Maîtriser le risk management attendu à SY0-701 : NIST Risk Management Framework (7 étapes), ISO/IEC 27001:2022 (114 contrôles), calcul quantitatif (SLE, ALE, ARO), matrice qualitative, stratégies de traitement (mitigate/transfer/accept/avoid), business impact analysis (RTO, RPO, MTTR, MTBF). Toutes les définitions et calculs.
📍 À lire d’abord : Décrocher le CompTIA Security+ SY0-701.
Introduction
Le domaine 5 Security Program Management and Oversight pèse 20 % de l’examen. Risk management en est le cœur. Beaucoup de candidats techniques sous-estiment ce sujet — c’est une erreur. Les questions sont nombreuses, courtes, et avec une bonne méthode, gagnables à 100 %.
Prérequis
- Lecture des frameworks officiels recommandée (PDF gratuits NIST 800-37, ISO 27001:2022).
- Calculs basiques (multiplications, pourcentages).
- Niveau intermédiaire.
- Temps : 2 heures.
Étape 1 — Définir les concepts
Asset : ressource ayant de la valeur (donnée, équipement, personne, réputation)
Threat : événement potentiellement nuisible (cyberattaque, catastrophe, erreur humaine)
Vulnerability: faiblesse exploitable (logiciel non patché, mot de passe faible, processus défaillant)
Risk : combinaison threat × vulnerability × impact
Likelihood : probabilité que le risque se matérialise
Impact : conséquences si le risque se matérialise
Control : mesure pour réduire le risque (préventif, détectif, correctif)
Risque = (Threat × Vulnerability) × Impact. Un threat sans vulnerability n’est pas un risque exploitable.
Étape 2 — NIST Risk Management Framework (RMF)
NIST SP 800-37 Rev. 2 décrit RMF en 7 étapes appliquées à un système (ou organisation entière).
1. Prepare : préparer l'organisation (rôles, ressources, stratégie risque)
2. Categorize : catégoriser le système selon impact (low/moderate/high) sur CIA
3. Select : sélectionner les contrôles de NIST SP 800-53
4. Implement : implémenter les contrôles
5. Assess : évaluer leur efficacité
6. Authorize : décision d'autorité de mettre en service
7. Monitor : surveillance continue, adaptation
Cycle continu : après Monitor, retour à Categorize si évolution majeure.
Étape 3 — ISO/IEC 27001:2022
ISO 27001:2022 (sortie 25 octobre 2022) est le standard international de management de la sécurité de l’information. Son annexe A liste 93 contrôles (réduit de 114 dans la version 2013) groupés en 4 thèmes :
A.5 : Organizational controls (37 contrôles)
A.6 : People controls (8 contrôles)
A.7 : Physical controls (14 contrôles)
A.8 : Technological controls (34 contrôles)
Une organisation certifiée ISO 27001 a un Information Security Management System (ISMS) auditable, basé sur le cycle PDCA (Plan-Do-Check-Act).
Différence NIST vs ISO 27001 : NIST est gratuit, US-centric, prescriptif. ISO 27001 est payant (~250 USD le PDF officiel), international, basé sur risk management formel et audit annuel par organisme accrédité.
Étape 4 — Calculs quantitatifs : SLE, ALE, ARO
À l’examen, tu auras 2-3 questions de calcul. Mémorise les formules.
Asset Value (AV) : valeur de l'asset en dollars/FCFA
Exposure Factor (EF) : pourcentage de perte si l'incident survient (0-100%)
Single Loss Expectancy (SLE) : SLE = AV × EF
Annualized Rate of Occurrence (ARO) : nombre attendu d'incidents par an
Annualized Loss Expectancy (ALE) : ALE = SLE × ARO
Exemple pratique : un serveur à 100 000 USD, vulnérable à un ransomware qui causerait 60 % de perte (EF = 0.6). Probabilité 30 % par an (ARO = 0.3).
SLE = 100 000 × 0.6 = 60 000 USD
ALE = 60 000 × 0.3 = 18 000 USD/an
Le contrôle qui mitige ce risque doit coûter moins de 18 000 USD/an pour être rentable. C’est la décision business derrière chaque investissement cybersec.
Étape 5 — Matrice qualitative
Quand les chiffres précis ne sont pas disponibles, on utilise une matrice probabilité × impact.
Impact: Faible Modéré Sévère Critique
Probabilité:
Très faible Très bas Bas Modéré Haut
Faible Bas Modéré Haut Très haut
Modérée Modéré Haut Très haut Très haut
Élevée Haut Très haut Très haut Très haut
Très élevée Très haut Très haut Très haut Très haut
Chaque case définit un niveau de risque qui dicte la priorité de traitement. Très haut requiert action immédiate ; Très bas peut être accepté.
Étape 6 — Stratégies de traitement du risque
Quatre stratégies à connaître par cœur (questions fréquentes).
Mitigate / Reduce : implémenter des contrôles pour réduire le risque (la plus utilisée)
Transfer : transférer à un tiers (assurance cyber, contrat avec MSSP)
Accept : accepter le risque (si coût mitigation > coût impact)
Avoid : éliminer la cause (ne pas déployer le système)
Bonus : Risk register documente chaque risque avec son owner, sa cotation, sa stratégie de traitement, et sa réévaluation périodique.
Étape 7 — Risk appetite, risk tolerance, risk threshold
Trois termes voisins mais distincts (testés).
Risk appetite : niveau global de risque que l'organisation est prête à accepter
(expansionary, conservative, neutral)
Risk tolerance : déviation acceptable autour de l'appetite
Risk threshold : valeur précise au-delà de laquelle action obligatoire
Une banque centrale a typiquement un appetite conservative, tolerance étroite, threshold strict. Une startup tech peut avoir appetite expansionary.
Étape 8 — Business Impact Analysis (BIA)
BIA identifie les processus critiques et leurs dépendances. Quatre métriques clés :
RTO (Recovery Time Objective) : durée maximale d'interruption acceptable
Ex: "Le service de paiement doit redémarrer en 4 heures."
RPO (Recovery Point Objective) : perte de données maximale acceptable (en temps)
Ex: "On accepte de perdre 1 heure de transactions."
MTTR (Mean Time To Repair) : temps moyen pour réparer un incident
MTBF (Mean Time Between Failures): temps moyen entre deux pannes
MTTF (Mean Time To Failure) : pour équipements non-réparables
RTO < RPO est rare en pratique. RTO et RPO conditionnent la stratégie backup : RPO de 1 heure → backup au moins horaire ; RTO de 4 heures → infrastructure de bascule rapide (warm site, cluster).
Étape 9 — Vendor risk management
Module 5 du Security+, en croissance constante. Concepts à connaître :
Due diligence : enquête approfondie avant signature (financial health, security posture)
Right-to-audit : clause permettant au client d'auditer le vendor
SLA : Service Level Agreement (uptime garanti, RTO, pénalités)
MOU/MOA : Memorandum of Understanding/Agreement (intention sans force exécutoire)
MSA : Master Service Agreement (cadre général multi-projets)
SOW : Statement of Work / Work Order (détail spécifique d'une mission)
NDA : Non-Disclosure Agreement (confidentialité)
BPA : Business Partners Agreement (joint venture)
À l’examen, on te demande quel document signer dans tel scénario. Mémorisation directe.
Étape 10 — Risk register exemple
Format type pour un audit interne :
| ID | Risque | Likelihood | Impact | Niveau | Strategy | Owner |
|-----|-------------------------|------------|--------|----------|----------|-------|
| R01 | Ransomware sur DC | Modéré | Sévère | Très haut| Mitigate | CISO |
| R02 | Vol portable employé | Élevé | Modéré | Haut | Mitigate | DRH |
| R03 | DDoS site web public | Modéré | Modéré | Modéré | Transfer | DSI |
| R04 | Insider exfiltration | Faible | Critique| Très haut| Mitigate | CISO |
| R05 | Panne fournisseur cloud | Faible | Sévère | Haut | Mitigate | DSI |
Chaque risque a son owner responsable de la mitigation et de la revue annuelle.
Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Confondre SLE et ALE | SLE = perte par incident. ALE = perte annuelle (SLE × ARO) |
| Confondre RTO et RPO | RTO = temps de récupération. RPO = perte de données acceptable |
| Penser qu’accepter un risque = ignorer | Acceptation formelle documentée par le risk owner |
| Confondre threat et risk | Threat = potentiel. Risk = threat × vulnerability × impact |
| Préparer ISO 27001 sans NIST | Au CEH/Security+, NIST plus testé. Faire les deux idéalement |
Adaptation au contexte ouest-africain
Pour les banques régionales : ISO 27001 + PCI DSS sont la base. Audit annuel par cabinet international (PwC, Deloitte, EY) qui coûte 30-50 millions FCFA. Préparer Security+ + CRISC est un combo employabilité fort.
Pour les ESN qui font de l’audit GRC : Risk register Excel + tableau ISO 27001 mappé aux 93 contrôles 2022 = mission type 5-15 millions FCFA. Maîtriser cet article te rend immédiatement déployable.
Pour les startups : démarrer par un risk register simple en Excel/Notion. Pas besoin de certification ISO complète à 50M FCFA pour exister — un ISMS basique documenté suffit pour la plupart des contrats clients.
FAQ
NIST ou ISO : que privilégier en Afrique ?
ISO 27001 est plus reconnu pour les contrats internationaux (UE, ONU, banques). NIST est plus pragmatique et gratuit. Beaucoup d’organisations africaines déploient NIST en interne et certifient ISO 27001 pour le marketing.
Faut-il être ISO 27001 lead auditor pour un poste GRC junior ?
Non. Security+ + connaissance des frameworks suffit pour junior. Lead auditor ISO 27001 (~2 500 USD) est pour seniors qui veulent auditer en externe.
Quelle différence entre risk register et BIA ?
Risk register = tous risques de l’organisation. BIA = focus sur les processus business critiques et leurs SLA (RTO, RPO).
Pour aller plus loin
- 🔝 Pilier Security+ SY0-701
- ➡️ Suite : IAM : SSO, MFA, RBAC, Zero Trust (à venir).
- Documentation officielle : NIST SP 800-37 Rev. 2 (gratuit), NIST SP 800-53 Rev. 5 (gratuit), ISO/IEC 27001:2022 (payant ~250 USD).
Mots-clés : risk management Security+, NIST RMF, ISO 27001:2022, SLE ALE ARO calcul, RTO RPO MTTR MTBF, business impact analysis, vendor risk management, ISMS PDCA.
Approfondissement et cas pratiques
Études de cas réelles ouest-africaines
Cas 1 — Banque régionale, Dakar, 2024. Une banque de niche sénégalaise avec 12 agences et 350 employés a subi une intrusion par phishing ciblé d’une assistante de direction. Le compte compromis avait des droits étendus sur le SI bancaire faute de RBAC granulaire. L’attaquant a fait du lateral movement en 6 heures, exfiltré 25 Go de données clients, et activé un ransomware qui a chiffré 60 % des serveurs. Coût de l’incident : 1,2 milliards FCFA en remédiation, perte d’image, amendes ARTP, indisponibilité 11 jours. Leçons appliquées post-incident : MFA obligatoire (Conditional Access), Zero Trust segmentation, EDR sur tous endpoints, exercices phishing trimestriels, séparation des privilèges admin avec PIM.
Cas 2 — Opérateur télécom, Abidjan, 2025. Un opérateur ivoirien a découvert lors d’un audit annuel ISO 27001 que 40 % de ses serveurs Linux n’avaient pas été patchés depuis 18 mois. Un scan Nessus a révélé 1 200 CVE haute criticité dont 18 actuellement exploitées (tracées dans CISA Known Exploited Vulnerabilities). Plan de remédiation 90 jours : déploiement Ansible pour patching automatisé, fenêtre maintenance hebdomadaire, KPI patch cadence reportée mensuellement à la direction.
Cas 3 — Fintech, Lomé, 2024. Une fintech togolaise opérant sur 5 pays UEMOA a déployé une architecture Zero Trust dès sa création : MFA pour 100 % des employés, ZTNA en remplacement de VPN, micro-segmentation Kubernetes, vérification continue de la posture des devices via Microsoft Intune. Résultat : 0 incident sécurité en 24 mois, conformité PCI DSS validée du premier coup, baisse de 70 % du temps d’onboarding employé.
Cinq scénarios PBQ type examen détaillés
PBQ 1 : Configurer un firewall ACL. Tu as 10 règles à classer dans le bon ordre dans une UI drag-and-drop. La règle d’or : les règles les plus spécifiques d’abord, deny global en dernier. Block trafic Tor exit nodes en haut, allow flux internes connus, deny implicit any en fin.
PBQ 2 : Classifier un incident. On te présente 5 alertes SIEM. Tu dois les ranger par criticité (Critical / High / Medium / Low) en suivant le framework NIST. Critical = exfiltration confirmée + données sensibles. High = malware détecté avec persistence. Medium = scan réseau récurrent. Low = brute force basique sans succès.
PBQ 3 : Implémenter Zero Trust. Tu as une architecture legacy avec VPN + Active Directory + apps on-prem. On te demande quelles 5 décisions architecturales prendre pour migrer Zero Trust. Réponse : ZTNA replace VPN, MFA partout, identity-based segmentation, continuous verification, least-privilege RBAC.
PBQ 4 : Configurer un risk register. Tableau Excel à compléter avec 6 risques pré-listés. Tu dois calculer ALE pour chacun (AV × EF × ARO), choisir stratégie traitement (Mitigate/Transfer/Accept/Avoid), et assigner risk owner. Le calcul ALE est testé directement.
PBQ 5 : Forensic chain of custody. Scénario incident, tu dois ordonner 8 actions chronologiquement. La séquence canonique : isolate machine (pas éteindre), capture RAM avec FTK Imager, capture disque avec write-blocker, hash SHA-256 pour chaque image, signer formulaire chain of custody, transporter au labo, faire copie travail, analyser uniquement la copie.
Architecture défensive de référence pour PME africaine
[Internet] → [pfSense FW + Suricata IDS] → [DMZ : web public, mail]
→ [LAN segmenté]
├── VLAN-Data (postes utilisateurs)
├── VLAN-Voice (téléphonie IP)
├── VLAN-Mgmt (admin réseau)
├── VLAN-IoT (caméras, imprimantes)
└── VLAN-Invité (Wi-Fi visiteur)
Identités : Microsoft Entra ID + MFA + Conditional Access + PIM pour admins
Endpoints : Microsoft Defender for Endpoint sur tous postes + serveurs
Backup : Azure Backup GRS + immutability storage (rétention 30j daily, 12 mois mensuel)
Monitoring: Wazuh SIEM agrégant logs FW + endpoints + AD + apps métier
Dashboard live + alertes critiques routées vers SOC
Coût standard PME 50 employés : 8-15 millions FCFA/an tout compris
Cette architecture couvre les contrôles ISO 27001:2022 majeurs et permet de passer un audit PCI DSS niveau 2 sans investissement matériel additionnel au-delà du firewall et serveur de logs.
Compliance et conformité régionale 2026
Sénégal : loi 2008-12 sur la cybercriminalité (sanctionne accès non autorisé à un système informatique jusqu’à 7 ans de prison), loi 2008-08 sur les transactions électroniques, code des communications électroniques. CDP (Commission de Protection des Données) supervise traitements de données personnelles, déclaration obligatoire sous 72h en cas de breach affectant données nominatives.
Côte d’Ivoire : loi 2013-451 sur la cybercriminalité, ARTCI (Autorité de Régulation des Télécommunications) audite obligatoirement les opérateurs et plateformes financières. Sanctions jusqu’à 100 millions FCFA + 5 ans prison.
UEMOA / CEDEAO : règlement 08/2013/CM/UEMOA sur la protection des données personnelles, Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité. Reconnaissance mutuelle des décisions judiciaires entre 8 pays UEMOA et 15 pays CEDEAO.
International applicable : RGPD pour toutes les données de citoyens UE (extraterritorialité), PCI DSS v4.0 obligatoire pour tout processeur de paiement carte (Wave, Orange Money, banques), HIPAA pour santé numérique avec patients américains.
Pour un poste d’analyste GRC ou compliance officer en banque africaine, maîtriser au minimum : ISO 27001, PCI DSS, RGPD, et la réglementation nationale (CDP/ARTCI) est requis.
Plan de carrière post-Security+ détaillé
0-6 mois post-cert : décrocher un poste analyste SOC L1 dans une banque régionale, opérateur télécom, ou ESN cybersec (Wari, NSIA Tech, Atlantique IT, Avizo, Smart Africa). Salaire de départ 500 000-700 000 FCFA. Activités : monitoring SIEM 24/7 en équipes tournantes, triage d’alertes, rédaction de tickets, escalade L2.
6-18 mois : monter en compétence sur l’investigation, suivre formation CySA+ (CompTIA Cybersecurity Analyst) ou GCIH (SANS GIAC). Salaire 700 000-1 000 000 FCFA. Activités : threat hunting, analyse forensic basique, contribution aux runbooks, formation des nouveaux L1.
18-36 mois : pivoter selon affinité — pentest (CEH puis OSCP), analyste senior (CySA+ puis GCIH), architecture (CISSP). Salaire 1 200 000-1 800 000 FCFA. Possibilité de remote pour clients européens via plateformes comme Toptal ou Malt.
36+ mois : positions de management (CISO adjoint, responsable SOC), consultant senior indépendant, ou freelance international. Salaire 2 000 000-4 000 000 FCFA si en local, 4-8 millions FCFA en remote international.
Évolution alternative — entrepreneur : créer son cabinet d’audit cybersec ou MSSP (Managed Security Service Provider) régional. Investissement initial 5-15 millions FCFA, rentabilité dès la 2e année avec 4-6 clients PME récurrents. Modèle qui se développe rapidement à Dakar et Abidjan en 2026.
Outils complémentaires recommandés
Pour le SOC analyst : Wazuh (SIEM open-source gratuit, alternative à Splunk pour PME), TheHive (case management open-source), MISP (threat intelligence sharing), VirusTotal Enterprise, Shodan Membership.
Pour le pentester : Burp Suite Pro (450 USD/an), Cobalt Strike (alternative open-source : Sliver, Havoc), Bloodhound (mapping AD), Responder (LLMNR/NBT-NS poisoning).
Pour le compliance : Vanta ou Drata (automation SOC 2 / ISO 27001), Rapid7 InsightVM (vulnerability management), Tenable.io (alternative).
Pour la formation continue : SANS Cyber Aces (gratuit), Cybrary (gratuit + premium 60 USD/mois), TryHackMe (14 USD/mois), Blue Team Labs Online.