LAURENT BRUHL
19 Nov
19Nov

Laquelle des normes internationales suivantes définit un processus de traitement des risques ? 

A - ISO/IEC 27 001

B - ISO/IEC 27 005 

C - COBIT 

D - ISO 22 301

Réponse B :- ISO/IEC 27 005 décrit les grandes lignes d'une gestion des risques dans une perspective de mise en place d'un SMSI : définition du contexte d'analyse, identification et évaluation des risques encourus, possibilités de traitement ou d'acceptation de ces derniers. Elle introduit un processus d'appréciation des risques sans pour autant proposer de méthode au sens strict.

Un risque peut-il exister sans menace ?

A - Le risque peut exister sans menace 

B - Le risque ne peut pas exister sans menace 

C - Les deux réponses sont correctes


Réponse B :Pour qu’un risque existe, il faut qu’une menace puisse exploiter une vulnérabilité sur un actif et provoquer un impact. La norme ISO27005 a défini une équation simplifiée pour évaluer le niveau du risque : Risque = Menace * Vulnérabilité * Impact. Et vu que tout système informatique possède au moins une vulnérabilité, le risque ne peut point exister sans la présence d’une source de menace exploitant une vulnérabilité.

Peut-on éliminer complètement le risque ? 

A - Oui, à condition de mettre en place les mesures de prévention et de détection nécessaires 

B - Oui, il suffit de prendre une assurance 

C - Non, il restera toujours un risque résiduel, à moins de ne pas réaliser l’activité à risque 


Réponse C : Non. Les méthodologies de gestion des risques propose différentes approches permettant de réduire les risques, tant d’un point de vue probabilité qu’impact. Cependant, le risque ne peut-être totalement éliminé tant que l’activité qui donne lieu au risque perdure. Par exemple, si je souhaite éviter le risque de fraude via la carte bancaire, je refuse le paiement par carte bancaire ou l’utilisation de la carte bancaire.

L’analyse de risque est toujours subjective ?

A - L’analyse de risques est toujours objective 

B - Seule l’analyse de risques qualitative est subjective 

C   Tout type d’analyse de risques est subjective 


Réponse C : Il est difficile d’évaluer le risque de façon scientifique. En effet, l’évaluation des risques est toujours subjective, même l’analyse de risques quantitative est subjective. Elle dépend de nombreux facteurs (Formation, Expérience…). Il est malgré tout nécessaire d’évaluer les risques de la façon la plus objective possible, en tenant compte de l’estimation de la probabilité et de la gravité d’un événement redouté sur un système d’information.

Quels sont les modes possibles de traitement d’un risque ? 

A - Réduction du risque / Acceptation du risque / Transfert du risque 

B - Réduction du risque / Acceptation du risque / Refus du risque subjective 

C - Réduction du risque / Refus du risque / Partage du risque 

D - Réduction du risque / Acceptation du risque / Refus du risque / Partage du risque


Réponse D : Il existe 4 modes possibles pour traiter un risque :

- Réduction du risque : Réduire le niveau des risques par la mise en place de mesures de sécurité afin que le risque résiduel puisse être réapprécié et jugé acceptable

- Acceptation du risque : La direction décide d’accepter le niveau actuel du risque

- Refus du risque : Annulation ou modification d’une activité à risque ou d’un ensemble d’activités liés à ce risque

- Partage du risque (ou Transfert du risque) : Décision de partager ce risque avec des parties externes. Par exemple, assurance ou infogérance.





Exemple de texte

Commentaires
* L'e-mail ne sera pas publié sur le site web.