Chapitre 8 — Concepts du Risque & Évaluation
La gestion du risque est le domaine le plus lourd de l'examen (28% pour les opérations). Ce module couvre l'analyse des risques, les indicateurs clés, et la gestion des vulnérabilités.
Mémorisez ! Risque Inhérent = avant les contrôles. Risque Résiduel = après les contrôles. Appétit au risque = niveau de risque acceptable. Risk Tolerance = variation acceptable autour de l'appétit. Risk Capacity = risque maximum absorbable sans faillite.
Analyse Qualitative vs Quantitative
| Approche | Méthode | Output | Avantage |
|---|---|---|---|
| Qualitative | Matrices de risque (Haut/Moyen/Faible), scores subjectifs | Priorité (Critique/Haut/Moyen/Faible) | Rapide, ne nécessite pas de données financières précises |
| Quantitative | AV, EF, SLE, ARO, ALE (calculs monétaires) | Valeurs en euros | Permet le ROI des contrôles, communication avec la direction |
Termes clés du risque
- Risque inhérent : risque brut avant application de contrôles.
- Risque résiduel : risque restant après application des contrôles.
- Appétit au risque : niveau de risque qu'une organisation est prête à accepter pour atteindre ses objectifs.
- Tolérance au risque : variation acceptable autour de l'appétit.
- Exposition au risque : niveau auquel l'organisation est exposée à un risque spécifique.
- Risque de transfert : transférer le risque financier à un tiers (assurance).
- Risque tierce partie : risque introduit par les fournisseurs, prestataires, et partenaires (supply chain).
- Identification : inventaire des actifs, scan de vulnérabilités, audit de configuration.
- Priorisation : CVSS (Common Vulnerability Scoring System) — score de 0 à 10. Contexte de l'organisation (exposé sur internet = priorité plus haute).
- CVSS Scores : 0 = None, 0.1-3.9 = Low, 4.0-6.9 = Medium, 7.0-8.9 = High, 9.0-10.0 = Critical.
- CVSS Métriques : Base (vecteur, complexité, privilèges requis, impact), Temporal (exploitabilité actuelle, patches disponibles), Environnemental (importance de l'actif pour l'organisation).
- CVE (Common Vulnerabilities and Exposures) : identifiant unique pour chaque vulnérabilité connue. Format : CVE-ANNÉE-NUMÉRO (ex: CVE-2021-44228 = Log4Shell).
- Patch Management : processus de test et déploiement des correctifs. Emergency patches vs scheduled patches.
Astuce Examen
CVSS score élevé ≠ toujours priorité absolue. Un CVSS 9.8 sur un système interne non exposé peut être moins urgent qu'un CVSS 7.5 sur un serveur web public. Le contexte organisationnel (exposition, criticité) doit être pris en compte pour la priorisation.
- SLA (Service Level Agreement) : accord de niveau de service — définit les performances et disponibilités attendues d'un fournisseur.
- MOU (Memorandum of Understanding) : accord de coopération non contraignant entre deux organisations.
- MOA (Memorandum of Agreement) : accord plus formel que MOU, avec engagements définis.
- NDA (Non-Disclosure Agreement) : accord de confidentialité — protège les informations partagées avec les tiers.
- MSA (Master Service Agreement) : accord-cadre définissant les termes généraux d'une relation fournisseur.
- ISA (Interconnection Security Agreement) : accord définissant les exigences de sécurité pour les interconnexions de systèmes entre organisations.
- BPA (Business Partnership Agreement) : accord de partenariat commercial avec clauses de sécurité.
- Questionnaire de sécurité fournisseur : évaluation des pratiques de sécurité des tiers.