ObjectifCyber

Chapitre 8 — Concepts du Risque & Évaluation

La gestion du risque est le domaine le plus lourd de l'examen (28% pour les opérations). Ce module couvre l'analyse des risques, les indicateurs clés, et la gestion des vulnérabilités.

Mémorisez ! Risque Inhérent = avant les contrôles. Risque Résiduel = après les contrôles. Appétit au risque = niveau de risque acceptable. Risk Tolerance = variation acceptable autour de l'appétit. Risk Capacity = risque maximum absorbable sans faillite.

Analyse Qualitative vs Quantitative

ApprocheMéthodeOutputAvantage
QualitativeMatrices de risque (Haut/Moyen/Faible), scores subjectifsPriorité (Critique/Haut/Moyen/Faible)Rapide, ne nécessite pas de données financières précises
QuantitativeAV, EF, SLE, ARO, ALE (calculs monétaires)Valeurs en eurosPermet le ROI des contrôles, communication avec la direction

Termes clés du risque

Astuce Examen

CVSS score élevé ≠ toujours priorité absolue. Un CVSS 9.8 sur un système interne non exposé peut être moins urgent qu'un CVSS 7.5 sur un serveur web public. Le contexte organisationnel (exposition, criticité) doit être pris en compte pour la priorisation.

1. Le "risque résiduel" est défini comme :

Risque résiduel = risque inhérent − réduction apportée par les contrôles. Il est pratiquement impossible d'éliminer 100% du risque — il en reste toujours un résiduel. La direction doit accepter formellement le risque résiduel restant.

2. Une organisation identifie une vulnérabilité avec un score CVSS de 9.2 sur un serveur de test interne sans données sensibles. Une autre vulnérabilité a un score CVSS de 7.1 sur le site web public de paiement. Laquelle doit être patchée en priorité ?

CVSS brut ≠ priorité absolue. Le contexte (exposition internet, criticité des données, exploitabilité réelle) doit être pris en compte. Un CVSS 7.1 sur un système public de paiement est plus urgent qu'un CVSS 9.2 sur un serveur de test isolé.

3. Un CVE est :

CVE (Common Vulnerabilities and Exposures) = identifiant unique pour chaque vulnérabilité. Ex: CVE-2021-44228 = Log4Shell, CVE-2017-0144 = EternalBlue/WannaCry. CVSS = score de sévérité. NVD (National Vulnerability Database) = base de données NIST des CVEs.

4. Un accord SLA (Service Level Agreement) avec un fournisseur cloud définit principalement :

SLA = engagement contractuel sur les niveaux de service. Pour le cloud : uptime garanti (ex: 99.99% = 52min/an de downtime max), temps de réponse support, RTO/RPO en cas d'incident, pénalités financières si les engagements ne sont pas tenus.

5. Un NDA (Non-Disclosure Agreement) est principalement utilisé pour :

NDA (accord de confidentialité) = engagement légal de ne pas divulguer les informations confidentielles d'une autre partie. Signé avant de partager des données sensibles avec des fournisseurs, prestataires, partenaires ou candidats à un recrutement.

6. L'analyse de risque qualitative diffère de l'analyse quantitative en ce qu'elle :

Qualitative = subjectif, rapide, catégories (Critique/Haut/Moyen/Faible). Quantitative = objectif, valeurs monétaires (ALE en €), nécessite des données précises. La quantitative est plus précise mais plus longue. La qualitative suffit souvent pour prioriser les risques rapidement.

7. Un ISA (Interconnection Security Agreement) est utilisé quand :

ISA = document technique qui définit les contrôles de sécurité requis pour une connexion réseau entre deux organisations. Spécifie : protocoles autorisés, chiffrement requis, mécanismes d'authentification, journalisation, responsabilités en cas d'incident.

8. Le "risque tierce partie" (Third-Party Risk) représente :

Third-Party Risk = risque supply chain. La compromission de SolarWinds (2020) a illustré ce risque : les attaquants ont compromis un fournisseur de logiciels de monitoring pour accéder à des milliers d'organisations clientes. Contre-mesure : évaluation des fournisseurs, contrats avec clauses sécurité, audits.

9. Qu'est-ce que l'"appétit au risque" (Risk Appetite) d'une organisation ?

Risk Appetite = décision stratégique de la direction sur le niveau de risque acceptable. Une startup tech peut avoir un appétit élevé (innover rapidement, accepter plus de risques). Un hôpital aura un appétit très faible (vies en jeu). Guide les décisions d'investissement en sécurité.

10. Un CVSS score de 9.8 correspond à une sévérité :

Echelle CVSS : 0 = None, 0.1-3.9 = Low, 4.0-6.9 = Medium, 7.0-8.9 = High, 9.0-10.0 = Critical. 9.8 = Critical. Le score maximum est 10.0 (ex: accès réseau, sans privilèges, sans interaction utilisateur, impact total sur CIA). Log4Shell (CVE-2021-44228) avait un score de 10.0.