Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Formation Certified ISO 27005 Risk Manager EXERCICES Certified ISO 27005 Risk M

Formation Certified ISO 27005 Risk Manager EXERCICES Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 1 : Mythes et réalités – Gestion du risque Pour chacun des énoncés suivants, veuillez déterminer si vous croyez qu’il est vrai ou faux et justifiez votre réponse : 1. Les organismes sont exposés à plus de risques aujourd’hui qu’il y a 25 ans ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 2.Un risque ne peut pas exister sans menace ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 3.On peut prévoir la plupart des risques ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 4.Le risque est avant tout une question de perception ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 5.Il est possible d’éliminer complètement un risque. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 2 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB 6. Un bon gestionnaire sait prendre des risques. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 7. Une analyse de risque est toujours subjective. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 8. Une analyse quantitative des risques fournit des résultats plus pertinents qu’une analyse qualitative. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 9. La culture du risque admet le droit à l’erreur. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 10. Le risque peut être positif (opportunité) ou négatif (menace) pour un organisme. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 3 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 2 : Management du risque Veuillez décrire quels sont les trois plus importants avantages du management des risques en sécurité de l’information et veuillez également décrire comment ces avantages s’alignent avec le management du risque de l’entreprise. Avantage 1) .............................................................................................................................. .................................................................................................................................................. Comment l’avantage s’aligne avec le management du risque d’entreprise ? ........................... .................................................................................................................................................. .................................................................................................................................................. Avantage 2)............................................................................................................................... .................................................................................................................................................. Comment l’avantage s’aligne avec le management du risque d’entreprise ?............................ .................................................................................................................................................. .................................................................................................................................................. Avantage 3)............................................................................................................................... .................................................................................................................................................. Comment l’avantage s’aligne avec le management du risque d’entreprise ?............................ .................................................................................................................................................. .................................................................................................................................................. 4 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 3 : Ressources Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont soudainement préoccupés par les aspects de contrôle et de sécurité, d’autant plus qu’il y a eu quelques incidents de sécurité dernièrement. Les dirigeants de l’entreprise hésitent toutefois à implémenter un programme de management du risque car ils n’en connaissent pas les coûts. Veuillez identifier les ressources (financières, matérielles, humaines…) dont Voyage Extrême aurait besoin pour effectuer un exercice de management des risques. Veuillez évaluer plusieurs options pour l’entreprise avec les couts associés. 1) Ressources financières......................................................................................................... .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. 2) Ressources matérielles......................................................................................................... .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. 3) Ressources humaines........................................................................................................... .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. 5 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 4 : Etablir le contexte Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont soudainement préoccupés par les aspects de contrôle et de sécurité, d’autant plus qu’il y a eu quelques incidents de sécurité dernièrement. Comme ils vous connaissent bien et qu’ils savent que vous êtes des experts en gestion du risque, ils vous confient la mission de leur préparer une gestion du risque afin de les aider à mieux comprendre leur situation actuelle et à identifier les mesures de sécurité qui pourraient l’améliorer. La première étape de votre mandat est d’établir le contexte de la gestion des risques. Le président ne sait pas trop comment il devrait formuler ses objectifs et ses critères en matière d’évaluation du risque. Cela lui semble du jargon de spécialistes. Il veut que vous lui proposiez une version qu’il approuvera. Selon l’information contenue dans l’étude de cas, veuillez :  Proposer les objectifs de la gestion du risque de Voyage Extrême ;  Proposer les critères d’évaluation du risque ;  Identifier les sources des exigences de conformité pour cette organisation. 1) Principaux objectifs pour la gestion des risques de Voyage Extrême ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 2) Critères d’évaluation du risque ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 3) Sources des exigences 6 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Source d’exigence 1 : ...................................................................................................................... Enjeux : .......................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Source d’exigence 2 : ...................................................................................................................... Enjeux : .......................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Source d’exigence 3 : ...................................................................................................................... Enjeux : .......................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 7 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 5 : Identification des actifs Quels seraient selon vous les 4 actifs les plus importants pour l’entreprise Voyage Extrême ? Expliquez pourquoi il s’agit des actifs ayant le plus de valeur pour l'organisme. Veuillez également identifier s’il s’agit d’actifs primaires ou d’actifs de support. Actif 1 : ............................................................................................................................................ ..........................................................................................................Actif principal  actif de soutien  Explication : ....................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Actif 2 : ............................................................................................................................................ ..........................................................................................................Actif principal  actif de soutien  Explication : ....................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Actif 3 : ............................................................................................................................................ ..........................................................................................................Actif principal  actif de soutien  Explication : ....................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Actif 4 : ............................................................................................................................................ ..........................................................................................................Actif principal  actif de soutien  Explication : ....................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 8 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 6) Scénarios de risque Veuillez identifier au moins deux scénarios de menaces et de vulnérabilités associés aux actifs suivants et indiquer les impacts potentiels et si les risques affecteraient la confidentialité, l’intégrité et/ou la disponibilité. Complétez la matrice de risque et préparez-vous à discuter vos réponses après l’exercice. 9 Actif 1 : Processus de comptabilité Scénario risque Menace Vulnérabilité Impacts C I D #1 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Actif 1 : Processus de comptabilité Scénario risque Menace Vulnérabilité Impacts C I D #2 11 Exercice 6 : Scénarios de risque Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Actif 2 : Informations personnelles des clients Scénario risque Menace Vulnérabilité Impacts C I D #1 #2 12 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Actif 3 : L’équipe des guides touristiques Scénario risque Menace Vulnérabilité Impacts C I D #1 13 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Actif 3 : L’équipe des guides touristiques Scénario risque Menace Vulnérabilité Impacts C I D #2 14 Exercice 7 : Évaluation quantitative du risque 1) Des données d’une valeur de 25000 dollars sont stockées sur le serveur Z. Lors de l’analyse des menaces et vulnérabilités, on a estimé qu’un virus endommagerait 80% des données stockées sur le serveur Z. On estime une chance sur 10 par année la probabilité que le serveur Z soit infecté par un virus. Calculez la Perte Unique Anticipée et la Perte Annuelle Anticipée. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 2) Calculer la valeur d’une mesure de contrôle pour une pompe à eau d’un coût total (installation plus entretien) de 1000$ réduisant la perte annuelle de 6000$ à 4000$. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Certified ISO 27005 Risk Manager Cahier d’exercices © PECB 3) L'organisme envisage de changer les clés USB de ses employés pour des clés USB à protection biométrique. Sachant que la valeur moyenne des informations stockées sur une clé USB est de 2000$ et que l'organisme a un niveau d’acceptation du risque de 1000$, quel est le facteur d’exposition minimum pour que la mesure de contrôle soit valable ? ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 4) Une mesure de sécurité est rentable jusqu’à ce que sa valeur soit égale a zéro. Sachant qu’une mesure de sécurité visant à protéger l’accès coute 5000$ et que la nouvelle perte après mise en œuvre de la mesure de sécurité est de 5000$, calculez la valeur minimale de l’actif à protéger pour que la mesure soit rentable. Le facteur d’exposition et le taux annuel d’occurrence sont égaux à 10%. ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 16 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 8 : Options de traitement du risque Suite à l’analyse de risque, vous avez identifié que 0,5% des transactions électroniques (chiffre d’affaires de 10 millions) effectués par cartes de crédit sur le site Web de Voyage Extrême sont de nature frauduleuse et que 70% de ces transactions proviennent de 6 pays. La direction de Voyage Extrême veut prendre une décision pour le traitement de risque. Veuillez lui préparer un sommaire exécutif expliquant les 4 choix d’options possibles pour traiter ce risque et les actions à entreprendre si cette option est choisie. Option 1 : ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... Option 2 : ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... ......................................................................................................................................................... 17 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Option 3 : ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… Option 4 : ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………… 18 Certified ISO 27005 Risk Manager Cahier d’exercices © PECB Exercice 9 : Feuille de travail du risque de l’actif informationnel Le formateur divisera la classe en quelques petits groupes. Pour chaque groupe, sélectionner un actif d’information critique de l’étude de cas et veuillez remplir la feuille de travail 10 - Feuille de travail du risque de l’actif informationnel. Durée de l’exercice : 30 minutes Commentaires : 15 minutes Commentaires du professeur : ............................................................................................. .................................................................................................................................................. .................................................................................................................................................. .................................................................................................................................................. 19 Certified ISO uploads/Management/ 04-27005rm-en-exf-v4-8-20141215el.pdf