert de mesure de détection lorsqu’il détecte un virus potentiel et fournit une mesure corrective
lorsqu’un fichier suspect est mis en quarantaine ou supprimé.

99/151
1.Mesure préventive
But: Décourager ou prévenir l’apparition des incidents
Détecter les problèmes avant qu’ils ne se produisent
Contrôler les opérations
Prévenir une erreur, une omission ou des actes malveillants
Exemples :
Séparer le développement des équipements, des essais et de l’exploitation
Sécuriser les bureaux, les salles et l’équipement
Utiliser des procédures clairement définies (pour éviter les erreurs)
Utiliser la cryptographie
Utiliser un logiciel de contrôle d’accès qui permet uniquement au personnel autorisé d’accéder aux fichiers
sensibles

100/151
2.Mesure de détection
But: Rechercher, détecter et identifier les incidents
Utiliser les mesures qui détectent et rapportent la possibilité d’une erreur, d’une omission ou d’un acte
malveillant.
Exemples :
Intégrer des points de contrôle dans les applications en cours d’élaboration
Contrôler l’écho dans les télécommunications
Détecter par les alarmes la fumée, le feu ou les risques liés à l’eau
Vérifier les doublons de calculs dans le traitement des données
Détecter les pannes au moyen de caméras vidéo
Détecter les intrusions potentielles sur les réseaux avec un système de détection d’intrusion (IDS)
Revoir les droits d’accès utilisateurs
Faire une revue technique des applications après une modification du système d’exploitation
3.Mesure corrective
But: Résoudre les incidents détectés et en prévenir la récurrence
Minimiser l’impact d’une menace
Résoudre les incidents découverts par les mesures de détection
Identifier les causes d’un incident
Modifier le système de traitement pour réduire au minimum les incidents futurs.
Exemples :
Revoir la politique de sécurité après l'intégration d'une nouvelle division à l'organisme
En appeler aux autorités pour signaler un crime informatique
Changer tous les mots de passe de tous les systèmes lorsqu’une intrusion sur le réseau a été détectée
Récupérer les transactions grâce à la procédure de sauvegarde après la découverte que des données ont
été corrompues
Déconnecter automatiquement les sessions inactives
101/151
Installation de correctifs après l’identification de vulnérabilités techniques

102/151
103/151
ISO/IEC 27002, article 5.1 Politiques de sécurité de l’information
Objectif
S'assurer de la pertinence, de l'adéquation et de l'efficacité continues de la direction et du soutien de la sécurité
de l'information conformément aux exigences commerciales, légales, statutaires, réglementaires et contractuelles.
ISO/IEC 27002, article 5.2Fonctions et responsabilités liées à la sécurité de l’information
Objectif
Établir une structure définie, approuvée et comprise pour la mise en œuvre, le fonctionnement et le management
de la sécurité de l'information au sein de l'organisation.
ISO/IEC 27002, article 5.3Séparation des tâches
Objectif
Réduire le risque de fraude, d'erreur et de contournement des mesures de sécurité de l'information.
ISO/IEC 27002, article 5.4 Responsabilités de la direction
Objectif
S'assurer que la direction comprend son rôle dans la sécurité de l'information et entreprendre des actions visant à
garantir que tout le personnel est conscient de ses responsabilités en matière de sécurité de l'information et les
assume.

104/151
ISO/IEC 27002, article 5.5Relations avec les autorités
Objectif
S'assurer qu'un flux approprié d'informations a lieu en matière de sécurité de l'information entre l'organisation et
les autorités légales, réglementaires et de surveillance pertinentes.
ISO/IEC 27002, article 5.6Relation avec des groupes de travail spécialisés
Objectif
S'assurer qu'un flux approprié d'informations a lieu en ce qui concerne la sécurité de l'information.
ISO/IEC27002, article5.7 Renseignements sur les menaces
Objectif
Faire connaître l'environnement de menaces de l'organisation afin de prendre les mesures d'atténuation
appropriées.
ISO/IEC27002, article5.8 Sécurité de l’information dans la gestion de projet
Objectif
S'assurer que les risques de sécurité de l'information liés aux projets et aux produits livrables sont traités
efficacement dans le management de projet tout au long du cycle de vie du projet.

105/151
ISO/IEC 27002, article 5.9 Inventaire des informations et autres actifs associés
Objectif
Identifier les informations et autres actifs associés de l'organisation afin de préserver la sécurité de l'information et
d'attribuer la propriété appropriée.
ISO/IEC 27002, article 5.10 Utilisation acceptable des informations et autres actifs associés
Objectif
Assurer que les informations et autres actifs associés sont protégés, utilisés et manipulés de manière appropriée.
ISO/IEC 27002, article 5.11 Restitution des actifs
Objectif
Protéger les actifs de l’organisation dans le cadre du processus de changement ou de fin d'emploi, de contrat ou
d'accord.
ISO/IEC 27002, article 5.12Classification des informations
Objectif
Assurer l'identification et la compréhension des besoins de protection des informations en fonction de leur
importance pour l'organisation.

106/151
ISO/IEC 27002, article 5.13 Marquage des informations
Objectif
Faciliter la communication de la classification des informations et soutenir l'automatisation du traitement et de la
gestion des informations.
ISO/IEC27002, article5.14 Transfert de l’information
Objectif
Maintenir la sécurité des informations transférées au sein d'une organisation et avec toute partie intéressée
externe.
ISO/IEC 27002, article 5.15 Contrôle d’accès
Objectif
Garantir l'accès autorisé et empêcher l'accès non autorisé aux informations et autres actifs associés.
ISO/IEC27002, article5.16 Gestion de l’identité
Objectif
Permettre l'identification unique des personnes et des systèmes accédant aux informations de l'organisation et
aux autres actifs associés et permettre l'attribution appropriée des droits d'accès.

107/151
ISO/IEC 27002, article 5.17 Information d’authentification
Objectif
Assurer l'authentification correcte des entités et prévenir les échecs des processus d'authentification.
ISO/IEC 27002, article 5.18 Droits d’accès
Objectif
Assurer que l'accès à l'information et aux autres actifs associés est défini et autorisé selon les exigences de
l'entreprise.
ISO/IEC27002, article5.19 Sécurité de l’information dans la relation avec le fournisseur
Objectif
Maintenir un niveau convenu de sécurité de l'information dans les relations avec les fournisseurs.
ISO/IEC 27002, article 5.20Sécurité de l’information dans les accords conclus avec les fournisseurs
Objectif

108/151
ISO/IEC 27002, article 5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des
TIC
Objectif
ISO/IEC 27002, article 5.22 Surveillance, revue et gestion des changements des services des fournisseurs
Objectif
Maintenir le niveau convenu de sécurité de l’information et de service conforme aux accords conclus avec les
fournisseurs.
ISO/IEC27002, article5.23 Sécurité de l'information pour l'utilisation des services en nuage
Objectif
Spécifier et gérer la sécurité de l'information pour l'utilisation des services en nuage.
ISO/IEC 27002, article 5.24Planification et préparation de la gestion des incidents de sécurité de
l'information
Objectif
Assurer une réponse rapide, efficace, cohérente et ordonnée aux incidents de sécurité de l'information, y compris
la communication sur les événements de sécurité de l'information.

109/151
ISO/IEC 27002, article 5.25Appréciation des événements liés à la sécurité de l’information et prise de
décision
Objectif
Assurer une catégorisation et une hiérarchisation efficaces des événements de sécurité de l'information.
ISO/IEC 27002, article 5.26Réponse aux incidents liés à la sécurité de l’information
Objectif
Assurer une réponse efficace et effective aux incidents de sécurité de l'information.
ISO/IEC 27002, article 5.27Tirer des enseignements des incidents liés à la sécurité de l’information
Objectif
Réduire la vraisemblance ou les conséquences d'incidents futurs.
ISO/IEC 27002, article 5.28Collecte de preuves
Objectif
Assurer une gestion cohérente et efficace des preuves liées aux incidents de sécurité de l'information aux fins
d'actions disciplinaires et juridiques.

110/151
ISO/IEC 27002, article 5.29 Sécurité de l’information au cours de perturbation
Objectif
Protéger les informations et les autres actifs associés pendant une perturbation.
ISO/IEC27002, article5.30 Préparation des TIC pour la continuité d’activité
Objectif
Assurer la disponibilité des informations et autres actifs associés de l'organisation pendant une perturbation.
ISO/IEC 27002, article 5.31 Exigences légales, statutaires, réglementaires et contractuelles
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles liées à la sécurité de
l'information.
ISO/IEC 27002, article 5.32Droits de propriété intellectuelle
Objectif
Des mises en œuvre pour garantir la conformité avec les exigences légales, réglementaires et contractuelles
relatives à la propriété intellectuelle et à l'utilisation de produits propriétaires.

111/151
ISO/IEC 27002, article 5.33 Protection des enregistrements
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles, ainsi qu'aux attentes
de la communauté ou de la société en matière de protection et de disponibilité des documents.
ISO/IEC 27002, article 5.34Protection de la vie privée et protection des données à caractère personnel (PII)
Objectif
Assurer la conformité aux exigences légales, statutaires, réglementaires et contractuelles liées aux aspects de
sécurité de l'information de la protection des PII.
ISO/IEC 27002, article 5.35Revue indépendante de la sécurité de l’information
Objectif
S'assurer de la pertinence, de l'adéquation et de l'efficacité continues de l'approche de l'organisation en matière
de management de la sécurité de l'information.

112/151
ISO/IEC 27002, article 5.36 Conformité avec les politiques, les règles et les normes de sécurité de
l’information
Objectif
S'assurer que la sécurité de l'information est mise en œuvre et exploitée conformément à la politique de sécurité
de l'information de l'organisation, aux politiques, règles et normes spécifiques au sujet.
ISO/IEC 27002, article 5.37 Procédures d’exploitation documentées
Objectif
Assurer l’exploitation correcte et sécurisée des installations de traitement de l’information.

113/151
ISO/IEC 27002, article 6.1 Sélection des candidats
Objectif
S'assurer que tout le personnel est éligible et apte aux rôles pour lesquels il est considéré et reste éligible et apte
pendant son emploi.
ISO/IEC 27002, article 6.2Termes et conditions d’embauche
Objectif
S'assurer que le personnel comprend ses responsabilités en matière de sécurité de l'information pour les rôles
pour lesquels il est considéré.

114/151
ISO/IEC 27002, article 6.3Sensibilisation, apprentissage et formation à la sécurité de l’information
Objectif
S'assurer que le personnel et les parties intéressées concernées sont conscients de leurs responsabilités en
matière de sécurité de l'information et qu'ils les assument.
ISO/IEC 27002, article 6.4 Processus disciplinaire
Objectif
S'assurer que le personnel et les autres parties intéressées comprennent les conséquences d'une violation de la
politique de sécurité de l'information, afin de dissuader et de traiter de manière appropriée le personnel et les
autres parties intéressées qui ont commis la violation.

115/151
ISO/IEC 27002, article 6.5Responsabilités à la suite d’achèvement ou de modification associées au contrat
de travail
Objectif
Protéger les intérêts de l'organisation dans le cadre du processus de changement ou de cessation d'emploi ou de
contrat.
ISO/IEC 27002, article 6.6Engagements de confidentialité ou de non-divulgation
Objectif
Maintenir la confidentialité des informations accessibles par le personnel ou les parties externes.
ISO/IEC 27002 article 6.7 Travail à distance
Objectif
Assurer la sécurité des informations lorsque le personnel travaille à distance.
ISO/IEC27002, article 6.8 Signalement des événements liés à la sécurité de l’information
Objectif
Favoriser le signalement opportun, cohérent et efficace des événements de sécurité de l'information qui peuvent
être identifiés par le personnel.

116/151
ISO/IEC27002, article7.1 Périmètres de sécurité physique
Objectif
Empêcher les accès physiques non autorisés, les dommages et les interférences aux informations de
l'organisation et aux autres actifs associés.
ISO/IEC27002, article7.2 Accès physique
Objectif
Garantir que seul l'accès physique autorisé aux informations de l'organisation et aux autres actifs associés a lieu.
ISO/IEC 27002, article7.3 Sécurisation des bureaux, des salles et des installations
Objectif
Empêcher l'accès physique non autorisé, les dommages et les interférences aux informations et autres actifs
associés de l'organisation dans les bureaux, les salles et les installations.
ISO/IEC27002, article7.4 Surveillance de la sécurité physique
Objectif
Détecter et dissuader les accès physiques non autorisés.

117/151
ISO/IEC 27002, article 7.5Protection contre les menaces physiques et environnementales
Objectif
Prévenir ou réduire les conséquences d'événements provenant de menaces physiques et environnementales.
ISO/IEC 27002, article 7.6Travail dans les zones sécurisées
Objectif
Protéger les informations et autres biens associés dans les zones sécurisées contre les dommages et les
interférences non autorisées par le personnel travaillant dans ces zones.
ISO/IEC 27002, article 7.7Bureau propre et écran verrouillé
Objectif
Réduire les risques d'accès non autorisé, de perte et d'endommagement des informations sur les bureaux, les
écrans et autres emplacements accessibles pendant et en dehors des heures normales de travail.
ISO/IEC 27002, article 7.8 Emplacement et protection des matériels
Objectif
Réduire les risques liés aux menaces physiques et environnementales, à l'accès non autorisé et aux dommages.

118/151
ISO/IEC 27002, article 7.9 Sécurité des actifs hors des locaux
Objectif
Prévenir la perte, les dommages, le vol ou la compromission des dispositifs hors site et l'interruption des
opérations de l'organisation.
ISO/IEC 27002, article 7.10 Supports de stockage
Objectif
Garantir que seules les divulgations, modifications, suppressions ou destructions autorisées d'informations sur les
supports de stockage sont possibles.
ISO/IEC 27002, article 7.11 Services généraux
Objectif
Prévenir la perte, l'endommagement ou la compromission d'informations et d'autres actifs associés, ou
l'interruption des opérations de l'organisation en raison d'une panne ou d'une perturbation des services généraux.
ISO/IEC27002, article7.12 Sécurité du câblage
Objectif
Prévenir la perte, l'endommagement, le vol ou la compromission d'informations et d'autres actifs associés, ainsi
que l'interruption des opérations de l'organisation en raison du câblage d'alimentation et de communication.

119/151
ISO/IEC 27002, article 7.13 Maintenance des matériels
Objectif
Prévenir la perte, l'endommagement, le vol ou la compromission d'informations et d'autres actifs associés et
l'interruption des opérations de l'organisation causée par un manque de maintenance.
ISO/IEC27001:27002, article 7.14 Mise au rebut ou recyclage sécurisé(e) des matériels
Objectif
Empêcher la fuite d'informations à partir d'équipements à éliminer ou à réutiliser.

120/151
ISO/IEC 27002, article 8.1 Terminaux de l'utilisateur
Objectif
Protéger les informations contre les risques introduits par l'utilisation des dispositifs d'extrémité des utilisateurs.
ISO/IEC27002, article 8.2Droits d’accès à privilèges
Objectif
Garantir que seuls les utilisateurs, les composants logiciels et les services autorisés disposent de droits d'accès
privilégiés.
ISO/IEC 27002, article 8.3 Restriction d’accès à l’information
Objectif
Garantir l'accès autorisé et empêcher l'accès non autorisé aux informations et autres actifs associés.
ISO/IEC27002, article 8.4Accès au code source
Objectif
Empêcher l'introduction de fonctionnalités non autorisées, éviter les modifications non intentionnelles ou
malveillantes et préserver la confidentialité de la propriété intellectuelle de valeur.

121/151
ISO/IEC27002, article8.5Authentification sécurisée
Objectif
S'assurer qu'un utilisateur ou une entité est authentifié de manière sûre, lorsque l'accès aux systèmes,
applications et services est accordé.
ISO/IEC 27002, article 8.6 Dimensionnement
Objectif
Assurer la capacité requise des installations de traitement de l'information, des ressources humaines, des
bureaux et autres installations.
ISO/IEC27002, article 8.7Protection contre les logiciels malveillants
Objectif
Assurer la protection des informations et des autres actifs associés contre les logiciels malveillants.
ISO/IEC 27002, Article 8.8 Gestion des vulnérabilités techniques
Objectif
Empêcher l'exploitation des vulnérabilités techniques.

122/151
ISO/IEC27002, article8.9 Gestion de la configuration
Objectif
S'assurer que le matériel, les logiciels, les services et les réseaux fonctionnent correctement avec les paramètres
de sécurité requis, et que la configuration n'est pas altérée par des modifications non autorisées ou incorrectes.
ISO/IEC27002, article8.10 Suppression d'informations
Objectif
Éviter l'exposition inutile d'informations sensibles et se conformer aux exigences légales, statutaires,
réglementaires et contractuelles en matière de suppression des informations.
ISO/IEC27002, article8.11 Masquage des données
Objectif
Limiter l'exposition des données sensibles, y compris les PII, et se conformer aux exigences légales, statutaires,
réglementaires et contractuelles.
ISO/IEC27002, article8.12 Prévention des fuites de données
Objectif
Détecter et empêcher la divulgation et l'extraction non autorisées d'informations par des personnes ou des
systèmes.

123/151
ISO/IEC27002, article8.13 Sauvegardes des informations
Objectif
Permettre la reprise après une perte de données ou de systèmes.
ISO/IEC27002, article 8.14Redondances des moyens de traitement de l’information
Objectif
Assurer l’exploitation continue des installations de traitement de l’information.
ISO/IEC 27002, article 8.15 Journalisation
Objectif
Enregistrer les événements, générer des preuves, assurer l'intégrité des informations de journalisation, empêcher
les accès non autorisés, identifier les événements de sécurité de l'information qui peuvent conduire à un incident
de sécurité de l'information et soutenir les enquêtes.
ISO/IEC27002, article8.16 Activités de surveillance
Objectif
Détecter les comportements anormaux et les incidents potentiels de sécurité de l'information.

124/151
ISO/IEC 27002, article 8.17 Synchronisation des horloges
Objectif
Permettre la corrélation et l'analyse des événements liés à la sécurité et d'autres données enregistrées, et
soutenir les enquêtes sur les incidents de sécurité de l'information.
ISO/IEC 27002, article 8.18 Utilisation de programmes utilitaires à privilèges
Objectif
S'assurer que l'utilisation de programmes utilitaires ne nuit pas aux mesures de sécurité de l'information des
systèmes et des applications.
ISO/IEC 27002, article 8.19 Installation de logiciels sur des systèmes en exploitation
Objectif
Assurer l'intégrité des systèmes opérationnels et empêcher l'exploitation des vulnérabilités techniques.
ISO/IEC 27002, article 8.20 Sécurité des réseaux
Objectif
Protéger l'information dans les réseaux et les installations de traitement de l'information qui les soutiennent contre
la compromission via le réseau.

125/151
ISO/IEC 27002, article 8.21Sécurité des services de réseau
Objectif
Assurer la sécurité dans l'utilisation des services du réseau.
ISO/IEC 27002, article 8.22Cloisonnement des réseaux
Objectif
Diviser le réseau en frontières de sécurité et mesurer le trafic entre ces frontières en fonction des besoins de
l'entreprise.
ISO/IEC27002, article8.23 Filtrage du Web
Objectif
Pour protéger les systèmes contre la compromission par des logiciels malveillants et empêcher l'accès à des
ressources Web non autorisées.
ISO/IEC27002, article 8.24Utilisation de la cryptographie
Objectif
Assurer une utilisation appropriée et efficace de la cryptographie pour protéger la confidentialité, l'authenticité ou
l'intégrité des informations conformément aux exigences de sécurité de l'entreprise et de l'information, et en tenant
compte des exigences légales, réglementaires et contractuelles liées à la cryptographie.

126/151
ISO/IEC27002, article 8.25Cycle de vie de développement sécurisé
Objectif
S'assurer que la sécurité de l'information est conçue et mise en œuvre dans le cadre du cycle de vie de
développement sécurisé des logiciels et des systèmes.
ISO/IEC 27002, article 8.26 Exigences de sécurité des applications
Objectif
S'assurer que toutes les exigences de sécurité de l'information sont identifiées et prises en compte lors du
développement ou de l'acquisition d'applications.
ISO/IEC27002, article 8.27Principes d’architecture et d’ingénierie de la sécurité des systèmes
Objectif
S'assurer que les systèmes d'information sont conçus, mis en œuvre et exploités de manière sûre au cours du
cycle de vie du développement.
ISO/IEC27002, article8.28 Codage sécurisé
Objectif
S'assurer que les logiciels sont écrits de manière sécurisée, réduisant ainsi le nombre de vulnérabilités
potentielles de sécurité de l'information dans le logiciel.

127/151
ISO/IEC27002, article 8.29Tests de sécurité lors du développement et de l'acceptation
Objectif
Valider si les exigences de sécurité de l'information sont satisfaites lorsque les applications ou le code sont
déployés dans l'environnement de production.
ISO/IEC 27002, article 8.30.7 Développement externalisé
Objectif
S'assurer que les mesures de sécurité de l'information requises par l'organisation sont mises en œuvre dans le
développement de systèmes externalisés.
ISO/IEC27002, article 8.31Séparation des environnements de développement, de test et de production
Objectif
Protéger l'environnement et les données de production contre la compromission par les activités de
développement et de test.
ISO/IEC 27002, article 8.32 Gestion des changements
Objectif
Préserver la sécurité de l'information lors de l'exécution des changements.

128/151
ISO/IEC 27002, article 8.33 Données de test
Objectif
Assurer la pertinence des tests et la protection des informations opérationnelles utilisées pour les tests.
ISO/IEC27002, article 8.34Protection des systèmes d'information pendant les tests d'audit
Objectif
Réduire au minimum l'impact de l'audit et des autres activités d'assurance sur les systèmes opérationnels et les
processus d'entreprise.

129/151
Exercice2: Classification des mesures de sécurité
Déterminez le type (administratif, technique, managérial ou juridique) et la fonction (préventive, corrective ou de
détection) de chacune des mesures de sécurité de l'information suivantes. Justifiez votre réponse.
Exemple: L'installation d'une clôture grillagée autour du site de l'entreprise
Par fonction, l'installation d'une clôture métallique est une mesure préventive qui contribue à sécuriser le site de
l'organisme, en particulier les installations de traitement de l'information, contre tout accès physique non autorisé.
Par type, il s'agit d'une mesure technique.
1. Séparation des fonctions de sécurité de l'information
2. Mise en place d’un système d’alarme incendie
3. Cryptage des communications électroniques
4. Enquête sur un incident de sécurité
5. Identification de la législation applicable
Durée de l’exercice : 30 minutes
Commentaires : 15 minutes

130/151
1. Pourquoi les organisations devraient-elles revoir leurs politiques de sécurité de l'information après
l'apparition de changements importants?
A. Pour garantir la pertinence, l'adéquation et l'efficacité de la politique de sécurité de l'information.
B. Pour assurer la fiabilité continue de la politique de sécurité de l'information
C. Pour garantir l'efficacité, la performance et l'exactitude continues de la politique de sécurité de
l'information
2. Quel est le principal objectif de la mesure 6.1 Sélection des candidats de la norme ISO/IEC
27001:2022 ?
A. S'assurer que tous les membres du personnel sont éligibles et aptes à remplir leurs fonctions
B. S’assurer que les salariés et les sous-traitants sont conscients de leurs responsabilités en matière
de sécurité de l’information et qu’ils assument ces responsabilités
C. Protéger les intérêts de l’organisme dans le cadre de tout changement d’emploi.
3. Qui a accès aux procédures opérationnelles documentées?
A. Uniquement la direction générale
B. La personne responsable des procédures opérationnelles
C. Tout utilisateur qui en a besoin
4. Quelle est la principale exigence de la mesure 8.34 Protection des systèmes d'information pendant
les tests d'audit d'ISO/IEC 27001:2022 ?
A. Le testeur et la direction appropriée doivent convenablement gérer les informations relatives aux
tests
B. Le testeur et le management approprié doivent planifier et convenir des tests d'audit et des autres
activités d'assurance impliquant l'évaluation des systèmes opérationnels.
C. Le testeur doit séparer et sécuriser les environnements de développement, de test et de production

131/151
5.Quel est l'objectif de la mesure 5.7 Renseignements sur les menaces d'ISO/IEC 27001:2022 ?
A. Sensibiliser à l'environnement de menaces de l'organisation
B. S'assurer que le flux d'informations approprié a lieu en ce qui concerne la sécurité de l'information
C. Garantir un accès autorisé aux informations et aux autres actifs associés

132/151
133/151
Cette section fournit un résumé des exigences pour les différents certificats ISO/IEC 27001 ainsi que des
informations sur le processus du programme de certificat, d'autres services de PECB et d'autres formation de
PECB.

134/151
Le certificat «Foundation» reconnaît que le candidat comprend les concepts de base, les méthodes et
techniques permettant la gestion efficace d’un système de management.
Les principaux certificats d’Auditor:
1. Le titre « Certified Provisional Auditor » reconnaît que le candidat possède les connaissances de base
en audit et peut intégrer une équipe d’audit en tant que membre.
2. Le titre « Certified Auditor » reconnaît que le candidat possède les connaissances nécessaires pour
participer à un audit et les compétences de base pour conduire un audit de certification d’un système de
management, ayant déjà été membre d’une équipe d’audit.
3. Le titre « Certified Lead Auditor » reconnaît que la personne maîtrise les techniques de l’audit et
démontre des compétences en audit et en gestion d’une équipe d’audit.
4. Le titre « Certified Senior Lead Auditor » s’adresse aux professionnels qui ont une vaste expérience en
audit.
Les principaux certificats d’Implementer :
1. Le titre « Certified Provisional Implementer »reconnaît que le candidat possède les connaissances de
base pour participer à la mise en œuvre et la gestion d’un système de management.
2. Le titre « Certified Implementer »reconnaît que la personne possède les connaissances nécessaires pour
participer à la mise en œuvre et à la gestion d’un système de management.
3. Le titre « Certified Lead Implementer »reconnaît que la personne maîtrise les compétences nécessaires
pour mettre en œuvre un système de management et démontre des habiletés en gestion d’une équipe.
4. Le titre « Certified Senior Lead Implementer » s’adresse aux professionnels qui ont une grande
expérience dans les projets de mise en œuvre.
Le titre «Master» reconnaît que le candidat maîtrise à la fois les concepts de base, les approches, méthodes et
techniques pour diriger une équipe d’audit ainsi que pour diriger un projet de mise en œuvre d’un système de
management.

135/151
136/151
Après avoir assisté à la formation et soumis le Formulaire d’évaluation de la formation, une Attestation
d'achèvement de formation sera générée dans votre tableau de bord monPECB, sous l’onglet Mes formations.
L’Attestation d'achèvement de formation est valable pour 14unités de FPC.
Note : Il est important de ne pas confondre l'Attestation d'achèvement de formation avec le certificat proprement
dit. La première n'est qu'une confirmation de la participation à une formation, et non l'obtention d'une certification.
Pour obtenir un certificat, les candidats doivent réussir l'examen, suivre la procédure de demande et obtenir le
certificat une fois l'évaluation de la demande terminée.

137/151
Le Comité d’examen de PECB s’assure que l’élaboration et la pertinence des questions d’examen sont
maintenus en fonction des pratiques professionnelles actuelles.
Pour passer l’examen dans une langue particulière, veuillez demander au formateur, ou nous contacter en
envoyant un e-mail à examination@pecb.com.
Tous les domaines de compétence sont couverts par l’examen. Pour obtenir une description détaillée de chaque
domaine de compétence, veuillez consulter le site Web de PECB: https://pecb.com.

138/151
Les examens sont corrigés par des correcteurs qualifiés qui sont assignés de façon anonyme.
Afin de garantir l’indépendance et l’impartialité et d’éviter les conflits d’intérêts, les formateurs et les surveillants
ne participent pas au processus de correction des examens ni au processus de délivrance des certificats.
Si le candidat échoue à l’examen, une explication lui sera fournie sur les domaines dans lesquels il n’a pas
démontré les compétences requises. Pour reprendre l’examen, le candidat doit communiquer avec le
responsable de l’organisme de formation.

139/151
Après avoir réussi l’examen, le candidat dispose d’un délai maximum de trois ans pour soumettre un dossier
professionnel afin d’obtenir le certificat.
Dans la demande, les candidats doivent fournir leurs coordonnées. Les candidats devraient écrire leur nom tel
qu'ils souhaitent qu'il apparaisse sur leur certificat (au format ASCII). Avant de soumettre leur demande de
certificat, les candidats devraient s'assurer de l'exactitude des coordonnées qu'ils ont fournies lors de la création
de leur compte PECB. Le certificat sera délivré avec le nom fourni lors de la création du compte. Pour mettre à
jour le nom dans leur compte PECB, les candidats devraient contacter customer@pecb.com.

140/151
Lorsque la procédure de demande est terminée avec succès, les candidats reçoivent une notification du système
leur permettant de télécharger le certificat à partir de leur compte PECB.
En plus du certificat, les candidats pourront également revendiquer leur badge numérique sur Credly et le
partager sur les médias sociaux.

141/151
Dans votre tableau de bord monPECB, sous l'onglet Mes formations, vous trouverez la liste des formations que
vous avez suivis et auxquelles vous êtes actuellement inscrit. Lorsque vous aurez terminé la formation, il vous
sera demandé de remplir le Formulaire d'évaluation de la formation. Vous pouvez soumettre votre évaluation en
cliquant sur le lien Évaluation de la formation. Après avoir soumis le Formulaire d'évaluation de la formation, une
Attestation d'achèvement de formation sera disponible et vous pourrez la télécharger.
L'application Kate est un autre moyen de fournir un retour d'information sur les supports de formation.
Nous nous efforçons d’améliorer constamment la qualité et la pertinence pratique de nos formations. Dans cette
optique, votre opinion quant à la formation que vous venez de suivre a pour nous une grande valeur.
Nous vous serions très reconnaissants de bien vouloir donner votre appréciation de la formation et des
formateurs.
De plus, si vous avez des suggestions pour améliorer le support de formation de PECB, n’hésitez pas à nous en
faire part. Veuillez ouvrir un ticket à l’intention du service de formation sur le site Web de PECB (www.pecb.com)
dans la section Contact – Centre d’aide. Nous lisons et évaluons attentivement les commentaires que nous
recevons de nos membres.
En cas d’insatisfaction à l’égard de la formation (formateur, salle de formation, équipement, etc.), de l’examen ou
des processus de certification, veuillez ouvrir un ticket dans la catégorie Déposer une plainte du site Web de
PECB (www.pecb.com), dans la section Contact – Centre d’aide.

142/151
Pourquoi poursuivre votre parcours académique avec l'Université PECB ?
Des spécialisations uniques : Les programmes de l'Université PECB vous donnent l'occasion d'explorer
certains des sujets les plus passionnants de notre époque en offrant des spécialisations prospères qui
vous aident à améliorer vos perspectives de carrière.
Programmes flexibles : Les programmes de l'Université PECB sont conçus pour répondre aux besoins
spécifiques de l'individu. Nos programmes vous offrent la possibilité de devenir compétitif tout en
conservant vos obligations existantes.
Une éducation de classe mondiale : Des universitaires compétents, qui, outre leurs qualifications
académiques, ont une expérience pratique des sujets qu'ils enseignent, contribueront à votre éducation.
Grâce à leur expérience internationale, vous aurez une vision plus large des questions actuelles et
adopterez un état d'esprit qui vous permettra d'aborder les situations sous des angles différents.
Rencontres internationales : L'Université n'a pas de frontières physiques. Vous aurez donc des
possibilités illimitées de créer des réseaux et d'entrer en contact avec la communauté universitaire,
composée d'étudiants et de membres du personnel venant d'horizons différents.
Expérience numérique: Vous bénéficierez d'un enseignement sur des systèmes qui vous permettront de
vous connecter et de partager en ligne tout en profitant du confort de votre foyer.
Un parcours accéléré vers le diplôme : L'université propose une politique généreuse de transfert de
crédits qui vous permet de vous dispenser de certains cours et de progresser plus rapidement vers votre
diplôme.
Les candidats qui détiennent un certificat valide de PECB et qui répondent aux exigences du programme
universitaire qui les intéresse peuvent transférer ces crédits pour obtenir des crédits valides pour le cours
correspondant de l'université. Pour de plus amples informations sur l'Université PECB ou le transfert des crédits
de certification, veuillez contacter university@pecb.com.

143/151
PECB Store est la boutique en ligne de PECB où les clients peuvent acheter diverses normes internationales ISO
et IEC, les boîtes à outils et les livres électroniques de PECB, ainsi que de nombreux autres produits et services
connexes qui seront ajoutés à l'avenir.
Les normes mentionnées dans cette formation sont toutes disponibles sur le PECB Store. Nous nous engageons
à soutenir la croissance de nos clients, c'est pourquoi nous vous offrons la possibilité d'acheter des produits de
qualité sur PECB Store et de faire progresser votre carrière professionnelle en appliquant les connaissances
acquises.
Pour plus d'informations, veuillez consulter le site https://store.pecb.com ou nous contacter à l'adresse
store@pecb.com.

144/151
PECB Certified ISO/IEC 27001 Lead Auditor (5 jours)
La formation ISO/IEC 27001Lead Auditor permet aux participants de développer l’expertise nécessaire à la
réalisation d’un audit de système de management de la sécurité de l’information (SMSI) en appliquant des
principes, procédures et techniques largement reconnus en audit. Au cours de cette formation, le participant
acquerra les connaissances et les compétences nécessaires pour planifier et réaliser des audits internes et
externes conformément à ISO19011.
PECB Certified ISO/IEC 27001 Lead Auditor (5 jours)
Cette formation intensive de cinq jours permet aux participants de développer les compétences nécessaires pour
soutenir une organisation dans la mise en œuvre et le management d'un système de management de la sécurité
de l'information (SMSI) basé sur la norme ISO/IEC 27001. De plus, les participants seront en mesure d'acquérir
la maîtrise des bonnes pratiques de mise en œuvre des mesures de sécurité de l'information de la norme
ISO/IEC 27002.

145/151
146/151
147/151
148/151
149/151
150/151
151/151

ISO 27001 Foundation FR v.6.3 - Day 2

Transféré par

Droits d'auteur :

Formats disponibles

Vous aimerez peut-être aussi

ISO 27001 Foundation FR v.6.3 - Day 2

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISO 27001 Foundation FR v.6.3 - Day 2

Transféré par

Droits d'auteur :

Formats disponibles

© Professional Evaluation and Certification Board, 2022. Tous droits réservés.

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

e) prépare un plan pour communiquer les messages à des intervalles préétablis;

f) teste la connaissance et la compréhension des messages à la fin d’une session de sensibilisation et de

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)

Licensed to Synergy Innovation Group (contact@synergy-innov.com)