Exercice QCM : Actif, Menace ou Vulnérabilité ?

1. Un système de gestion de la relation client (CRM) utilisé pour stocker les informations clients de
l'entreprise est :
a) Un actif
b) Une menace
c) Une vulnérabilité

2. Une cyberattaque visant à voler des données confidentielles dans l'entreprise est :
a) Un actif
b) Une menace
c) Une vulnérabilité

3. L'absence de chiffrement des données sensibles dans les bases de données de l'entreprise est :
a) Un actif
b) Une menace
c) Une vulnérabilité

4. Les serveurs physiques qui stockent les données de l'entreprise sont :

a) Un actif
b) Une menace
c) Une vulnérabilité

5. Un employé malveillant qui tente de manipuler les systèmes internes de l'entreprise est :
a) Un actif
b) Une menace
c) Une vulnérabilité

6. La possibilité d'accès non sécurisé aux applications de l'entreprise est :

a) Un actif
b) Une menace
c) Une vulnérabilité

7. La réputation de l'entreprise, perçue positivement par ses clients et partenaires, est :

a) Un actif
b) Une menace
c) Une vulnérabilité

8. Un incendie potentiel dans le bâtiment de l'entreprise pouvant détruire les équipements

informatiques est :
a) Un actif
b) Une menace
c) Une vulnérabilité

Exercice : Identification des Actifs, Menaces et Vulnérabilités

Contexte :
Vous travaillez dans une entreprise de technologie qui fournit des services de stockage en ligne pour
les données des clients. Votre rôle consiste à analyser les risques et à identifier les éléments à
protéger pour assurer la sécurité des informations de l'entreprise. Voici quelques situations
rencontrées dans l’entreprise :

1. L’entreprise possède plusieurs serveurs dans un centre de données où toutes les

informations des clients sont stockées.

2. Des cybercriminels ciblent régulièrement l’entreprise avec des attaques de phishing dans le
but de tromper les employés pour obtenir leurs identifiants.

3. Certains employés n’utilisent pas de mots de passe sécurisés pour accéder aux systèmes de
l’entreprise.

4. La société utilise un logiciel de gestion des données des clients qui permet de contrôler les
informations stockées dans le système.

5. Il existe un risque d'incendie dans le centre de données qui pourrait détruire tous les
équipements informatiques.

6. Le chiffrement n’est pas appliqué à toutes les données sensibles des clients, ce qui les rend
vulnérables en cas d’accès non autorisé.

7. La réputation de l’entreprise repose en grande partie sur sa capacité à garantir la sécurité et

la confidentialité des données de ses clients.

Instructions :

1. Identifiez dans chaque situation les actifs.

2. Identifiez les menaces auxquelles chaque actif est exposé.

 3. Identifiez les vulnérabilités présentes dans chaque situation.

Réponses attendues (exemple) :

1. Actifs : Serveurs
Menaces : Incendie dans le centre de données
Vulnérabilités : Absence de systèmes de protection contre l'incendie

2. Actifs : Identifiants des employés, accès aux systèmes

Menaces : Cyberattaques de phishing
Vulnérabilités : Manque de formation en cybersécurité des employés

3. Actifs : Logiciel de gestion des données clients

Menaces : Vol de données en cas d’accès non sécurisé
Vulnérabilités : Utilisation de mots de passe non sécurisés

4. Actifs : Données des clients

Menaces : Accès non autorisé aux données
Vulnérabilités : Données non chiffrées

5. Actifs : Réputation de l'entreprise

Menaces : Perte de confiance des clients en cas de vol de données
Vulnérabilités : Faibles mesures de protection des données

Exercice 3 : Analyse de Risques dans un Réseau Local

Enoncé : Dans un réseau local d’une petite entreprise, plusieurs postes de travail sont connectés, et
un serveur interne stocke les fichiers partagés. Les postes de travail ne disposent pas de protection
antivirus, et le mot de passe administrateur du serveur est simple et partagé entre plusieurs
employés.

1. Identifiez les menaces potentielles et les vulnérabilités liées aux postes de travail et au
serveur.

2. Évaluez le risque pour chaque combinaison de menace et vulnérabilité.

3. Proposez une mesure de sécurité pour réduire l'impact des risques identifiés.

Solution :

1. Vulnérabilités :

 Absence de protection antivirus sur les postes de travail

 Mot de passe administrateur faible et partagé

2. Menaces :

 Infection par des logiciels malveillants

 Accès non autorisé au serveur en raison du mot de passe faible

3. Évaluation des risques :

Menace Vulnérabilité Probabilité Impact Risque

 Logiciels malveillants Absence d'antivirus Haute Moyen Élevé

Accès non autorisé Mot de passe faible Moyenne Élevé Élevé

4. Mesures de sécurité proposées :

 Installer un logiciel antivirus sur tous les postes de travail.

 Utiliser un mot de passe complexe pour le serveur, et limiter son accès aux seuls
administrateurs.

Exercice 4 : Sécurité des Systèmes dans une Université

Enoncé : Une université utilise un réseau informatique pour ses étudiants et ses enseignants,
incluant un serveur pour les documents de cours et un portail en ligne pour les examens. Certains
postes étudiants utilisent des systèmes obsolètes, et le serveur n’est pas configuré pour détecter les
accès anormaux.

1. Identifiez les actifs, les vulnérabilités et les menaces.

2. Évaluez les risques.

Actif Vulnérabilité Menace Probabilité Impact Risque Mesure d'atténuation

Réseau Systèmes obsolètes sur Infection par des

universitaire certains postes logiciels malveillants Haute Moyen Élevé Mettre à jour les systèmes

Serveur de Absence de détection Accès non autorisé Configurer la détection

documents d’accès anormal aux documents Moyenne Élevé Élevé d'intrusions

Portail des Pas de contrôle strict Tricherie et accès non Renforcer les contrôles
examens des accès autorisé Moyenne Moyen Moyen d’authentification

Solution :

Étude de cas : Gestion des risques pour un site e-commerce

Contexte

Une entreprise de e-commerce, ShopNet, gère un site web où les clients peuvent acheter des
produits en ligne. L'entreprise traite des informations sensibles, comme des données de paiement
(cartes bancaires) et des informations personnelles (adresses, noms). Un incident récent a mis en
évidence que certains comptes clients avaient été piratés, exposant ces données.

L'objectif est d'identifier, d'évaluer, et de traiter les risques liés à la sécurité de l'information.

Étapes de l'exercice

1. Identification des actifs

Question : Quels sont les actifs critiques pour ShopNet ? Identifiez au moins trois actifs et expliquez
leur importance.

2. Identification des menaces

Question : Pour chaque actif, identifiez deux menaces principales pouvant affecter leur sécurité.

3. Évaluation des risques

Question : En utilisant une matrice de risque (Impact vs Probabilité), évaluez l'importance des risques
pour l'une des menaces identifiées.

4. Traitement des risques

Question : Proposez une ou plusieurs mesures pour réduire le risque le plus critique identifié.

5. Surveillance et communication

Question : Décrivez comment l’entreprise peut surveiller efficacement les menaces et communiquer
sur les mesures de sécurité mises en place.

Solution
1. Identification des actifs

Les actifs critiques pour ShopNet :

 Base de données clients : Contient des données personnelles et financières (actif sensible).

 Site web : Interface permettant l’accès et les achats.

 Serveurs : Hébergent les données et le site web.

2. Identification des menaces

 Base de données clients :

 Fuite de données suite à une cyberattaque.

 Accès non autorisé dû à des mots de passe faibles.

 Site web :

 Défiguration du site par un attaquant.

 Attaque par déni de service (DDoS), rendant le site inaccessible.

 Serveurs :

 Infection par un ransomware.

 Panne matérielle ou logicielle.

3. Évaluation des risques

Prenons la menace : Fuite de données suite à une cyberattaque sur la base de données clients.

 Impact : Élevé (les données financières et personnelles exposées pourraient entraîner des
pertes financières et une atteinte à la réputation).

 Probabilité : Moyenne (l’entreprise n’a pas encore mis en place un système de protection
avancé).

Évaluation :
Utilisons une matrice simple :

Impact Faible Moyen Élevé

Probabilité Faible Bas Moyen

Moyenne Moyen Élevé

Élevée Élevé Critique

→ Risque : Critique.

4. Traitement des risques

Mesures proposées :

1. Chiffrement des données : Chiffrer toutes les données sensibles pour limiter leur
exploitation en cas de fuite.
 2. Pare-feu et IDS/IPS : Mettre en place des systèmes de détection et de prévention des
intrusions.

3. Formation : Former les employés pour détecter les tentatives de phishing ou d’ingénierie
sociale.

4. Audit de sécurité : Effectuer des tests d'intrusion réguliers pour détecter les vulnérabilités.

5. Surveillance et communication

 Surveillance :

 Mettre en place un système de surveillance continue des journaux des serveurs.

 Déployer des alertes automatiques pour détecter les activités anormales.

 Communication :

 Sensibiliser les employés aux bonnes pratiques de sécurité.

 Informer régulièrement la direction des actions mises en œuvre et des résultats des
audits.

Étude de cas : Gestion des risques pour une PME

 Contexte :

La société TechNova est une PME spécialisée dans le développement de logiciels SaaS (Software as a
Service). Elle stocke des données sensibles de ses clients, notamment des informations personnelles,
sur des serveurs hébergés en interne et dans le cloud.

L'entreprise souhaite se conformer à la norme ISO 27005 pour gérer efficacement les risques liés à la
sécurité de ses informations. Une récente tentative d'hameçonnage et des accès non autorisés à leur
réseau interne ont suscité des inquiétudes.

Tâches :

1. Identifier les actifs critiques de TechNova.

2. Identifier les menaces et vulnérabilités pour ces actifs.

3. Évaluer les risques en utilisant une matrice de criticité.

4. Proposer des mesures de traitement des risques.

5. Fournir une évaluation résiduelle après traitement des risques.

Solution proposée :

1. Identification des actifs critiques :

 Serveurs internes : Contiennent le code source des logiciels.

 Données client : Hébergées dans le cloud.

 Réseau interne : Utilisé pour la communication et le développement.

 Employés : Accessibles via leurs comptes de messagerie et outils de collaboration.

Actif Menace Vulnérabilité

Serveurs internes Malware Absence d'antivirus mis à jour.

Données client Violation de données Mauvaise configuration des permissions cloud.

Réseau interne Intrusion non autorisée Mots de passe faibles pour l'accès Wi-Fi.

Employés Hameçonnage Manque de sensibilisation à la cybersécurité.

2. Menaces et vulnérabilités :

3. Évaluation des risques (matrice de criticité) :

Risque Impact Probabilité Niveau

Malware sur les serveurs internes Élevé Moyen Élevé

Violation des données client Très élevé Moyen Très élevé

Intrusion via le réseau interne Moyen Élevé Élevé

Réussite d'une attaque de hameçonnage Élevé Moyen Élevé

Risque Mesure Type

Malware sur les serveurs internes Installer et maintenir un antivirus à jour. Réduction

Configurer des permissions strictes et activer le chiffrement des

Violation des données client données. Réduction

Mettre en place une politique de mots de passe forts et utiliser WPA3

Intrusion via le réseau interne pour le Wi-Fi. Réduction

Réussite d'une attaque de

hameçonnage Former les employés sur la détection des emails suspects. Réduction

4. Mesures de traitement des risques :

Risque Impact Probabilité Niveau

Malware sur les serveurs internes Moyen Faible Faible

Violation des données client Élevé Faible Moyen

Intrusion via le réseau interne Moyen Faible Faible

Réussite d'une attaque de hameçonnage Moyen Moyen Moyen

5. Évaluation résiduelle après traitement :

Conclusion :

Grâce à l'application de la norme ISO 27005, TechNova a pu identifier et traiter ses principaux
risques liés à la sécurité de l'information. Il est recommandé de réévaluer périodiquement ces
risques et de mettre à jour les mesures en fonction de l'évolution des menaces.