Corrigés Des Exrcices Et Devoirs ISO 2001 LI
Corrigés Des Exrcices Et Devoirs ISO 2001 LI
Corrigés Des Exrcices Et Devoirs ISO 2001 LI
ET DES DEVOIRS
Formation Certified
ISO/IEC 27001 Lead Implementer
www.pecb.com
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
Les trois avantages les plus importants de la mise en œuvre d'un SMSI basé sur les
exigences de la norme ISO/IEC 27001 sont :
© 2023 PECB |2
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
© 2023 PECB |3
Formation Certified ISO/IEC 27001 Lead Implementer
Bien que fiers de leur taux de croissance rapide, les cadres d'e-Scooter sont néanmoins
préoccupés par les aspects de contrôle et de sécurité. Leurs inquiétudes se sont
accrues après l'apparition récente de quelques incidents de sécurité. Vous connaissant
et connaissant votre expertise en matière de sécurité de l'information, e-Scooter a
décidé de vous confier la mission de les assister dans la mise en œuvre d'un SMSI et
dans la préparation d'une certification ISO/IEC 27001.
Réponse possible :
Exigences de conformité
© 2023 PECB |4
Formation Certified ISO/IEC 27001 Lead Implementer
Processus opérationnels
• Processus métier 1 : Processus de location de scooter en ligne
Justification de la valeur : L'ensemble du processus de commande se fait par
l'application de l'entreprise.
• Processus métier 2 : Processus de paiement en ligne (il peut être considéré comme
un sous-processus du processus de location des scooters en ligne)
• Justification de la valeur : Toutes les ventes sont générées par des transactions sur
l'application de l'entreprise.
• Processus métier 3 : Processus de mise à jour et de maintenance de l'application et
de ses opérations back-end du cloud.
• Justification de la valeur : Prend en charge la mise à jour et la maintenance de
l'ensemble de l'application, étant la principale source de revenus d’e-Scooter.
© 2023 PECB |5
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
Périmètre :
Explication et justification :
Étant donné que plusieurs clients ont des soucis concernant les transactions en ligne, la
certification ISO/IEC 27001 est sans aucun doute perçue comme une valeur ajoutée par
le client. Ce périmètre a l’avantage de limiter le nombre de processus inclus dans la
certification.
Siège de l’entreprise
© 2023 PECB |6
Formation Certified ISO/IEC 27001 Lead Implementer
1. Les résultats d'un audit interne ont révélé que les identifiants d’utilisateur d'un
ancien employé étaient encore utilisés.
2. Un employé a introduit une valeur d’entrée erronée dans l'interface de ligne de
commande du serveur de développement, ce qui a entraîné l'arrêt de tout le serveur.
3. La version améliorée de l'application a été perdue lorsqu'il s'est avéré qu'un
ensemble de disques durs installés dans les machines des développeurs étaient
défectueux.
© 2023 PECB |7
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
Scénarios de
Menace Vulnérabilité Conséquences C I D
risque
• Accès aux données de la
1. Les résultats d'un blockchain à de nombreuses
audit interne ont personnes
• Divulgation de
révélé que les • Système d’authentification
données sensibles
identifiants Ancien employé faible
• Perte des données X
d’utilisateur d'un Hacker • Système accessible par
confidentielles au
ancien employé Internet
profit d'un concurrent
étaient encore • Pas de révision des droits de
utilisés. contrôle d'accès
• Données non cryptées
2. Un employé a
introduit une
valeur d’entrée
erronée dans • Absence de contrôle lors de
l'interface de ligne la saisie des données dans le Corruption de la base de
Incompétence de
de commande du serveur de développement données de
l'employé X
serveur de • Absence d’un processus de développement
développement, validation
ce qui a entraîné
l'arrêt de tout le
serveur.
© 2023 PECB |8
Formation Certified ISO/IEC 27001 Lead Implementer
Scénarios de
Menace Vulnérabilité Conséquences C I D
risque
3. La version bêta de
l'application a été
perdue lorsqu'il
s'est avéré qu'un Employés qui ne
ensemble de suivent pas les Absence d’un processus
disques durs procédures internes automatisé de sauvegarde des Perte de données
X X
installés dans les de sauvegarde données comptables
machines des
développeurs
étaient
défectueux.
© 2023 PECB |9
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
Commentaires :
Il est clair que le processus n'est pas normalisé ; les méthodes sont appliquées
individuellement ou au cas par cas. Surtout, l'entreprise ne dispose pas d'une politique de
contrôle d'accès et de procédures appropriées.
Même le processus mis en œuvre n’est pas systématiquement suivi : Lorsqu'ils reçoivent
une demande de changement, ils demandent normalement l'autorisation du directeur des
services informatiques avant d'exécuter et de mettre en service les changements
demandés.
Recommandations :
© 2023 PECB | 10
Formation Certified ISO/IEC 27001 Lead Implementer
© 2023 PECB | 11
Formation Certified ISO/IEC 27001 Lead Implementer
Après avoir effectué une évaluation approfondie des risques, vous avez constaté que
0,5 % des transactions électroniques (chiffre d'affaires de 10 millions de dollars)
effectuées par carte de crédit sur l'application de l'entreprise sont de nature
frauduleuse. La direction d'e-Scooter doit prendre une décision importante sur la
manière de pallier ce risque.
Proposez quatre options de réponse au risque et dressez la liste des activités à mener
en fonction de ces options.
Réponse possible :
L’entreprise devrait calculer les pertes sur une base périodique et fournir la réserve
financière nécessaire. La direction doit être informée des risques et doit préalablement
les accepter.
L'entreprise peut mettre en place des contrôles pour réduire le risque de fraude, par
exemple en résiliant les comptes qui ont passé des commandes à partir de cartes de
crédit frauduleuses.
L’organisme peut décider de ne plus accepter les paiements par carte de crédit et
n’accepter que les paiements par transfert bancaire.
© 2023 PECB | 12
Formation Certified ISO/IEC 27001 Lead Implementer
Sur la base de l'étude de cas, expliquez pourquoi il est important pour e-Scooter de
surveiller et de passer en revue son processus de gestion des risques. Citez trois
risques auxquels l'entreprise serait confrontée si elle ne prenait pas de telles mesures.
Réponse possible :
Le but du suivi et de l’évaluation est de maintenir le processus de gestion des risques à
jour et cohérent avec les objectifs de gestion des risques de l'entreprise.
Grâce au suivi et à l’évaluation, e-Scooter peut adapter son processus de gestion des
risques afin d'anticiper, de détecter, de reconnaître et de répondre aux changements de
l'environnement externe et interne de manière appropriée et en temps opportun.
Voici certains risques auxquels e-Scooter serait confrontée s’il ne surveillait pas et
n’évaluait pas son processus de gestion des risques :
© 2023 PECB | 13
Formation Certified ISO/IEC 27001 Lead Implementer
Fournir un plan d'action constituant au moins deux actions à entreprendre pour assurer
la conformité aux clauses et contrôles suivants de la norme ISO/IEC 27001.
Réponse possible
© 2023 PECB | 14
Formation Certified ISO/IEC 27001 Lead Implementer
Proposez une liste des informations documentées qui devraient être générées pour
assurer la conformité à la mesure de sécurité de l'information 5.29.
Réponse possible :
© 2023 PECB | 15
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
Il n’existe aucun contrôle d'accès pour accorder ou refuser des demandes spécifiques
liées à l'obtention et à l'utilisation d'informations et de services de traitement de
l'information connexes.
Le contrôle d'accès est l'un des contrôles fondamentaux de tout système informatique, et
constitue la première ligne de défense contre les erreurs, les omissions et les attaques
malveillantes provenant de sources internes et externes. Ils sont basés sur l'identité de la
personne, du processus ou de l’appareil concernés. Par conséquent, les processus
d'identification et d'authentification sont étroitement liés aux contrôles d'accès.
© 2023 PECB | 16
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
Le personnel de l'entreprise et toutes les parties intéressées doivent être éduqués et
sensibilisés sur les incidents de sécurité de l'information, et être formés de manière
adéquate pour accomplir leurs tâches et responsabilités liées à la sécurité de
l'information en harmonie avec les politiques, procédures et accords correspondants.
© 2023 PECB | 17
Formation Certified ISO/IEC 27001 Lead Implementer
Un audit interne a été réalisé au sein d'e-Scooter et plusieurs non-conformités ont été
détectées. Proposez des actions correctives pour chaque non-conformité et justifiez
ces actions.
1. Après l'audit interne, une non-conformité a été émise concernant l'absence d'un
plan de continuité d'activité et les critères d'activation de ce plan en cas de
catastrophe. Lors d'un entretien avec le PDG de l’entreprise, il a été affirmé qu'il
prévoyait d'établir un plan de continuité d'activité, mais qu'il travaillait d'abord sur
d'autres priorités. Toutefois, les entretiens menés avec les employés ont révélé que,
malgré l'absence d'un plan de continuité d'activité documenté, ils sont tenus de
signaler toute interruption ou crise potentielle au PDG.
Causes fondamentales :
Le PDG envisage de reporter l'établissement d'un plan de continuité d'activité.
Action corrective :
Le PDG doit donner la priorité à l'établissement d'un plan de continuité d'activité et le
mettre en œuvre dès que possible. Il doit ensuite sensibiliser ses employés à l'existence
d'un plan formel et bien documenté en cas de catastrophe. Les rôles et les
responsabilités de chacun doivent bien être indiqués sur le plan.
Justification :
La mise en place d'un plan de continuité d'activité adéquat aidera l'entreprise à restaurer
ou à poursuivre ses activités après une perturbation, un incident ou une catastrophe, qui
peut aller d'une simple erreur logique sur l'application à une catastrophe naturelle
majeure.
© 2023 PECB | 18
Formation Certified ISO/IEC 27001 Lead Implementer
2. L'entreprise n'a pas traité un incident dans le délai déterminé par sa politique de
gestion des incidents. Cette politique indique explicitement que, comme objectif,
tous les incidents doivent être clos dans les cinq jours et que 100 % des incidents
doivent être clos dans les 15 jours à compter du moment où ils ont été signalés.
Pour cet incident, un client qui a loué un e-Scooter a déclaré avoir été victime d’une
fraude par carte de crédit et voulait un remboursement complet. La personne
chargée de gérer cet incident était absente et est revenue au bureau après 12 jours.
Au moment où ils ont commencé à traiter l'incident, il y avait beaucoup de travail à
faire et le cas de fraude par carte de crédit était si complexe qu'il a fallu cinq jours
de plus pour résoudre ce problème, enquêter et clôturer l'incident. Personne d’autre
dans l’entreprise ne s’est occupé des incidents en l’absence de l’employé.
Causes fondamentales :
Dans toute l'entreprise, une seule personne s'occupe du processus de gestion des
incidents.
Action corrective :
L'entreprise doit avoir d'une autre personne formée au processus de gestion des
incidents ou externaliser ce processus, afin de réduire au minimum ces désagréments.
Justification :
La politique de gestion des incidents permet d'éliminer les problèmes liés aux incidents
au sein de l'entreprise. La formation du personnel sur la manière de traiter les incidents et
de les gérer en conséquence aide l'entreprise à résoudre de tels problèmes ; dans ce cas
précis, en particulier, l'affectation d'un adjoint permettrait de résoudre le problème.
© 2023 PECB | 19
Formation Certified ISO/IEC 27001 Lead Implementer
3. Selon les conclusions de l'audit interne, lorsque l'application e-Scooter est tombée
en panne la semaine dernière, le tiers (fournisseur de cloud) chargé de la
maintenance de l'application n'est pas intervenu pendant 72 heures. Cette
indisponibilité a causé un préjudice financier d'environ 35 000 dollars, un montant
jugé inacceptable par l'entreprise.
Causes fondamentales :
Accord de niveau de service non disponible, mauvaise communication avec le tiers
responsable, pas de plan de continuité d’activité.
Action corrective :
Plusieurs possibilités : Établir un accord de niveau de service pour assurer la continuité
d'activité ; élaborer un plan de continuité d'activité ; changer de fournisseur ; obtenir un
numéro d'urgence pour contacter le fournisseur responsable pour la remontée d'un
problème.
Justification :
Pour les entreprises dont les processus sont directement liés à l'application de
l'entreprise, la continuité d'activité revêt une importance cruciale. Grâce à l’établissement
d’un plan de continuité d'activité, l’organisme éviterait les pertes subies pendant
l’indisponibilité du site web.
© 2023 PECB | 20
Formation Certified ISO/IEC 27001 Lead Implementer
Réponse possible :
© 2023 PECB | 21
Formation Certified ISO/IEC 27001 Lead Implementer
Expliquez l'objectif d'une revue de direction concernant la mise en œuvre du SMSI et les
points à prendre en compte lors de la réalisation d'une telle revue.
Réponse possible :
L’objectif d'une revue de direction est de vérifier si les objectifs définis sont atteints, de
vérifier si le SMSI est conforme aux exigences de la norme ISO/IEC 27001 et de s'assurer
de la pertinence, de l'adéquation et de l'efficacité continues du système de gestion en
place.
Lors de la revue des éléments susmentionnés, la direction générale doit tenir compte de
l'état des actions des revues de direction précédentes, des non-conformités et des
mesures correctives prises, des résultats des audits, des résultats du suivi et des
mesures, etc.
© 2023 PECB | 22