CF170

Question 1

Dans le domaine de l’assurance, de quelle manière définissons-nous le risque ?

Answer 1

Événement, préjudice, indépendant de la volonté des personnes, contre la survenance duquel l’assuré veut se prémunir

Question 2

D’où provient le concept de gestion de risques comme nous le connaissons aujourd’hui ?

Answer 2

Dans le milieu de l’assurance que l’ont doit le développement, au cours des années 1960 et 1970.

Avec l’objectif de réduire les pertes, les compagnies d’assurance ont commencé à cette époque à inciter leurs clients commerciaux à accroître la sécurité de leurs installations contre les risques extérieures à l’entreprise

IMPORTANT

Question 3

Quels sont les niveaux de l’analyse des risques ?

Answer 3

International
National
Provincial
Territorial
Gouvernemental
Organisationnel

Question 4

Quels sont les concepts clés d’un risque relié à l’information

Answer 4

Probabilité + incertitude

19h33

Question 5

Quels sont les trois grands domaines de risque de l’organisation selon le modèle des risques?

Answer 5

1. Risques d’affaires
   (Stratégique, réputation)
2. Risques financières
   (Liquidité, crédit, marché)
3. Risques opérationnels
   (RH, Gestion des processus, gestion des systèmes, vol et fraude, sinistres, etc.)

le cours se concentre sur le numéro 3

19h36

Question 6

Quelles sont les responsabilités d’un gestionnaire des risques ?

Answer 6

Prendre des décisions éclairées dans l’intérêt de leur organisation en déterminant, en comprenant, en évaluant, en mesurant, en atténuant et en communiquant les enjeux importants liés aux risques.

Question 7

Pourquoi gérer les risques ?

Answer 7

Pour protéger les objectifs de sécurité de l’information de l’entreprise dans le but de lui permettre d’atteindre ses objectifs

Raisons auxiliaires :

• Pour prévenir les mauvaises surprises
• Pour faire une gestion saine et prudente en optimisant l’allocation des ressources
• Pour protéger et sauvegarder les intérêts des dirigeants et des parties prenantes
• Pour adopter les meilleures pratiques

Question 8

Pour bien gérer les risques, que devons-nous connaitre à propos de l’organisation ?

Answer 8

• Mission, vision et valeurs de l’organisation
• Objectifs stratégiques, tactiques et opérationnels
• Les activités de l’organisation
• Les politiques et procédures
• Réglementations
• Responsabilités de la sécurité des personnes, des biens et de l’information
• Qui fait quoi au sein de l’organisation
• Relations de travail (syndicat?)
• Santé et sécurité
• Aspects légaux

Question 9

Comment se nomment les deux outils permettant de connaitre une organisation ?

Answer 9

PESTEL
FFOM (SWOT)

(y’a les parties prenantes aussi..)

Question 10

Comment fonctionne le PESTEL ?

Answer 10

Outil qui permet d’analyser une entreprise sur plusieurs perspectives.

Politique
Économique
Socioculturel
Technologique
Écologique
Légal

Question 11

À quoi sert le FFOM

Answer 11

Permet d’analyser une entreprise du point de vue externe et interne selon ses forces/faiblesses (ce que l’on peut faire) et ses opportunités/menaces (ce qu’il faut faire) afin d’identifier les actions à mener.

Question 12

Pourquoi devons-nous également analyser les parties prenantes ?

Answer 12

Savoir quelles sont les personnes qui interagissent avec l’entreprise

• Les producteurs de risques peuvent être internes ou externes à l’organisation

INTERNES

• Les dirigeants
• Les salariés
• Les actionnaires

EXTERNES

• Consommateurs
• Administrations
• Citoyens
• Etc.

GESTIONNAIRES DE RISQUE

• L’État
• Les entreprises
• Les experts
• etc.

(9h42)

Question 13

Sur quelle approche un programme de sécurité d de l’information doit s’appuyer pour être efficace ?

Answer 13

Un programme de sécurité de l’information efficace doit s’appuyer sur une approche INTÉGRÉE DES RISQUES pour une prise de DÉCISION ÉCLAIRÉE si l’on veut avoir la chance de lutter contre les menaces en constante évolution et avoir une chance de le prioriser dans la panoplie de nouvelles exigences auxquelles les organisations doivent maintenant se soumettre

Question 14

Quels sont les concepts qui doivent être considérés pour la sécurité de l’information ?

Answer 14

CONFIDENTIALITÉ
propriété qu’ont les données/infos/systèmes/communications d’être accessible et utilisables en temps voulu et de la manière adéquate par une personne autorisée

INTÉGRITÉ
Propriété d’une info/technologie de l’info de n’être ni modifiées, ni altérées ni détruites sans autorisation

DISPONIBILITÉ
Propriété qu’ont les données, l’info, systèmes d’info et comm. d’être accessibles et utilisables en temps voulu et de la manière adéquate par une personne autorisée

IMPUTABILITÉ
Caractère de ce qui peut être imputé avec certitude à une personne. Notion juridique qui exprime la possibilité de faire porter la responsabilité d’une infraction à une personne

AUTHENTIFICATION
Acte permettant à un système informatisée de vérifier et d’établir la validité de l’identité d’une personne ou d’un dispositif afin d’autoriser son accès à un actif informationnel, selon les modalités rattachées à son identifiant

IMPORTANT (tu dois être capable de les expliquer dans tes mots)

Question 15

Quels sont les trois modèles théoriques en sécurité de l’information présentés dans le cours ?

Answer 15

1) BELL-LAPADULA

Principal objectif est de s’assurer de la CONFIDENTIALITÉ DES INFORMATIONS
(important)

Développé au début des années 70 par D. Elliot Bell et Leonard Lapadula

Applications militaires

Modèle qui vise à prévenir qu’un sujet n’obtienne de l’information d’une classe supérieure à sa cote de sécurité, par lui-même ou par une tierce personne.

Modèle très formel NO READ UP/NO WRITE DOWN POLICY

2) BIBA

Principal objectif est de s’assurer de L’INTÉGRITÉ en fonction de l’habilitation des sujets et la classification des objets (secret top secret etc)

Développé dans les années 70 par Ken Biba

Le but est de s’assurer qu’un sujet NE CONTAMINE PAS L’INFORMATION qui est transmise à un niveau supérieur dans la hiérarchie (important)

NO WRITE UP/NO READ DOWN POLICY

3) BREWER-NASH (CHINESE WALL)

Objectif d’appliquer des contrôles d’accès afin de minimiser les RISQUES DE CONFLIT D’INTÉRÊTS (important)

Un sujet ne doit pas être capable de lire un objet d’une compagnie si ce dernier a pu lire des objets d’un compétiteur de cette compagnie dans le passé

Question 16

À quel moment les menaces peuvent viser les vulnérabilités ?

Answer 16

Lorsque des données sont :

1. au repos
2. au cours du traitement
3. en transit (filaire, sans fil ou même interne à un système)

Les risques de ces trois étapes peuvent être très différents et doivent donc être analysés individuellement.

Question 17

Donne-moi des exemples de menaces relatives à la sécurité de l’information

Answer 17

1. Accès non-autorisé : violation de données
2. Corruption : modification accidentelle d’un enregistrement de données
3. Hameçonnage
4. Déni de service : attaque qui rend une ressource indisponible
5. Rançongiciel
6. Ingénierie sociale

Question 18

Quels sont les deux types d’outils de sécurité ?

Answer 18

1. Du point de vue de la Gouvernance

2. Du point de vue technique

Question 19

Quels sont les outils de gouvernance ?

Answer 19

1. Politiques
2. Procédures
3. Normes
4. Directives
5. Procédures

Les outils de gouvernance servent d’encadrement aux aspects techniques

Question 20

Quels sont les groupes d’outils de sécurité du point de vue technique ?

Answer 20

1. Authentification forte et double authentification (puces, identifiant unique)
2. Gestion de la traçabilité et monitorage (journalisations, Security Operation Center)
3. Gestion de la conformité (certifications, contrôle des configurations)
4. Gestion de la confidentialité (VPN, chiffrement)
5. Gestion de la disponibilité (backup, data loss prevention)
   Gestion de l’intégrité (anti-virus, checksum)
6. Gestion de l’imputabilité (signature électronique, certificat)

IMPORTANT DE CONNAITRE AU MOINS UN EXEMPLE POUR CHAQUE (plus d’exemples dans son video séance 12 19h55)

Question 21

En quoi consiste l’approche Zero Trust ?

Answer 21

Considérant qu’il existe toujours des menaces internes ou externes prêtent à s’en prendre à l’orgnisation, l’idée de cette approche est de se fier à personne.

Question 22

Quand on parle de sécurité, qu’est-ce qui est important de faire ?

Answer 22

Prendre en considération le contexte de l’organisation puisque le niveau souhaitable de sécurité varie selon les organisations, entre les industries et parfois même entre les départements au sein de la même organisation.

Il faut donc, évaluer LA TOLÉRANCE AU RISQUE de l’organisation et appliquer cette même intention derrière les normes de sécurité à chaque situation tout en s’assurant d’ÉQUILIBRER LES COÛTS DES CONTRÔLES DE SÉCURITÉ versus le potentiel de réduction d’EXPOSITION AU RISQUE

Question 23

Quels sont les principes de conception en sécurité de l’information ?

Answer 23

1) Least Privilege
2) Defense in Depth (firewall)
3) Separation of Duties (gestion des systèmes TI et paiement des fournisseurs)

IMPORTANT

Pour avoir du succès en sécurité de l’information, il est nécessaire d’avoir un bon équilibre

Question 24

Qu’est-ce qu’un actif informationnel et quelle loi le défini ?

Answer 24

La Loi concernant le cadre juridique des technologies de l’information définit le document comme étant :

Une ensemble constitué d’information portée par un support. L’information y est délimitée et structurée, de façon tangible ou logique selon le support qui la porte, et elle est intelligible sous forme de mots, de sons ou d’images

Question 25

À quoi sert la catégorisation de l’information ?

Answer 25

Elle a pour but de déterminer le niveau de protection des risques encourus en matière de disponibilité, d’intégrité et de confidentialité (DIC)

Question 26

Quand considérons-nous qu’un actif est critique ?

Answer 26

Lorsqu’un événement touchant le DIC (disponibilité, intégrité, confidentialité) peut amener notre entreprise a ne pas pouvoir rendre les services pour lequelle est elle conçue.

Question 27

Quels sont les concepts clés de la catégorisation de l’information ?

Answer 27

• Critères de sécurité (le DIC)
• Niveaux d’impact
• Objet de catégorisation
• Niveau de granularité
• Registre de catégorisation (doit toujours être tenu à jour)
• Cycle de vie de l’information (de sa création jusqu’à sa destruction)
• Détenteur de l’information

Question 28

Quels sont les étapes du processus de catégorisation de l’information ?

Answer 28

1. Étude préliminaire (apprécier la pertinence de l’exercice)
2. Préparation de l’exercice de catégorisation
3. Exercice de catégorisation
4. Maintien du registre de catégorisation

Question 29

À quoi correspond le risque de crédit ?

Answer 29

Le risque de crédit correspond au risque de pertes découlant du manquement d’un emprunteur ou d’une contrepartie de s’acquitter de ses obligations contractuelles figurant ou non au bilan combiné

Question 30

À quoi correspond le risque de marché ?

Answer 30

Le risque de marché représente le risque de perte financière découlant d’une fluctuation de la valeur des instruments financiers

Question 31

À quoi correspond le risque de liquidité

Answer 31

Le risque de liquidité correspond au risque lié à la capacité du Mouvement Desjardins de réunir les fonds nécessaires (par augmentation du passif ou conversion de l’actif) pour faire face à une obligation financière figurant ou non au bilan combiné

Question 32

Comment peux-tu me définir le risque ?

Answer 32

Par risque, on désigne l’incertitude qui entoure les incidents futurs et leurs résultats. Il s’agit de la chance qu’un événement survienne et qu’il ait des répercussions sur les objectifs

Question 33

Comment peux-tu me définir la vulnérabilité ?

Answer 33

Faille ou faiblesse dans un système permettant à un attaquant de porter atteinte à l’intégrité de ce système ou à son fonctionnement normal. La vulnérabilité désigne à la fois la probabilité et les conséquences d’un incident.

Question 34

Comment peux-tu me définir la menace ?

Answer 34

Situation dans laquelle il y a présence d’un danger ou d’une exposition à celui-ci.

Question 35

Quelles sont les étapes d’analyse de risques informationnels ?

Answer 35

1) Qualifier et comprendre l’actif à évaluer
2) Définir les objectifs et les critères d’évaluation
3) Constituer un groupe de travail
4) Récolter et préparer l’information
5) Choisir la méthode d’analyse
6) Identifier les menaces
7) Identifier les vulnérabilités
8) Définir et évaluer les scénarios applicables
9) identifier les impacts (faut que tu comprennes c’est quoi un impact important..)
01: 30:44

10) Évaluer les risques
Instaurer une cote de fréquence (probabilité) et de gravité (impact) à chacun des scénarios préalablement identifiés

11) Recommander des mesures d’atténuation et traiter le risque

Question 36

Qu’est-ce qu’une estimation des fréquences d’occurence ?

Answer 36

Évaluer les causes éventuelles permettant la survenance d’un événement afin de déterminer :

1) Sa fréquence
2) Sa durée
3) Sa nature

La valeur de fréquence attribuée à un événement de danger tient habituellement compte de l’efficacité des méthodes de prévention en place, laquelle permet de réduire cette valeur.

Question 37

Quelles sont les trois approches généralement utilisées pour estimer les fréquences ?

Answer 37

1) Données historiques pertinentes (nombre d’événements par année, par mois, par semaine)
2) Déduction des fréquences d’événements au moyen de techniques analytiques ou de simulation (analyse statistiques, prédictive ou de probabilité)
3) le recours à des avis d’experts

(mises en situation associés à ces notions dans l’examen)

Question 38

Énumère-moi des exemples de mesures d’atténuation

Answer 38

• Priorisation des risques identifiés
• Cohérence des mesures d’atténuation
• Évaluation coûts / bénéfices pour l’organisation en tenant compte de la tolérance au risque
• Classement par ordre de priorité des mesures
• Proposition des recommendations

Question 39

Énumère-moi des mesures de traitement du risques

Answer 39

• Acceptation du risque
• Évitement du risque
• Transfert du risque
• Atténuation du risque
• Risk spreading

Le choix de l’option de traitement du risque dépend de la TOLÉRANCE AU RISQUE de l’organisation

Question 40

En quoi consiste le risque résiduel ?

Answer 40

RISQUE INHÉRENT (risque auquel l’entité est exposée de par la nature de ses activités, sans contrôle ou autres mesures qui pourraient être mis en oeuvre afin de réduire le risque.)

+

MESURES D’ATTÉNUATION
(Pratiques, outils ou mécanisme qui vise à réduire le degré d’exposition au risque)

=

RISQUE RÉSIDUEL
(Risque qui subsiste après la réponse au risque ou après l’application de mesures d’atténuation du risque.)

Question 41

Quel est l’objectif de ISO27001

Answer 41

ISO 27001 prescrit un cadre de gestion de la sécurité de l’informaiton et une analyse de risques pour identifier les contrôles applicables et la mesure dans laquelle le contrôle doit être appliqué

Question 42

Quel est l’objectif de ISO27002

Answer 42

ISO27002 donne la liste de tous les contrôles prévus en Annexe A de 27001 avec plus de détails pour en aider l’implémentation

Il ne permet PAS de faire la différence entre les contrôles qui sont applicables à une organisation et ceux qui ne le sont pas

Question 43

Quel est l’objectif de ISO27005 ?

Answer 43

ISO27005 vient décrire de façon concrète le processus de gestion de risques dans un contexte de sécurité de l’information.

S’articule autour de 6 axes

1. Établissement du contexte
2. Volets d’évaluation de risques
3. Volet traitement de risques
4. Acceptation
5. Monitoring/amélioration continue
6. Consultation/communication

NORME LA PLUS IMPORTANTE DANS LE CADRE DE GESTION DE RISQUES

(pour l’examen, avoir une bonne compréhension des composantes de cette norme)

Question 44

Quels sont les objectifs et les résultats de la norme ISO27005

Answer 44

1. Protéger DIC des informations en fonction de la valeur et des besoins de l’organisation
2. Répondre aux exigences législatives, réglementaires et contractuelles
3. Réduire les risques (être en mesure de gérer les impacts suite à un événement)

Question 45

Un événement pourrait avoir un impact sur la confidentialité, la disponibilité et l’intégrité de l’information. Quelles sont les deux notions importantes à garder en tête lors de la gestion des risques en contexte de sécurité de l’information ?

Answer 45

La notion de matérialisation (la probabilité de matérialisation est-elle élevée ou non?)

La notion d’impact (si le risque se matérialise, l’impact est-il important ou non?)

Question 46

Qu’est-ce qui influence le niveau d’impact d’un risque ?

Answer 46

1. La classification de l’information qui est en jeu (DIC)
2. La criticité des processus
3. Le contexte organisationnel (l’importance d’un impact est subjective à celui qui le regarde et les impacts peuvent être différents d’une organisation à une autre)

Question 47

Dans quelle situation un impact peut être réduit ?

Answer 47

1) Incident détecté rapidement
2) Incident isolé
3) Incident imperceptible
4) Procédures de rétablissement de la situation en place

Question 48

Qu’associe-t-on à chaque critère d’impact ?

Answer 48

Un facteur de pondération qui devra faire consensus et traduire l’importance relative d’un critère pour l’organisation

Question 49

Qu’est-ce qu’un registre de risques (aussi appelé documentation des risques)?

Answer 49

C’est un document que l’organisation maintient sous forme de tableaux montrant l’historique des risques d’un ou de plusieurs projets avec les différents impacts et probabilité, ce registre servira de référentiel pour les nouveaux projets

Question 50

Qu’est-ce qu’un contrôle ?

Answer 50

Identification des actions ou processus, manuels ou non, qui permettent de prévenir ou de détecter les risques préalablement identifiés.

On dit des contrôles qu’ils mitigent les risques, c’est à dire, qu’ils permettent de réduire l’impact et/ou la probabilité qu’une situation risquée se matérialise.

Il existe plusieurs types de contrôle : physique, technique, organisationnel, administratif et juridique.

Question 51

Outre les mécanismes de gestion de risques, une gestion de risques efficace nécessite l’établissement d’une gouvernance associée à ce processus. La gouvernance se résume en 4 points, quels sont-ils ?

Answer 51

1. ENCADREMENTS (politique de gestion des risques et directive et encadrement sur les étapes du processus)
2. RÔLES ET RESPONSABILITÉS (RACI Chart)
3. PLANIFICATION DES ACTIVITÉS (plan de projet et plan d’affaire)
4. REDDITION DE COMPTE (Objectif des indicateurs de risque et de gestion)

Question 52

Qu’est-ce que le RACI ?

Answer 52

R : Qui est responsable (personne assignée de faire l’activité ou le travail ciblé)

A : Qui est imputable (personne qui prend la décision finale, souvent le propriétaire ultime)

C : Qui est consulté ou contributeur

I : Qui est informé (personne qui doit être informée qu’une décision ou une action est prise)

Question 53

Les structures décisionnelles de l’encadrement en matière de gouvernance sont divisées en trois niveaux, quels sont-ils ?

Answer 53

Stratégique, tactique et opérationnelle

Question 54

Quels sont les outils d’analyse de risques appris dans ce cours ?

Answer 54

EBIOS
OCTAVE
COBIT
MEHARI

(faudrait que tu sois capable de les résumer.. mettons)

Question 55

Il existe deux indicateurs pour évaluer le succès des outils, quels sont-ils ?

Answer 55

INDICATEUR CLÉ DE PERFORMANCE (KPI)
Un KPI est une mesure (taux, moyenne,%) qui représente de l’information ou un ensemble d’information permettant aux parties prenantes d’apprécier une situation face à un objectif donné.

INDICATEUR CLÉ DE RISQUE (KRI)
Un KRI est une mesure qui représente de l’information sur les causes et sources de risque permettant d’anticiper ou de suivre un risque.

Pour l’examen il va sûrement falloir que tu les identifies/donnes des exemples dans un contexte donné

Question 56

Donne-moi quelques critères pour l’établissement des métriques des indicateurs.

Answer 56

1. Raison d’être
2. Audience visé
3. Cible (valeur)
4. Déclencheur
5. Seuil de tolérance
6. Périodicité
7. Source
8. Qualité de l’information collectée
9. Mode d’extraction et d’alimentation
10. Responsable

Question 57

Qu’est-ce qu’un contrôle interne ?

Answer 57

Le contrôle interne est un PROCESSUS INTÉGRÉ mis en oeuvre par le CONSEIL, le MANAGEMENT et les COLLABORATEURS d’une entité, destiné à fournir une ASSURANCE RAISONNABLE quant à la réalisation d’objectifs liés aux OPÉRATIONS, au REPORTING et à la CONFORMITÉ.

En d’autres termes, le contrôle internet est l’ensemble des moyens mis en oeuvre afin d’atteindre les objectifs de gestion des risques de l’entreprise.

Ceci inclut le maintien et l’amélioration de la performance de l’entreprise

Question 58

Quelles peuvent être les conséquences d’une absence de contrôles

Answer 58

• Des sanctions légales
• coût excessifs
• pertes de revenus
• destruction ou la perte d’actif
• perte de réputation

etc

Question 59

En contrôle informatique, il existe deux types de contrôle, quels sont-ils ?

Answer 59

• Les contrôles généraux TI (aussi appelés contrôles d’infrastructure)
• Les contrôles applicatifs

(les contrôles peuvent aussi être administratifs (relatifs au management), techniques et physiques)

Question 60

Les contrôles généraux s’appliquent à quoi ?

Answer 60

À l’ensemble des composantes, processus et données d’une organisation ou d’un environnement système.

(ex: la politique de sécurité de l’information, l’administration, les accès, la sauvegarde, etc)

Question 61

Sur quoi portent les contrôles applicatifs ?

Answer 61

Ils portent sur l’étendue des processus de l’entreprise ou ses applications.

(la validation de données, la séparation des tâches, la balance des totaux de contrôle, etc)

Question 62

Quels sont les 5 grands types de contrôles ?

Answer 62

1. Préventif (réduire les vulnérabilités)
2. Détectif (détecter les incidents survenus)
3. Correctif (réduire les impacts des incidents)
4. Directif (constitue les politiques et guides visant à contrôler toutes les composantes du risque opérationnel)
5. Dissuasif (réduire les menaces)

Question 63

Énumère-moi des approches d’évaluation ?

Answer 63

1. Autoévaluation
2. La vérification/enquête (judiciaire) (quelqu’un à l’extérieur de l’entreprise)
3. L’assurance de contrôle chez des Tiers (SOC, NCMC3416)
4. Le test d’intrusion
5. L’audit

Question 64

Au niveau des plans de continuitié des affaires, que signifie la disponibilité ?

Answer 64

Propriété d’une information d’être accessible en temps voulu et de la manière requise par une personne autorisée

Question 65

Au niveau des plans de continuitié des affaires, que signifie la continuité des services ?

Answer 65

Capacité d’une organisation d’assurer, en cas de sinistre, la poursuite de ses processus d’affaires selon un niveau de service prédéfini.

Question 66

Au niveau des plans de continuitié des affaires, que signifie le plan de continuité des services ?

Answer 66

Planification stratégique, tactique et opérationnelle comportant un ensemble d’informations et de procédures documentées prêtes à l’utilisation pour assurer la continuité des services d’une organisation.

Question 67

Au niveau des plans de continuitié des affaires, que signifie le système de gestion de la continuité des services ?

Answer 67

Partie du système de gestion globale d’une organisation, basée sur une approche du risque lié à ses processus d’affaires, visant à définir, mettre en oeuvre, exploiter, vérifier, tenir à jour et améliorer la continuité des services

Question 68

Quels sont les avantages d’avoir un PCA (plan de continuité des affaires)

Answer 68

1. Répondre efficacement lorsqu’un incident survient : protéger la vie des employés et des clients, les actifs de l’entreprise, limiter les pertes financières et matérielles tout en assurant la poursuite des activités critiques de l’entreprise afin de préserver ses revenus, sa réputation et de faciliter un retour à ses activités habituelles.
2. Améliorer la gestion des opérations courantes : meilleure compréhension des interdépendances, liens entre les unités opérationnelles et leurs fournisseurs, amélioration des processus.
3. Démontrer que l’entreprise est responsable et a de saines pratiques de gestion en vigueur : aux employés, actionnaires, investisseurs, banques, régulateurs, journalistes, assureurs

Question 69

Quelle norme ISO est dédiée à la continuité des affaires concernant la relève informatique informatique ?

Answer 69

ISO27031

Technologie de l’information – techniques de sécurité – Lignes directrices pour la préparation des technologies de la communication et de l’information pour la continuité d’activité

Question 70

Qu’est-ce que le BIA ?

Answer 70

Basic Impact Analysis (Analyse des impacts d’affaires)

1. Définir les critères d’évaluation des impacts de l’organisation
2. Définir la durée d’interruption de référence de l’organisation
3. Évaluer l’impact sur les processus
4. Déterminer les objectifs de continuité
5. Application des objectifs de continuité aux processus critiques

Question 71

Quels sont les principaux objectifs de la continuité des affaires ?

Answer 71

Examen (réécoute 21h47:42, le prof dit que c’est super important pour l’examen)

1. Le point de reprise visé : moment antérieur au sinistre jusqu’où il faut remonter pour restaurer les données permettant la reprise des services interrompus.
2. Le niveau minimal de service : indicateur de la qualité minimale des services offerts à la clientèle à l’occasion d’une prestation au terme du temps de reprise visé (fonctionnement en mode dégradé)
3. Le temps de reprise visé : durée maximale d’interruption tolérée avant la reprise d’un niveau minimal de service.
4. La durée de tolérance de l’interruption : Durée tolérée d’interruption des services, avant leur retour à un niveau normal de fonctionnement.

LE BUT DE L’EXERCICE EST QUE LE TEMPS DE REPRISE VISÉ SOIT PLUS COURT QUE LA DURÉE DE TOLÉRANCE DE L’INTERRUPTION !!!!

Question 72

Explique-moi les concepts de MTD, RTO et RPO pour le BIA ?

Answer 72

1) La durée de tolérance de l’interruption : MTD MAXIMUM TOLERABLE DOWNTIME qui s’avère être le temps maximum qu’une unité d’affaires peut ne pas fonctionner avant que cela cause des problèmes importants à l’organisation.
2) Le temps de reprise visé : RTO RECOVERY TIME OBJECTIVE qui s’avère être la durée de temps que cela prendra pour relever chacune des unités d’affaires ou des applications
3) Le point de reprise visé : RPO : RECOVERY POINT OBJECTIVE qui consiste à la durée maximale de perte de données acceptée en cas de panne

OBJECTIF : RTO PLUS COURT QUE MTD

Question 73

Explique-moi les composantes d’un plan de continuité des services

Answer 73

L’organisation de la réponse (plan de mobilisation) englobe deux processus :

1) Processus d’affaires qui comprend le plan de reprise des affaires
2) Le processus de soutien qui comprend le plan de secours informatique (processus de gestion des TIC), le plan d’urgence (processus de gestion des mesures d’urgence) et le plan de reprise (autres processus de soutien)

Un plan de continuité des services possède aussi un plan de retour à la normale

(pour une visualisation de cette fiche : 21h50:49)

Question 74

Comment catégorise-t-on une fraude ?

Answer 74

Fraude externe VS fraude interne

Question 75

Qu’est-ce que l’ingénierie sociale ?

Answer 75

Elle désigne des pratiques de manipulation psychologique à des fins d’escroquerie. Les pratiques d’ingénierie sociale exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles pour permettre d’obtenir quelque chose de la personne ciblée. Utilisant ses connaissances, son charisme, l’imposture et le culot, le perpétrateur cherche à abuser de la confiance, de l’ignorance et de la crédulité des personnes possédant ce qu’il souhaite obtenir

Question 76

Qu’est-ce qu’un crime informatisé ?

Answer 76

Délits traditionnels commis à l’aide ou via un système informatique ou un réseau comme internet.

Question 77

Quels sont les 7 paramètres du risque de fraude en entreprise ?

Answer 77

1. Risque lié à la culture éthique de l’entreprise (historique des fraudes ou erreurs comptables antérieures)
2. Risque lié au niveau de pression pesant sur l’entreprise (situation financière de l’entreprise, niveau d’attente des analystes financiers)
3. Risque lié à la complexité organisationnelle de l’entreprise (niveau de complexité de l’organigramme, niveau de complexité juridique)
4. Risque structurel lié
   l’activité (considérer le secteur d’activité de l’entreprise)
5. Risque lié à l’importance de la rénumération variable du management (indépendance du service des paies)
6. Risque lié à la qualité des dispositifs de contrôle interne (capacité de la direction à contourner les dispositifs de contrôle)
7. Risque lié aux événements de la vie de l’entité (considération des événements exceptionnels survenus récemment dans l’organisation)

Question 78

Quelles sont les trois grandes catégories des fraudes en entreprise ?

Answer 78

1) Détournements d’actif
2) Corruption
3) États financiers frauduleux

Question 79

Dans le volet de la prévention du programme anti-fraude, que retrouve-t-on ?

Answer 79

Tout ce qui est en lien avec la gouvernance et direction anti-fraude (pilier 1)

1) Politique de lutte contre la fraude
2) Attribution des rôles et responsabilités
3) Culture anti-fraude et sensibilisation à la fraude

Mettons que je pense qui faudrait que t’ailles une idée du programme anti-fraude.. mais il ne l’a pas dit explicitement (10h00:00 environs)