Une des activités les plus importantes pour un RSSI est de s’assurer que les mesures de sécurité sont correctement mises en œuvre, qu’elles fonctionnent comme prévu et qu’elles produisent les résultats escomptés.  Comment appelle-t-on cette activité ?

[A] Evaluation des mesures de sécurité (Security control assessment)

[B] Appréciation des risques (Risk assessment)

[C] Bilan d’impact sur l’activité (Business impact analysis)

[D] Audit de tierce partie (Third-party audit)


reponse linkedin

CBK6 Q03 LINK


L’appréciation du risque est un processus global qui comprend l’identification d’un scénario pouvant entrainer un incident de sécurité, l’analyse du risque associé et son évaluation. Après son appréciation, si le risque est considéré comme inacceptable il devra faire l’objet d’un traitement (mitigation, partage ou refus).

Un Bilan d’impact sur l’activité (BIA avec un sigle identique en anglais pour Business Impact Analysis) est un processus d’analyse de l’impact dans le temps d’une perturbation sur l’organisme. Un des ses objectifs est de réaliser un inventaire des exigences de continuité d’activité et de les justifier.

Un audit de tierce partie a pour objectif l’obtention d’une certification ou d’une accréditation.

Qu’est-ce qu’une évaluation des mesures de sécurité ?

Voici la définition de “Security Control Assessment” proposée par le NIST dans son document de référence concernant les mesures de sécurité (SP 800-53 Rev. 4) : The testing or evaluation of security controls to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for an information system or organization.

Définition que l’on pourrait traduire en français par : Le test ou l’évaluation des mesures de sécurité pour déterminer dans quelle mesure elles sont correctement mises en œuvre, fonctionnent comme prévu et produisent le résultat souhaité afin de respecter les exigences de sécurité d’un système d’information ou d’un organisme.

La bonne réponse est donc la proposition [A] Evaluation des mesures de sécurité (Security control assessment)


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE