Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Gouvernance > Intra > Flashcards

Intra Flashcards

1
Q

Vulnérabilité

A

Faille ou faiblesse dans un actif pouvant être exploité pour violer la sécurité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Formule à risque étendu

A

R = Pa Ps V

Où Pa = Probabilité d’attaque et
Ps = Probabilité que l’attaque exploite avec succès la vulnérabilité
V = valeur perdue par l’exploitation réussie de la vulnérabilité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Formule de risque étendu de Whitman

A

R = P * V * (1 - CC + UK)

où P = probabilité qu’une vulnérabilité soit exploitée,
V = valeur de l’actif,
CC = fraction de risque atténuée par le contrôle actuel,
UK = fraction de risque pas entièrement connue (incertitude des
connaissances)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Le risque est …

A

The vraisemblance d’une vulnérabilité multiplié par la valeur de l’actif informationnel moins le pourcentage de risques mitigés par les contrôle en cours plus l’incertitude entourant la vulnérabilité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Objectif du processus de gestion des risques

A

Identifier les actifs informationnels et leurs vulnérabilités
afin de les classer selon leur besoin de protection

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Le processus d’identification des risques doit…

A

Désigner les fonctions que remplissent les rapports

Désigner qui est responsable de leur préparation

Désigner qui les examine

À la fin du processus, une liste d’actifs et leurs
vulnérabilités a été développée

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Les 3 catégories générales du contrôle des risques

A
  • Politiques
  • Programmes
  • Contrôles techniques
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Stratégies de contrôle des risques

A

Il en existe 4 :

  • Évitement
  • Mitigation
  • Acceptation
  • Transfert
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Évitement

A

Empêcher l’exploitation de la vulnérabilité e

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Transfert

A

Tente de déplacer le risque vers d’autres actifs, d’autres processus ou d’autres organisations en repensant la façon dont les services sont offerts :
• Révision des modèles de déploiement
• Externalisation vers d’autres organisations
• Achat d‘assurance
• Mettre en place des contrats de service avec les fournisseurs

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Mitigation

A

Tente de réduire les dommages causés par l’exploitation de la vulnérabilité en :
• Utilisant la planification et la préparation
• Dépendant de la capacité de détecter et de répondre à une attaque le plus rapidement possible

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Type de plans d’atténuation

A
  • Plan de reprise après sinistre (DRP)
  • Plan d’intervention en cas d’incident (IRP)
  • Plan de continuité des activités (BCP)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Acceptation

A

Ne rien faire pour protéger un élément d’information

Suppose qu’il peut être judicieux d’examiner les solutions de rechange et de conclure que le coût de la protection d’un bien ne justifie pas les dépenses de sécurité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Devoirs de l’organisation

A

• Déterminer le niveau de risque pour l’actif informationnel
• Évaluer la probabilité d’attaque et la probabilité d’une exploitation réussie
d’une vulnérabilité
• Approximer l’ARO de l’exploitation
• Estimer la perte potentielle des attaques
• Effectuer une analyse coûts-bénéfices approfondie
• Évaluer les contrôles en utilisant chaque type de faisabilité approprié
• Décider que l’actif en question ne justifie pas le coût de la protection

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Tolérance aux risques

A

La quantité et la nature du risque que les organisations sont disposées à accepter

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Approche raisonnée du risque

A

Équilibre la dépense contre les pertes possibles si elle est exploitée

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

Risque résiduel

A

Reste des risques non supprimés, déplacés ou planifiés malgré le contrôle des vulnérabilités

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

Le risque résiduel est une fonction combinée de :

A

Menaces
vulnérabilités et actifs
moins les effets des contrôles en place

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

Objectif de la sécurité de l’information

A

Être cohérente à la tolérance au risque d’une organisation et non de ramener le risque résiduel à zéro

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

Lorsqu’une stratégie de contrôle a été sélectionnée et mise en ouvre :

A

L’efficacité des contrôles devrait être surveillée et mesurée. de façon continue afin de déterminer son efficacité et l’exactitude de l’estimation du risque résiduel.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

Lignes directrices pour la sélection de

stratégies de contrôle des risques

A

• Quand une vulnérabilité existe
Mettre en place des contrôles de sécurité pour réduire la probabilité d’une vulnérabilité

• Quand une vulnérabilité peut-elle être exploitée
Appliquer des contrôles en couches pour minimiser le risque ou empêcher
l’occurrence

• Lorsque le gain potentiel de l’attaquant est supérieur au coût de l’attaque
Appliquer des contrôles techniques ou de gestion pour augmenter le coût de l’attaquant ou réduire son gain

• Quand la perte potentielle est importante
Appliquer des contrôles de conception pour limiter l’étendue de l’attaque, réduisant ainsi le potentiel de perte

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

• Quand une vulnérabilité existe

A

Mettre en place des contrôles de sécurité pour réduire la probabilité d’une vulnérabilité

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

• Quand une vulnérabilité peut-elle être exploitée

A

Appliquer des contrôles en couches pour minimiser le risque ou empêcher
l’occurrence

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

• Lorsque le gain potentiel de l’attaquant est supérieur au coût de l’attaque

A

Appliquer des contrôles techniques ou de gestion pour augmenter le coût de l’attaquant ou réduire son gain

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

• Quand la perte potentielle est importante

A

Appliquer des contrôles de conception pour limiter l’étendue de l’attaque, réduisant ainsi le potentiel de perte

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

Facteurs qui influent sur le coût d’une mesure de controle

A

o Coût de développement ou d’acquisition de matériel, de logiciels et de services
o Frais de formation
o Coût de mise en œuvre
o Coûts de service et de maintenance

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

Composantes d’évaluation des actifs

A

• Valeur retenue du coût de création de l’actif informationnel
• Valeur déduite de la maintenance passée de l’actif informationnel
• Valeur déduite par le coût de remplacement de l’information
• Valeur de fournir l’information
• Valeur déduite du coût de la protection de l’information
o Valeur aux propriétaires
o Valeur de la propriété intellectuelle
o Valeur aux concurrents
o Perte de productivité pendant que les ressources informationnelles sont
indisponibles
o Perte de revenus pendant que les ressources informationnelles sont
indisponibles

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

La perte potentielle est…

A

Celle qui pourrait résulter de l’exploitation

d’une vulnérabilité ou d’une occurrence de menace

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

Une espérance de perte unique (SLE)

A

o Le calcul de la valeur associée à la perte la plus probable d’une attaque
o Est basée sur la valeur de l’actif et le pourcentage de perte attendu d’une attaque particulière
o SLE = valeur de l’actif (AV) x facteur d’exposition (EF)

      Où EF est le pourcentage de perte qui se produirait à partir d'une vulnérabilité donnée exploitée
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

la probabilité d’occurrence d’une menace est….

A

La probabilité de perte due à une attaque dans un délai donné

Cette valeur est communément appelée taux d’occurrence annualisé
(ARO)

ALE (l’espérance de perte annualisée) = SLE (espérance de perte unique) * ARO (taux d’occurrence annualisé)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

CBA (analyse des coûts-bénéfices)

A

Détermine si une alternative de contrôle vaut son coût associé
CBA = ALE (avant) - ALE (post) - ACS

• ALE (avant le contrôle) est l’espérance de perte annualisée du risque avant la
mise en œuvre du contrôle
• ALE (post-contrôle) est l’ALE examiné après que le contrôle a été mis en place
pendant une période de temps
• ACS est le coût annuel du controle

32
Q

Gestion des risques est …

A

1- Faire un inventaire des actifs informationnels
2 - Identifier les priorités, faire un classement
3 - Identifier les menaces / risques, les prioriser
4 - Contrôler les risques
5 - Faire l’analyse coût-bénéfice

33
Q

La gestion des risques est composée de 2 processus :

A
  • Identification et évaluation des risques (Identifier,Mesurer, prioriser)
    Contrôle des risques (analyse coût-bénéfice)
34
Q

La gestion des actifs informationnels

A

Consiste à pouvoir associer, de façon cohérente, les attributs physiques, financiers et contractuels des logiciels et du matériel afin de fournir des solutions d’affaires rentables tout en minimisant les risques opérationnels pour l’organisation.

35
Q

Le framework ITIL fournit deux modèles de service:

A

o Service après vente

o Service de livraison

36
Q

La gestion de la configuration

A

Ignore en grande partie la gestion des actifs et se concentre sur les services et les relations entre les actifs informationnels (AI).

37
Q

Activités de la gestion de la configuration

A 
Planifier et définir
Identification
Contrôle
Suivi d'état
Audit et vérification - > Identification
38
Q

Activités de la gestion de la configuration - Planifier et définir :

A

Définir l’objectif, la portée, les politiques et les procédures ainsi que le contexte organisationnel et technique

39
Q

Activités de la gestion de la configuration - Identification

A

Sélection des structures de configuration pour tous les AI, y compris leur propriétaire, leur interrelations et la documentation de configuration

40
Q

Activités de la gestion de la configuration - Contrôle

A

Assurez-vous que seuls les AI autorisés et identifiables sont acceptés et enregistrés

41
Q

Activités de la gestion de la configuration - Suivi d’état

A

Rapport sur toutes les données actuelles et historiques concernant chaque AI tout au long de son cycle de vie

42
Q

Activités de la gestion de la configuration - Audit et vérification

A

Examens et audits vérifiant l’existence physique des AI et vérifiant qu’ils sont correctement enregistrés.

43
Q

Cadre organisationnel de gestion des biens TI - Cycle de vie

A 
Planification
Acquisition de l'actif
Déploiement 
Suivi
Gestion
Disposition
44
Q

Modèle de maturité

A 
Chaos
Réactif
Actif
Proactif
Centre d'excellence
45
Q

Pour réussir vos stratégies :

A

 Donnez-vous du temps
 Mettre les bonnes personnes au sein de l’équipe dans toutes les unités
fonctionnelles
 Éduquer pour promouvoir l’adhésion et la compréhension
 Fixer des objectifs mesurables pour le programme et les projets individuels
 N’essayez pas de “eat the elephant in one bite”
 Restez sur la bonne voie et mettre en évidence les succès
 Plus de cache-cache

46
Q

Comment mettre en place une stratégie d’évitement?

A

oApplication de la politique
o Application de la formation et de l’éducation
o Contrer les menaces
o Mise en œuvre de techniques de contrôles de sécurité et de sauvegarde

47
Q

Un actif informationnel est constitué par…

A

les ressources informationnelles

un système

48
Q

Une ressource informationnelle est constituée par …

A
  • Information et personnes

- processus et technologie

49
Q

Un système est constitué par

A
  • matériel
  • Données
  • Applications
50
Q

Les ressources informationnelles critiques :

A
  • Gestion de la sécurité, vérification et contrôle ( Gouvernance )
  • Système ( Développement et évolution )
  • Technologie ( Acquisition, maintenance et contingence )
  • Vérification et contrôle ( Conformité )
51
Q

Il faut savoir évaluer les domaines de connaissances en sécurité de notre interlocuteur

A

vrai

52
Q

Les contextes de la sécurité de l’information sont …

A
  • Contexte d’affaires
  • Contexte juridique
  • Contexte technologique
53
Q

Les règlements, pour le mettre en place, qu’est-ce qu’on devrait faire?

A
  • Expliquer le règlement
  • Expliquer le pourquoi
  • Diffuser l’information
  • faire le suivi
54
Q

La sécurité informationnelle c’est …

A

Protection des ressources informationnelles d’une organisation face à des risques identifiés qui résulte d’un ensemble de mesures de sécurité prises pour assurer la confidentialité, l’intégrité et la disponibilité de l’information traitée.

55
Q

Un actif informationnel c’est…

A

Inventaire présentant, à un moment déterminé, le portrait de l’ensemble des ressources informationnelles d’une entreprise ou d’une organisation, à l’exception des ressources humaines.

L’actif informationnel est un bilan et ne donne que le portrait des ressources informationnelles disponibles; il est de ce fait statique. Ce sont les ressources informationnelles qui sont dynamiques puisque ce sont elles qu’on exploite

56
Q

Une ressource informationnelle c’est…

A

une ressource utilisée par une entreprise ou une organisation, dans le cadre de ses activités de traitement de l’information, pour mener à bien sa mission, pour faciliter la prise de décision ou encore la résolution de problèmes. Elle peut être une ressource humaine, matérielle ou financière directement affectée à la gestion, à l’acquisition, au développement, à l’entretien, à l’exploitation, à l’accès, à l’utilisation, à la protection, à la conservation et à la destruction des éléments d’information. Une ressource peut donc être une personne, un fichier ou le système informatique lui-même.

57
Q

Il faut savoir utiliser les forces internes

A

vrai

58
Q

Pourquoi faire un inventaire?

A
  • Pour centraliser les informations
  • Permet une vision globale du parc informatique
  • Contrôler les ressources
59
Q

La gestion n’est pas constituée de…

A

Technologie, infrastructure et télécommunications

60
Q

La gestion des risques c’est…

A

la discipline qui s’attache à identifier, évaluer et prioriser les risques relatifs aux activités d’une organisation, quelles que soient la nature ou l’origine de ces risques, pour les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés, et réduire l’impact éventuel de ces événements. Elle est l’une des principales responsabilités de chaque gestionnaire d’une organisation.

61
Q

Pour qu’une organisation se connaisse bien elle-même, il faut…

A

Identifier, examiner et comprendre l’information et comment elle est traitée, stockée et transmise

62
Q

Pour qu’une organisation connaisse son ennemi, il faut

A

Identifier, examiner et comprendre les menaces qui pèsent sur les ressources d’information de l’organisation

63
Q

La responsabilité pour la gestion des risque - Sécurité de l’information

A

Doit adopter un rôle de leadership dans la gestion des risques

64
Q

La responsabilité pour la gestion des risque - Technologie de l’information

A

Le rôle implique la construction et le maintien de systèmes sécurisés

65
Q

La responsabilité pour la gestion des risque - Gestion

A

Le rôle implique l’allocation des ressources et la priorisation des problèmes de sécurité

66
Q

La responsabilité pour la gestion des risque - Utilisateurs

A

Rôle crucial dans la détection précoce et la réponse appropriée aux menaces

67
Q

Quel est le but de l’évaluation des risques?

A

Créer une méthode pour évaluer le risque relatif de chaque vulnérabilité listée

68
Q

Maturité du processus - Chaos

A

• Aucune connaissance des actifs possédés
ou où ils sont situés
• Manque d’outils adéquats pour suivre et
gérer les actifs
• Pas d’achat centralisé
• Contrats dans des classeurs
• Aucun processus reproductible ou
transfert de connaissances
• Aucune personne responsable de la Chaos gestion des actifs

69
Q

Maturité du processus - Réactif

A 
• Mettre l'accent sur le
comptage des actifs et faire
des inventaires physiques
annuels
• Tableur pour suivre les actifs
• Outil (s) de découverte pour
compléter
• Rapports de base avec peu de
détails
• La responsabilité de la gestion
des actifs informatiques est
technique
70
Q

Maturité du processus - Actif

A 
• Gérer les actifs tout au long du
cycle de vie grâce à des processus
définis qui sont revus et devisés si
nécessaire
• Inventaire lié contractuellement
et financièrement pour créer une
vision globale centralisée
• Référentiel d'actifs et outils de
découverte automatique intégrés
au service informatique
• L'équipe de mise en œuvre est
dirigée par un poste de directeur
71
Q

Maturité du processus - proactif

A 
• PC, serveurs, équipements réseaux et
télécoms dans un référentiel commun
• Les niveaux de service sont créés pour
répondre à des objectifs commerciaux
plus larges
• Les métriques sont en place et les
rapports sont exécutés fréquemment
• La réquisition et l'approvisionnement
sont intégrés
• La gestion des actifs informatiques est
une discipline définie
72
Q

Maturité du processus - Centre d’excellence

A 
• Audit de l'efficacité et de la
performance des processus
métier établis pour tous les
actifs de l'entreprise
• Intégration transparente du
système de gestion d'actifs
avec ERP, RH, compte
débiteur / créditeur, gestion
du système, service de
support, gestion des
changements, etc.
73
Q

Cycle de vie - Planification

A

o Harmonisation du besoin des ressources informatiques avec les processus métier
clés, qui sont gérés à partir d’un actif informatique existant ou proposés à partir
d’un nouvel actif informatique

74
Q

Cycle de vie - Acquisition de l’actif

A

Le moyen le plus rentable d’acquérir les actifs informatiques.

75
Q

Cycle de vie - Déploiement

A

o Comment déployer et mettre en œuvre l’actif

o Automatisez le processus si possible

76
Q

Cycle de vie - Opération & Maintenance

A

o S’assurer que non seulement toutes les obligations financières associées à la maintenance de l’actif sont
respectées, mais également les risques opérationnels associés à l’actif informatique, notamment la gestion des
changements, la Base de gestion de configuration, etc.

77
Q

Cycle de vie - Disposition

A

o Valeur de l’actif informatique - Le maintien de l’historique de l’actif informatique tout au long de son cycle
de vie aidera à la décision de remplacement.
o Disposition écologique de l’actif - il existe aujourd’hui dans de nombreux pays une législation qui régit la
responsabilité écologique de l’élimination des actifs informatiques.
o Obligations contractuelles - qui doivent être respectées si l’organisation ne veut plus l’actif informatique, par
exemple la location, le leasing, etc.
o Maintenir - l’exactitude et l’exhaustivité des dossiers d’actifs informatiques, y compris les dossiers financiers.

Gouvernance (2 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions