Exercices

FORMATION CERTIFIED ISO/IEC 27005 RISK

MANAGER
 FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Exercice 1 : Mythes et réalités – Gestion des risques

Pour chacun des énoncés suivants, indiquez si vous pensez qu'ils sont vrais ou faux et justifiez
votre réponse :

1. Les organismes sont davantage exposés aux risques aujourd'hui qu'il y a cinq ans.
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

2. Un risque ne peut exister sans une menace.

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

3. La plupart des risques peuvent être prévus.

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

4. Le risque est principalement une question de perception.

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

5. Il est possible d'éliminer entièrement le risque.

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

6. Un bon gestionnaire sait comment prendre des risques.

www.pecb.com
Page 2 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

7. Une analyse de risque est toujours subjective en fonction de son contexte, des seuils
d'acceptation, etc.
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

8. Une analyse quantitative du risque fournit des résultats plus pertinents qu'une analyse
qualitative.
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

9. La culture de l’appréciation des risques reconnaît le droit à l’erreur.

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme.
.......................................................................................................................................................

.......................................................................................................................................................

Exercice 2 : Gestion des risques

Décrivez ce que vous considérez comme les trois avantages les plus importants de la gestion
des risques en sécurité de l'information et comment ils peuvent s'aligner sur le management du
risque d'entreprise.
.......................................................................................................................................................

www.pecb.com
Page 3 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

www.pecb.com
Page 4 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

Exercice 3 : Ressources

Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est
soudainement préoccupée par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu
quelques incidents de sécurité récemment. La gestion de l'organisme hésite encore à mettre en
œuvre la gestion des risques parce qu'ils ne savent pas s'ils peuvent se le permettre. Identifier
les ressources dont Extreme Adventure Tours aurait besoin pour effectuer un exercice adéquat
de gestion des risques. Évaluez plusieurs options avec les coûts associés.
1. Ressources financières
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

2. Ressources matérielles

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

3. Ressources humaines

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exercice 4 : Établir le contexte

Après avoir connu une croissance rapide, la direction d'Extreme Adventure Tours est
soudainement préoccupée par les aspects de contrôle et de sécurité, surtout depuis qu'il y a eu

www.pecb.com
Page 5 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

récemment quelques incidents de sécurité. Parce qu'ils vous connaissent bien et qu'ils savent
que vous êtes des experts en gestion des risques, ils vous mandatent pour les aider à mieux
comprendre leur situation actuelle et à identifier les mesures de sécurité qui pourraient
améliorer la situation.

La première étape de votre mission consiste à établir le contexte de gestion des risques d'EAT.
Le président ne sait pas comment il devrait formuler les objectifs et le périmètre de gestion
des risques. Pour lui, cela semble un jargon de spécialistes. Il veut que vous rédigiez une
version qu'il approuvera.

Sur la base des informations contenues dans l'étude de cas, abordez les trois points suivants,
en proposant une déclaration ou une position initiale pour chacun :

1. Principaux objectifs pour la gestion des risques

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

2. Critères d'évaluation du risque

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

3. Sources d'exigences de conformité

Exigence de conformité source 1

.......................................................................................................................................................

www.pecb.com
Page 6 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exigence de conformité source 2

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exigence de conformité source 3

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exercice 5 : Identification des actifs

Quels sont, selon vous, les quatre actifs les plus importants d'Extreme Adventure Tours ?
Donnez une justification pour chaque réponse et indiquez s'il s'agit d'actifs primordiaux ou
d'actifs en support.

Actif 1

www.pecb.com
Page 7 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................
Actif primordial  Actif en support 

Justification

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Actif 2

.......................................................................................................................................................

.......................................................................................................................................................
Actif primordial  Actif en support 

Justification

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Actif 3

.......................................................................................................................................................

.......................................................................................................................................................
Actif primordial  Actif en support 

Justification

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Actif 4

www.pecb.com
Page 8 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................
Actif primordial  Actif en support 

Justification

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exercice 6 : Identification des menaces, vulnérabilités et impacts

Identifiez au moins deux scénarios de menaces et vulnérabilités associés à l'actif et indiquer

les impacts potentiels. Précisez si le risque aurait une incidence sur la confidentialité,
l'intégrité et la disponibilité.

Remplissez la matrice de risques et préparez-vous à discuter de vos réponses après l'exercice :

 Processus de comptabilité
 Informations personnelles des clients

www.pecb.com
Page 9 de 19
 FORMATION ISO/IEC 27005 RISK MANAGER

 Équipe des guides touristiques

www.pecb.com
Page 10 de 19
 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Actif 1 : Processus de comptabilité

Scénarios
Menace Vulnérabilité Impacts C I D
de risques

© 2019 Le PECB |11

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Actif 2 : Informations personnelles des clients

Scénarios
Menace Vulnérabilité Impacts C I D
de risques

© 2019 Le PECB |12

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Actif 3 : Équipe des guides touristiques

Scénarios
Menace Vulnérabilité Impacts C I D
de risques
X
#1

X
#2

© 2019 Le PECB |13

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Exercice 7 : Feuille de travail sur le risque lié aux actifs informationnels

En petits groupes, sélectionnez un actif d'information critique dans l'étude de cas et
remplissez la feuille de travail 10 - Feuille de travail sur le risque lié à l'actif informationnel.

Commentaires du formateur :

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Allegro - Feuille de travail 10 FEUILLE DE TRAVAIL SUR LE RISQUE LIÉ AUX ACTIFS
D'INFORMATION
Actifs
Ris

Me

informationnels

© 2019 Le PECB |14

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

Domaine de
préoccupation
(1) Acteur
Qui pourrait exploiter le domaine de
préoccupation ou menace ?
(2) Moyens
Comment l'acteur s'y prendrait-il ?
Que feraient-ils?
(3) Motif
Quelle est la raison de l'acteur pour
nace

le faire ?
(4) Résultat  Divulgation  Destruction
Quel serait l'effet sur l’actif
informationnel ?  Modification  Interruption
(5) Exigences en matière de sécurité
Comment les exigences en matière
de sécurité de l'actif informationnel
que lié à l'actif informationnel

seraient-elles violées ?
(6) Probabilité
Quelle est la probabilité que ce  Élevée  Moyenne  Faible
scénario de menace pourrait se
produire?
(7) Conséquences (8) Gravité
Quelle est la gravité de ces
Quelles sont les conséquences pour l'organisme ou le conséquences pour l'organisme ou
propriétaire de l'actif informationnel à la suite du résultat et le propriétaire des actifs, par zone
de la violation des exigences en matière de sécurité ? d'impact ?
Zone
Valeur Score
d'impact
Réputation et
confiance des
clients

Finances

Productivité

Sécurité et
santé

Amendes et
pénalités
légales
Zone d'impact
définie par
l'utilisateur
Résultat de risque relatif

Exercice 8 : Appréciation quantitative des risques

1. Des données d'une valeur de 25 000 $ sont stockées sur le serveur Z. Dans l'analyse
des menaces et des vulnérabilités, on a estimé que 80 % des données stockées sur le
serveur Z pourraient être endommagées par un virus. La probabilité que le serveur Z

© 2019 Le PECB |15

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

soit infecté par un virus est estimée à une fois tous les 10 ans. Calculez l'estimation
de perte unique et l'estimation de perte annualisée.
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

2. Calculez la valeur d'une mesure pour une pompe à eau à un coût total (installation et
entretien) de 1 000 $, ce qui réduit la perte annuelle de 6 000 $ à 4 000 $.
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

3. EAT prévoit de remplacer les clés USB de ses employés par des clés dotées d'une
protection biométrique. Étant donné que la valeur moyenne de l'information stockée
sur une clé USB est de 2 000 $ et que l'organisme accepte un niveau de risque de 1
000 $, quel est le facteur d'exposition minimal pour que le contrôle (c'est-à-dire les
clés USB compatibles biométriques) soit efficace en termes de coûts ?
.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

4. Une mesure de sécurité est rentable jusqu'à ce que sa valeur soit égale à zéro. Étant
donné qu'une mesure de sécurité pour la protection des accès coûte 5 000 $ et que la
nouvelle perte après la mise en œuvre de la mesure de sécurité est de 5 000 $,
calculez la valeur minimale de l'actif devant être protégé pour que la mesure soit
rentable. Le facteur d'exposition et le taux annuel d'occurrence sont à 10 %.
.......................................................................................................................................................

.......................................................................................................................................................

© 2019 Le PECB |16

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exercice 9 : Options de traitement du risque

Après l'analyse de risque, vous avez identifié que 0,5 % des transactions électroniques
(chiffre d'affaires de 10 millions de dollars) par carte de crédit sur le site Web d’Extreme
Adventure Tours sont de nature frauduleuse et que 70 % de ces transactions proviennent de 6
pays spécifiques.

Le président d'Extreme Adventure Tours veut prendre une décision pour le traitement de ces
risques. Préparez un résumé expliquant le choix de quatre options possibles pour faire face à
ce risque.
Option 1 :

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Option 2 :

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

© 2019 Le PECB |17

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................

Option 3 :

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Option 4 :

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

Exercice 10 : Communication des risques

À partir des scénarios dans l'exercice 6, indiquez à quelles parties prenantes internes et
externes vous communiqueriez les risques que vous avez identifiés. Indiquez également
comment vous effectueriez cette communication.

1. Parties prenantes internes

.......................................................................................................................................................

© 2019 Le PECB |18

 COURS DE FORMATION CERTIFIED ISO/IEC 27005 RISK MANAGER

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

2. Parties prenantes externes

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

.......................................................................................................................................................

© 2019 Le PECB |19