Révision rapide : Gestion du risque – ISC2 CC

Ce que vous devez vraiment savoir

La gestion du risque est le processus par lequel une organisation identifie, évalue et traite les risques pouvant nuire aux systèmes, aux données, aux personnes, aux processus ou aux services.

Pour ISC2 CC, vous devez comprendre que la sécurité ne consiste pas seulement à bloquer les menaces, mais à réduire le risque à un niveau acceptable pour l'organisation. Tous les risques ne peuvent pas être éliminés : certains sont mitigés, d'autres acceptés, transférés ou évités.

Concepts clés

• Asset : élément ayant de la valeur pour l'organisation, comme les données, les systèmes, les applications ou les services.
• Menace : événement ou acteur pouvant causer un dommage.
• Vulnérabilité : faiblesse pouvant être exploitée par une menace.
• Risque : possibilité qu'une menace exploite une vulnérabilité et cause un impact.
• Impact : conséquence négative si le risque se concrétise.
• Probabilité : possibilité qu'un événement se produise.
• Risque résiduel : risque qui reste après l'application des contrôles.
• Mitigation : réduction du risque au moyen de contrôles.
• Acceptation : décision consciente de tolérer un risque.
• Transfert : déplacement partiel du risque, par exemple par assurance ou outsourcing.
• Évitement : suppression de l'activité qui génère le risque.

Différences à ne pas confondre

Concept	Signification principale
Asset	Ressource à protéger
Menace	Quelque chose qui peut causer un dommage
Vulnérabilité	Faiblesse exploitable
Risque	Probabilité et impact d'un événement dommageable
Impact	Dommage ou conséquence négative
Probabilité	Possibilité que cela se produise
Risque résiduel	Risque restant après les contrôles
Mitigation	Réduction du risque
Acceptation	Tolérer consciemment le risque
Transfert	Déplacer une partie du risque
Évitement	Éliminer l'activité risquée

Assets, menaces et vulnérabilités

La gestion du risque commence par les assets. Un asset peut être une base de données, un serveur, une application, un compte privilégié, un réseau, un service cloud ou une information sensible.

Une menace peut être un attaquant, un malware, une erreur humaine, une panne technique, un incendie, une perte de connectivité ou un fournisseur compromis.

Une vulnérabilité est une faiblesse qui rend un dommage possible ou plus probable : mots de passe faibles, systèmes non mis à jour, mauvaises configurations, absence de sauvegardes, accès excessifs ou manque de formation.

Le risque apparaît lorsqu'une menace peut exploiter une vulnérabilité sur un asset important.

Probabilité et impact

Le risque est souvent évalué en combinant probabilité et impact.

La probabilité indique dans quelle mesure un événement peut se produire.

L'impact indique la gravité du dommage si l'événement se produit.

Un événement très probable mais avec un impact faible peut être moins critique qu'un événement rare avec un impact très élevé. C'est pourquoi la gestion du risque doit prendre en compte ces deux dimensions.

Risk assessment

Le risk assessment est l'évaluation du risque. Il sert à comprendre quels risques existent, quelle est leur importance et quelles priorités leur attribuer.

Un processus simple peut inclure :

• identifier les assets ;
• identifier les menaces et les vulnérabilités ;
• estimer la probabilité et l'impact ;
• évaluer le niveau de risque ;
• décider quels contrôles appliquer ;
• documenter et surveiller le risque dans le temps.

Pour ISC2 CC, vous devez retenir que le risk assessment aide à prendre des décisions fondées sur le risque, et non seulement sur des perceptions ou la peur.

Risk treatment

Après avoir évalué un risque, il faut décider comment le traiter. Les principales stratégies sont :

• mitiger ;
• accepter ;
• transférer ;
• éviter.

Ces options sont très fréquentes dans les quiz.

Mitigation du risque

Mitiger signifie réduire le risque en appliquant des contrôles.

Exemples :

• appliquer des correctifs ;
• utiliser la MFA ;
• configurer des pare-feu ;
• effectuer des sauvegardes ;
• former les utilisateurs ;
• segmenter le réseau ;
• surveiller les accès ;
• supprimer les privilèges excessifs.

La mitigation n'élimine pas toujours le risque. Souvent, elle le réduit à un niveau plus acceptable.

Acceptation du risque

Accepter un risque signifie décider consciemment de le tolérer.

Ce choix peut avoir du sens lorsque :

• le risque est faible ;
• le coût du contrôle est trop élevé ;
• l'impact est limité ;
• l'organisation décide que le risque résiduel est acceptable.

Attention : accepter un risque ne signifie pas l'ignorer. Cela doit être une décision consciente, documentée et approuvée.

Transfert du risque

Transférer un risque signifie en déplacer une partie vers un acteur externe.

Exemples :

• assurance cyber ;
• outsourcing ;
• contrats avec des fournisseurs ;
• services managés ;
• accords de responsabilité.

Le transfert n'élimine pas complètement le risque. Même si un fournisseur gère un service, l'organisation reste responsable de sa propre sécurité et de la protection des données.

Évitement du risque

Éviter un risque signifie éliminer l'activité qui le génère.

Exemple : si une application obsolète expose des données sensibles et ne peut pas être protégée correctement, l'organisation peut décider de la retirer.

L'évitement peut être efficace, mais il n'est pas toujours possible, parce que certaines activités sont nécessaires au business.

Risque résiduel

Le risque résiduel est le risque qui reste après l'application des contrôles.

Exemple :

• risque initial : accès non autorisé aux comptes d'entreprise ;
• contrôle appliqué : MFA ;
• risque résiduel : phishing avancé, vol de session ou erreur humaine.

Le point clé est que la sécurité réduit le risque, mais le ramène rarement à zéro.

Erreurs fréquentes dans les quiz

• Confondre menace, vulnérabilité et risque.
• Penser que le risque peut toujours être complètement éliminé.
• Confondre mitigation et transfert.
• Penser qu'accepter un risque signifie l'ignorer.
• Oublier que le risque résiduel reste même après les contrôles.
• Penser que le transfert du risque élimine toute responsabilité.
• Évaluer le risque uniquement selon la probabilité sans considérer l'impact.
• Oublier que la gestion du risque doit être documentée et réexaminée.

Mini scénario d'examen

Une entreprise découvre qu'un ancien serveur contient des données sensibles et ne reçoit plus de mises à jour de sécurité. Elle décide de le remplacer par un système supporté et de migrer les données.

Il s'agit d'une forme de mitigation du risque, parce que l'organisation réduit la probabilité de compromission en appliquant une solution plus sûre.

Si, au contraire, elle décidait d'arrêter définitivement le service parce qu'il n'est plus nécessaire, ce serait un exemple d'évitement du risque.

Mini checklist avant le quiz

Avant de commencer le quiz, vous devriez savoir expliquer :

• ce que signifie risque ;
• la différence entre menace et vulnérabilité ;
• ce que sont la probabilité et l'impact ;
• ce que signifie risk assessment ;
• ce que signifie mitiger un risque ;
• quand un risque peut être accepté ;
• ce que signifie transférer un risque ;
• ce que signifie éviter un risque ;
• ce qu'indique le risque résiduel ;
• pourquoi les risques doivent être surveillés dans le temps.