Selon la norme ISO/IEC 27005, quelle activité ne fait pas partie du processus d’appréciation du risque (Risk assessment) ?
[A] Etudier des scénarii de compromission des actifs
[B] Identifier les différentes menaces
[C] Evaluer le niveau de risque selon la probabilité et l’impact
[D] Réduire le risque par l’application d’une ou plusieurs mesures de sécurité
Selon la norme ISO 27005, un processus d’appréciation du risque comprend 2 activités : une analyse du risque et une évaluation du risque.
L’analyse du risque permet de comprendre la nature du risque et de déterminer son niveau. Pour cela, on va étudier différents scénarii qui pourraient conduire à une atteinte aux actifs de l’organisme. On analyse pour chaque scénario la probabilité d’occurrence ainsi que les impacts potentiels. Ce travail permet d’évaluer le niveau de risque dans une échelle préalablement définie.
L’évaluation du risque consiste à déterminer si le risque est acceptable ou pas. S’il ne l’est pas, il conviendra alors de le traiter (mitigation, partage ou refus). La mitigation du risque se réalise par l’application d’une ou plusieurs mesures de sécurité mais attention l’activité de traitement du risque ne fait pas partie du processus d’appréciation du risque mais du processus de gestion du risque.
La bonne réponse est donc la proposition [D] Réduire le risque par l’application d’une ou plusieurs mesures de sécurité
Le schéma ci-dessous (issu de l’excellente formation CISSP de Verisafe) permet d’illustrer la terminologie utilisée dans l’ISO 27005.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE
