Intra

Question 1

Vulnérabilité

Answer 1

Faille ou faiblesse dans un actif pouvant être exploité pour violer la sécurité

Question 2

Formule à risque étendu

Answer 2

R = Pa Ps V

Où Pa = Probabilité d’attaque et
Ps = Probabilité que l’attaque exploite avec succès la vulnérabilité
V = valeur perdue par l’exploitation réussie de la vulnérabilité

Question 3

Formule de risque étendu de Whitman

Answer 3

R = P * V * (1 - CC + UK)

où P = probabilité qu’une vulnérabilité soit exploitée,
V = valeur de l’actif,
CC = fraction de risque atténuée par le contrôle actuel,
UK = fraction de risque pas entièrement connue (incertitude des
connaissances)

Question 4

Le risque est …

Answer 4

The vraisemblance d’une vulnérabilité multiplié par la valeur de l’actif informationnel moins le pourcentage de risques mitigés par les contrôle en cours plus l’incertitude entourant la vulnérabilité

Question 5

Objectif du processus de gestion des risques

Answer 5

Identifier les actifs informationnels et leurs vulnérabilités
afin de les classer selon leur besoin de protection

Question 6

Le processus d’identification des risques doit…

Answer 6

Désigner les fonctions que remplissent les rapports

Désigner qui est responsable de leur préparation

Désigner qui les examine

À la fin du processus, une liste d’actifs et leurs
vulnérabilités a été développée

Question 7

Les 3 catégories générales du contrôle des risques

Answer 7

• Politiques
• Programmes
• Contrôles techniques

Question 8

Stratégies de contrôle des risques

Answer 8

Il en existe 4 :

• Évitement
• Mitigation
• Acceptation
• Transfert

Question 9

Évitement

Answer 9

Empêcher l’exploitation de la vulnérabilité e

Question 10

Transfert

Answer 10

Tente de déplacer le risque vers d’autres actifs, d’autres processus ou d’autres organisations en repensant la façon dont les services sont offerts :
• Révision des modèles de déploiement
• Externalisation vers d’autres organisations
• Achat d‘assurance
• Mettre en place des contrats de service avec les fournisseurs

Question 11

Mitigation

Answer 11

Tente de réduire les dommages causés par l’exploitation de la vulnérabilité en :
• Utilisant la planification et la préparation
• Dépendant de la capacité de détecter et de répondre à une attaque le plus rapidement possible

Question 12

Type de plans d’atténuation

Answer 12

• Plan de reprise après sinistre (DRP)
• Plan d’intervention en cas d’incident (IRP)
• Plan de continuité des activités (BCP)

Question 13

Acceptation

Answer 13

Ne rien faire pour protéger un élément d’information

Suppose qu’il peut être judicieux d’examiner les solutions de rechange et de conclure que le coût de la protection d’un bien ne justifie pas les dépenses de sécurité

Question 14

Devoirs de l’organisation

Answer 14

• Déterminer le niveau de risque pour l’actif informationnel
• Évaluer la probabilité d’attaque et la probabilité d’une exploitation réussie
d’une vulnérabilité
• Approximer l’ARO de l’exploitation
• Estimer la perte potentielle des attaques
• Effectuer une analyse coûts-bénéfices approfondie
• Évaluer les contrôles en utilisant chaque type de faisabilité approprié
• Décider que l’actif en question ne justifie pas le coût de la protection

Question 15

Tolérance aux risques

Answer 15

La quantité et la nature du risque que les organisations sont disposées à accepter

Question 16

Approche raisonnée du risque

Answer 16

Équilibre la dépense contre les pertes possibles si elle est exploitée

Question 17

Risque résiduel

Answer 17

Reste des risques non supprimés, déplacés ou planifiés malgré le contrôle des vulnérabilités

Question 18

Le risque résiduel est une fonction combinée de :

Answer 18

Menaces
vulnérabilités et actifs
moins les effets des contrôles en place

Question 19

Objectif de la sécurité de l’information

Answer 19

Être cohérente à la tolérance au risque d’une organisation et non de ramener le risque résiduel à zéro

Question 20

Lorsqu’une stratégie de contrôle a été sélectionnée et mise en ouvre :

Answer 20

L’efficacité des contrôles devrait être surveillée et mesurée. de façon continue afin de déterminer son efficacité et l’exactitude de l’estimation du risque résiduel.

Question 21

Lignes directrices pour la sélection de

stratégies de contrôle des risques

Answer 21

• Quand une vulnérabilité existe
Mettre en place des contrôles de sécurité pour réduire la probabilité d’une vulnérabilité

• Quand une vulnérabilité peut-elle être exploitée
Appliquer des contrôles en couches pour minimiser le risque ou empêcher
l’occurrence

• Lorsque le gain potentiel de l’attaquant est supérieur au coût de l’attaque
Appliquer des contrôles techniques ou de gestion pour augmenter le coût de l’attaquant ou réduire son gain

• Quand la perte potentielle est importante
Appliquer des contrôles de conception pour limiter l’étendue de l’attaque, réduisant ainsi le potentiel de perte

Question 22

• Quand une vulnérabilité existe

Answer 22

Mettre en place des contrôles de sécurité pour réduire la probabilité d’une vulnérabilité

Question 23

• Quand une vulnérabilité peut-elle être exploitée

Answer 23

Appliquer des contrôles en couches pour minimiser le risque ou empêcher
l’occurrence

Question 24

• Lorsque le gain potentiel de l’attaquant est supérieur au coût de l’attaque

Answer 24

Appliquer des contrôles techniques ou de gestion pour augmenter le coût de l’attaquant ou réduire son gain

Question 25

• Quand la perte potentielle est importante

Answer 25

Appliquer des contrôles de conception pour limiter l'étendue de l'attaque, réduisant ainsi le potentiel de perte

Question 26

Facteurs qui influent sur le coût d'une mesure de controle

Answer 26

o Coût de développement ou d'acquisition de matériel, de logiciels et de services o Frais de formation o Coût de mise en œuvre o Coûts de service et de maintenance

Question 27

Composantes d'évaluation des actifs

Answer 27

• Valeur retenue du coût de création de l'actif informationnel • Valeur déduite de la maintenance passée de l'actif informationnel • Valeur déduite par le coût de remplacement de l'information • Valeur de fournir l'information • Valeur déduite du coût de la protection de l'information o Valeur aux propriétaires o Valeur de la propriété intellectuelle o Valeur aux concurrents o Perte de productivité pendant que les ressources informationnelles sont indisponibles o Perte de revenus pendant que les ressources informationnelles sont indisponibles

Question 28

La perte potentielle est...

Answer 28

Celle qui pourrait résulter de l'exploitation | d'une vulnérabilité ou d'une occurrence de menace

Question 29

Une espérance de perte unique (SLE)

Answer 29

o Le calcul de la valeur associée à la perte la plus probable d'une attaque o Est basée sur la valeur de l'actif et le pourcentage de perte attendu d'une attaque particulière o SLE = valeur de l'actif (AV) x facteur d'exposition (EF) Où EF est le pourcentage de perte qui se produirait à partir d'une vulnérabilité donnée exploitée

Question 30

la probabilité d'occurrence d'une menace est....

Answer 30

La probabilité de perte due à une attaque dans un délai donné Cette valeur est communément appelée taux d'occurrence annualisé (ARO) ALE (l'espérance de perte annualisée) = SLE (espérance de perte unique) * ARO (taux d'occurrence annualisé)

Question 31

CBA (analyse des coûts-bénéfices)

Answer 31

Détermine si une alternative de contrôle vaut son coût associé CBA = ALE (avant) - ALE (post) - ACS • ALE (avant le contrôle) est l'espérance de perte annualisée du risque avant la mise en œuvre du contrôle • ALE (post-contrôle) est l'ALE examiné après que le contrôle a été mis en place pendant une période de temps • ACS est le coût annuel du controle

Question 32

Gestion des risques est ...

Answer 32

1- Faire un inventaire des actifs informationnels 2 - Identifier les priorités, faire un classement 3 - Identifier les menaces / risques, les prioriser 4 - Contrôler les risques 5 - Faire l'analyse coût-bénéfice

Question 33

La gestion des risques est composée de 2 processus :

Answer 33

- Identification et évaluation des risques (Identifier,Mesurer, prioriser) Contrôle des risques (analyse coût-bénéfice)

Question 34

La gestion des actifs informationnels

Answer 34

Consiste à pouvoir associer, de façon cohérente, les attributs physiques, financiers et contractuels des logiciels et du matériel afin de fournir des solutions d'affaires rentables tout en minimisant les risques opérationnels pour l'organisation.

Question 35

Le framework ITIL fournit deux modèles de service:

Answer 35

o Service après vente | o Service de livraison

Question 36

La gestion de la configuration

Answer 36

Ignore en grande partie la gestion des actifs et se concentre sur les services et les relations entre les actifs informationnels (AI).

Question 37

Activités de la gestion de la configuration

Answer 37

``` Planifier et définir Identification Contrôle Suivi d'état Audit et vérification - > Identification ```

Question 38

Activités de la gestion de la configuration - Planifier et définir :

Answer 38

Définir l'objectif, la portée, les politiques et les procédures ainsi que le contexte organisationnel et technique

Question 39

Activités de la gestion de la configuration - Identification

Answer 39

Sélection des structures de configuration pour tous les AI, y compris leur propriétaire, leur interrelations et la documentation de configuration

Question 40

Activités de la gestion de la configuration - Contrôle

Answer 40

Assurez-vous que seuls les AI autorisés et identifiables sont acceptés et enregistrés

Question 41

Activités de la gestion de la configuration - Suivi d'état

Answer 41

Rapport sur toutes les données actuelles et historiques concernant chaque AI tout au long de son cycle de vie

Question 42

Activités de la gestion de la configuration - Audit et vérification

Answer 42

Examens et audits vérifiant l'existence physique des AI et vérifiant qu'ils sont correctement enregistrés.

Question 43

Cadre organisationnel de gestion des biens TI - Cycle de vie

Answer 43

``` Planification Acquisition de l'actif Déploiement Suivi Gestion Disposition ```

Question 44

Modèle de maturité

Answer 44

``` Chaos Réactif Actif Proactif Centre d'excellence ```

Question 45

Pour réussir vos stratégies :

Answer 45

 Donnez-vous du temps  Mettre les bonnes personnes au sein de l'équipe dans toutes les unités fonctionnelles  Éduquer pour promouvoir l'adhésion et la compréhension  Fixer des objectifs mesurables pour le programme et les projets individuels  N'essayez pas de “eat the elephant in one bite”  Restez sur la bonne voie et mettre en évidence les succès  Plus de cache-cache

Question 46

Comment mettre en place une stratégie d'évitement?

Answer 46

oApplication de la politique o Application de la formation et de l'éducation o Contrer les menaces o Mise en œuvre de techniques de contrôles de sécurité et de sauvegarde

Question 47

Un actif informationnel est constitué par...

Answer 47

les ressources informationnelles | un système

Question 48

Une ressource informationnelle est constituée par ...

Answer 48

- Information et personnes | - processus et technologie

Question 49

Un système est constitué par

Answer 49

- matériel - Données - Applications

Question 50

Les ressources informationnelles critiques :

Answer 50

- Gestion de la sécurité, vérification et contrôle ( Gouvernance ) - Système ( Développement et évolution ) - Technologie ( Acquisition, maintenance et contingence ) - Vérification et contrôle ( Conformité )

Question 51

Il faut savoir évaluer les domaines de connaissances en sécurité de notre interlocuteur

Answer 51

vrai

Question 52

Les contextes de la sécurité de l'information sont ...

Answer 52

- Contexte d'affaires - Contexte juridique - Contexte technologique

Question 53

Les règlements, pour le mettre en place, qu'est-ce qu'on devrait faire?

Answer 53

- Expliquer le règlement - Expliquer le pourquoi - Diffuser l'information - faire le suivi

Question 54

La sécurité informationnelle c'est ...

Answer 54

Protection des ressources informationnelles d'une organisation face à des risques identifiés qui résulte d'un ensemble de mesures de sécurité prises pour assurer la confidentialité, l'intégrité et la disponibilité de l'information traitée.

Question 55

Un actif informationnel c'est...

Answer 55

Inventaire présentant, à un moment déterminé, le portrait de l'ensemble des ressources informationnelles d'une entreprise ou d'une organisation, à l'exception des ressources humaines. L'actif informationnel est un bilan et ne donne que le portrait des ressources informationnelles disponibles; il est de ce fait statique. Ce sont les ressources informationnelles qui sont dynamiques puisque ce sont elles qu'on exploite

Question 56

Une ressource informationnelle c'est...

Answer 56

une ressource utilisée par une entreprise ou une organisation, dans le cadre de ses activités de traitement de l'information, pour mener à bien sa mission, pour faciliter la prise de décision ou encore la résolution de problèmes. Elle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l'acquisition, au développement, à l'entretien, à l'exploitation, à l'accès, à l'utilisation, à la protection, à la conservation et à la destruction des éléments d'information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même.

Question 57

Il faut savoir utiliser les forces internes

Answer 57

vrai

Question 58

Pourquoi faire un inventaire?

Answer 58

- Pour centraliser les informations - Permet une vision globale du parc informatique - Contrôler les ressources

Question 59

La gestion n'est pas constituée de...

Answer 59

Technologie, infrastructure et télécommunications

Question 60

La gestion des risques c'est...

Answer 60

la discipline qui s'attache à identifier, évaluer et prioriser les risques relatifs aux activités d'une organisation, quelles que soient la nature ou l'origine de ces risques, pour les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés, et réduire l'impact éventuel de ces événements. Elle est l'une des principales responsabilités de chaque gestionnaire d'une organisation.

Question 61

Pour qu'une organisation se connaisse bien elle-même, il faut...

Answer 61

Identifier, examiner et comprendre l'information et comment elle est traitée, stockée et transmise

Question 62

Pour qu'une organisation connaisse son ennemi, il faut

Answer 62

Identifier, examiner et comprendre les menaces qui pèsent sur les ressources d'information de l'organisation

Question 63

La responsabilité pour la gestion des risque - Sécurité de l'information

Answer 63

Doit adopter un rôle de leadership dans la gestion des risques

Question 64

La responsabilité pour la gestion des risque - Technologie de l'information

Answer 64

Le rôle implique la construction et le maintien de systèmes sécurisés

Question 65

La responsabilité pour la gestion des risque - Gestion

Answer 65

Le rôle implique l'allocation des ressources et la priorisation des problèmes de sécurité

Question 66

La responsabilité pour la gestion des risque - Utilisateurs

Answer 66

Rôle crucial dans la détection précoce et la réponse appropriée aux menaces

Question 67

Quel est le but de l'évaluation des risques?

Answer 67

Créer une méthode pour évaluer le risque relatif de chaque vulnérabilité listée

Question 68

Maturité du processus - Chaos

Answer 68

• Aucune connaissance des actifs possédés ou où ils sont situés • Manque d'outils adéquats pour suivre et gérer les actifs • Pas d'achat centralisé • Contrats dans des classeurs • Aucun processus reproductible ou transfert de connaissances • Aucune personne responsable de la Chaos gestion des actifs

Question 69

Maturité du processus - Réactif

Answer 69

``` • Mettre l'accent sur le comptage des actifs et faire des inventaires physiques annuels • Tableur pour suivre les actifs • Outil (s) de découverte pour compléter • Rapports de base avec peu de détails • La responsabilité de la gestion des actifs informatiques est technique ```

Question 70

Maturité du processus - Actif

Answer 70

``` • Gérer les actifs tout au long du cycle de vie grâce à des processus définis qui sont revus et devisés si nécessaire • Inventaire lié contractuellement et financièrement pour créer une vision globale centralisée • Référentiel d'actifs et outils de découverte automatique intégrés au service informatique • L'équipe de mise en œuvre est dirigée par un poste de directeur ```

Question 71

Maturité du processus - proactif

Answer 71

``` • PC, serveurs, équipements réseaux et télécoms dans un référentiel commun • Les niveaux de service sont créés pour répondre à des objectifs commerciaux plus larges • Les métriques sont en place et les rapports sont exécutés fréquemment • La réquisition et l'approvisionnement sont intégrés • La gestion des actifs informatiques est une discipline définie ```

Question 72

Maturité du processus - Centre d'excellence

Answer 72

``` • Audit de l'efficacité et de la performance des processus métier établis pour tous les actifs de l'entreprise • Intégration transparente du système de gestion d'actifs avec ERP, RH, compte débiteur / créditeur, gestion du système, service de support, gestion des changements, etc. ```

Question 73

Cycle de vie - Planification

Answer 73

o Harmonisation du besoin des ressources informatiques avec les processus métier clés, qui sont gérés à partir d'un actif informatique existant ou proposés à partir d'un nouvel actif informatique

Question 74

Cycle de vie - Acquisition de l'actif

Answer 74

Le moyen le plus rentable d'acquérir les actifs informatiques.

Question 75

Cycle de vie - Déploiement

Answer 75

o Comment déployer et mettre en œuvre l’actif | o Automatisez le processus si possible

Question 76

Cycle de vie - Opération & Maintenance

Answer 76

o S'assurer que non seulement toutes les obligations financières associées à la maintenance de l'actif sont respectées, mais également les risques opérationnels associés à l'actif informatique, notamment la gestion des changements, la Base de gestion de configuration, etc.

Question 77

Cycle de vie - Disposition

Answer 77

o Valeur de l'actif informatique - Le maintien de l'historique de l'actif informatique tout au long de son cycle de vie aidera à la décision de remplacement. o Disposition écologique de l’actif - il existe aujourd'hui dans de nombreux pays une législation qui régit la responsabilité écologique de l'élimination des actifs informatiques. o Obligations contractuelles - qui doivent être respectées si l'organisation ne veut plus l'actif informatique, par exemple la location, le leasing, etc. o Maintenir - l'exactitude et l'exhaustivité des dossiers d'actifs informatiques, y compris les dossiers financiers.