CORRIGÉ DES EXERCICES

ET DES DEVOIRS

Formation Certified
ISO/IEC 27001 Lead Implementer

www.pecb.com
 Formation Certified ISO/IEC 27001 Lead Implementer

Exercice 1 : Raisons d’adopter ISO/IEC 27001

Après avoir lu la section « Introduction et historique » de l'étude de cas, présentez au

PDG d'e-Scooter les trois avantages les plus importants de la mise en œuvre d'un
système de management de la sécurité de l'information (SMSI) selon la norme
ISO/IEC 27001.

Réponse possible :

Les trois avantages les plus importants de la mise en œuvre d'un SMSI basé sur les
exigences de la norme ISO/IEC 27001 sont :

• Améliorer le management de la sécurité de l’information en mettant en place un

cadre de gestion global
• Regagner la confiance des clients grâce à une certification de tierce partie
• Un avantage concurrentiel dans un marché de plus en plus compétitif

© 2023 PECB |2
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 1 : Classification des mesures de sécurité

Pour chacune des mesures de sécurité de l'information suivantes, déterminez le type

(administratif, technique, managérial ou juridique) et la fonction (préventive, corrective
ou de détection). Développez votre réponse.

Exemple : L'installation d'une clôture grillagée autour du site de l'entreprise

Par fonction, l’installation d’une clôture métallique grillagée est un contrôle préventif
permettant de sécuriser le site de l'entreprise, en particulier les installations de traitement
de l'information, contre les accès physiques non autorisés. Par type, il s’agit d’un contrôle
technique.

Réponse possible :

1. Séparation des tâches relatives à la sécurité de l'information

Par fonction, la séparation des tâches est un contrôle préventif qui réduit les possibilités
d'utilisation non autorisée ou de mauvaise utilisation non intentionnelle des informations
de l'entreprise. Par type, il s’agit d’un contrôle administratif.

2. Installation d'un système d'alarme incendie

Par fonction, l'installation d'un système d'alarme incendie est un contrôle de détection
dans la mesure où il permet de détecter un incendie et d’empêcher un éventuel dommage
des installations d'information et de traitement de l'information de l'entreprise. Par type, il
s’agit d’un contrôle technique.

3. Cryptage des messages électroniques

Par fonction, le cryptage de la messagerie électronique est un contrôle préventif qui aide
l'entreprise à empêcher l'accès non autorisé à des informations confidentielles. Par type,
il s’agit d’un contrôle technique.

4. Enquête sur les incidents de sécurité

Par fonction, l'enquête sur les incidents de sécurité est un contrôle correctif qui aide
l'entreprise à trouver les causes profondes et à empêcher la répétition d'incidents
similaires à l'avenir. Par type, il s’agit d’un contrôle technique et juridique.

5. Considérations de la législation applicable

Par fonction, la prise en compte de la législation applicable constitue un contrôle
préventif dans la mesure où elle permet d'éviter les violations des obligations légales en
matière de sécurité de l'information. Par type, il s’agit un contrôle juridique.

© 2023 PECB |3
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 2 : Établir le contexte du SMSI

Bien que fiers de leur taux de croissance rapide, les cadres d'e-Scooter sont néanmoins
préoccupés par les aspects de contrôle et de sécurité. Leurs inquiétudes se sont
accrues après l'apparition récente de quelques incidents de sécurité. Vous connaissant
et connaissant votre expertise en matière de sécurité de l'information, e-Scooter a
décidé de vous confier la mission de les assister dans la mise en œuvre d'un SMSI et
dans la préparation d'une certification ISO/IEC 27001.

La première étape de votre mandat est d’établir le contexte du SMSI au sein de

l’entreprise. Pour e-Scooter, cette tâche semble exiger une personne spécialisée dans le
domaine concerné. Il le voit en vous et souhaite que vous proposiez une version à
approuver ultérieurement. Pour ce faire, utilisez les informations contenues dans l'étude
de cas pour identifier deux sources potentielles d'exigences de conformité pour
l'entreprise que vous considérez comme les plus importantes. En outre, identifiez les
deux actifs informationnels et les processus opérationnels les plus importants de
l'entreprise.

Réponse possible :
Exigences de conformité

• Exigences de conformité 1 : Lois et règlements sur la protection des clients

Qu'est-ce qui devrait être pris en considération pour le SMSI ?
• Fournir des informations précises aux utilisateurs de l'application et veiller au respect
des politiques de location (politique de remboursement, confidentialité, etc.).
• Exigences de conformité 2 : Réglementation des sociétés émettrices de cartes de
créditQu'est-ce qui devrait être pris en considération pour le SMSI ?
• Respectez la norme PCI pour les transactions en ligne publiée par les sociétés
émettrices de cartes de crédit (PCI-DSS).

Identification des actifs

• Actif informationnel 1 : Serveur d'application

Justification de la valeur : Il s'agit du principal outil utilisé par les développeurs pour
partager et mettre à jour le code.
• Actif informationnel 2 : Site Web transactionnel
• Justification de la valeur : Le service de paiement prend en charge le processus de
location des scooters.
• Actif informationnel 3 : Données des clients

© 2023 PECB |4
 Formation Certified ISO/IEC 27001 Lead Implementer

Justification de la valeur : Informations personnelles et financières des clients

stockées sur le cloud

Processus opérationnels
• Processus métier 1 : Processus de location de scooter en ligne
Justification de la valeur : L'ensemble du processus de commande se fait par
l'application de l'entreprise.
• Processus métier 2 : Processus de paiement en ligne (il peut être considéré comme
un sous-processus du processus de location des scooters en ligne)
• Justification de la valeur : Toutes les ventes sont générées par des transactions sur
l'application de l'entreprise.
• Processus métier 3 : Processus de mise à jour et de maintenance de l'application et
de ses opérations back-end du cloud.
• Justification de la valeur : Prend en charge la mise à jour et la maintenance de
l'ensemble de l'application, étant la principale source de revenus d’e-Scooter.

© 2023 PECB |5
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 3 : Définition du périmètre

En vous référant au contexte du système de management de la sécurité de l'information

au sein de l'entreprise à partir du Devoir 2 et de l'étude de cas, définissez le périmètre du
SMSI de l'entreprise et déterminez ses limites. La direction souhaite choisir un
périmètre qui sera perçu comme ayant une valeur ajoutée pour ses clients et, en même
temps, le délimiter au maximum pour la certification initiale du SMSI.

Réponse possible :

Périmètre :

Le périmètre couvre l'ensemble du processus de paiement en ligne d'e-Scooter, comme

indiqué dans la déclaration d'applicabilité 1.0.

Explication et justification :

Étant donné que plusieurs clients ont des soucis concernant les transactions en ligne, la
certification ISO/IEC 27001 est sans aucun doute perçue comme une valeur ajoutée par
le client. Ce périmètre a l’avantage de limiter le nombre de processus inclus dans la
certification.

Définir les limites organisationnelles :

Le personnel du service informatique et du service client impliqués dans le processus de

paiement en ligne.

Définir les limites des systèmes d’information :

Le cadre développé par BankIT, qui comprend le système de transfert des

renseignements de crédit aux banques ou aux entreprises de cartes de crédit, la base de
données avec les informations de transaction des clients d'e-Scooter en excluant les
services offerts par le fournisseur de cloud, puisqu'ils sont déjà certifiés contre
ISO/IEC 27001.

Définir les limites physiques :

Siège de l’entreprise

© 2023 PECB |6
 Formation Certified ISO/IEC 27001 Lead Implementer

Exercice 2 : Identification des menaces et des vulnérabilités et évaluation des

conséquences

Déterminez les menaces et les vulnérabilités associées aux scénarios suivants et

indiquez les conséquences potentielles si les vulnérabilités identifiées sont exploitées
par les menaces identifiées. Indiquez ensuite si les conséquences affecteraient la
confidentialité, l'intégrité ou la disponibilité des informations de l'entreprise.

1. Les résultats d'un audit interne ont révélé que les identifiants d’utilisateur d'un
ancien employé étaient encore utilisés.
2. Un employé a introduit une valeur d’entrée erronée dans l'interface de ligne de
commande du serveur de développement, ce qui a entraîné l'arrêt de tout le serveur.
3. La version améliorée de l'application a été perdue lorsqu'il s'est avéré qu'un
ensemble de disques durs installés dans les machines des développeurs étaient
défectueux.

Complétez la matrice des risques et préparez-vous à discuter de vos réponses.

© 2023 PECB |7
 Formation Certified ISO/IEC 27001 Lead Implementer

Réponse possible :

Scénarios de
Menace Vulnérabilité Conséquences C I D
risque
• Accès aux données de la
1. Les résultats d'un blockchain à de nombreuses
audit interne ont personnes
• Divulgation de
révélé que les • Système d’authentification
données sensibles
identifiants Ancien employé faible
• Perte des données X
d’utilisateur d'un Hacker • Système accessible par
confidentielles au
ancien employé Internet
profit d'un concurrent
étaient encore • Pas de révision des droits de
utilisés. contrôle d'accès
• Données non cryptées
2. Un employé a
introduit une
valeur d’entrée
erronée dans • Absence de contrôle lors de
l'interface de ligne la saisie des données dans le Corruption de la base de
Incompétence de
de commande du serveur de développement données de
l'employé X
serveur de • Absence d’un processus de développement
développement, validation
ce qui a entraîné
l'arrêt de tout le
serveur.

© 2023 PECB |8
 Formation Certified ISO/IEC 27001 Lead Implementer

Scénarios de
Menace Vulnérabilité Conséquences C I D
risque
3. La version bêta de
l'application a été
perdue lorsqu'il
s'est avéré qu'un Employés qui ne
ensemble de suivent pas les Absence d’un processus
disques durs procédures internes automatisé de sauvegarde des Perte de données
X X
installés dans les de sauvegarde données comptables
machines des
développeurs
étaient
défectueux.

© 2023 PECB |9
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 4 : Analyse des écarts

En vous référant à l'étude de cas, évaluez le niveau de maturité du processus d'accès

aux données clients stockées dans la blockchain. De plus, fournissez des
recommandations pour l'amélioration du processus, afin que l'entreprise remplisse les
exigences de la mesure 5.15 de la norme ISO/IEC 27001 sur le contrôle d'accès.

Réponse possible :

Situation : Le processus d'accès aux données stockées dans le serveur cloud de la

blockchain est lancé chaque fois qu'une demande d'accès est faite. Tout employé qui
demande l'accès aux données de la blockchain se voit attribuer un contrôle d'accès au
cas par cas. Ceci étant dit, il n'y a pas de méthode formelle établie.

Niveau de maturité : 1 (Initial)

Commentaires :

Il est clair que le processus n'est pas normalisé ; les méthodes sont appliquées
individuellement ou au cas par cas. Surtout, l'entreprise ne dispose pas d'une politique de
contrôle d'accès et de procédures appropriées.

Même le processus mis en œuvre n’est pas systématiquement suivi : Lorsqu'ils reçoivent
une demande de changement, ils demandent normalement l'autorisation du directeur des
services informatiques avant d'exécuter et de mettre en service les changements
demandés.

Recommandations :

Afin d'améliorer le processus et d'atteindre un niveau de maturité plus élevé, l'entreprise

devrait mettre en œuvre la mesure de sécurité de l'information 5.15 Contrôle d'accès
d’ISO/IEC 27001.
Plus précisément, l'entreprise doit :
1. mettre en œuvre une politique de contrôle d'accès avec gestion de l'accès utilisateur
et la documenter de manière appropriée (la politique d'accès doit être basée sur les
exigences de l'entreprise et de la sécurité de l'information) ;
2. tenir un journal de tous les changements qui se produisent dans la base de données,
tels que l'accès, la lecture et l'écriture, etc. ;
3. communiquer le nouveau processus et organiser des séances de formation.

© 2023 PECB | 10
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 5 : Rédiger une politique de sécurité :

À la suite de certains incidents récents relatifs à la sécurité de l'information dans

l'entreprise, e-Scooter a décidé d'établir une politique visant à contrôler l'utilisation de
tous les appareils de communication (par exemple les smartphones, les tablettes et les
autres formes d'appareils de communication portables) sur le lieu de travail.
Vous êtes chargé de rédiger une politique d'utilisation des smartphones. Pour ce faire,
complétez le modèle fourni.
Réponse possible :

POLITIQUE D'UTILISATION DES SMARTPHONES

L'objectif de cette politique est double : d'une part, empêcher la
distraction des employés au travail et augmenter leur productivité, et
Objectif
d'autre part, réduire les risques de failles de sécurité telles que la
divulgation d'informations confidentielles à travers les smartphones.
L'utilisation de smartphones pendant les heures de travail peut entraîner
Introduction une distraction, une perturbation des collègues ou des problèmes de
sécurité. Cette politique vise à éliminer ces problèmes.
Cette politique s'applique à tous les employés, aux membres de la
Domaine d’application
direction et au personnel contractuel.

L'entreprise interdit l'utilisation de smartphones ou de dispositifs

similaires, tels que des dispositifs de stockage de médias non autorisés.
Il est strictement interdit aux employés de prendre des photos ou des
vidéos d’un endroit quelconque de leur lieu de travail ou de tout
Principes document appartenant à l'entreprise.
L'entreprise a le droit de surveiller les employés en cas d'utilisation
excessive ou inappropriée de leurs smartphones.
L'utilisation des smartphones est tolérée uniquement pendant les
pauses.
Il incombe au superviseur, en collaboration avec le département des
ressources humaines, de veiller au respect de cette politique et de
Responsabilités
prendre des mesures pour la faire appliquer. Chaque employé doit
connaître cette politique et la respecter.
La mise en œuvre de cette politique permettra de réduire la distraction
des employés pendant les heures de travail et de réduire le nombre de
Principaux résultats
violations de la sécurité dues à l'utilisation inappropriée des
smartphones.
Conséquences Tout utilisateur qui enfreint la présente politique est passible de
disciplinaires sanctions disciplinaires pouvant aller jusqu’au congédiement.
Politique de sécurité de l’information et politique de protection de la vie
Politiques connexes
privée

© 2023 PECB | 11
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 6 : Options de traitement des risques

Après avoir effectué une évaluation approfondie des risques, vous avez constaté que
0,5 % des transactions électroniques (chiffre d'affaires de 10 millions de dollars)
effectuées par carte de crédit sur l'application de l'entreprise sont de nature
frauduleuse. La direction d'e-Scooter doit prendre une décision importante sur la
manière de pallier ce risque.

Proposez quatre options de réponse au risque et dressez la liste des activités à mener
en fonction de ces options.

Réponse possible :

Option 1 : Acceptation des risques

L’entreprise devrait calculer les pertes sur une base périodique et fournir la réserve
financière nécessaire. La direction doit être informée des risques et doit préalablement
les accepter.

Option 2 : Réduction du risque

L'entreprise peut mettre en place des contrôles pour réduire le risque de fraude, par
exemple en résiliant les comptes qui ont passé des commandes à partir de cartes de
crédit frauduleuses.

Option 3 : Transfert du risque

L’entreprise peut externaliser le processus de paiement à une entreprise externe.

Option 4 : Refus du risque

L’organisme peut décider de ne plus accepter les paiements par carte de crédit et
n’accepter que les paiements par transfert bancaire.

© 2023 PECB | 12
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 7 : Surveillance et révision du processus de gestion des risques

Sur la base de l'étude de cas, expliquez pourquoi il est important pour e-Scooter de
surveiller et de passer en revue son processus de gestion des risques. Citez trois
risques auxquels l'entreprise serait confrontée si elle ne prenait pas de telles mesures.

Réponse possible :
Le but du suivi et de l’évaluation est de maintenir le processus de gestion des risques à
jour et cohérent avec les objectifs de gestion des risques de l'entreprise.

Grâce au suivi et à l’évaluation, e-Scooter peut adapter son processus de gestion des
risques afin d'anticiper, de détecter, de reconnaître et de répondre aux changements de
l'environnement externe et interne de manière appropriée et en temps opportun.

Voici certains risques auxquels e-Scooter serait confrontée s’il ne surveillait pas et
n’évaluait pas son processus de gestion des risques :

• L'incapacité à anticiper et à s'adapter aux tendances du marché et aux attentes des

clients.
• Un processus de gestion des risques qui n'est pas adapté et qui ne correspond pas
aux objectifs de l'entreprise.
• L'incapacité à refléter les changements dans le secteur dans lequel e-Scooter opère.

© 2023 PECB | 13
 Formation Certified ISO/IEC 27001 Lead Implementer

Exercice 3 : Mesures de sécurité

Fournir un plan d'action constituant au moins deux actions à entreprendre pour assurer
la conformité aux clauses et contrôles suivants de la norme ISO/IEC 27001.

Exemple : Mesure 7.12 Sécurité du câblage

• Utilisation d'une gaine de câblage réseau blindée pour isoler et protéger les câbles
d'alimentation et de télécommunications contre l'interception
• Documenter le matériel de câblage autorisé pour éviter l'utilisation de matériel de mauvaise
qualité.

Réponse possible

1. Article 7.2 a) Déterminer les compétences nécessaires de la ou des personnes

effectuant, sous son contrôle, un travail qui a une incidence sur les performances
de la sécurité de l’information;
• Déterminer les qualifications nécessaires pour chaque personne impliquée dans
le processus de mise en œuvre qui pourrait potentiellement affecter le
fonctionnement de chaque mesure de sécurité compris dans le SMSI.
• Déterminer l'expérience nécessaire du personnel en ce qui concerne les
opérations du SMSI.

2. Article 10.2 a) Réagir à la non-conformité

• Établir une procédure de gestion des non-conformités
• Former un groupe de travail pour la gestion des non-conformités.

3. Mesure 8.6 Dimensionnement

• Développer un plan de gestion des capacités
• Mettre en place des outils de suivi pour mesurer la capacité des systèmes
d'information

4. Mesure 8.7 Protection contre les logiciels malveillants

• Installer et tenir à jour des logiciels antivirus
• Incorporer ce contrôle dans le plan de sensibilisation à la sécurité de
l'information.

5. Mesure 5.14 Transfert de l’information

• Crypter les informations transférées.
• Ajouter des signatures électroniques

© 2023 PECB | 14
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 8 : Liste maîtresse des informations documentées

La direction générale d'e-Scooter a décidé de mettre en œuvre toutes les mesures de

sécurité de l'information sur la gestion de la continuité d’activité (ISO/IEC 27001,
Annexe A 5).

Proposez une liste des informations documentées qui devraient être générées pour
assurer la conformité à la mesure de sécurité de l'information 5.29.

Réponse possible :

Voici quelques informations documentées qui permettraient de garantir la conformité à la

mesure de sécurité de l'information 5.29 de la norme ISO/CEI 27001 :

1. Plan de continuité d’activité

2. Plan de continuité des TIC
3. Rapport de bilan d'impact sur l'activité (BIA)
4. Enregistrements des activités
5. Procédure et rapport d’essai
6. Mise à jour des plans (avec rapports d’activités)

© 2023 PECB | 15
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 9 : Contrôle d’accès

À la suite de la réalisation d'un audit interne des mesures de sécurité de l'information

dans l'entreprise e-Scooter, il a été constaté qu'il n'existe aucun enregistrement des
employés du département de développement logiciel qui travaillaient à distance et
avaient accès aux informations personnellement identifiables de leurs clients stockées
dans la base de données du cloud de la blockchain.

Déterminez et expliquez le contrôle qui n'est pas appliqué dans l'entreprise.

Réponse possible :

Il n’existe aucun contrôle d'accès pour accorder ou refuser des demandes spécifiques
liées à l'obtention et à l'utilisation d'informations et de services de traitement de
l'information connexes.

Le contrôle d'accès est l'un des contrôles fondamentaux de tout système informatique, et
constitue la première ligne de défense contre les erreurs, les omissions et les attaques
malveillantes provenant de sources internes et externes. Ils sont basés sur l'identité de la
personne, du processus ou de l’appareil concernés. Par conséquent, les processus
d'identification et d'authentification sont étroitement liés aux contrôles d'accès.

© 2023 PECB | 16
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 10 : Programme de sensibilisation et de formation

e-Scooter n'a pas dispensé des programmes de sensibilisation et de formation à la

sécurité de l'information au sein de son entreprise. Par conséquent, les employés n'ont
pas réussi à prévenir et à répondre aux violations relatives à ces questions.

Expliquez l'importance de mener des programmes de formation et de sensibilisation

dans une entreprise, et proposez des actions qui devraient être prises pour que les
programmes de formation et de sensibilisation soient réussis et efficaces.

Réponse possible :
Le personnel de l'entreprise et toutes les parties intéressées doivent être éduqués et
sensibilisés sur les incidents de sécurité de l'information, et être formés de manière
adéquate pour accomplir leurs tâches et responsabilités liées à la sécurité de
l'information en harmonie avec les politiques, procédures et accords correspondants.

Par conséquent, les programmes de sensibilisation et de formation sont essentiels à la

mise en œuvre réussie des mesures de sécurité au sein de l'entreprise. Ils assurent la
cohérence des pratiques en matière de sécurité de l'information et contribuent à la
diffusion et à la mise en œuvre des politiques, des directives et des procédures.

Les mesures à prendre pour mettre en place des programmes de sensibilisation et de

formation efficaces et réussis varient en fonction de la nature des activités de
l'entreprise. Les parties importantes de la politique de sécurité de l'information doivent
être comprises dans les programmes de sensibilisation et de formation. Toutefois,
l'entreprise doit avant tout s'assurer que tout le personnel assiste à ces programmes et y
accorde toute son attention.

© 2023 PECB | 17
 Formation Certified ISO/IEC 27001 Lead Implementer

Exercice 4 : Plan d’action corrective

Un audit interne a été réalisé au sein d'e-Scooter et plusieurs non-conformités ont été
détectées. Proposez des actions correctives pour chaque non-conformité et justifiez
ces actions.
1. Après l'audit interne, une non-conformité a été émise concernant l'absence d'un
plan de continuité d'activité et les critères d'activation de ce plan en cas de
catastrophe. Lors d'un entretien avec le PDG de l’entreprise, il a été affirmé qu'il
prévoyait d'établir un plan de continuité d'activité, mais qu'il travaillait d'abord sur
d'autres priorités. Toutefois, les entretiens menés avec les employés ont révélé que,
malgré l'absence d'un plan de continuité d'activité documenté, ils sont tenus de
signaler toute interruption ou crise potentielle au PDG.

Causes fondamentales :
Le PDG envisage de reporter l'établissement d'un plan de continuité d'activité.

Action corrective :
Le PDG doit donner la priorité à l'établissement d'un plan de continuité d'activité et le
mettre en œuvre dès que possible. Il doit ensuite sensibiliser ses employés à l'existence
d'un plan formel et bien documenté en cas de catastrophe. Les rôles et les
responsabilités de chacun doivent bien être indiqués sur le plan.

Justification :
La mise en place d'un plan de continuité d'activité adéquat aidera l'entreprise à restaurer
ou à poursuivre ses activités après une perturbation, un incident ou une catastrophe, qui
peut aller d'une simple erreur logique sur l'application à une catastrophe naturelle
majeure.

© 2023 PECB | 18
 Formation Certified ISO/IEC 27001 Lead Implementer

2. L'entreprise n'a pas traité un incident dans le délai déterminé par sa politique de
gestion des incidents. Cette politique indique explicitement que, comme objectif,
tous les incidents doivent être clos dans les cinq jours et que 100 % des incidents
doivent être clos dans les 15 jours à compter du moment où ils ont été signalés.
Pour cet incident, un client qui a loué un e-Scooter a déclaré avoir été victime d’une
fraude par carte de crédit et voulait un remboursement complet. La personne
chargée de gérer cet incident était absente et est revenue au bureau après 12 jours.
Au moment où ils ont commencé à traiter l'incident, il y avait beaucoup de travail à
faire et le cas de fraude par carte de crédit était si complexe qu'il a fallu cinq jours
de plus pour résoudre ce problème, enquêter et clôturer l'incident. Personne d’autre
dans l’entreprise ne s’est occupé des incidents en l’absence de l’employé.

Causes fondamentales :
Dans toute l'entreprise, une seule personne s'occupe du processus de gestion des
incidents.

Action corrective :
L'entreprise doit avoir d'une autre personne formée au processus de gestion des
incidents ou externaliser ce processus, afin de réduire au minimum ces désagréments.

Justification :
La politique de gestion des incidents permet d'éliminer les problèmes liés aux incidents
au sein de l'entreprise. La formation du personnel sur la manière de traiter les incidents et
de les gérer en conséquence aide l'entreprise à résoudre de tels problèmes ; dans ce cas
précis, en particulier, l'affectation d'un adjoint permettrait de résoudre le problème.

© 2023 PECB | 19
 Formation Certified ISO/IEC 27001 Lead Implementer

3. Selon les conclusions de l'audit interne, lorsque l'application e-Scooter est tombée
en panne la semaine dernière, le tiers (fournisseur de cloud) chargé de la
maintenance de l'application n'est pas intervenu pendant 72 heures. Cette
indisponibilité a causé un préjudice financier d'environ 35 000 dollars, un montant
jugé inacceptable par l'entreprise.

Causes fondamentales :
Accord de niveau de service non disponible, mauvaise communication avec le tiers
responsable, pas de plan de continuité d’activité.

Action corrective :
Plusieurs possibilités : Établir un accord de niveau de service pour assurer la continuité
d'activité ; élaborer un plan de continuité d'activité ; changer de fournisseur ; obtenir un
numéro d'urgence pour contacter le fournisseur responsable pour la remontée d'un
problème.

Justification :
Pour les entreprises dont les processus sont directement liés à l'application de
l'entreprise, la continuité d'activité revêt une importance cruciale. Grâce à l’établissement
d’un plan de continuité d'activité, l’organisme éviterait les pertes subies pendant
l’indisponibilité du site web.

© 2023 PECB | 20
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 11 : Développement d’indicateurs de sécurité de l’information

Donnez au moins deux exemples d’indicateurs éventuellement suffisants pour mesurer

le niveau de conformité aux clauses et contrôles suivants de la norme ISO/IEC 27001.

Exemple : Article 5.1 Leadership et engagement

• Le nombre de réunions de revue de direction réalisées à ce jour
• Taux moyen de participation aux revues de direction à ce jour

Réponse possible :

1. Article 10.2 d) Réviser l’efficacité de toute action corrective mise en œuvre

• Le nombre d'actions correctives mises en œuvre au cours de l'année dernière
• Le pourcentage de demandes d’actions correctives qui ont été traitées en trois
mois
• Le délai moyen de résolution d'un cas de non-conformité.

2. Article 5.3 Rôles, responsabilités et autorités au sein de l’organisation

• Le pourcentage d'employés dont les rôles et les responsabilités à l'égard du SMSI
ont été formellement définis.
• Le pourcentage de mesures de sécurité pour lesquelles une personne
responsable a été assignée

3. Mesure 5.9 Inventaire des informations et autres actifs associés

• Le pourcentage d’actifs ayant fait l’objet d’un changement de propriétaire dont
les informations ont été corrigées dans l’inventaire des actifs
• Le pourcentage d'actifs avec un propriétaire identifié

4. Mesure 5.11 Restitution des actifs

• Le nombre d'actifs retournés avec une fiche de retour d'actifs remplie.
• Le nombre d'actifs restitués par les employés qui ont quitté l'entreprise.

5. Mesure 5.17 Information d’authentification

• Le pourcentage de mots de passe des employés qui respectent la politique de
sécurité de l'entreprise.
• Nombre d'appels reçus par le centre de service pour des incidents liés à
l'utilisation des mots de passe

© 2023 PECB | 21
 Formation Certified ISO/IEC 27001 Lead Implementer

Devoir 12 : Revue de direction

Expliquez l'objectif d'une revue de direction concernant la mise en œuvre du SMSI et les
points à prendre en compte lors de la réalisation d'une telle revue.

Réponse possible :

L’objectif d'une revue de direction est de vérifier si les objectifs définis sont atteints, de
vérifier si le SMSI est conforme aux exigences de la norme ISO/IEC 27001 et de s'assurer
de la pertinence, de l'adéquation et de l'efficacité continues du système de gestion en
place.

Lors de la revue des éléments susmentionnés, la direction générale doit tenir compte de
l'état des actions des revues de direction précédentes, des non-conformités et des
mesures correctives prises, des résultats des audits, des résultats du suivi et des
mesures, etc.

© 2023 PECB | 22